Inicialización del clúster de HGS mediante el modo de clave en un nuevo bosque dedicado (valor predeterminado)

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

  1. Los clientes pueden ponerse en contacto fácilmente con cualquier nodo de HGS mediante el nombre de red distribuida (DNN) de clústeres de conmutación por error. Deberá elegir un DNN. Este nombre se registrará en el servicio DNS de HGS. Por ejemplo, si tiene tres nodos HGS con nombres de host HGS01, HGS02 y HGS03, puede decidir elegir "hgs" o "HgsCluster" para el DNN.

  2. Busque los certificados de protección de HGS. Necesitará un certificado de firma y otro de cifrado para iniciar el clúster de HGS. La manera más fácil de proporcionar certificados a HGS es crear un archivo PFX protegido con contraseña para cada certificado que contenga las claves públicas y privadas. Si usa claves con respaldo de HSM u otros certificados no exportables, asegúrese de que el certificado está instalado en el almacén de certificados de la máquina local antes de continuar. Para obtener más información sobre los certificados que se deben usar, vea Obtener certificados para HGS.

  3. Ejecute Initialize-HgsServer en una ventana de PowerShell con privilegios elevados en el primer nodo de HGS. La sintaxis de este cmdlet admite muchas entradas diferentes, pero las dos invocaciones más comunes son las siguientes:

    • Si usa archivos PFX para los certificados de firma y cifrado, ejecute los siguientes comandos:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
      
    • Si usa certificados no exportables que están instalados en el almacén de certificados local, ejecute el siguiente comando. Si no conoce las huellas digitales de los certificados, puede enumerar los certificados disponibles mediante la ejecución de Get-ChildItem Cert:\LocalMachine\My .

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
      
  4. Si proporcionó certificados a HGS mediante huellas digitales, se le indicará que conceda a HGS acceso de lectura a la clave privada de esos certificados. En un servidor con la experiencia de escritorio instalada, complete los pasos siguientes:

    1. Abra el administrador de certificados del equipo local (certlm.msc)
    2. Buscar los certificados en los que se hace clic con el botón > derecho en todas las tareas para administrar claves >> privadas
    3. Haga clic en Agregar.
    4. En la ventana del selector de objetos, haga clic en Tipos de objeto y habilite las cuentas de servicio.
    5. Escriba el nombre de la cuenta de servicio mencionada en el texto de advertencia de Initialize-HgsServer
    6. Asegúrese de que la gMSA tiene acceso de "lectura" a la clave privada.

    En server core, deberá descargar un módulo de PowerShell para ayudar a establecer los permisos de clave privada.

    1. Ejecute en el servidor HGS si tiene conectividad a Internet o ejecute en otro equipo y copie el módulo Install-Module GuardedFabricToolsSave-Module GuardedFabricTools en el servidor HGS.

    2. Ejecute Import-Module GuardedFabricTools. Esto agregará propiedades adicionales a los objetos de certificado que se encuentran en PowerShell.

    3. Buscar la huella digital del certificado en PowerShell con Get-ChildItem Cert:\LocalMachine\My

    4. Actualice la ACL, reemplazando la huella digital por la suya propia y la cuenta de gMSA en el código siguiente por la cuenta que aparece en el texto de advertencia de Initialize-HgsServer .

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    Si usa certificados con respaldo HSM o certificados almacenados en un proveedor de almacenamiento de claves de terceros, es posible que estos pasos no se apliquen a usted. Consulte la documentación del proveedor de almacenamiento de claves para obtener información sobre cómo administrar los permisos de la clave privada. En algunos casos, no hay ninguna autorización o se proporciona autorización a todo el equipo cuando se instala el certificado.

  5. Eso es todo. En un entorno de producción, debe seguir agregando nodos HGS adicionales al clúster.

Paso siguiente