Поделиться через

Установка HGS в существующем лесу бастиона

Присоединение сервера HGS к корневому домену

В существующем лесу бастиона hGS необходимо добавить в корневой домен. Используйте диспетчер сервера или надстройки для присоединения сервера HGS к корневому домену.

Добавление роли сервера HGS

Выполните все команды в этом разделе в сеансе PowerShell с повышенными привилегиями.

Добавьте роль службы защиты узла, выполнив следующую команду:

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

Если в вашем центре обработки данных есть безопасный лес бастиона, в котором требуется присоединить узлы HGS, выполните следующие действия. Эти действия также можно использовать для настройки 2 или более независимых кластеров HGS, присоединенных к одному домену.

Присоединение сервера HGS к нужному домену

Используйте диспетчер сервера или надстройку, чтобы присоединить серверы HGS к нужному домену.

Подготовка объектов Active Directory

Создайте управляемую группу учетной записи службы и 2 группы безопасности. Кроме того, можно предварительно подготовить объекты кластера, если учетная запись, инициализация HGS с разрешением на создание объектов компьютера в домене отсутствует.

Групповая управляемая учетная запись службы

Учетная запись управляемой группы (gMSA) — это удостоверение, используемое HGS для получения и использования его сертификатов. Используйте New-ADServiceAccount для создания gMSA. Если это первый gMSA в домене, необходимо добавить корневой ключ службы распространения ключей.

Каждому узлу HGS потребуется разрешить доступ к паролю gMSA. Самый простой способ настроить это — создать группу безопасности, содержащую все узлы HGS, и предоставить этому группе безопасности доступ для получения пароля gMSA.

После добавления сервера HGS в группу безопасности необходимо перезагрузить сервер HGS, чтобы обеспечить получение нового членства в группах.

# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
    # Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
    Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}

# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru

# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"

# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes

GMSA потребует право создавать события в журнале безопасности на каждом сервере HGS. Если вы используете групповую политику для настройки назначения прав пользователей, убедитесь, что учетная запись gMSA предоставляется привилегии создания событий аудита на серверах HGS.

Примечание.

Учетные записи управляемых служб групп доступны начиная с схемы Active Directory Windows Server 2012. Дополнительные сведения см. в статье о требованиях к управляемой группе учетной записи службы.

Группы безопасности JEA

При настройке HGS конечная точка PowerShell just Enough Administration (JEA) настроена, чтобы администраторы могли управлять HGS без получения полных привилегий локального администратора. Для управления HGS не требуется использовать JEA, но его все равно необходимо настроить при запуске Initialize-HgsServer. Конфигурация конечной точки JEA состоит из назначения 2 групп безопасности, содержащих администраторов HGS и рецензентов HGS. Пользователи, принадлежащие группе администраторов, могут добавлять, изменять или удалять политики в HGS; Рецензенты могут просматривать только текущую конфигурацию.

Создайте 2 группы безопасности для этих групп JEA с помощью средств администрирования Active Directory или New-ADGroup.

New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal

Объекты кластера

Если учетная запись, используемая для настройки HGS, не имеет разрешения на создание новых объектов компьютера в домене, вам потребуется предварительно подготовить объекты кластера. Эти действия описаны в разделе "Предварительные объекты компьютера кластера" в службах домен Active Directory.

Чтобы настроить первый узел HGS, необходимо создать один объект имени кластера (CNO) и один объект виртуального компьютера (VCO). CNO представляет имя кластера и в основном используется внутри системы отказоустойчивой кластеризации. VCO представляет службу HGS, которая находится в верхней части кластера и будет именем, зарегистрированным на DNS-сервере.

Внимание

Пользователю, который будет выполняться Initialize-HgsServer , требуется полный контроль над объектами CNO и VCO в Active Directory.

Чтобы быстро приступить к подготовке CNO и VCO, у администратора Active Directory выполните следующие команды PowerShell:

# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru

# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru

# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl

# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing

Исключения базовых показателей безопасности

Если вы развертываете HGS в среде с высокой блокировкой, некоторые параметры групповой политики могут препятствовать нормальной работе HGS. Проверьте объекты групповой политики на наличие следующих параметров и следуйте указаниям, если это касается:

Вход в сеть

Путь политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначения прав пользователя

Имя политики: запрет доступа к этому компьютеру из сети

Обязательное значение. Убедитесь, что значение не блокирует вход в сеть для всех локальных учетных записей. Однако вы можете безопасно заблокировать учетные записи локального администратора.

Причина. Отказоустойчивая кластеризация использует локальную учетную запись без администратора с именем CLIUSR для управления узлами кластера. Блокировка входа в сеть для этого пользователя не позволит кластеру работать правильно.

Шифрование Kerberos

Путь политики: конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Имя политики: сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos

Действие. Если эта политика настроена, необходимо обновить учетную запись gMSA с помощью Set-ADServiceAccount , чтобы использовать только поддерживаемые типы шифрования в этой политике. Например, если политика разрешает только AES128_HMAC_SHA1 и AES256_HMAC_SHA1, следует запустить Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256.

Следующие шаги