Condividi tramite

Inizializzare il cluster HGS usando la modalità TPM in una nuova foresta dedicata (impostazione predefinita)

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

  1. I client possono contattare facilmente qualsiasi nodo HGS usando il nome di rete distribuita (DNN) del clustering di failover. È necessario scegliere un DNN. Questo nome verrà registrato nel servizio DNS di HGS. Ad esempio, se si dispone di tre nodi HGS i cui nomi host sono HGS01, HGS02 e HGS03, è possibile decidere di scegliere "hgs" o "HgsCluster" per il DNN.

  2. Individuare i certificati di sorveglianza HGS. È necessario un certificato di firma e un certificato di crittografia per inizializzare il cluster HGS. Il modo più semplice per fornire certificati a HGS consiste nel creare un file PFX protetto da password per ogni certificato che contiene sia le chiavi pubbliche che quelle private. Quando si usano chiavi supportate da HSM o altri certificati non esportabili, è necessario assicurarsi che il certificato sia installato nell'archivio certificati del computer locale prima di continuare. Per altre informazioni sui certificati da usare, vedere Ottenere certificati per HGS.

  3. Eseguire Initialize-HgsServer in una finestra di PowerShell con privilegi elevati nel primo nodo HGS. La sintassi di questo cmdlet supporta molti input diversi, ma le due chiamate più comuni sono le seguenti:

    • Se si usano file PFX per i certificati di firma e crittografia, eseguire i comandi seguenti:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm

    • Se si usano certificati non esportabili installati nell'archivio certificati locale, eseguire il comando seguente. Se non si conoscono le identificazioni personali dei certificati, è possibile elencare i certificati disponibili eseguendo Get-ChildItem Cert:\LocalMachine\My.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' -TrustTpm

  4. Se per fornire certificati a HGS sono state usate le identificazioni personali, verrà richiesto di concedere a HGS l'accesso in lettura alla chiave privata di tali certificati. In un server con Esperienza desktop installata, completare la procedura seguente:

    1. Aprire il gestore certificati del computer locale (certlm.msc)
    2. Trovare i certificati > fare clic con il pulsante destro del mouse > Tutte le attività > Gestisci chiavi private
    3. Fare clic su Aggiungi
    4. Nella finestra di selezione oggetti fare clic su Tipi di oggetto e abilitare Account servizio
    5. Immettere il nome dell'account del servizio indicato nel testo dell'avvertenza restituita da Initialize-HgsServer
    6. Verificare che l'account del servizio gestito del gruppo abbia accesso in lettura alla chiave privata.

    Nei componenti di base del server sarà necessario scaricare un modulo di PowerShell per facilitare l'impostazione delle autorizzazioni per la chiave privata.

    1. Eseguire Install-Module GuardedFabricTools nel server HGS se ha connettività Internet oppure eseguire Save-Module GuardedFabricTools in un altro computer e copiare il modulo nel server HGS.

    2. Eseguire Import-Module GuardedFabricTools. Verranno aggiunte altre proprietà agli oggetti certificato trovati in PowerShell.

    3. Trovare l'identificazione personale del certificato in PowerShell con Get-ChildItem Cert:\LocalMachine\My

    4. Aggiornare l'ACL, sostituendo l'identificazione personale con l'account del servizio gestito del gruppo nel codice seguente con l'account elencato nel testo dell'avviso di Initialize-HgsServer.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
$certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow

    Se si usano certificati supportati dal modulo di protezione hardware o certificati archiviati in un provider di archiviazione chiavi di terze parti, questa procedura potrebbe non essere applicabile. Consultare la documentazione del provider di archiviazione delle chiavi per informazioni su come gestire le autorizzazioni per la chiave privata. In alcuni casi non è disponibile alcuna autorizzazione oppure l'autorizzazione viene fornita all'intero computer durante l'installazione del certificato.

  5. Ecco fatto! In un ambiente di produzione è consigliabile continuare ad aggiungere altri nodi HGS al cluster.

Passaggio successivo

Installare i certificati radice TPM