Avviare il cluster HGS usando la modalità TPM in una foresta Bastion esistente
Per avviare il cluster HGS usando la modalità TPM in una foresta Bastion esistente, seguire la seguente procedura. Active Directory Domain Services verrà installato nel computer, ma deve essere configurato.
Individuare i certificati di sorveglianza HGS. È necessario un certificato di firma e un certificato di crittografia per inizializzare il cluster HGS. Il modo più semplice per fornire certificati a HGS consiste nel creare un file PFX protetto da password per ogni certificato che contiene sia le chiavi pubbliche che quelle private. Quando si usano chiavi supportate da HSM o altri certificati non esportabili, è necessario assicurarsi che il certificato sia installato nell'archivio certificati del computer locale prima di continuare. Per altre informazioni sui certificati da usare, vedere Ottenere certificati per HGS.
Prima di continuare, assicurarsi di avere pre-installato gli oggetti cluster per il servizio Sorveglianza host e di aver concesso all'utente connesso controllo completo sugli oggetti VCO e CNO in Active Directory.
Il nome dell'oggetto del computer virtuale deve essere passato al parametro -HgsServiceName
e il nome del cluster al parametro -ClusterName
.
Suggerimento
Prima di continuare, verificare che i controller di dominio AD siano stati replicati in tutti i controller di dominio di Active Directory.
Se si usano certificati basati su PFX, eseguire i comandi seguenti nel server HGS:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm
Se si usano certificati installati nel computer locale, ad esempio certificati supportati dal modulo di protezione hardware e certificati non esportabili, usare invece i parametri -SigningCertificateThumbprint
e -EncryptionCertificateThumbprint
.
In un ambiente di produzione è necessario continuare a aggiungere altri nodi HGS al cluster.