使用现有堡垒林中的 AD 模式初始化 HGS 群集

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

重要

自) Server 2019 起 (AD) Windows管理员信任的证明。 对于无法进行 TPM 证明的环境,请配置 主机密钥证明。 主机密钥证明提供与 AD 模式类似的保证,并且设置更简单。

Active Directory 域服务将安装在计算机上,但应保持未配置状态。

找到 HGS 保护者证书。 需要一个签名证书和一个加密证书来初始化 HGS 群集。 向 HGS 提供证书的最简单方法是为每个包含公钥和私钥的证书创建受密码保护的 PFX 文件。 如果使用 HSM 支持的密钥或其他不可导出的证书,请确保在继续操作之前将证书安装到本地计算机证书存储中。 有关要使用哪些证书的信息,请参阅 获取 HGS 证书

在继续之前,请确保为主机保护者服务预留了群集对象,并授予登录用户对 Active Directory 中的 VCO 和 CNO 对象的完全控制权限。 需要将虚拟计算机对象名称传递给 -HgsServiceName 参数,将群集名称传递给 -ClusterName 参数。

提示

仔细检查 AD 域控制器,确保群集对象已复制到所有 DC,然后再继续。

如果使用基于 PFX 的证书,请对 HGS 服务器运行以下命令:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory

如果使用本地计算机上安装的证书, (HSM 支持的证书和不可导出的证书) -SigningCertificateThumbprint-EncryptionCertificateThumbprint ,请改为使用 和 参数。

后续步骤