Host-Überwachungsdienst in einer vorhandenen geschützten Gesamtstruktur installierenInstall HGS in an existing bastion forest

Gilt für: WindowsServer 2019, WindowsServer (Halbjährlicher Kanal), WindowsServer 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

Fügen Sie den Host-Überwachungsdienst-Server mit der vorhandenen DomäneJoin the HGS server to the existing domain

In einer vorhandenen geschützten Gesamtstruktur muss der Root-Domäne-Host-Überwachungsdienst hinzugefügt werden.In an existing bastion forest, HGS must be added to the root domain. Verwenden Sie Server-Manager oder Add-Computer verknüpfen Sie Ihr HGS-Server der Stammdomäne.Use Server Manager or Add-Computer to join your HGS server to the root domain.

Fügen Sie die Host-Überwachungsdienst-Serverrolle hinzu.Add the HGS server role

Führen Sie alle Befehle in diesem Thema, in einer PowerShell-Sitzung mit erhöhten Rechten.Run all commands in this topic in an elevated PowerShell session.

Fügen Sie die Host-Überwachungsdienst-Rolle mithilfe des folgenden Befehls hinzu:Add the Host Guardian Service role by running the following command:

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

Wenn Ihr Rechenzentrum eine sicheren geschützten Gesamtstruktur verfügt, in dem Sie Host-Überwachungsdienst Knoten beitreten möchten, gehen Sie wie folgt vor.If your datacenter has a secure bastion forest where you want to join HGS nodes, follow these steps. Sie können diese Schritte auch verwenden, 2 oder mehr unabhängigen HGS-Cluster zu konfigurieren, die der gleichen Domäne angehören.You can also use these steps to configure 2 or more independent HGS clusters that are joined to the same domain.

Fügen Sie den Host-Überwachungsdienst-Server mit der vorhandenen DomäneJoin the HGS server to the existing domain

Verwenden Sie Server-Manager oder Add-Computer die Host-Überwachungsdienst-Server auf die gewünschte Domäne zu verknüpfen.Use Server Manager or Add-Computer to join the HGS servers to the desired domain.

Vorbereiten von Active Directory-ObjektePrepare Active Directory objects

Erstellen Sie ein gruppenverwalteten Dienstkonto und 2-Sicherheitsgruppen.Create a group managed service account and 2 security groups. Sie können die Clusterobjekte auch vorab bereitstellen, wenn das Konto, dem Sie Host-Überwachungsdienst mit Initialisieren nicht über die Berechtigung zum Erstellen von Computerobjekten in der Domäne verfügt.You can also pre-stage the cluster objects if the account you are initializing HGS with does not have permission to create computer objects in the domain.

Gruppenverwalteten DienstkontosGroup managed service account

Die gruppenverwalteten Dienstkontos (gMSA) ist die Identität, die vom Host-Überwachungsdienst verwendet werden, abrufen und die Zertifikate verwenden.The group managed service account (gMSA) is the identity used by HGS to retrieve and use its certificates. Verwendung New-ADServiceAccount um ein gMSA zu erstellen.Use New-ADServiceAccount to create a gMSA. Wenn dies die erste gruppenverwalteten Dienstkonten in der Domäne ist, müssen Sie einen Schlüsselverteilungsdienst-Stammschlüssel hinzufügen.If this is the first gMSA in the domain, you will need to add a Key Distribution Service root key.

Jeder Host-Überwachungsdienst-Knoten müssen Zugriff auf das gMSA-Kennwort gewährt werden.Each HGS node will need to be permitted to access the gMSA password. Die einfachste Möglichkeit hierzu besteht darin, eine Sicherheitsgruppe zu erstellen, die alle von Ihrem Host-Überwachungsdienst-Knoten enthält und gewähren Sie dieser Sicherheitsgruppe Zugriff zum Abrufen des gMSA-Kennworts.The easiest way to configure this is to create a security group that contains all of your HGS nodes and grant that security group access to retrieve the gMSA password.

Sie müssen Ihren HGS-Server neu starten, nach dem Hinzufügen einer Sicherheitsgruppe hinzu, um sicherzustellen, dass sie die neue Gruppenmitgliedschaft abruft.You must reboot your HGS server after adding it to a security group to ensure it obtains its new group membership.

# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
    # Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
    Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}

# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru

# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"

# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes

Das gruppenverwaltete Dienstkonto muss das Recht vor, Ereignisse im Sicherheitsprotokoll auf jedem Host-Überwachungsdienst-Server zu generieren.The gMSA will require the right to generate events in the security log on each HGS server. Wenn Sie Gruppenrichtlinien, zum Zuweisen von Benutzerrechten zu konfigurieren verwenden, stellen Sie sicher, dass das gMSA-Konto die Berechtigungen der generieren Ereignisse Entwickler eine Überwachungsberechtigung auf Ihren HGS-Servern.If you use Group Policy to configure User Rights Assignment, ensure that the gMSA account is granted the generate audit events privilege on your HGS servers.

Hinweis

Gruppenverwaltete Dienstkonten sind verfügbar ab der mit dem Windows Server 2012 Active Directory-Schema.Group managed service accounts are available beginning with the Windows Server 2012 Active Directory schema. Weitere Informationen finden Sie unter gruppenverwalteten dienstkontoanforderungen.For more information, see group managed service account requirements.

JEA-SicherheitsgruppenJEA security groups

Beim Einrichten von Host-Überwachungsdienst bietet eine Just Enough Administration (JEA) PowerShell-Endpunkt ist so konfiguriert, dass um Administratoren zum Verwalten von Host-Überwachungsdienst ohne vollständigen lokalen Administratorrechte zu ermöglichen.When you set up HGS, a Just Enough Administration (JEA) PowerShell endpoint is configured to allow admins to manage HGS without needing full local administrator privileges. Sie müssen keine JEA verwenden, um Host-Überwachungsdiensts zu verwalten, aber dennoch muss konfiguriert werden beim Ausführen der Initialize-HgsServer.You are not required to use JEA to manage HGS, but it still must be configured when running Initialize-HgsServer. Die Konfiguration des JEA-Endpunkts besteht aus 2 Sicherheitsgruppen, die Ihren HGS-Administratoren und die Host-Überwachungsdienst Reviewer enthalten festlegen.The configuration of the JEA endpoint consists of designating 2 security groups that contain your HGS admins and HGS reviewers. Benutzer, die Gruppe "Administratoren" angehören können hinzufügen, ändern oder Entfernen von Richtlinien auf dem Host-Überwachungsdienst; Prüfer können nur die aktuelle Konfiguration anzeigen.Users who belong to the admin group can add, change, or remove policies on HGS; reviewers can only view the current configuration.

Erstellen Sie 2 Sicherheitsgruppen für diese JEA-Gruppen, die mithilfe von Active Directory-Verwaltungstools oder New-ADGroup.Create 2 security groups for these JEA groups using Active Directory admin tools or New-ADGroup.

New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal

ClusterobjekteCluster objects

Wenn das Konto, das Sie verwenden, um das Einrichten des Host-Überwachungsdienst nicht über die Berechtigung zum Erstellen von neuen Computerobjekte in der Domäne verfügt, müssen Sie die Clusterobjekte vorab bereitstellen.If the account you are using to set up HGS does not have permission to create new computer objects in the domain, you will need to pre-stage the cluster objects. Diese Schritte werden erläutert Vorabbereitstellen von Clustercomputerobjekten in Active Directory Domain Services.These steps are explained in Prestage Cluster Computer Objects in Active Directory Domain Services.

Um Ihre erste HGS-Knoten einzurichten, müssen Sie einen Cluster Name-Objekt (CNO) und einem virtuellen Computer-Objekt (VCO) zu erstellen.To set up your first HGS node, you will need to create one Cluster Name Object (CNO) and one Virtual Computer Object (VCO). Das Clusternamenobjekt stellt den Namen des Clusters dar und wird hauptsächlich intern vom Failover-Clusterunterstützung verwendet.The CNO represents the name of the cluster, and is primarily used internally by Failover Clustering. Die VCO stellt den Host-Überwachungsdienst-Dienst, der auf den Cluster befindet und der Name der DNS-Server registriert werden.The VCO represents the HGS service that resides on top of the cluster and will be the name registered with the DNS server.

Wichtig

Der Benutzer, der ausgeführt wird Initialize-HgsServer erfordert Vollzugriff über das CNO und VCO-Objekte in Active Directory.The user who will run Initialize-HgsServer requires Full Control over the CNO and VCO objects in Active Directory.

Um schnell Ihre CNO und VCO vorab bereitgestellt haben, müssen Sie Active Directory-Administrator die folgenden PowerShell-Befehle ausführen:To quickly prestage your CNO and VCO, have an Active Directory admin run the following PowerShell commands:

# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru

# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru

# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl

# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing

Ausnahmen zur Codezugriffssicherheit baselineSecurity baseline exceptions

Wenn Sie Host-Überwachungsdienst in einer Umgebung mit hoher gesperrt bereitstellen, können bestimmte gruppenrichtlinieneinstellungen verhindern, dass Host-Überwachungsdienst normaler Betrieb.If you are deploying HGS into a highly locked down environment, certain Group Policy settings may prevent HGS from operating normally. Überprüfen Sie Ihre Gruppenrichtlinienobjekte für die folgenden Einstellungen, und befolgen Sie die Anweisungen aus, wenn Sie betroffen sind:Check your Group Policy objects for the following settings and follow the guidance if you are affected:

NetzwerkanmeldungNetwork Logon

Richtlinienpfad ist: Zuweisen von Computer Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von BenutzerrechtenPolicy Path: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignments

Richtlinienname: Zugriff vom Netzwerk auf diesen Computer verweigernPolicy Name: Deny access to this computer from the network

Erforderlicher Wert: Stellen Sie sicher, dass der Wert keine netzwerkanmeldungen für alle lokalen Konten blockiert.Required value: Ensure the value does not block network logons for all local accounts. Sie können jedoch problemlos lokale Administratorkonten, blockieren.You can safely block local administrator accounts, however.

Reason: Failover-Clusterunterstützung, abhängig von einer nicht-Administrator lokalen Konto mit dem Namen CLIUSR zum Verwalten von Knoten im Cluster ab.Reason: Failover Clustering relies on a non-administrator local account called CLIUSR to manage cluster nodes. Blockierende netzwerkanmeldung für diesen Benutzer wird verhindert, dass den Cluster ordnungsgemäß arbeiten.Blocking network logon for this user will prevent the cluster from operating correctly.

Kerberos EncryptionKerberos Encryption

Richtlinienpfad ist: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\SicherheitsoptionenPolicy Path: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Richtlinienname: Netzwerksicherheit: Konfigurieren Sie für Kerberos zulässige VerschlüsselungstypenPolicy Name: Network Security: Configure encryption types allowed for Kerberos

Aktion: Wenn diese Richtlinie konfiguriert ist, müssen Sie das gMSA-Konto mit aktualisieren Set-ADServiceAccount nur die unterstützten Verschlüsselungsarten in dieser Richtlinie verwenden.Action: If this policy is configured, you must update the gMSA account with Set-ADServiceAccount to use only the supported encryption types in this policy. Beispielsweise wenn Ihre Richtlinie nur AES128 lässt_HMAC_SHA1 und AES256_HMAC_SHA1, führen Sie Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256.For instance, if your policy only allows AES128_HMAC_SHA1 and AES256_HMAC_SHA1, you should run Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256.

Nächste SchritteNext steps