Inizializzare il cluster HGS con la modalità AD in una foresta Bastion esistente
Importante
L'attestazione con attendibilità amministratore (modalità AD) è stata deprecata a partire da Windows Server 2019. Per gli ambienti in cui non è possibile disporre dell'attestazione TPM, configurare l'attestazione della chiave host. L'attestazione della chiave host fornisce una garanzia simile alla modalità AD ed è più semplice da configurare.
Active Directory Domain Services verrà installato nel computer, ma deve rimanere non configurato.
Individuare i certificati di sorveglianza HGS. È necessario un certificato di firma e un certificato di crittografia per inizializzare il cluster HGS. Il modo più semplice per fornire certificati a HGS consiste nel creare un file PFX protetto da password per ogni certificato che contiene sia le chiavi pubbliche che quelle private. Quando si usano chiavi supportate da HSM o altri certificati non esportabili, è necessario assicurarsi che il certificato sia installato nell'archivio certificati del computer locale prima di continuare. Per altre informazioni sui certificati da usare, vedere Ottenere certificati per HGS.
Prima di continuare, assicurarsi di avere pre-installato gli oggetti cluster per il servizio Sorveglianza host e di aver concesso all'utente connesso controllo completo sugli oggetti VCO e CNO in Active Directory.
Il nome dell'oggetto del computer virtuale deve essere passato al parametro -HgsServiceName
e il nome del cluster al parametro -ClusterName
.
Suggerimento
Prima di continuare, verificare che i controller di dominio AD siano stati replicati in tutti i controller di dominio di Active Directory.
Se si usano certificati basati su PFX, eseguire i comandi seguenti nel server HGS:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
Se si usano certificati installati nel computer locale, ad esempio certificati supportati dal modulo di protezione hardware e certificati non esportabili, usare invece i parametri -SigningCertificateThumbprint
e -EncryptionCertificateThumbprint
.