Instalar o HGS em uma floresta de bastiões existente

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Adicionar o servidor HGS ao domínio raiz

Em uma floresta de bastiões existente, o HGS deve ser adicionado ao domínio raiz. Use Gerenciador do Servidor ou Add-Computer para ingressar seu servidor HGS no domínio raiz.

Adicionar a função de servidor HGS

Execute todos os comandos neste tópico em uma sessão elevada do PowerShell.

Adicione a função Serviço Guardião do Host executando o seguinte comando:

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

Se o datacenter tiver uma floresta de bastiões segura ao qual você deseja adicionar nós do HGS, siga estas etapas. Você também pode usar essas etapas para configurar dois ou mais clusters HGS independentes que são adicionados ao mesmo domínio.

Adicionar o servidor HGS ao domínio desejado

Use Gerenciador do Servidor ou Add-Computer para adicionar os servidores HGS ao domínio desejado.

Preparar objetos do Active Directory

Crie uma conta de serviço gerenciada de grupo e dois grupos de segurança. Você também poderá pré-preparar os objetos de cluster se a conta com a qual você está inicializando o HGS não tiver permissão para criar objetos de computador no domínio.

Conta de serviço gerenciado de grupo

A gMSA (conta de serviço gerenciado de grupo) é a identidade usada pelo HGS para recuperar e usar seus certificados. Use New-ADServiceAccount para criar um gMSA. Se esse for o primeiro gMSA no domínio, você precisará adicionar uma chave raiz do Serviço de Distribuição de Chaves.

Cada nó HGS precisará ter permissão para acessar a senha gMSA. A maneira mais fácil de configurar isso é criar um grupo de segurança que contenha todos os nós do HGS e conceder a esse grupo de segurança acesso para recuperar a senha gMSA.

Você deve reinicializar o servidor HGS depois de adicioná-lo a um grupo de segurança para garantir que ele obtenha sua nova associação de grupo.

# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
    # Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
    Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}

# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru

# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"

# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes

O gMSA exigirá o direito de gerar eventos no log de segurança em cada servidor HGS. Se você usar a Política de Grupo para configurar a Atribuição de Direitos de Usuário, verifique se a conta gMSA recebe o privilégio de gerar eventos de auditoria em seus servidores HGS.

Observação

As contas de serviço gerenciado de grupo estão disponíveis a partir do esquema do Active Directory do Windows Server 2012. Para obter mais informações, confira os requisitos de conta de serviço gerenciado de grupo.

Grupos de segurança JEA

Quando você configura o HGS, um ponto de extremidade do PowerShell JEA (Administração Just Enough) é configurado para permitir que os administradores gerenciem o HGS sem precisar de privilégios de administrador local completos. Você não precisa usar o JEA para gerenciar o HGS, mas ele ainda deve ser configurado ao executar Initialize-HgsServer. A configuração do ponto de extremidade JEA consiste em designar dois grupos de segurança que contêm seus administradores do HGS e revisores do HGS. Os usuários que pertencem ao grupo de administradores podem adicionar, alterar ou remover políticas no HGS; os revisores só podem exibir a configuração atual.

Crie dois grupos de segurança para esses grupos JEA usando ferramentas de administrador do Active Directory ou New-ADGroup.

New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal

Objetos de cluster

Se a conta que você está usando para configurar o HGS não tiver permissão para criar novos objetos de computador no domínio, você precisará pré-preparar os objetos de cluster. Essas etapas são explicadas em Pré-configurar objetos de computador de cluster no Active Directory Domain Services.

Para configurar seu primeiro nó HGS, você precisará criar um CNO (Objeto de Nome de Cluster) e um VCO (Objeto de Computador Virtual). O CNO representa o nome do cluster e é principalmente usado internamente pelo Clustering de Failover. O VCO representa o serviço HGS que reside na parte superior do cluster e será o nome registrado no servidor DNS.

Importante

O usuário que executará Initialize-HgsServer requer controle total sobre os objetos CNO e VCO no Active Directory.

Para pré-configurar rapidamente seu CNO e VCO, faça com que um administrador do Active Directory execute os seguintes comandos do PowerShell:

# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru

# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru

# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl

# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing

Exceções de linha de base de segurança

Se você estiver implantando o HGS em um ambiente altamente bloqueado, determinadas configurações da Política de Grupo poderão impedir que o HGS opere normalmente. Verifique os objetos da Política de Grupo para obter as seguintes configurações e siga as diretrizes se você for afetado:

Logon de rede

Caminho da política: Configuração\Configurações do Windows\Configurações de Segurança\Políticas locais\Atribuição de direitos de usuário

Nome da política: Negar o acesso a este computador a partir da rede

Valor necessário: Verifique se o valor não bloqueia logons de rede para todas as contas locais. No entanto, você pode bloquear com segurança contas de administrador local.

Razão: para gerenciar nós de cluster, o Clustering de Failover depende de uma conta local que não seja de administrador chamada CLIUSR. Bloquear o logon de rede desse usuário impedirá que o cluster funcione corretamente.

Criptografia Kerberos

Caminho da política: Configuração do computador\Configurações do Windows \Configurações de Segurança\Políticas locais\Opções de segurança

Nome da política: Segurança de rede: Configurar tipos de criptografia permitidos para Kerberos

Ação: se essa política estiver configurada, você deverá atualizar a conta gMSA com Set-ADServiceAccount para usar apenas os tipos de criptografia com suporte nesta política. Por exemplo, se sua política permitir apenas AES128_HMAC_SHA1 e AES256_HMAC_SHA1, você deverá executar Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256.

Próximas etapas