Inicializar o cluster HGS usando o modo TPM em uma floresta de bastiões existente

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Active Directory Domain Services será instalado no computador, mas deverá permanecer não configurado.

Localize seus certificados do guardião HGS. Será necessário um certificado de autenticação e um certificado de criptografia para intitialize o cluster HGS. A maneira mais fácil de fornecer certificados para o HGS é criar um arquivo PFX protegido por senha para cada certificado que contenha as chaves pública e privada. Se você estiver usando chaves com suporte a HSM ou outros certificados não exportáveis, verifique se o certificado está instalado no repositório de certificados do computador local antes de continuar. Para obter mais informações sobre quais certificados usar, consulte obter certificados para HgS.

Antes de continuar, verifique se você pré-testeu os objetos de cluster para o serviço guardião de host e concedeu ao usuário conectado controle total sobre os objetos VCO e CNO no Active Directory. O nome do objeto de computador virtual precisa ser passado para o -HgsServiceName parâmetro e o nome do cluster para o -ClusterName parâmetro.

Dica

Verifique novamente os controladores de domínio do AD para garantir que seus objetos de cluster tenham sido replicados para todos os DCs antes de continuar.

Se você estiver usando certificados baseados em PFX, execute os seguintes comandos no servidor HGS:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm

Se você estiver usando certificados instalados no computador local (como certificados com suporte do HSM e certificados não exportáveis), use os -SigningCertificateThumbprint-EncryptionCertificateThumbprint parâmetros e em vez disso.

Próxima etapa