在現有的堡壘樹系中使用 AD 模式初始化 HGS 叢集
重要
從 Windows Server 2019 開始,系統管理員信任證明 (AD 模式) 已淘汰。 對於無法進行 TPM 證明的環境,請設定主機金鑰證明。 主機金鑰證明提供與 AD 模式類似的保證,而且設定更簡單。
Active Directory Domain Services 將會安裝在機器上,但應仍是未設定的狀態。
找出 HGS 守護者憑證。 您需要一個簽署憑證和一個加密憑證來初始化 HGS 叢集。 為 HGS 提供憑證的最簡單方式,是為每個包含公開和私密金鑰的憑證,建立受密碼保護的 PFX 檔案。 如果您使用 HSM 支援的金鑰或其他不可匯出的憑證,請先確定此憑證已安裝在本機電腦的憑證存放區,然後再繼續。 如需要使用哪些憑證的詳細資訊,請參閱取得 HGS 的憑證。
繼續之前,請確定您已預先設置主機守護者服務的叢集物件,並授與登入的使用者在 Active Directory 中對 VCO 和 CNO 物件的完整控制權。
虛擬電腦物件名稱必須傳遞至 -HgsServiceName
參數,並將叢集名稱傳遞至 -ClusterName
參數。
提示
再次檢查 AD 網域控制站,以確保叢集物件已複寫到所有 DC,然後再繼續。
如果您使用 PFX 型憑證,請在 HGS 伺服器上執行下列命令:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
如果您使用安裝在本機電腦上的憑證 (例如 HSM 支援的憑證和不可匯出的憑證),請改用 -SigningCertificateThumbprint
和 -EncryptionCertificateThumbprint
參數。