Инициализация кластера HGS с помощью режима Key в новом выделенном лесу (по умолчанию)

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

  1. Клиенты могут легко связываться с любым узлом HGS, используя имя распределенной сети отказоустойчивого кластера (DNN). Вам потребуется выбрать DNN. Это имя будет зарегистрировано в службе DNS HGS. Например, если у вас есть 3 узла HGS с именами узлов HGS01, HGS02 и HGS03, вы можете выбрать "HGS" или "Хгсклустер" для DNN.

  2. Нахождение сертификатов опекуна HGS. Для интитиализе кластера HGS потребуется один сертификат подписи и один сертификат шифрования. Самым простым способом предоставления сертификатов для HGS является создание защищенного паролем PFX-файла для каждого сертификата, который содержит как открытые, так и закрытые ключи. При использовании ключей с защитой HSM или других неэкспортируемых сертификатов перед продолжением убедитесь, что сертификат установлен в хранилище сертификатов локального компьютера. Дополнительные сведения о том, какие сертификаты следует использовать, см. в разделе Получение сертификатов для HGS.

  3. Выполните команду Initialize-HgsServer в окне PowerShell с повышенными привилегиями на первом узле HGS. Синтаксис этого командлета поддерживает множество различных входных данных, но 2 наиболее распространенные вызовы приведены ниже:

    • Если вы используете PFX-файлы для сертификатов подписывания и шифрования, выполните следующие команды:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
      
    • Если вы используете неэкспортируемые сертификаты, установленные в локальном хранилище сертификатов, выполните следующую команду. Если вы не знакомы с отпечаткой сертификатов, можно вывести список доступных сертификатов, выполнив Get-ChildItem Cert:\LocalMachine\My .

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
      
  4. Если вы указали сертификаты для HGS с помощью отпечатков, вам будет предоставлено указание предоставить службе HGS доступ на чтение закрытого ключа этих сертификатов. На сервере с установленными возможностями рабочего стола выполните следующие действия.

    1. Откройте диспетчер сертификатов локального компьютера (certlm. msc).
    2. Поиск сертификатов (ов) щелкните > правой кнопкой мыши > все задачи > Управление закрытыми ключами
    3. Нажмите кнопку Добавить
    4. В окне выбора объектов щелкните типы объектов и включите учетные записи служб .
    5. Введите имя учетной записи службы, упомянутой в тексте предупреждения, из Initialize-HgsServer
    6. Убедитесь, что у gMSA есть доступ на чтение закрытого ключа.

    В Server Core необходимо скачать модуль PowerShell, который поможет настроить разрешения закрытого ключа.

    1. Запустите Install-Module GuardedFabricTools на сервере HGS, если он подключен к Интернету, или запустите Save-Module GuardedFabricTools на другом компьютере и скопируйте модуль на сервер HGS.

    2. Запустите Import-Module GuardedFabricTools. Это приведет к добавлению дополнительных свойств объектов сертификатов, найденных в PowerShell.

    3. Поиск отпечатка сертификата в PowerShell с помощью Get-ChildItem Cert:\LocalMachine\My

    4. Обновите список управления доступом, заменив отпечаток собственной и gMSA учетной записью в приведенном ниже коде на учетную запись, указанную в тексте предупреждения Initialize-HgsServer .

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    Если вы используете сертификаты с защитой HSM или сертификаты, хранящиеся в поставщике хранилища ключей стороннего поставщика, эти действия могут быть неприменимы. Обратитесь к документации поставщика хранилища ключей, чтобы узнать, как управлять разрешениями на закрытый ключ. В некоторых случаях авторизация отсутствует, или при установке сертификата предоставляется авторизация для всего компьютера.

  5. Вот и все! В рабочей среде следует продолжить Добавление дополнительных узлов HGS в кластер.

Следующий шаг