Inicializar o cluster HGS usando o modo de chave em uma nova floresta dedicada (padrão)

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

  1. Os clientes podem entrar em contato facilmente com qualquer nó HGS usando o DNN (nome de rede distribuída) do clustering de failover. Você precisará escolher uma DNN. Esse nome será registrado no serviço DNS do HGS. Por exemplo, se você tiver três nós HGS com nomes de host HGS01, HGS02 e HGS03, poderá optar por escolher "hgs" ou "HgsCluster" para a DNN.

  2. Localize seus certificados guardiãos do HGS. Você precisará de um certificado de assinatura e um certificado de criptografia para intializar o cluster HGS. A maneira mais fácil de fornecer certificados ao HGS é criar um arquivo PFX protegido por senha para cada certificado que contém as chaves públicas e privadas. Se você estiver usando chaves com suporte de HSM ou outros certificados não exportáveis, certifique-se de que o certificado está instalado no armazenamento de certificados do computador local antes de continuar. Para obter mais informações sobre quais certificados usar, consulte Obter certificados para o HGS.

  3. Execute Initialize-HgsServer em uma janela elevada do PowerShell no primeiro nó HGS. A sintaxe desse cmdlet dá suporte a muitas entradas diferentes, mas as duas invocações mais comuns estão abaixo:

    • Se você estiver usando arquivos PFX para seus certificados de assinatura e criptografia, execute os seguintes comandos:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
      
    • Se você estiver usando certificados não exportáveis instalados no armazenamento de certificados local, execute o comando a seguir. Se você não conhecer as impressões digitais de seus certificados, poderá listar os certificados disponíveis executando Get-ChildItem Cert:\LocalMachine\My .

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
      
  4. Se você forneceu certificados ao HGS usando impressões digitais, será instruído a conceder acesso de leitura do HGS à chave privada desses certificados. Em um servidor com Experiência Desktop instalada, conclua as seguintes etapas:

    1. Abra o gerenciador de certificados do computador local (certlm.msc)
    2. Encontre os certificados clicando com o botão direito do > mouse em todas as tarefas para gerenciar chaves >> privadas
    3. Clique em Adicionar
    4. Na janela do se picker de objetos, clique em Tipos de objeto e habilita as contas de serviço
    5. Insira o nome da conta de serviço mencionada no texto de aviso de Initialize-HgsServer
    6. Verifique se a gMSA tem acesso de "Leitura" à chave privada.

    No server core, você precisará baixar um módulo do PowerShell para ajudar a definir as permissões de chave privada.

    1. Execute no servidor HGS se ele tiver conectividade com a Internet ou execute em outro computador e copie o módulo Install-Module GuardedFabricToolsSave-Module GuardedFabricTools para o servidor HGS.

    2. Execute Import-Module GuardedFabricTools. Isso adicionará propriedades adicionais aos objetos de certificado encontrados no PowerShell.

    3. Encontre a impressão digital do certificado no PowerShell com Get-ChildItem Cert:\LocalMachine\My

    4. Atualize a ACL, substituindo a impressão digital pela sua própria conta e pela conta gMSA no código abaixo pela conta listada no texto de aviso de Initialize-HgsServer .

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    Se você estiver usando certificados com suporte de HSM ou certificados armazenados em um provedor de armazenamento de chaves de terceiros, essas etapas poderão não se aplicar a você. Consulte a documentação do provedor de armazenamento de chaves para saber como gerenciar permissões em sua chave privada. Em alguns casos, não há autorização ou a autorização é fornecida para todo o computador quando o certificado é instalado.

  5. É isso! Em um ambiente de produção, você deve continuar adicionando nós HGS adicionais ao cluster.

Próxima etapa