Инициализация кластера HGS с помощью режима TPM в новом выделенном лесу (по умолчанию)
Клиенты могут легко связаться с любым узлом HGS с помощью распределенного сетевого имени кластера отработки отказа (DNN). Вам потребуется выбрать DNN. Это имя будет зарегистрировано в службе DNS HGS. Например, если у вас есть 3 узла HGS с именами узлов HGS01, HGS02 и HGS03, вы можете выбрать hgs или HgsCluster для DNN.
Найдите сертификаты защиты HGS. Для инициализации кластера HGS потребуется один сертификат подписи и один сертификат шифрования. Самый простой способ предоставить сертификаты HGS — создать защищенный паролем PFX-файл для каждого сертификата, содержащего открытые и закрытые ключи. Если вы используете ключи с поддержкой HSM или другие не экспортируемые сертификаты, убедитесь, что сертификат установлен в хранилище сертификатов локального компьютера перед продолжением. Дополнительные сведения о том, какие сертификаты следует использовать, см. в разделе "Получение сертификатов для HGS".
Запустите Initialize-HgsServer в окне PowerShell с повышенными привилегиями на первом узле HGS. Синтаксис этого командлета поддерживает множество различных входных данных, но ниже приведены 2 наиболее распространенные вызовы.
Если вы используете PFX-файлы для сертификатов подписывания и шифрования, выполните следующие команды:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password" $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password" Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpmЕсли вы используете не экспортируемые сертификаты, установленные в локальном хранилище сертификатов, выполните следующую команду. Если вы не знаете отпечаток сертификатов, можно перечислить доступные сертификаты, выполнив команду
Get-ChildItem Cert:\LocalMachine\My.Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' -TrustTpm
Если вы предоставили сертификаты HGS с помощью отпечатков, вам будет показано предоставить HGS доступ на чтение к закрытому ключу этих сертификатов. На сервере с установленным интерфейсом рабочего стола выполните следующие действия.
- Откройте диспетчер сертификатов локального компьютера (certlm.msc)
- Поиск сертификатов > правой кнопкой мыши > всех задач > управления закрытыми ключами
- Нажмите кнопку Добавить
- В окне выбора объектов щелкните "Типы объектов" и включите учетные записи службы
- Введите имя учетной записи службы, указанной в тексте предупреждения.
Initialize-HgsServer - Убедитесь, что gMSA имеет доступ на чтение к закрытому ключу.
На серверном ядре необходимо скачать модуль PowerShell, чтобы помочь в настройке разрешений закрытого ключа.
Запустите на сервере HGS, если у него есть подключение к Интернету, или запустите
Save-Module GuardedFabricToolsна другом компьютере и скопируйтеInstall-Module GuardedFabricToolsмодуль на сервер HGS.Запустите
Import-Module GuardedFabricTools. Это добавит дополнительные свойства в объекты сертификатов, найденные в PowerShell.Поиск отпечатка сертификата в PowerShell с помощью
Get-ChildItem Cert:\LocalMachine\MyОбновите список ACL, заменив отпечаток собственным и учетной записью gMSA в коде ниже с учетной записью, указанной в тексте
Initialize-HgsServerпредупреждения.$certificate = Get-Item "Cert:\LocalMachine\1A2B3C..." $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
Если вы используете сертификаты с поддержкой HSM или сертификаты, хранящиеся в стороннем поставщике хранилища ключей, эти действия могут не применяться к вам. Обратитесь к документации поставщика хранилища ключей, чтобы узнать, как управлять разрешениями на закрытый ключ. В некоторых случаях авторизация отсутствует или авторизация предоставляется на весь компьютер при установке сертификата.
Вот и все! В рабочей среде следует продолжать добавлять в кластер дополнительные узлы HGS.