Initialiser le cluster SGH à l’aide du mode clé dans une forêt bastion existante
S’applique à : Windows Server 2022, Windows Server 2019
services de domaine Active Directory seront installés sur l’ordinateur, mais ne doivent pas être configurés.
Recherchez vos certificats gardiens SGH. Vous avez besoin d’un certificat de signature et d’un certificat de chiffrement pour initialiser le cluster SGH. Le moyen le plus simple de fournir des certificats à SGH est de créer un fichier PFX protégé par mot de passe pour chaque certificat qui contient les clés publiques et privées. Si vous utilisez des clés HSM ou d’autres certificats non exportables, vérifiez que le certificat est installé dans le magasin de certificats de l’ordinateur local avant de continuer. Pour plus d’informations sur les certificats à utiliser, consultez Obtenir des certificats pour SGH.
Avant de continuer, vérifiez que vous avez préparé vos objets de cluster pour le service Guardian hôte et accordé à l’utilisateur connecté un contrôle total sur les objets VCO et CNO dans Active Directory.
Le nom de l’objet d’ordinateur virtuel doit être passé au paramètre -HgsServiceName et le nom du cluster au paramètre -ClusterName.
Conseil
Vérifiez bien vos contrôleurs de domaine AD pour vous assurer que vos objets de cluster ont été répliqués sur tous les contrôleurs de domaine avant de continuer.
Si vous utilisez des certificats PFX, exécutez les commandes suivantes sur le serveur SGH :
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostKey
Si vous utilisez des certificats installés sur l’ordinateur local (tels que des certificats HSM et des certificats non exportables), utilisez les paramètres -SigningCertificateThumbprint et -EncryptionCertificateThumbprintà la place.