設定其他 HGS 節點

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

在生產環境中,必須在高可用性叢集中設定 HGS,確保即使 HGS 節點停止運作,受防護的 VM 仍能啟動。 測試環境不需要次要 HGS 節點。

使用其中一種方法來新增 HGS 節點,作為最適合您環境的方法。

Environment 選項 1 選項 2
新的 HGS 樹系 使用 PFX 檔案 使用憑證指紋
現有 Bastion 樹系 使用 PFX 檔案 使用憑證指紋

必要條件

請確定每個額外節點:

  • 具有與主要節點相同的硬體和軟體設定
  • 連線至與其他 HGS 伺服器相同的網路
  • 可以透過 DNS 名稱來解析其他 HGS 伺服器

具有 PFX 憑證的專用 HGS 樹系

  1. 將 HGS 節點升級為網域控制站
  2. 初始化 HGS 伺服器

將 HGS 節點升級為網域控制站

  1. 執行 Install-HgsServer 以加入網域,並將節點升級為網域控制站。

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. 重新啟動伺服器時,會使用網域系統管理員帳戶進行登入。

初始化 HGS 伺服器

執行下列命令來加入現有 HGS 叢集。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

具有憑證指紋的專用 HGS 樹系

  1. 將 HGS 節點升級為網域控制站
  2. 初始化 HGS 伺服器
  3. 安裝憑證的私密金鑰

將 HGS 節點升級為網域控制站

  1. 執行 Install-HgsServer 以加入網域,並將節點升級為網域控制站。

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. 重新啟動伺服器時,會使用網域系統管理員帳戶進行登入。

初始化 HGS 伺服器

執行下列命令來加入現有 HGS 叢集。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

安裝憑證的私密金鑰

如果您未提供第一部 HGS 伺服器上加密或簽署憑證的 PFX 檔案,則只會將公開金鑰複寫至此伺服器。 您將需要安裝私密金鑰,方法是將包含私密金鑰的 PFX 檔案匯入至本機憑證存放區,或在 HSM 支援的金鑰的情況下,設定金鑰儲存提供者,並依據 HSM 製造商的指示將其與您的憑證產生關聯。

具有 PFX 憑證的現有 Bastion 樹系

  1. 將節點加入現有網域
  2. 將擷取 gMSA 密碼以及執行 Install-ADServiceAccount 的權利授與機器
  3. 初始化 HGS 伺服器

將節點加入現有網域

  1. 請確定節點上至少有一個 NIC 設定為在第一部 HGS 伺服器上使用 DNS 伺服器。
  2. 將新的 HGS 節點加入與第一個 HGS 節點相同的網域。

將擷取 gMSA 密碼以及執行 Install-ADServiceAccount 的權利授與機器

  1. 讓目錄服務系統管理員將新節點的電腦帳戶新增至包含您所有 HGS 伺服器的安全性群組,而安全性群組有權允許這些伺服器使用 HGS gMSA 帳戶。

  2. 重新啟動新的節點以取得新的 Kerberos 票證,而此票證包括該安全性群組中的電腦成員資格。 重新開機完成之後,請使用屬於電腦上本機系統管理員群組的網域身分識別進行登入。

  3. 在節點上安裝 HGS 群組受管理的服務帳戶。

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

初始化 HGS 伺服器

執行下列命令來加入現有 HGS 叢集。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

具有憑證指紋的現有 Bastion 樹系

  1. 將節點加入現有網域
  2. 將擷取 gMSA 密碼以及執行 Install-ADServiceAccount 的權利授與機器
  3. 初始化 HGS 伺服器
  4. 安裝憑證的私密金鑰

將節點加入現有網域

  1. 請確定節點上至少有一個 NIC 設定為在第一部 HGS 伺服器上使用 DNS 伺服器。
  2. 將新的 HGS 節點加入與第一個 HGS 節點相同的網域。

將擷取 gMSA 密碼以及執行 Install-ADServiceAccount 的權利授與機器

  1. 讓目錄服務系統管理員將新節點的電腦帳戶新增至包含您所有 HGS 伺服器的安全性群組,而安全性群組有權允許這些伺服器使用 HGS gMSA 帳戶。

  2. 重新啟動新的節點以取得新的 Kerberos 票證,而此票證包括該安全性群組中的電腦成員資格。 重新開機完成之後,請使用屬於電腦上本機系統管理員群組的網域身分識別進行登入。

  3. 在節點上安裝 HGS 群組受管理的服務帳戶。

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

初始化 HGS 伺服器

執行下列命令來加入現有 HGS 叢集。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

第一部 HGS 伺服器的加密和簽署憑證最多需要 10 分鐘的時間,才能複寫至此節點。

安裝憑證的私密金鑰

如果您未提供第一部 HGS 伺服器上加密或簽署憑證的 PFX 檔案,則只會將公開金鑰複寫至此伺服器。 您將需要安裝私密金鑰,方法是將包含私密金鑰的 PFX 檔案匯入至本機憑證存放區,或在 HSM 支援的金鑰的情況下,設定金鑰儲存提供者,並依據 HSM 製造商的指示將其與您的憑證產生關聯。

設定 HGS 以進行 HTTPS 通訊

如果您想要使用 SSL 憑證來保護 HGS 端點,則必須在此節點以及 HGS 叢集中的所有其他節點上設定 SSL 憑證。 HGS「不」會複寫 SSL 憑證,而且不需要針對每個節點使用相同的金鑰 (即,您可以針對每個節點有不同的 SSL 憑證)。

要求 SSL 憑證時,請確定叢集完整網域名稱 (如 Get-HgsServer 輸出所示) 是憑證的主體通用名稱,或包括為主體替代 DNS 名稱。 當您已從憑證授權單位取得憑證時,可以將 HGS 設定為將它與 Set-HgsServer 搭配使用。

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

如果您已將憑證安裝至本機憑證存放區,而且想要透過指紋對其進行參考,則請改為執行下列命令:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS 一律會公開 HTTP 和 HTTPS 連接埠以進行通訊。 不支援移除 IIS 中的 HTTP 繫結,不過,您可以使用 Windows 防火牆或其他網路防火牆技術來封鎖透過連接埠 80 的通訊。

解除委任 HGS 節點

解除委任 HGS 節點:

  1. 清除 HGS 設定

    這會從叢集中移除節點,並解除安裝證明和金鑰保護服務。 如果其為叢集中的最後一個節點,則需要有 -Force 以表示您確實想要移除最後一個節點,並終結 Active Directory 中的叢集。

    如果在 Bastion 樹系中部署 HGS (預設值),則這是唯一的步驟。 您可以選擇性地取消網域加入機器,並從 Active Directory 中移除 gMSA 帳戶。

  2. 如果 HGS 已建立自己的網域,則您也應該卸載 HGS 以取消加入網域,並降級網域控制站。