Initialisieren des Host-Überwachungsdienst-Clusters mithilfe des TPM-Modus in einer vorhandenen Bastion-Gesamtstruktur
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Zum Initialisieren des Host-Überwachungsdienst-Clusters mithilfe des TPM-Modus in einer vorhandenen Bastion-Gesamtstruktur führen Sie die folgenden Schritte aus. Active Directory Domain Services wird auf dem Computer installiert sein, sollte aber unkonfiguriert bleiben.
Suchen Sie Ihre Host-Überwachungsdienst-Zertifikate. Sie benötigen ein Signaturzertifikat und ein Verschlüsselungszertifikat, um den Host-Überwachungsdienst-Cluster zu initialisieren. Am einfachsten lassen sich Zertifikate für den Host-Überwachungsdienst bereitstellen, indem für jedes Zertifikat eine kennwortgeschützte PFX-Datei erstellt wird, die sowohl die öffentlichen als auch privaten Schlüssel enthält. Wenn Sie HSM-gesicherte Schlüssel oder andere nicht exportierbare Zertifikate verwenden, stellen Sie sicher, dass das Zertifikat im Zertifikatspeicher des lokalen Computers installiert ist, bevor Sie fortfahren. Weitere Informationen zu den zu verwendenden Zertifikaten finden Sie unter Abrufen von Zertifikaten für den Host-Überwachungsdienst.
Bevor Sie fortfahren, müssen Sie Ihre Cluster-Objekte für den Host-Überwachungsdienst vorab bereitgestellt und dem angemeldeten Benutzer den Vollzugriff auf die VCO- und CNO-Objekte in Active Directory gewährt haben.
Der Name des virtuellen Computers muss an den -HgsServiceName-Parameter und der Clustername an den -ClusterName-Parameter übergeben werden.
Tipp
Überprüfen Sie sorgfältig Ihre AD-Domänencontroller, um sicherzustellen, dass Ihre Cluster-Objekte auf alle DCs repliziert wurden, bevor Sie fortfahren.
Wenn Sie PFX-basierte Zertifikate verwenden, führen Sie die folgenden Befehle auf dem Host-Überwachungsdienst-Server aus:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm
Wenn Sie Zertifikate verwenden, die auf dem lokalen Computer installiert sind (z. B. HSM-gesicherte Zertifikate und nicht exportierbare Zertifikate), verwenden Sie stattdessen den -SigningCertificateThumbprint- und -EncryptionCertificateThumbprint- Parameter.
In einer Produktionsumgebung sollten Sie weiterhin Ihrem Cluster zusätzliche Host-Überwachungsdienst-Knoten hinzufügen.