Konfigurera ytterligare HGS-noder
I produktionsmiljöer bör HGS konfigureras i ett kluster med hög tillgänglighet för att säkerställa att avskärmade virtuella datorer kan aktiveras även om en HGS-nod slutar fungera. För testmiljöer krävs inte sekundära HGS-noder.
Använd någon av dessa metoder för att lägga till HGS-noder som passar bäst för din miljö.
| Miljö | Alternativ 1 | Alternativ 2 |
|---|---|---|
| Ny HGS-skog | Använda PFX-filer | Använda tumavtryck för certifikat |
| Befintlig skyddsskog | Använda PFX-filer | Att använda tumavtryck för certifikat |
Förutsättningar
Kontrollera att varje ytterligare nod:
- Har samma maskinvaru- och programvarukonfiguration som den primära noden
- Är ansluten till samma nätverk som de andra HGS-servrarna
- Kan lösa de andra HGS-servrarna genom deras DNS-namn
Dedikerad HGS-skog med PFX-certifikat
- Flytta upp HGS-noden till en domänkontrollant
- Initiera HGS-servern
Flytta upp HGS-noden till en domänkontrollant
Kör Install-HgsServer för att ansluta domänen och höja upp noden till en domänkontrollant.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -RestartNär servern startas om loggar du in med ett domänadministratörskonto.
Initiera HGS-servern
Kör följande kommando för att ansluta till det befintliga HGS-klustret.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Dedikerad HGS-skog med tumavtryck för certifikat
- Flytta upp HGS-noden till en domänkontrollant
- Initiera HGS-servern
- Installera de privata nycklarna för certifikaten
Flytta upp HGS-noden till en domänkontrollant
Kör Install-HgsServer för att ansluta domänen och höja upp noden till en domänkontrollant.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -RestartNär servern startas om loggar du in med ett domänadministratörskonto.
Initiera HGS-servern
Kör följande kommando för att ansluta till det befintliga HGS-klustret.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Installera de privata nycklarna för certifikaten
Om du inte angav någon PFX-fil för krypterings- eller signeringscertifikaten på den första HGS-servern replikeras endast den offentliga nyckeln till den här servern. Du måste installera den privata nyckeln genom att importera en PFX-fil som innehåller den privata nyckeln till det lokala certifikatarkivet eller, när det gäller HSM-säkerhetskopierade nycklar, konfigurera nyckellagringsprovidern och associera den med dina certifikat enligt HSM-tillverkarens instruktioner.
Befintlig bastionskog med PFX-certifikat
- Ansluta noden till den befintliga domänen
- Ge datorn behörighet att hämta gMSA-lösenord och köra Install-ADServiceAccount
- Initiera HGS-servern
Ansluta noden till den befintliga domänen
- Se till att minst ett nätverkskort på noden är konfigurerat att använda DNS-servern på din första HGS-server.
- Anslut den nya HGS-noden till samma domän som din första HGS-nod.
Ge datorn behörighet att hämta gMSA-lösenord och köra Install-ADServiceAccount
Låt en katalogtjänstadministratör lägga till datorkontot för din nya nod i säkerhetsgruppen som innehåller alla dina HGS-servrar som har behörighet att tillåta dessa servrar att använda HGS gMSA-kontot.
Starta om den nya noden för att hämta en ny Kerberos-biljett som innehåller datorns medlemskap i den säkerhetsgruppen. När omstarten är klar loggar du in med en domänidentitet som tillhör den lokala administratörsgruppen på datorn.
Installera det hanterade tjänstkontot för HGS-gruppen på noden.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Initiera HGS-servern
Kör följande kommando för att ansluta till det befintliga HGS-klustret.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Befintlig bastionskog med fingeravtryck för certifikat
- Ansluta noden till den befintliga domänen
- Ge datorn behörighet att hämta gMSA-lösenord och köra Install-ADServiceAccount
- Initiera HGS-servern
- Installera de privata nycklarna för certifikaten
Ansluta noden till den befintliga domänen
- Se till att minst ett nätverkskort på noden är konfigurerat att använda DNS-servern på din första HGS-server.
- Anslut den nya HGS-noden till samma domän som din första HGS-nod.
Ge datorn behörighet att hämta gMSA-lösenord och köra Install-ADServiceAccount
Låt en katalogtjänstadministratör lägga till datorkontot för din nya nod i säkerhetsgruppen som innehåller alla dina HGS-servrar som har behörighet att tillåta dessa servrar att använda HGS gMSA-kontot.
Starta om den nya noden för att hämta en ny Kerberos-biljett som innehåller datorns medlemskap i den säkerhetsgruppen. När omstarten är klar loggar du in med en domänidentitet som tillhör den lokala administratörsgruppen på datorn.
Installera det hanterade tjänstkontot för HGS-gruppen på noden.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Initiera HGS-servern
Kör följande kommando för att ansluta till det befintliga HGS-klustret.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Det tar upp till 10 minuter innan krypterings- och signeringscertifikaten från den första HGS-servern replikeras till den här noden.
Installera de privata nycklarna för certifikaten
Om du inte angav någon PFX-fil för krypterings- eller signeringscertifikaten på den första HGS-servern replikeras endast den offentliga nyckeln till den här servern. Du måste installera den privata nyckeln genom att importera en PFX-fil som innehåller den privata nyckeln till det lokala certifikatarkivet eller, när det gäller HSM-säkerhetskopierade nycklar, konfigurera nyckellagringsprovidern och associera den med dina certifikat enligt HSM-tillverkarens instruktioner.
Konfigurera HGS för HTTPS-kommunikation
Om du vill skydda HGS-slutpunkter med ett SSL-certifikat måste du konfigurera SSL-certifikatet på den här noden samt alla andra noder i HGS-klustret. SSL-certifikat inte replikeras av HGS och behöver inte använda samma nycklar för varje nod (dvs. du kan ha olika SSL-certifikat för varje nod).
När du begär ett SSL-certifikat kontrollerar du att klustrets fullständigt kvalificerade domännamn (som visas i utdata från Get-HgsServer) antingen är certifikatets gemensamma ämnesnamn eller ingår som ett alternativt DNS-ämnesnamn.
När du har fått ett certifikat från certifikatutfärdare kan du konfigurera HGS att använda det med Set-HgsServer.
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
Om du redan har installerat certifikatet i det lokala certifikatarkivet och vill referera till det med tumavtryck kör du följande kommando i stället:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
HGS exponerar alltid både HTTP- och HTTPS-portarna för kommunikation. Det går inte att ta bort HTTP-bindningen i IIS, men du kan använda Windows-brandväggen eller andra nätverksbrandväggstekniker för att blockera kommunikation via port 80.
Inaktivera en HGS-nod
Så här inaktiverar du en HGS-nod:
-
Detta tar bort noden från klustret och avinstallerar attesterings- och nyckelskyddstjänster. Om det är den sista noden i klustret behövs -Force för att ange att du vill ta bort den sista noden och förstöra klustret i Active Directory.
Om HGS distribueras i en skyddsskog (standard) är det det enda steget. Du kan också koppla från datorn från domänen och ta bort gMSA-kontot från Active Directory.
Om HGS har skapat en egen domän bör du också avinstallera HGS- för att avansluta domänen och degradera domänkontrollanten.