Инициализация кластера HGS с помощью режима TPM в существующем лесу бастиона

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Чтобы инициализировать кластер HGS с помощью режима TPM в существующем лесу бастиона, выполните указанные ниже действия. домен Active Directory службы будут установлены на компьютере, но не настроены.

Найдите сертификаты защиты HGS. Для инициализации кластера HGS потребуется один сертификат подписи и один сертификат шифрования. Самый простой способ предоставить сертификаты HGS — создать защищенный паролем PFX-файл для каждого сертификата, содержащего открытые и закрытые ключи. Если вы используете ключи с поддержкой HSM или другие не экспортируемые сертификаты, убедитесь, что сертификат установлен в хранилище сертификатов локального компьютера перед продолжением. Дополнительные сведения о том, какие сертификаты следует использовать, см. в разделе "Получение сертификатов для HGS".

Прежде чем продолжить, убедитесь, что вы предварительно закрепили объекты кластера для службы защиты узлов и предоставили пользователю полный контроль над объектами VCO и CNO в Active Directory. Имя объекта виртуального компьютера необходимо передать -HgsServiceName параметру и имя кластера параметру -ClusterName .

Совет

Дважды проверьте контроллеры домена AD, чтобы убедиться, что объекты кластера реплицировались на все контроллеры домена, прежде чем продолжить.

Если вы используете сертификаты на основе PFX, выполните следующие команды на сервере HGS:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm

Если вы используете сертификаты, установленные на локальном компьютере (например, сертификаты с поддержкой HSM и не экспортируемые сертификаты), используйте -SigningCertificateThumbprint вместо этого параметры и -EncryptionCertificateThumbprint параметры.

В рабочей среде следует продолжать добавлять в кластер дополнительные узлы HGS.

Следующий шаг

Установка корневых сертификатов доверенного платформенного модуля