새 전용 포리스트에서 키 모드를 사용하여 HGS 클러스터 초기화(기본값)
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
클라이언트는 장애 조치(failover) 클러스터링 DNN(분산 네트워크 이름)을 사용하여 HGS 노드에 쉽게 연결할 수 있습니다. DNN을 선택해야 합니다. 이 이름은 HGS DNS 서비스에 등록됩니다. 예를 들어 HGS01, HGS02 및 HGS03 호스트 이름을 가진 HGS 노드가 3개 있는 경우 DNN에 대해 "hgs" 또는 "HgsCluster"를 선택하도록 결정할 수 있습니다.
HGS 보호 인증서를 찾습니다. HGS 클러스터를 초기화하려면 하나의 서명 인증서와 하나의 암호화 인증서가 필요합니다. HGS에 인증서를 제공하는 가장 쉬운 방법은 퍼블릭 키와 프라이빗 키를 모두 포함하는 각 인증서에 대해 암호로 보호되는 PFX 파일을 만드는 것입니다. HSM 지원 키 또는 내보내지 않는 다른 인증서를 사용하는 경우 계속하기 전에 인증서가 로컬 컴퓨터의 인증서 저장소에 설치되어 있는지 확인합니다. 사용할 인증서에 대한 자세한 내용은 HGS용 인증서 가져오기를 참조 하세요.
첫 번째 HGS 노드의 관리자 권한 PowerShell 창에서 Initialize-HgsServer를 실행합니다. 이 cmdlet의 구문은 다양한 입력을 지원하지만 가장 일반적인 두 호출은 다음과 같습니다.
서명 및 암호화 인증서에 PFX 파일을 사용하는 경우 다음 명령을 실행합니다.
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password" $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password" Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
로컬 인증서 저장소에 설치된 내보낼 수 없는 인증서를 사용하는 경우 다음 명령을 실행합니다. 인증서의 지문을 모르는 경우 실행
Get-ChildItem Cert:\LocalMachine\My
하여 사용 가능한 인증서를 나열할 수 있습니다.Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
지문을 사용하여 HGS에 인증서를 제공한 경우 HGS에 해당 인증서의 프라이빗 키에 대한 읽기 권한을 부여하라는 지시가 표시됩니다. 데스크톱 환경이 설치된 서버에서 다음 단계를 완료합니다.
- 로컬 컴퓨터 인증서 관리자(certlm.msc)를 엽니다.
- 프라이빗 키를 관리하는 모든 작업을 > 마우스 오른쪽 단추로 클릭 > 하는 인증서 > 찾기
- 추가를 클릭합니다.
- 개체 선택 창에서 개체 유형을 클릭하고 서비스 계정을 사용하도록 설정합니다.
- 경고 텍스트에 멘션 서비스 계정의 이름을 입력합니다.
Initialize-HgsServer
- gMSA에 프라이빗 키에 대한 "읽기" 액세스 권한이 있는지 확인합니다.
서버 코어에서 프라이빗 키 권한 설정을 지원하기 위해 PowerShell 모듈을 다운로드해야 합니다.
인터넷에 연결되어 있는 경우 HGS 서버에서 실행
Install-Module GuardedFabricTools
하거나 다른 컴퓨터에서 실행Save-Module GuardedFabricTools
하여 모듈을 HGS 서버에 복사합니다.Import-Module GuardedFabricTools
을 실행합니다. 그러면 PowerShell에 있는 인증서 개체에 추가 속성이 추가됩니다.다음을 사용하여 PowerShell에서 인증서 지문 찾기
Get-ChildItem Cert:\LocalMachine\My
아래 코드의 지문과 gMSA 계정을 경고 텍스트
Initialize-HgsServer
에 나열된 계정으로 바꿔 ACL을 업데이트합니다.$certificate = Get-Item "Cert:\LocalMachine\1A2B3C..." $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
HSM 지원 인증서 또는 타사 키 스토리지 공급자에 저장된 인증서를 사용하는 경우 이러한 단계가 적용되지 않을 수 있습니다. 프라이빗 키에 대한 사용 권한을 관리하는 방법을 알아보려면 키 스토리지 공급자의 설명서를 참조하세요. 경우에 따라 인증이 없거나 인증서가 설치될 때 전체 컴퓨터에 권한 부여가 제공됩니다.
이것으로 끝입니다. 프로덕션 환경에서는 클러스터에 HGS 노드를 계속 추가해야 합니다.