Инициализация кластера HGS с помощью режима ключа в новом выделенном лесу (по умолчанию)

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

  1. Клиенты могут легко связаться с любым узлом HGS с помощью отработки отказа кластеризация распределенного сетевого имени (DNN). Вам потребуется выбрать DNN. Это имя будет зарегистрировано в службе DNS HGS. Например, если у вас есть 3 узла HGS с именами узлов HGS01, HGS02 и HGS03, вы можете выбрать hgs или HgsCluster для DNN.

  2. Найдите сертификаты защиты HGS. Для инициализации кластера HGS потребуется один сертификат подписи и один сертификат шифрования. Самый простой способ предоставить сертификаты HGS — создать защищенный паролем PFX-файл для каждого сертификата, содержащего открытые и закрытые ключи. Если вы используете ключи с поддержкой HSM или другие не экспортируемые сертификаты, убедитесь, что сертификат установлен в хранилище сертификатов локального компьютера перед продолжением. Дополнительные сведения о том, какие сертификаты следует использовать, см. в разделе "Получение сертификатов для HGS".

  3. Запустите Initialize-HgsServer в окне PowerShell с повышенными привилегиями на первом узле HGS. Синтаксис этого командлета поддерживает множество различных входных данных, но ниже приведены 2 наиболее распространенные вызовы.

    • Если вы используете PFX-файлы для сертификатов подписывания и шифрования, выполните следующие команды:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey

    • Если вы используете не экспортируемые сертификаты, установленные в локальном хранилище сертификатов, выполните следующую команду. Если вы не знаете отпечаток сертификатов, можно перечислить доступные сертификаты, выполнив команду Get-ChildItem Cert:\LocalMachine\My.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey

  4. Если вы предоставили сертификаты HGS с помощью отпечатков, вам будет показано предоставить HGS доступ на чтение к закрытому ключу этих сертификатов. На сервере с установленным интерфейсом рабочего стола выполните следующие действия.

    1. Откройте диспетчер сертификатов локального компьютера (certlm.msc)
    2. Поиск сертификатов > правой кнопкой мыши > всех задач > управления закрытыми ключами
    3. Нажмите кнопку Добавить
    4. В окне выбора объектов щелкните "Типы объектов" и включите учетные записи службы
    5. Введите имя учетной записи службы, упоминание в тексте предупрежденияInitialize-HgsServer
    6. Убедитесь, что gMSA имеет доступ на чтение к закрытому ключу.

    На серверном ядре необходимо скачать модуль PowerShell, чтобы помочь в настройке разрешений закрытого ключа.

    1. Запустите на сервере HGS, если у него есть подключение к Интернету, или запустите Save-Module GuardedFabricTools на другом компьютере и скопируйте Install-Module GuardedFabricTools модуль на сервер HGS.

    2. Запустите Import-Module GuardedFabricTools. Это добавит дополнительные свойства в объекты сертификатов, найденные в PowerShell.

    3. Поиск отпечатка сертификата в PowerShell с помощью Get-ChildItem Cert:\LocalMachine\My

    4. Обновите список ACL, заменив отпечаток собственным и учетной записью gMSA в коде ниже с учетной записью, указанной в тексте Initialize-HgsServerпредупреждения.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
$certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow

    Если вы используете сертификаты с поддержкой HSM или сертификаты, хранящиеся в стороннем поставщике хранилища ключей, эти действия могут не применяться к вам. Обратитесь к документации поставщика хранилища ключей, чтобы узнать, как управлять разрешениями на закрытый ключ. В некоторых случаях авторизация отсутствует или авторизация предоставляется на весь компьютер при установке сертификата.

  5. Вот и все! В рабочей среде следует продолжать добавлять в кластер дополнительные узлы HGS.

Следующий шаг

Создание ключа узла