在現有的防禦樹系中安裝 HGS
適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016
將 HGS 伺服器加入根網域
在現有的防禦樹系中,HGS 必須新增至根網域。 使用伺服器管理員或 Add-Computer 將 HGS 伺服器加入根網域。
新增 HGS 伺服器角色
在提升的 PowerShell 工作階段中執行本主題中的所有命令。
執行下列命令以新增主機守護者服務角色:
Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart
如果您的資料中心有您想要加入 HGS 節點的安全防禦樹系,請遵循下列步驟。 您也可以使用這些步驟來設定已加入相同網域的 2 個以上的獨立 HGS 叢集。
將 HGS 伺服器加入想要的網域
使用伺服器管理員或 Add-Computer 將 HGS 伺服器加入想要的網域。
準備 Active Directory 物件
建立群組受控服務帳戶和 2 個安全性群組。 如果您用以初始化 HGS 的帳戶沒有在網域中建立電腦物件的權限,您也可以預先暫存叢集物件。
群組受管理的服務帳戶
群組受管理的服務帳戶 (gMSA) 是 HGS 用來擷取和使用其憑證的身分識別。 使用 New-ADServiceAccount 來建立 gMSA。 如果這是網域中的第一個 gMSA,您必須新增金鑰散發服務根金鑰。
每個 HGS 節點都必須允許存取 gMSA 密碼。 設定此動作最簡單的方式是建立包含您所有 HGS 節點的安全性群組,並授與該安全性群組擷取 gMSA 密碼的存取權。
您必須在將 HGS 伺服器新增至安全性群組之後重新開機,以確保其取得新的群組成員資格。
# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
# Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}
# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru
# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"
# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes
gMSA 將需要在每部 HGS 伺服器上的安全性記錄中產生事件的權利。 如果您使用群組原則來設定使用者權限指派,請確定 gMSA 帳戶已獲授與在 HGS 伺服器上 產生稽核事件權限。
注意
群組受管理的服務帳戶可從 Windows Server 2012 Active Directory 結構描述開始使用。 如需相關資訊,請參閱 群組受管理的服務帳戶需求。
JEA 安全性群組
當您設定 HGS 時,Just Enough Administration (JEA) PowerShell 端點會設定為允許系統管理員管理 HGS,而不需要完整的本機系統管理員權限。 您不需要使用 JEA 來管理 HGS,但在執行 Initialize-HgsServer 時仍必須加以設定。 JEA 端點的設定包含指定 2 個安全性群組,其中包含您的 HGS 系統管理員和 HGS 檢閱者。 屬於系統管理員群組的使用者可以在 HGS 上新增、變更或移除原則;檢閱者只能檢視目前的設定。
使用 Active Directory 系統管理工具或 New-ADGroup,為這些 JEA 群組建立 2 個安全性群組。
New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal
叢集物件
如果您用來設定 HGS 的帳戶沒有在網域中建立新電腦物件的權限,則必須預先暫存叢集物件。 在 Active Directory Domain Services 中預先暫存叢集電腦物件 有説明這些步驟。
若要設定您的第一個 HGS 節點,您必須建立一個叢集名稱物件 (CNO) 和一個虛擬電腦物件 (VCO)。 CNO 代表叢集的名稱,主要供容錯移轉叢集在內部使用。 VCO 代表位於叢集頂端的 HGS 服務,並將使用向 DNS 伺服器註冊的名稱。
重要
執行 Initialize-HgsServer 的使用者需要對於 Active Directory 中的 CNO 和 VCO 物件有 完全控制。
若要快速預先暫存您的 CNO 和 VCO,請讓 Active Directory 系統管理員執行下列 PowerShell 命令:
# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru
# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru
# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl
# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing
安全性基準例外狀況
如果您要將 HGS 部署到高度鎖定的環境,某些群組原則設定可能會防止 HGS 正常運作。 請檢查您的群組原則物件是否有下列設定,並在受影響時遵循指引行動:
網路登入
原則路徑: 電腦設定 \Windows 設定\安全性設定\本機原則\使用者權限指派
原則名稱: 拒絕從網路存取這部電腦
必要值: 確定值不會封鎖所有本機帳戶的網路登入。 不過,您可以安全地封鎖本機系統管理員帳戶。
原因: 容錯移轉叢集依賴名為 CLIUSR 的非系統管理員本機帳戶來管理叢集節點。 封鎖此使用者的網路登入會防止叢集正常運作。
Kerberos 加密
原則路徑: 電腦設定\Windows 設定\安全性設定\本機原則\安全性選項
原則名稱: 網路安全性: 設定 Kerberos 允許的加密類型
動作: 如果已設定此原則,您必須使用 Set-ADServiceAccount 更新 gMSA 帳戶,才能使用此原則中支援的加密類型。 例如,如果您的原則只允許 AES128_HMAC_SHA1和AES256_HMAC_SHA1,您應該執行 Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256。
下一步
- 如需設定 TPM 型證明的後續步驟,請參閱 在現有的防禦樹系中使用 TPM 模式初始化 HGS 叢集。
- 如需設定主機金鑰證明的後續步驟,請參閱 在現有的防禦樹系中使用金鑰模式初始化 HGS 叢集。
- 如需設定系統管理員型證明的後續步驟 (在 Windows Server 2019 中已被取代),請參閱 在現有的防禦樹系中使用 AD 模式初始化 HGS 叢集。