共用方式為


在新的專用樹系中使用 AD 模式初始化 HGS 叢集 (預設)

重要

從 Windows Server 2019 開始,系統管理員信任證明 (AD 模式) 已淘汰。 對於無法進行 TPM 證明的環境,請設定主機金鑰證明。 主機金鑰證明提供與 AD 模式類似的保證,而且設定更簡單。

  1. 用戶端可以使用容錯移轉叢集分散式網路名稱 (DNN) 輕鬆地連絡任何 HGS 節點。 您必須選擇 DNN。 此名稱將會在 HGS DNS 服務中註冊。 舉例來說,如果您的 3 個 HGS 節點具有主機名稱 HGS01、HGS02 和 HGS03,則可能會決定為 DNN 選擇 "hgs" 或 "HgsCluster"。

  2. 找出 HGS 守護者憑證。 您需要一個簽署憑證和一個加密憑證來初始化 HGS 叢集。 為 HGS 提供憑證的最簡單方式,是為每個包含公開和私密金鑰的憑證,建立受密碼保護的 PFX 檔案。 如果您使用 HSM 支援的金鑰或其他不可匯出的憑證,請先確定此憑證已安裝在本機電腦的憑證存放區,然後再繼續。 如需要使用哪些憑證的詳細資訊,請參閱取得 HGS 的憑證

  3. 在第一個 HGS 節點上提升權限的 PowerShell 視窗中執行 Initialize-HgsServer。 此 Cmdlet 的語法支援許多不同的輸入,但 2 個最常見的引動過程如下:

    • 如果您使用 PFX 檔案進行簽署和加密憑證,請執行下列命令:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
      
    • 如果您使用本機憑證存放區中安裝的不可匯出憑證,請執行下列命令。 如果您不知道憑證的指紋,您可執行 Get-ChildItem Cert:\LocalMachine\My 以列出可用的憑證。

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustActiveDirectory
      
  4. 如果您使用指紋將任何憑證提供給 HGS,系統會指示您將這些憑證的私密金鑰讀取權限授與 HGS。 在已安裝桌面體驗的伺服器上,完成下列步驟:

    1. 開啟本機電腦憑證管理員 (certlm.msc)
    2. 尋找憑證 > 以滑鼠右鍵按一下 > 所有工作 > 管理私密金鑰
    3. 按一下 [新增]
    4. 在物件選擇器視窗中,按一下 [物件類型] 並啟用 [服務帳戶]
    5. 輸入來自 Initialize-HgsServer 的警告文字中提及的服務帳戶名稱
    6. 確定 gMSA 具有私密金鑰的「讀取」存取權。

    在 Server Core 上,您必須下載 PowerShell 模組,以協助設定私密金鑰權限。

    1. 請在具有網際網路連線能力的 HGS 伺服器上執行 Install-Module GuardedFabricTools,或在另一部電腦上執行 Save-Module GuardedFabricTools 並將此模組複製到 HGS 伺服器。

    2. 執行 Import-Module GuardedFabricTools。 這會將其他屬性新增至 PowerShell 中找到的憑證物件。

    3. 在 PowerShell 中使用 Get-ChildItem Cert:\LocalMachine\My 尋找您的憑證指紋

    4. 更新 ACL,將指紋取代為您自己的指紋,並將下列程式碼中的 gMSA 帳戶取代為 Initialize-HgsServer 的警告文字中所列的帳戶。

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    如果您使用 HSM 支援的憑證,或第三方金鑰儲存提供者中儲存的憑證,您可能不適用這些步驟。 請參閱金鑰儲存提供者的文件,以了解如何管理私密金鑰的權限。 在某些情況下,安裝憑證時,沒有授權或不會提供授權給整部電腦。

  5. 介紹完畢 在生產環境中,您應該繼續將其他 HGS 節點新增至叢集

後續步驟