새 전용 포리스트에서 키 모드를 사용 하 여 HGS 클러스터 초기화 (기본값)

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

  1. 클라이언트는 DNN (장애 조치 (failover) 클러스터링 분산 네트워크 이름)을 사용 하 여 모든 HGS 노드에 쉽게 연결할 수 있습니다. DNN을 선택 해야 합니다. 이 이름은 HGS DNS 서비스에 등록 됩니다. 예를 들어 호스트 이름 HGS01, HGS02 및 HGS03를 사용 하는 3 개의 HGS 노드가 있는 경우 DNN에 대해 "hgs" 또는 "HgsCluster"를 선택 하도록 결정할 수 있습니다.

  2. HGS 보호자 인증서를 찾습니다. HGS 클러스터를 intitialize 하려면 하나의 서명 인증서와 하나의 암호화 인증서가 필요 합니다. HGS에 인증서를 제공 하는 가장 쉬운 방법은 공개 키와 개인 키를 모두 포함 하는 각 인증서에 대해 암호로 보호 된 PFX 파일을 만드는 것입니다. HSM 지원 키 또는 내보낼 수 없는 다른 인증서를 사용 하는 경우 계속 하기 전에 인증서가 로컬 컴퓨터의 인증서 저장소에 설치 되어 있는지 확인 합니다. 사용할 인증서에 대 한 자세한 내용은 HGS 인증서 가져오기를 참조 하세요.

  3. 첫 번째 HGS 노드의 관리자 권한 PowerShell 창에서 HgsServer 를 실행 합니다. 이 cmdlet의 구문은 다양 한 입력을 지원 하지만, 가장 일반적인 두 가지 호출은 다음과 같습니다.

    • 서명 및 암호화 인증서에 PFX 파일을 사용 하는 경우 다음 명령을 실행 합니다.

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
      
    • 로컬 인증서 저장소에 설치 된 내보낼 수 없는 인증서를 사용 하는 경우 다음 명령을 실행 합니다. 인증서 지문을 모르는 경우를 실행 하 여 사용 가능한 인증서를 나열할 수 있습니다 Get-ChildItem Cert:\LocalMachine\My .

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
      
  4. 지문을 사용 하 여 HGS에 인증서를 제공한 경우 해당 인증서의 개인 키에 대 한 HGS 읽기 액세스 권한을 부여 하 라는 메시지가 표시 됩니다. 데스크톱 환경이 설치 된 서버에서 다음 단계를 완료 합니다.

    1. 로컬 컴퓨터 인증서 관리자 (인증서 관리자)를 엽니다.
    2. 인증서 찾기 > 모든 작업을 마우스 오른쪽 단추로 클릭 하 고 >> 개인 키 관리를 클릭 합니다.
    3. 추가를 클릭합니다.
    4. 개체 선택 창에서 개체 유형 을 클릭 하 고 서비스 계정을 사용 하도록 설정 합니다.
    5. 다음의 경고 텍스트에 언급 된 서비스 계정의 이름을 입력 합니다. Initialize-HgsServer
    6. GMSA에 개인 키에 대 한 "읽기" 권한이 있는지 확인 합니다.

    Server core에서는 개인 키 사용 권한을 설정 하는 데 도움이 되는 PowerShell 모듈을 다운로드 해야 합니다.

    1. Install-Module GuardedFabricTools인터넷에 연결 되어 있는 경우 hgs 서버에서를 실행 Save-Module GuardedFabricTools 하 고, 다른 컴퓨터에서 실행 하 여이 모듈을 hgs 서버에 복사 합니다.

    2. Import-Module GuardedFabricTools을 실행합니다. 그러면 PowerShell에 있는 인증서 개체에 추가 속성이 추가 됩니다.

    3. 을 사용 하 여 PowerShell에서 인증서 지문 찾기 Get-ChildItem Cert:\LocalMachine\My

    4. ACL을 업데이트 하 고 아래 코드의 사용자 계정 및 gMSA 계정에 대 한 경고 텍스트에 나열 된 계정으로 지문을 바꿉니다 Initialize-HgsServer .

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    HSM 지원 인증서 또는 타사 키 저장소 공급자에 저장 된 인증서를 사용 하는 경우 이러한 단계는 사용자에 게 적용 되지 않을 수 있습니다. 개인 키에 대 한 사용 권한을 관리 하는 방법에 대 한 자세한 내용은 키 저장소 공급자의 설명서를 참조 하세요. 경우에 따라 권한 부여가 없거나 인증서가 설치 될 때 전체 컴퓨터에 권한 부여가 제공 됩니다.

  5. 정말 간단하죠. 프로덕션 환경에서는 계속 해 서 다른 HGS 노드를 클러스터에 추가해야 합니다.

다음 단계