Compartilhar via


Inicializar o cluster de HGS usando o modo AD em uma nova floresta dedicada (padrão)

Importante

O atestado confiável do Administrador (modo AD) foi preterido do Windows Server 2019 em diante. Para ambientes em que o atestado do TPM não é possível, configure o atestado de chave de host. O atestado de chave de host fornece uma garantia semelhante ao modo do AD e é mais simples de configurar.

  1. Os clientes podem contatar facilmente qualquer nó do HGS usando o DNN (nome de rede distribuída) de cluster de failover. Você precisará escolher um DNN. Esse nome será registrado no serviço DNS do HGS. Por exemplo, caso tenha três nós HGS com nomes de host HGS01, HGS02 e HGS03, poderá optar por escolher "hgs" ou "HgsCluster" para o DNN.

  2. Localize seus certificados de guardião do HGS. Você precisará de um certificado de autenticação e um certificado de criptografia para inicializar o cluster HGS. A maneira mais fácil de fornecer certificados ao HGS é criar um arquivo PFX protegido por senha para cada certificado que contenha as chaves públicas e privadas. Caso esteja usando chaves com suporte de HSM ou outros certificados não exportáveis, verifique se o certificado está instalado no repositório de certificados do computador local antes de continuar. Para obter mais informações sobre quais certificados usar, consulte Obter certificados para HGS.

  3. Execute Initialize-HgsServer em uma janela elevada do PowerShell no primeiro nó do HGS. A sintaxe desse cmdlet dá suporte a muitas entradas diferentes, mas as duas invocações mais comuns estão abaixo:

    • Caso esteja usando arquivos PFX para seus certificados de assinatura e criptografia, execute os seguintes comandos:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
      
    • Caso esteja usando certificados não exportáveis instalados no repositório de certificados local, execute o comando a seguir. Caso não saiba as impressões digitais dos certificados, poderá listar os certificados disponíveis executando Get-ChildItem Cert:\LocalMachine\My.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustActiveDirectory
      
  4. Se você forneceu certificados ao HGS usando impressões digitais, será instruído a conceder acesso de leitura do HGS à chave privada desses certificados. Em um servidor com a Experiência Desktop instalada, conclua as seguintes etapas:

    1. Abra o gerenciador de certificados do computador local (certlm.msc)
    2. Localize os certificados > clique com o botão direito do mouse em > todas as tarefas > gerenciar chaves privadas
    3. Clique em Adicionar
    4. Na janela do seletor de objetos, clique em Tipos de objeto e habilite contas de serviço
    5. Insira o nome da conta de serviço mencionada no texto de aviso de Initialize-HgsServer
    6. Verifique se a gMSA tem acesso de "Leitura" à chave privada.

    No servidor principal, você precisará baixar um módulo do PowerShell para ajudar a definir as permissões de chave privada.

    1. Execute Install-Module GuardedFabricTools no servidor do HGS se ele tiver conectividade com a Internet ou executado Save-Module GuardedFabricTools em outro computador e copie o módulo para o servidor do HGS.

    2. Execute Import-Module GuardedFabricTools. Isso adicionará propriedades extras aos objetos de certificado encontrados no PowerShell.

    3. Localizar a impressão digital do certificado no PowerShell com Get-ChildItem Cert:\LocalMachine\My

    4. Atualize a ACL, substituindo a impressão digital por sua própria conta e a conta gMSA no código abaixo pela conta listada no texto de aviso de Initialize-HgsServer.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    Caso esteja usando certificados com suporte de HSM ou certificados armazenados em um provedor de armazenamento de chaves de terceiros, essas etapas podem não se aplicar a você. Consulte a documentação do provedor de armazenamento de chaves para saber como gerenciar permissões em sua chave privada. Em alguns casos, não há autorização ou a autorização é fornecida para todo o computador quando o certificado é instalado.

  5. É isso! Em um ambiente de produção,continue a adicionar nós HGS adicionais ao cluster.

Próxima etapa