Inicialización del clúster de HGS mediante el modo de clave en un bosque bastión existente

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

« Instalación de HGS en un nuevo bosque: Creación de una clave de host »

Active Directory Domain Services se instalará en el equipo, pero debe permanecer sin configurar.

Busque los certificados de protección de HGS. Necesitará un certificado de firma y un certificado de cifrado para inicializar el clúster de HGS. La manera más fácil de proporcionar certificados a HGS es crear un archivo PFX protegido con contraseña para cada certificado que contenga las claves públicas y privadas. Si usa claves respaldadas por HSM u otros certificados no exportables, asegúrese de que el certificado está instalado en el almacén de certificados del equipo local antes de continuar. Para obtener más información sobre qué certificados usar, consulte Obtención de certificados para HGS.

Antes de continuar, asegúrese de que ha preconfigurado los objetos de clúster para el servicio de protección de host y ha concedido el control total del usuario que ha iniciado sesión sobre los objetos VCO y CNO en Active Directory. El nombre del objeto de equipo virtual debe pasarse al parámetro -HgsServiceName y el nombre del clúster al parámetro -ClusterName.

Sugerencia

Compruebe los controladores de dominio de AD para asegurarse de que los objetos de clúster se han replicado en todos los controladores de dominio antes de continuar.

Si usa certificados basados en PFX, ejecute los siguientes comandos en el servidor HGS:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostKey

Si usa certificados instalados en el equipo local (como certificados respaldados por HSM y certificados no exportables), use los parámetros -SigningCertificateThumbprint y -EncryptionCertificateThumbprint en su lugar.