Inicializar o cluster HGS usando o modo TPM em uma floresta de bastiões existente
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Para inicializar o cluster HGS usando o modo TPM em uma floresta de bastiões existente, siga as etapas abaixo. O Active Directory Domain Services será instalado no computador, mas deve permanecer não configurado.
Localize seus certificados de guardião do HGS. Você precisará de um certificado de autenticação e um certificado de criptografia para inicializar o cluster HGS. A maneira mais fácil de fornecer certificados ao HGS é criar um arquivo PFX protegido por senha para cada certificado que contenha as chaves públicas e privadas. Caso esteja usando chaves com suporte de HSM ou outros certificados não exportáveis, verifique se o certificado está instalado no repositório de certificados do computador local antes de continuar. Para obter mais informações sobre quais certificados usar, confira Obter certificados para HGS.
Antes de continuar, verifique se você pré-configurou seus objetos de cluster para o Serviço Guardião do Host e concedeu ao usuário conectado controle total sobre os objetos VCO e CNO no Active Directory.
O nome do objeto do computador virtual precisa ser passado para o -HgsServiceName parâmetro e o nome do cluster para o parâmetro -ClusterName.
Dica
Verifique duas vezes os Controladores de Domínio do AD para garantir que os objetos de cluster tenham sido replicados para todos os DCs antes de continuar.
Se você estiver usando certificados baseados em PFX, execute os seguintes comandos no servidor HGS:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm
Se você estiver usando certificados instalados no computador local (como certificados com suporte de HSM e certificados não exportáveis), use os -SigningCertificateThumbprint parâmetros e -EncryptionCertificateThumbprint.
Em um ambiente de produção,continue a adicionar nós HGS adicionais ao cluster.