Inizializzare il cluster HGS usando la modalità TPM in una foresta bastion esistente

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Per inizializzare il cluster HGS usando la modalità TPM in una foresta bastion esistente, seguire questa procedura. Active Directory Domain Services verrà installato nel computer, ma deve rimanere non configurato.

Individuare i certificati di protezione HGS. Saranno necessari un certificato di firma e un certificato di crittografia per intitializzare il cluster HGS. Il modo più semplice per fornire certificati a HGS è creare un file PFX protetto da password per ogni certificato che contiene sia le chiavi pubbliche che le chiavi private. Se si usano chiavi supportate da HSM o altri certificati non esportabili, assicurarsi che il certificato sia installato nell'archivio certificati del computer locale prima di continuare. Per altre informazioni sui certificati da usare, vedere Ottenere certificati per HGS.

Prima di continuare, assicurarsi di aver pre-creato gli oggetti cluster per il servizio Controllo host e di aver concesso all'utente connesso il controllo completo sugli oggetti VCO e CNO in Active Directory. Il nome dell'oggetto computer virtuale deve essere passato al parametro -HgsServiceName e il nome del cluster al parametro -ClusterName .

Suggerimento

Controllare i controller di dominio di Active Directory per assicurarsi che gli oggetti del cluster siano stati replicati in tutti i controller di dominio prima di continuare.

Se si usano certificati basati su PFX, eseguire i comandi seguenti nel server HGS:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm

Se si usano certificati installati nel computer locale, ad esempio certificati supportati da HSM e certificati non -SigningCertificateThumbprint esportabili, usare invece i -EncryptionCertificateThumbprint parametri e .

In un ambiente di produzione è necessario continuare ad aggiungere altri nodi HGS al cluster.

Passaggio successivo