Inicialización del clúster de HGS mediante el modo de clave en un bosque bastión existente

Se aplica a: Windows Server 2022, Windows Server 2019

Active Directory Domain Services instalará en la máquina, pero debe permanecer sin configurar.

Busque los certificados de protección de HGS. Necesitará un certificado de firma y otro de cifrado para iniciar el clúster de HGS. La manera más fácil de proporcionar certificados a HGS es crear un archivo PFX protegido con contraseña para cada certificado que contenga las claves públicas y privadas. Si usa claves con respaldo de HSM u otros certificados no exportables, asegúrese de que el certificado está instalado en el almacén de certificados de la máquina local antes de continuar. Para obtener más información sobre los certificados que se usarán, consulte Obtención de certificados para HGS.

Antes de continuar, asegúrese de que ha preconfigurado los objetos de clúster para el servicio de protección de host y ha concedido al usuario que ha iniciado sesión control total sobre los objetos VCO y CNO en Active Directory. El nombre del objeto de equipo virtual debe pasarse al -HgsServiceName parámetro y el nombre del clúster al parámetro -ClusterName .

Sugerencia

Compruebe los controladores de dominio de AD para asegurarse de que los objetos de clúster se han replicado en todos los controladores de dominio antes de continuar.

Si usa certificados basados en PFX, ejecute los siguientes comandos en el servidor HGS:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostKey

Si usa certificados instalados en el equipo local (como certificados con respaldo HSM y certificados no exportables), use los parámetros y en su -SigningCertificateThumbprint-EncryptionCertificateThumbprint lugar.