Zainicjuj klaster HGS przy użyciu trybu klucza w istniejącym lesie bastionowym

• Dotyczy:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

« Instalowanie usługi HGS w nowym lesieTworzenie klucza hosta »

Usługi Active Directory Domain Services zostaną zainstalowane na maszynie, ale powinny pozostać nieskonfigurowane.

Znajdź certyfikaty strażnika HGS. Do zainicjowania klastra usługi HGS potrzebny będzie jeden certyfikat podpisywania i jeden certyfikat szyfrowania. Najprostszym sposobem dostarczania certyfikatów do usługi HGS jest utworzenie pliku PFX chronionego hasłem dla każdego certyfikatu zawierającego zarówno klucze publiczne, jak i prywatne. Jeśli używasz kluczy opartych na module HSM lub innych certyfikatów, które nie można eksportować, przed kontynuowaniem upewnij się, że certyfikat jest zainstalowany w magazynie certyfikatów komputera lokalnego. Aby uzyskać więcej informacji na temat certyfikatów do użycia, zobacz Uzyskiwanie certyfikatów dla usługi HGS.

Przed kontynuowaniem upewnij się, że obiekty klastra zostały wstępnie przygotowane dla usługi Ochrona Hostów i udzielono zalogowanemu użytkownikowi pełnej kontroli nad obiektami VCO i CNO w Active Directory. Nazwa obiektu komputera wirtualnego musi zostać przekazana do parametru -HgsServiceName, a nazwa klastra do parametru -ClusterName.

Wskazówka

Zanim przejdziesz dalej, dokładnie sprawdź kontrolery domeny Active Directory, aby upewnić się, że obiekty klastra zostały zreplikowane do wszystkich kontrolerów.

Jeśli używasz certyfikatów opartych na protokole PFX, uruchom następujące polecenia na serwerze HGS:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostKey

Jeśli używasz certyfikatów zainstalowanych na komputerze lokalnym (takich jak certyfikaty oparte na module HSM i certyfikaty bez możliwości eksportowania), zamiast tego użyj parametrów -SigningCertificateThumbprint i -EncryptionCertificateThumbprint.