Konfigurieren zusätzlicher HGS-KnotenConfigure additional HGS nodes

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

In Produktionsumgebungen sollten HGS in einem Cluster mit hoher Verfügbarkeit eingerichtet werden, um sicherzustellen, dass abgeschirmte VMS auch dann eingeschaltet werden können, wenn ein HGS-Knoten ausfällt.In production environments, HGS should be set up in a high availability cluster to ensure that shielded VMs can be powered on even if an HGS node goes down. Für Testumgebungen sind keine sekundären HGS-Knoten erforderlich.For test environments, secondary HGS nodes are not required.

Verwenden Sie eine dieser Methoden, um HGS-Knoten hinzuzufügen, die für Ihre Umgebung am besten geeignet sind.Use one of these methods to add HGS nodes, as best suited for your environment.

Neue HGS-GesamtstrukturNew HGS forest Verwenden von PFX-DateienUsing PFX files Verwenden von Zertifikat FingerabdrückenUsing certificate thumbprints
Vorhandene geschützte GesamtstrukturExisting bastion forest Verwenden von PFX-DateienUsing PFX files Verwenden von Zertifikat FingerabdrückenUsing certificate thumbprints

Erforderliche KomponentenPrerequisites

Stellen Sie sicher, dass jeder zusätzliche Knoten:Make sure that each additional node:

  • Hat dieselbe Hardware-und Softwarekonfiguration wie der primäre Knoten.Has the same hardware and software configuration as the primary node
  • Ist mit dem gleichen Netzwerk verbunden wie die anderen HGS-ServerIs connected to the same network as the other HGS servers
  • Kann die anderen HGS-Server anhand Ihrer DNS-Namen auflösenCan resolve the other HGS servers by their DNS names

Dedizierte HGS-Gesamtstruktur mit PFX-ZertifikatenDedicated HGS forest with PFX certificates

  1. Herauf Stufen des HGS-Knotens zu einem Domänen ControllerPromote the HGS node to a domain controller
  2. Initialisieren des HGS-ServersInitialize the HGS server

Herauf Stufen des HGS-Knotens zu einem Domänen ControllerPromote the HGS node to a domain controller

  1. Führen Sie Install-HgsServer zum Beitreten zur Domäne und den Knoten zu einem Domänencontroller heraufstufen.Run Install-HgsServer to join the domain and promote the node to a domain controller.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force
    
    $cred = Get-Credential 'relecloud\Administrator'
    
    Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
    
  2. Beim Neustart des Servers, melden Sie sich mit einem Domänenadministratorkonto an.When the server reboots, log in with a domain administrator account.

Initialisieren des HGS-ServersInitialize the HGS server

Führen Sie den folgenden Befehl auf dem vorhandenen Host-Überwachungsdienst-Cluster beitreten.Run the following command to join the existing HGS cluster.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Dedizierte HGS-Gesamtstruktur mit Zertifikat FingerabdrückenDedicated HGS forest with certificate thumbprints

  1. Herauf Stufen des HGS-Knotens zu einem Domänen ControllerPromote the HGS node to a domain controller
  2. Initialisieren des HGS-ServersInitialize the HGS server
  3. Installieren der privaten Schlüssel für die ZertifikateInstall the private keys for the certificates

Herauf Stufen des HGS-Knotens zu einem Domänen ControllerPromote the HGS node to a domain controller

  1. Führen Sie Install-HgsServer zum Beitreten zur Domäne und den Knoten zu einem Domänencontroller heraufstufen.Run Install-HgsServer to join the domain and promote the node to a domain controller.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force
    
    $cred = Get-Credential 'relecloud\Administrator'
    
    Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
    
  2. Beim Neustart des Servers, melden Sie sich mit einem Domänenadministratorkonto an.When the server reboots, log in with a domain administrator account.

Initialisieren des HGS-ServersInitialize the HGS server

Führen Sie den folgenden Befehl auf dem vorhandenen Host-Überwachungsdienst-Cluster beitreten.Run the following command to join the existing HGS cluster.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Installieren der privaten Schlüssel für die ZertifikateInstall the private keys for the certificates

Wenn Sie eine PFX-Datei nicht für die Verschlüsselung und Signaturzertifikate auf dem ersten HGS-Server angegeben haben, wird nur der öffentliche Schlüssel mit diesem Server repliziert werden.If you did not provide a PFX file for either the encryption or signing certificates on the first HGS server, only the public key will be replicated to this server. Sie müssen den privaten Schlüssel durch Importieren einer PFX-Datei mit dem privaten Schlüssel, in den lokalen Zertifikatspeicher oder, im Fall von HSM-gesicherten Schlüsseln, installieren den Softwareschlüsselspeicher-Anbieter konfigurieren und Ihre Zertifikate pro Ihres HSM-Herstellers zuordnen Anweisungen.You will need to install the private key by importing a PFX file containing the private key into the local certificate store or, in the case of HSM-backed keys, configuring the Key Storage Provider and associating it with your certificates per your HSM manufacturer's instructions.

Vorhandene geschützte Gesamtstruktur mit PFX-ZertifikatenExisting bastion forest with PFX certificates

  1. Fügen Sie den Knoten der vorhandenen Domäne hinzu.Join the node to the existing domain
  2. Erteilen Sie dem Computer Rechte zum Abrufen des GMSA-Kennworts und Ausführen von Install-ADServiceAccount.Grant the machine rights to retrieve gMSA password and run Install-ADServiceAccount
  3. Initialisieren des HGS-ServersInitialize the HGS server

Fügen Sie den Knoten der vorhandenen Domäne hinzu.Join the node to the existing domain

  1. Stellen Sie sicher, dass mindestens eine NIC auf dem Knoten für die Verwendung des DNS-Servers auf dem ersten HGS-Server konfiguriert ist.Ensure at least one NIC on the node is configured to use the DNS server on your first HGS server.
  2. Verknüpfen Sie den neuen HGS-Knoten mit derselben Domäne wie der erste HGS-Knoten.Join the new HGS node to the same domain as your first HGS node.

Erteilen Sie dem Computer Rechte zum Abrufen des GMSA-Kennworts und Ausführen von Install-ADServiceAccount.Grant the machine rights to retrieve gMSA password and run Install-ADServiceAccount

  1. Haben Sie eine Directory Services-Administrator das Computerkonto für unseren neuen Knoten hinzufügen, der Sicherheitsgruppe, die mit allen Ihren HGS-Servern, die Berechtigungen festgelegt haben, können von diesen Servern das gMSA-Konto-Host-Überwachungsdienst verwendet wird.Have a directory services admin add the computer account for your new node to the security group containing all of your HGS servers that is permissioned to allow those servers to use the HGS gMSA account.

  2. Starten Sie den neuen Knoten um ein neues Kerberos-Ticket zu erhalten, das der Computer die Mitgliedschaft in dieser Sicherheitsgruppe enthält neu.Reboot the new node to obtain a new Kerberos ticket that includes the computer's membership in that security group. Wenn der Neustart abgeschlossen ist, melden Sie sich eine Domänenidentität, zu der der lokalen Administratorengruppe auf dem Computer gehört.After the reboot completes, sign in with a domain identity that belongs to the local administrators group on the computer.

  3. Installieren Sie den Host-Überwachungsdienst gruppenverwalteten Dienstkontos auf dem Knoten.Install the HGS group managed service account on the node.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>
    

Initialisieren des HGS-ServersInitialize the HGS server

Führen Sie den folgenden Befehl auf dem vorhandenen Host-Überwachungsdienst-Cluster beitreten.Run the following command to join the existing HGS cluster.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Vorhandene geschützte Gesamtstruktur mit Zertifikat FingerabdruckExisting bastion forest with certificate thumbprints

  1. Fügen Sie den Knoten der vorhandenen Domäne hinzu.Join the node to the existing domain
  2. Erteilen Sie dem Computer Rechte zum Abrufen des GMSA-Kennworts und Ausführen von Install-ADServiceAccount.Grant the machine rights to retrieve gMSA password and run Install-ADServiceAccount
  3. Initialisieren des HGS-ServersInitialize the HGS server
  4. Installieren der privaten Schlüssel für die ZertifikateInstall the private keys for the certificates

Fügen Sie den Knoten der vorhandenen Domäne hinzu.Join the node to the existing domain

  1. Stellen Sie sicher, dass mindestens eine NIC auf dem Knoten für die Verwendung des DNS-Servers auf dem ersten HGS-Server konfiguriert ist.Ensure at least one NIC on the node is configured to use the DNS server on your first HGS server.
  2. Verknüpfen Sie den neuen HGS-Knoten mit derselben Domäne wie der erste HGS-Knoten.Join the new HGS node to the same domain as your first HGS node.

Erteilen Sie dem Computer Rechte zum Abrufen des GMSA-Kennworts und Ausführen von Install-ADServiceAccount.Grant the machine rights to retrieve gMSA password and run Install-ADServiceAccount

  1. Haben Sie eine Directory Services-Administrator das Computerkonto für unseren neuen Knoten hinzufügen, der Sicherheitsgruppe, die mit allen Ihren HGS-Servern, die Berechtigungen festgelegt haben, können von diesen Servern das gMSA-Konto-Host-Überwachungsdienst verwendet wird.Have a directory services admin add the computer account for your new node to the security group containing all of your HGS servers that is permissioned to allow those servers to use the HGS gMSA account.

  2. Starten Sie den neuen Knoten um ein neues Kerberos-Ticket zu erhalten, das der Computer die Mitgliedschaft in dieser Sicherheitsgruppe enthält neu.Reboot the new node to obtain a new Kerberos ticket that includes the computer's membership in that security group. Wenn der Neustart abgeschlossen ist, melden Sie sich eine Domänenidentität, zu der der lokalen Administratorengruppe auf dem Computer gehört.After the reboot completes, sign in with a domain identity that belongs to the local administrators group on the computer.

  3. Installieren Sie den Host-Überwachungsdienst gruppenverwalteten Dienstkontos auf dem Knoten.Install the HGS group managed service account on the node.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>
    

Initialisieren des HGS-ServersInitialize the HGS server

Führen Sie den folgenden Befehl auf dem vorhandenen Host-Überwachungsdienst-Cluster beitreten.Run the following command to join the existing HGS cluster.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Es dauert bis zu 10 Minuten, bis die Verschlüsselungs-und Signatur Zertifikate vom ersten HGS-Server auf diesen Knoten repliziert werden.It will take up to 10 minutes for the encryption and signing certificates from the first HGS server to replicate to this node.

Installieren der privaten Schlüssel für die ZertifikateInstall the private keys for the certificates

Wenn Sie eine PFX-Datei nicht für die Verschlüsselung und Signaturzertifikate auf dem ersten HGS-Server angegeben haben, wird nur der öffentliche Schlüssel mit diesem Server repliziert werden.If you did not provide a PFX file for either the encryption or signing certificates on the first HGS server, only the public key will be replicated to this server. Sie müssen den privaten Schlüssel durch Importieren einer PFX-Datei mit dem privaten Schlüssel, in den lokalen Zertifikatspeicher oder, im Fall von HSM-gesicherten Schlüsseln, installieren den Softwareschlüsselspeicher-Anbieter konfigurieren und Ihre Zertifikate pro Ihres HSM-Herstellers zuordnen Anweisungen.You will need to install the private key by importing a PFX file containing the private key into the local certificate store or, in the case of HSM-backed keys, configuring the Key Storage Provider and associating it with your certificates per your HSM manufacturer's instructions.

Konfigurieren von HGS für die HTTPS-KommunikationConfigure HGS for HTTPS communications

Wenn Sie HGS-Endpunkte mit einem SSL-Zertifikat sichern möchten, müssen Sie das SSL-Zertifikat auf diesem Knoten sowie alle anderen Knoten im HGS-Cluster konfigurieren.If you want to secure HGS endpoints with an SSL certificate, you must configure the SSL certificate on this node, as well as every other node in the HGS cluster. SSL-Zertifikate werden nicht von HGS repliziert und müssen nicht die gleichen Schlüssel für jeden Knoten verwenden (d. h., Sie können für jeden Knoten unterschiedliche SSL-Zertifikate verwenden).SSL certificates are not replicated by HGS and do not need to use the same keys for every node (i.e. you can have different SSL certs for each node).

Wenn Sie ein SSL-Zertifikat anfordern, stellen Sie sicher, dass der voll qualifizierte Cluster Domänen Name Get-HgsServer(wie in der Ausgabe von gezeigt) entweder der allgemeine Antragsteller Name des Zertifikats ist oder als alternativer Antragsteller Name angegeben ist.When requesting an SSL cert, ensure the cluster fully qualified domain name (as shown in the output of Get-HgsServer) is either the subject common name of the cert, or included as a subject alternative DNS name. Wenn Sie ein Zertifikat von Ihrer Zertifizierungsstelle erhalten haben, können Sie HGS so konfigurieren, dass es mit Set-hgsserververwendet wird.When you've obtained a certificate from your certificate authority, you can configure HGS to use it with Set-HgsServer.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Wenn Sie das Zertifikat bereits im lokalen Zertifikat Speicher installiert haben und es per Fingerabdruck referenzieren möchten, führen Sie stattdessen den folgenden Befehl aus:If you already installed the certificate into the local certificate store and want to reference it by thumbprint, run the following command instead:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS macht immer die HTTP-und HTTPS-Ports für die Kommunikation verfügbar.HGS will always expose both the HTTP and HTTPS ports for communication. Das Entfernen der HTTP-Bindung in IIS wird nicht unterstützt. Sie können jedoch die Windows-Firewall oder andere netzwerkfirewalltechnologien verwenden, um die Kommunikation über Port 80 zu blockieren.It is unsupported to remove the HTTP binding in IIS, however you can use the Windows Firewall or other network firewall technologies to block communications over port 80.

Außerbetriebsetzen eines HGS-KnotensDecommission an HGS node

So setzen Sie einen HGS-Knoten außer Betrieb:To decommission an HGS node:

  1. Löschen Sie die HGS-Konfiguration.Clear the HGS configuration.

    Dadurch wird der Knoten aus dem Cluster entfernt und der Nachweis und die Schlüsselschutz Dienste deinstalliert.This removes the node from the cluster and uninstalls the attestation and key protection services. Wenn es sich um den letzten Knoten im Cluster handelt, wird-Force benötigt, um anzugeben, dass der letzte Knoten entfernt und der Cluster in Active Directory zerstört werden soll.If it's the last node in the cluster, -Force is needed to signify you do want to remove the last node and destroy the cluster in Active Directory.

    Wenn HGS in einer geschützten Gesamtstruktur (Standard) bereitgestellt wird, ist dies der einzige Schritt.If HGS is deployed in a bastion forest (default), that's the only step. Optional können Sie den Computer aus der Domäne entfernen und das GMSA-Konto aus Active Directory entfernen.You can optionally unjoin the machine from the domain and remove the gMSA account from Active Directory.

  2. Wenn HGS eine eigene Domäne erstellt haben, sollten Sie auch HGS deinstallieren , um den Beitritt zur Domäne zu entfernen und den Domänen Controller herabzusetzen.If HGS created its own domain, you should also uninstall HGS to unjoin the domain and demote the domain controller.

Nächster SchrittNext step