Initialisieren des HGS-Clusters mithilfe des Schlüssel Modus in einer vorhandenen geschützten GesamtstrukturInitialize the HGS cluster using key mode in an existing bastion forest

Gilt für: Windows Server 2019Applies to: Windows Server 2019

Active Directory Domain Services wird auf dem Computer installiert, sollte jedoch nicht konfiguriert bleiben.Active Directory Domain Services will be installed on the machine, but should remain unconfigured.

Suchen Sie Ihr HGS-Überwachungsdienst-Zertifikate.Locate your HGS guardian certificates. Sie benötigen ein Signaturzertifikat und ein Verschlüsselungszertifikat clientkonfigurationsobjekt des Host-Überwachungsdienst-Clusters.You will need one signing certificate and one encryption certificate to intitialize the HGS cluster. Die einfachste Möglichkeit zum Angeben der Zertifikate auf dem Host-Überwachungsdienst ist eine kennwortgeschützte PFX-Datei für jedes Zertifikat zu erstellen, die die öffentlichen und privaten Schlüssel enthält.The easiest way to provide certificates to HGS is to create a password-protected PFX file for each certificate which contains both the public and private keys. Wenn Sie HSM-gesicherten Schlüsseln oder andere nicht exportierbare Zertifikate verwenden, stellen Sie sicher, dass das Zertifikat in den Zertifikatspeicher des lokalen Computers installiert ist, bevor Sie fortfahren.If you are using HSM-backed keys or other non-exportable certificates, make sure the certificate is installed into the local machine's certificate store before continuing. Weitere Informationen, welche Zertifikate verwenden können, finden Sie unter Abrufen von Zertifikaten für die Host-Überwachungsdienst.For more information about which certificates to use, see Obtain certificates for HGS.

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die Cluster Objekte für den Host-Überwachungsdienst vorab bereitgestellt haben, und gewähren Sie dem angemeldeten Benutzer die vollständige Kontrolle über die VCO-und CNO-Objekte in Active Directory.Before you continue, ensure that you have prestaged your cluster objects for the Host Guardian Service and granted the logged in user Full Control over the VCO and CNO objects in Active Directory. Der Name des virtuellen Computer Objekts muss an den -HgsServiceName -Parameter und der Cluster Name an den-Parameter übergeben werden -ClusterName .The virtual computer object name needs to be passed to the -HgsServiceName parameter, and the cluster name to the -ClusterName parameter.

Tipp

Überprüfen Sie die AD-Domänen Controller, um sicherzustellen, dass Ihre Cluster Objekte auf alle DCS repliziert wurdenDouble check your AD Domain Controllers to ensure your cluster objects have replicated to all DCs before continuing.

Wenn Sie PFX-basierte Zertifikate verwenden, führen Sie auf dem HGS-Server die folgenden Befehle aus:If you are using PFX-based certificates, run the following commands on the HGS server:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostKey

Wenn Sie Zertifikate verwenden, die auf dem lokalen Computer installiert sind (z. b. HSM-gestützte Zertifikate und nicht exportierbare Zertifikate), verwenden Sie -SigningCertificateThumbprint stattdessen den-Parameter und den- -EncryptionCertificateThumbprint Parameter.If you are using certificates installed on the local machine (such as HSM-backed certificates and non-exportable certificates), use the -SigningCertificateThumbprint and -EncryptionCertificateThumbprint parameters instead.