シールドされた VM を実装する
Windows Server 管理者は、シールドされた VM を作成して展開するための手順を調査して理解しておく必要があります。
シールドされた VM を実装する
シールドされた VM を実装するために必要な手順の概要を次に示します。 この手順には、VMM に関連するいくつかのステップが含まれます。
タスク 1: HGS をインストールして構成する
HGS の前提条件を確認し、HGS の展開用に環境を準備します。
ハードウェアと OS が HGS の前提条件の要件を満たしていることを確認します。次の点に注意します。
- HGS は物理コンピューターまたは仮想マシンで実行できますが、物理コンピューターをお勧めします。
- HGS を 3 ノードの物理クラスターとして実行する場合は、3 台の物理サーバーが必要です。
- 構成証明の要件:
- ホスト キーの構成証明には、v2 構成証明用に動作している Windows Server 2019 Standard または Datacenter Edition が必要です。
- TPM ベースの構成証明には、Windows Server 2019 または Windows Server 2016 の Standard または Datacenter Edition が必要です。
適切な HGS サーバーの役割をインストールし、ファブリック ドメインと HGS ドメインの間の DNS 転送を許可するようにファブリック (ホスト) ドメインを構成します。
注意
HGS を展開するときに、シールドされた VM の起動に必要な機密情報を保護するために使用される署名証明書と暗号化証明書の提供を求められます。 信頼された証明機関を使用して、これら 2 つの証明書を取得することをお勧めします。ただし、自己署名証明書を使用することもできます。 これら 2 つの証明書は、常に HGS ホストに留まっています。
最初の HGS ノードを構成します
- HGS を専用の AD DS フォレストにインストールするか、既存の bastion フォレストにインストールするかを選択します。
環境に応じて、追加の HGS ノードを構成します。
すべての HGS ノードは、同じ署名証明書と暗号化証明書にアクセスする必要があります。 次の 2 つのオプションのいずれかを選択して、それらを管理します。
- パスワードと共に証明書を PFX ファイルにエクスポートし、HGS で証明書を自動的に管理できるようにします。
- 各 HGS ノードのローカル コンピューターの証明書ストアに証明書をインストールし、HGS にはサムプリントを提供します。
どちらのオプションも有効ですが、ノードを追加するときに必要な手順が若干異なります。
次の 2 つの可能なシナリオのいずれかを使用して、ノードを追加します。
新しい専用の HGS フォレストに HGS ノードを追加します。
Personal Information Exchange (PFX) 証明書を使用して、新しい専用 HGS フォレストに HGS ノードを追加するには:
- HGS ノードをドメイン コントローラーに昇格させます。
- HGS サーバーを初期化します。
証明書のサムプリントを使用して新しい専用 HGS フォレストに HGS ノードを追加するには:
- HGS ノードをドメイン コントローラーに昇格させます。
- HGS サーバーを初期化します。
- 証明書の秘密キーをインストールします。
既存の bastion フォレストに HGS ノードを追加します。
PFX 証明書を使用して既存の bastion フォレストに HGS ノードを追加するには:
- 既存のドメインにノードを参加させます。
- 管理されたサービス アカウント (MSA) のパスワードを取得して
Install-ADServiceAccountを実行するための権限を、コンピューターに付与します。 - HGS サーバーを初期化します。
証明書のサムプリントを使用して既存の bastion フォレストに HGS ノードを追加するには:
- 既存のドメインにノードを参加させます。
- MSA パスワードを取得して
Install-ADServiceAccountを実行するための権限を、コンピューターに付与します。 - HGS サーバーを初期化します。
- 証明書の秘密キーをインストールします。
注意
HGS により、アカウント ID としてグループの管理されたサービス アカウント (gMSA) を使用して、その証明書が取得され、複数のノードに対して使用されます。
重要
運用環境では、HGS ノードがダウンした場合でも、シールドされた VM を起動できるように、高可用性クラスターで HGS を設定する必要があります。
保護されたホストで HGS クラスターを解決できるように、ファブリックの DNS を構成します。
ホストでの構成証明の前提条件を確認します。
- 選択した構成証明モード (TPM、キー、または管理者モード) のホストの前提条件を確認します。
- ホストを HGS に追加します。
ホスト キーを作成するか (キー モード)、ホスト情報を収集します (TPM モード)。
ホスト キーの構成証明 (キー モード) を使用して保護されたホストになるように Hyper-V ホストを準備するには、ホスト キー ペアを作成して (または、既存の証明書を使用して)、キーの公開側の半分を HGS に追加します。
TPM モードの構成証明 (キー モード) を使用して保護されたホストになるように Hyper-V ホストを準備するには、ホストの TPM 識別子 (保証キー)、TPM ベースライン、および CI ポリシーをキャプチャします。
ホスト キー (キー モード) または TPM 情報 (TPM モード) を HGS の構成に追加します。
HGS によりホストが保護されたホストとして構成証明されることを確認します。
(省略可能) Hyper-V で保護されたホストとシールドされた VM の展開および管理用に、VMM コンピューティング ファブリックを構成します。
タスク 2: OS の .vhdx ファイルを準備する
次のいずれかのオプションを使用して、OS ディスク (.vhdx ファイル) を準備します。
- Hyper-V、Windows PowerShell、または Microsoft Desktop Image Service Manager (DISM) ユーティリティを使用します。
- 空の .vhdx ファイルを使用して VM を手動で設定し、そのディスクに OS をインストールします。
Windows Update を実行して、OS ディスクに最新の更新プログラムをインストールします。
タスク 3: VMM でシールドされた VM テンプレート ディスクを作成する
シールド テンプレート ディスクの作成ウィザードを使用して .vhdx ファイルを準備し、保護します。
- シールドされた VM でテンプレート ディスクを使用するには、シールドされたシールド テンプレート ディスクの作成ウィザードを使用してディスクを準備し、BitLocker で暗号化する必要があります。
テンプレート ディスクを VMM ライブラリにコピーします。
- VMM を使用する場合は、テンプレート ディスクを作成した後、それを VMM ライブラリ共有にコピーして、新しいシールドされた VM をプロビジョニングするときに、ホストでディスクをダウンロードして使用できるようにします。
タスク 4: シールド データ ファイルを作成する
シールド データ (PDK) ファイルを作成する準備をします。
- リモート デスクトップ接続用の証明書を取得します。
- 応答ファイルを作成します。
- ボリューム署名カタログ ファイルを取得します。
- 信頼できるファブリックを設定します。
シールド データ ファイルを作成します。
シールド データ ファイルの使用を承認されたガーディアンを追加します。
タスク 5: シールドされた VM を展開する
Windows Azure Pack または VMM を使用して、シールドされた VM を展開します。
- Windows Azure Pack や VMM など、選択した展開方法の要件に従って、シールド データ ファイルをアップロードします。
- 新しいシールドされた VM をプロビジョニングします。
タスク 6: シールドされた VM を起動する
シールドされた VM を起動するプロセスは次のとおりです。
ユーザーが、シールドされた VM の起動を要求します。
HGS 構成証明サービスにより、保護されたホストの資格情報が検証され、保護されたホストに構成証明書が送信されます。
保護されたホストにより、その構成証明書と KP が KPS に送信され、シールドされた VM のロックを解除するキーが要求されます。
KPS により、構成証明書の有効性が判断され、KP が復号化されて、シールドされた VM のロックを解除するためのキーが取得された後、保護されたホストにキーが送信されます。
保護されたホストにより、キーを使用してシールドされた VM のロックが解除され、起動されます。
注意
[リモート サーバー管理ツール] の [シールドされた VM のツール] には、[シールド テンプレート ディスクの作成ウィザード] が含まれています。これには、サーバー マネージャーの [ツール] メニューからアクセスできます。