新しい専用フォレストで AD モードを使用して HGS クラスターを初期化する (既定値)

1. クライアントは、フェールオーバー クラスタリングの分散ネットワーク名 (DNN) を使用して、任意の HGS ノードに簡単に接続できます。 DNN を選択する必要があります。 この名前は HGS DNS サービスに登録されます。 たとえば、ホスト名が HGS01、HGS02、HGS03 である 3 つの HGS ノードがある場合は、DNN のために "hgs" や "HgsCluster" を選択できます。

2. HGS のガーディアン証明書を見つけます。 HGS クラスターを初期化するには、署名証明書が 1 つと暗号化証明書が 1 つ必要になります。 HGS に証明書を提供する最も簡単な方法は、公開キーと秘密キーの両方を含む証明書ごとに、パスワードで保護された PFX ファイルを作成することです。 HSM ベースのキーまたはその他のエクスポートできない証明書を使おうとしている場合は、続行する前に、その証明書がローカル コンピューターの証明書ストアにインストールされていることを確認してください。 使用する証明書の詳細については、「 HGS の証明書を取得する」を参照してください。

3. 最初の HGS ノードの管理者特権の PowerShell ウィンドウで Initialize-HgsServer を実行します。 このコマンドレットの構文では、さまざまな入力がサポートされていますが、以下に、最も一般的な呼び出しを 2 つ示します。

   • 署名と暗号化の証明書のために PFX ファイルを使おうとしている場合は、次のコマンドを実行します。

     $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
     $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
     
     Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
     

   • ローカル証明書ストアにインストールされている、エクスポートできない証明書を使おうとしている場合は、次のコマンドを実行します。 証明書の拇印が分からない場合は、Get-ChildItem Cert:\LocalMachine\My を実行して、使用できる証明書を一覧表示できます。

     Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustActiveDirectory
     

4. 拇印を使用して HGS に証明書を提供した場合は、それらの証明書のプライベート キーへの読み取りアクセスを HGS に付与するように指示されます。 デスクトップ エクスペリエンスがインストールされているサーバーで、以下の手順を完了します。

   1. ローカル コンピューターの証明書マネージャー (certlm.msc) を開く
   2. 証明書を見つけて右クリックし、[すべてのタスク]、[プライベート キーの管理] の順に選択します>>>
   3. [追加] をクリックする
   4. オブジェクト ピッカー ウィンドウで、[オブジェクトの種類] をクリックし、サービス アカウントを有効にします
   5. Initialize-HgsServer からの警告テキストに記載されているサービス アカウントの名前を入力します
   6. gMSA に、プライベート キーに対する "読み取り" アクセスがあることを確認します。

   サーバー コアでは、プライベート キーのアクセス許可の設定に役立つように、PowerShell モジュールをダウンロードする必要があります。

   1. インターネット接続がある場合は、HGS サーバーで Install-Module GuardedFabricTools を実行します。または、別のコンピューターで Save-Module GuardedFabricTools を実行し、モジュールを HGS サーバーにコピーします。

   2. Import-Module GuardedFabricTools を実行します。 これで、PowerShell で見つかった証明書オブジェクトに、追加のプロパティが加えられます。

   3. PowerShell で Get-ChildItem Cert:\LocalMachine\My を使用して、証明書の拇印を見つけます

   4. 拇印を自分のものに置き換え、次のコードの gMSA アカウントを、Initialize-HgsServer の警告テキストに記載されていたアカウントに置き換えて、ACL を更新します。

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

   HSM ベースの証明書やサード パーティのキー ストレージ プロバイダーに格納されている証明書を使おうとしている場合、これらの手順は当てはまらない可能性があります。 お使いのキー ストレージ プロバイダーのドキュメントを調べて、プライベート キーに対するアクセス許可を管理する方法を確認してください。 場合によっては、承認が存在しなかったり、証明書がインストールされるときにコンピューター全体に承認が提供されたりします。

5. それです！ 運用環境では、引き続き HGS ノードをクラスターに追加する必要があります。

次のステップ