Настройка дополнительных узлов HGS

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В рабочей среде службу HGS следует настроить в кластере с высоким уровнем доступности, чтобы обеспечить возможность включения экранированных виртуальных машин даже в том случае, если узел HGS выйдет из строя. Для тестовых сред вторичные узлы HGS не требуются.

Используйте один из этих методов для добавления узлов HGS, которые лучше всего подходят для вашей среды.

Среда	Вариант 1	Вариант 2
Новый лес HGS	Использование PFX-файлов	Использование отпечатков сертификатов
Существующий лес бастиона	Использование PFX-файлов	Использование отпечатков сертификатов

Необходимые компоненты

Убедитесь, что каждый дополнительный узел:

• Имеет ту же конфигурацию оборудования и программного обеспечения, что и основной узел
• Подключен к той же сети, что и другие серверы HGS
• Может разрешать другие серверы HGS по именам DNS

Выделенный лес HGS с сертификатами PFX

1. Повышение уровня узла HGS до контроллера домена
2. Инициализация сервера HGS

Повышение уровня узла HGS до контроллера домена

1. Запустите Install-HgsServer , чтобы присоединиться к домену и повысить уровень узла до контроллера домена.

   $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force
   
   $cred = Get-Credential 'relecloud\Administrator'
   
   Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
   

2. При перезагрузке сервера войдите с помощью учетной записи администратора домена.

Инициализация сервера HGS

Выполните следующую команду, чтобы присоединиться к существующему кластеру HGS.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Выделенный лес HGS с отпечатками сертификатов

1. Повышение уровня узла HGS до контроллера домена
2. Инициализация сервера HGS
3. Установка закрытых ключей для сертификатов

Повышение уровня узла HGS до контроллера домена

1. Запустите Install-HgsServer , чтобы присоединиться к домену и повысить уровень узла до контроллера домена.

   $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force
   
   $cred = Get-Credential 'relecloud\Administrator'
   
   Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
   

2. При перезагрузке сервера войдите с помощью учетной записи администратора домена.

Инициализация сервера HGS

Выполните следующую команду, чтобы присоединиться к существующему кластеру HGS.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Установка закрытых ключей для сертификатов

Если вы не предоставили PFX-файл для шифрования или подписывания сертификатов на первом сервере HGS, на этом сервере будет реплицирован только открытый ключ. Необходимо установить закрытый ключ, импортируя PFX-файл, содержащий закрытый ключ, в локальное хранилище сертификатов или в случае ключей с поддержкой HSM, настройки поставщика хранилища ключей и связывания его с сертификатами на основе инструкций производителя HSM.

Существующий лес бастиона с сертификатами PFX

1. Присоединение узла к существующему домену
2. Предоставьте компьютеру права на получение пароля gMSA и запустите Install-ADServiceAccount
3. Инициализация сервера HGS

Присоединение узла к существующему домену

1. Убедитесь, что на узле настроен по крайней мере один сетевой адаптер для использования DNS-сервера на первом сервере HGS.
2. Присоедините новый узел HGS к тому же домену, что и первый узел HGS.

Предоставьте компьютеру права на получение пароля gMSA и запустите Install-ADServiceAccount

1. У администратора служб каталогов добавьте учетную запись компьютера для нового узла в группу безопасности, содержащую все серверы HGS, которым разрешено разрешить этим серверам использовать учетную запись GMSA HGS.

2. Перезагрузите новый узел, чтобы получить новый билет Kerberos, включающий членство компьютера в этой группе безопасности. После завершения перезагрузки войдите с помощью удостоверения домена, который принадлежит группе локальных администраторов на компьютере.

3. Установите учетную запись управляемой службы группы HGS на узле.

   Install-ADServiceAccount -Identity <HGSgMSAAccount>
   

Инициализация сервера HGS

Выполните следующую команду, чтобы присоединиться к существующему кластеру HGS.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Существующий лес бастиона с отпечатками сертификатов

1. Присоединение узла к существующему домену
2. Предоставьте компьютеру права на получение пароля gMSA и запустите Install-ADServiceAccount
3. Инициализация сервера HGS
4. Установка закрытых ключей для сертификатов

Присоединение узла к существующему домену

1. Убедитесь, что на узле настроен по крайней мере один сетевой адаптер для использования DNS-сервера на первом сервере HGS.
2. Присоедините новый узел HGS к тому же домену, что и первый узел HGS.

Предоставьте компьютеру права на получение пароля gMSA и запустите Install-ADServiceAccount

1. У администратора служб каталогов добавьте учетную запись компьютера для нового узла в группу безопасности, содержащую все серверы HGS, которым разрешено разрешить этим серверам использовать учетную запись GMSA HGS.

2. Перезагрузите новый узел, чтобы получить новый билет Kerberos, включающий членство компьютера в этой группе безопасности. После завершения перезагрузки войдите с помощью удостоверения домена, который принадлежит группе локальных администраторов на компьютере.

3. Установите учетную запись управляемой службы группы HGS на узле.

   Install-ADServiceAccount -Identity <HGSgMSAAccount>
   

Инициализация сервера HGS

Выполните следующую команду, чтобы присоединиться к существующему кластеру HGS.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Для репликации на этот узел потребуется до 10 минут для шифрования и подписывания сертификатов с первого сервера HGS.

Установка закрытых ключей для сертификатов

Если вы не предоставили PFX-файл для шифрования или подписывания сертификатов на первом сервере HGS, на этом сервере будет реплицирован только открытый ключ. Необходимо установить закрытый ключ, импортируя PFX-файл, содержащий закрытый ключ, в локальное хранилище сертификатов или в случае ключей с поддержкой HSM, настройки поставщика хранилища ключей и связывания его с сертификатами на основе инструкций производителя HSM.

Настройка HGS для обмена данными HTTPS

Если вы хотите защитить конечные точки HGS с помощью SSL-сертификата, необходимо настроить SSL-сертификат на этом узле, а также каждый другой узел в кластере HGS. SSL-сертификаты не реплицируются HGS и не должны использовать одни и те же ключи для каждого узла (т. е. вы можете иметь разные SSL-сертификаты для каждого узла).

При запросе SSL-сертификата убедитесь, что полное доменное имя кластера (как показано в выходных данных Get-HgsServer) является общим именем субъекта сертификата или включено в качестве альтернативного DNS-имени субъекта. Получив сертификат из центра сертификации, вы можете настроить HGS для его использования с Set-HgsServer.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Если сертификат уже установлен в локальном хранилище сертификатов и хотите ссылаться на него по отпечатку, выполните следующую команду:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS всегда предоставляет порты HTTP и HTTPS для обмена данными. При этом не поддерживается удаление привязки HTTP в IIS, однако можно использовать брандмауэр Windows или другие технологии сетевого брандмауэра для блокировки связи через порт 80.

Отмена эксплуатации узла HGS

Чтобы вывести из эксплуатации узел HGS, выполните приведенные действия.

1. Снимите конфигурацию HGS.

   При этом узел удаляется из кластера и удаляется аттестация и службы защиты ключей. Если это последний узел в кластере, -Force требуется для обозначения того, что вы хотите удалить последний узел и уничтожить кластер в Active Directory.

   Если HGS развертывается в лесу бастиона (по умолчанию), это единственный шаг. При необходимости можно отменить присоединение компьютера из домена и удалить учетную запись gMSA из Active Directory.

2. Если HGS создал свой собственный домен, необходимо также удалить HGS , чтобы отменить присоединение к домену и понижение контроллера домена.