Inizializzare il cluster HGS usando la modalità chiave in una nuova foresta dedicata (impostazione predefinita)

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

  1. I client possono contattare facilmente qualsiasi nodo HGS usando il nome di rete distribuita (DNN) del clustering di failover. È necessario scegliere una DNN. Questo nome verrà registrato nel servizio DNS HGS. Ad esempio, se si hanno 3 nodi HGS con nomi host HGS01, HGS02 e HGS03, è possibile scegliere "hgs" o "HgsCluster" per la rete DNN.

  2. Individuare i certificati di protezione HGS. Saranno necessari un certificato di firma e un certificato di crittografia per intitializzare il cluster HGS. Il modo più semplice per fornire certificati a HGS è creare un file PFX protetto da password per ogni certificato che contiene sia le chiavi pubbliche che le chiavi private. Se si usano chiavi supportate da HSM o altri certificati non esportabili, assicurarsi che il certificato sia installato nell'archivio certificati del computer locale prima di continuare. Per altre informazioni sui certificati da usare, vedere Ottenere certificati per HGS.

  3. Eseguire Initialize-HgsServer in una finestra di PowerShell con privilegi elevati nel primo nodo HGS. La sintassi di questo cmdlet supporta molti input diversi, ma le due chiamate più comuni sono le seguenti:

    • Se si usano file PFX per i certificati di firma e crittografia, eseguire i comandi seguenti:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
      
    • Se si usano certificati non esportabili installati nell'archivio certificati locale, eseguire il comando seguente. Se non si conoscono le identificazioni personali dei certificati, è possibile elencare i certificati disponibili eseguendo Get-ChildItem Cert:\LocalMachine\My .

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
      
  4. Se sono stati forniti certificati a HGS usando le identificazioni personali, verrà richiesto di concedere l'accesso in lettura HGS alla chiave privata di tali certificati. In un server in cui è installata Esperienza desktop completare la procedura seguente:

    1. Aprire gestione certificati del computer locale (certlm.msc)
    2. Trovare i certificati e fare clic con il pulsante destro del > mouse su tutte le attività che >> gestiscono le chiavi private
    3. Fare clic su Aggiungi
    4. Nella finestra di selezione oggetti fare clic su Tipi di oggetto e abilitare gli account del servizio
    5. Immettere il nome dell'account del servizio indicato nel testo dell'avviso da Initialize-HgsServer
    6. Assicurarsi che l'utente del servizio di sicurezza del gruppo abbia accesso "Lettura" alla chiave privata.

    Nel server core è necessario scaricare un modulo di PowerShell per facilitare l'impostazione delle autorizzazioni per la chiave privata.

    1. Eseguire nel server HGS se ha connettività Internet oppure eseguire in un altro computer e copiare il Install-Module GuardedFabricToolsSave-Module GuardedFabricTools modulo nel server HGS.

    2. Eseguire Import-Module GuardedFabricTools. Verranno così aggiunti ulteriori proprietà agli oggetti certificato trovati in PowerShell.

    3. Trovare l'identificazione personale del certificato in PowerShell con Get-ChildItem Cert:\LocalMachine\My

    4. Aggiornare l'elenco di controllo di accesso, sostituendo l'identificazione personale con il proprio e l'account gMSA nel codice seguente con l'account elencato nel testo di avviso di Initialize-HgsServer .

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    Se si usano certificati supportati da HSM o certificati archiviati in un provider di archiviazione chiavi di terze parti, questi passaggi potrebbero non essere applicabili all'utente. Consultare la documentazione del provider di archiviazione chiavi per informazioni su come gestire le autorizzazioni per la chiave privata. In alcuni casi, non è disponibile alcuna autorizzazione o l'autorizzazione viene fornita all'intero computer quando viene installato il certificato.

  5. Questo è tutto. In un ambiente di produzione è necessario continuare ad aggiungere altri nodi HGS al cluster.

Passaggio successivo