Konfigurieren zusätzlicher Knoten des Host-Überwachungsdiensts

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In Produktionsumgebungen sollte der Host-Überwachungsdienst in einem Hochverfügbarkeitscluster eingerichtet werden, um sicherzustellen, dass abgeschirmte VMs auch dann eingeschaltet werden können, wenn ein Knoten des Host-Überwachungsdiensts ausfällt. Für Testumgebungen sind sekundäre Knoten des Host-Überwachungsdiensts nicht erforderlich.

Verwenden Sie eine dieser Methoden, um Knoten des Host-Überwachungsdiensts Ihrer Umgebung entsprechend hinzuzufügen.

Environment Option 1: Option 2:
Neue Gesamtstruktur des Host-Überwachungsdiensts Verwenden von PFX-Dateien Verwenden von Zertifikatfingerabdrücken
Vorhandene Bastiongesamtstruktur Verwenden von PFX-Dateien Verwenden von Zertifikatfingerabdrücken

Voraussetzungen

Stellen Sie sicher, dass jeder zusätzliche Knoten folgende Voraussetzungen erfüllt:

  • Er verfügt über dieselbe Hardware- und Softwarekonfiguration wie der primäre Knoten.
  • Er ist mit demselben Netzwerk wie die anderen Server des Host-Überwachungsdiensts verbunden.
  • Er kann die anderen Server des Host-Überwachungsdiensts anhand ihrer DNS-Namen auflösen.

Dedizierte Gesamtstruktur des Host-Überwachungsdiensts mit PFX-Zertifikaten

  1. Höherstufen des Host-Überwachungsdienst-Knotens auf einen Domänencontroller
  2. Initialisieren des Host-Überwachungsdienst-Servers

Höherstufen des Host-Überwachungsdienst-Knotens auf einen Domänencontroller

  1. Führen Sie Install-HgsServer aus, um der Domäne beizutreten und den Knoten auf einen Domänencontroller höherzustufen.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Wenn der Server neu gestartet wird, melden Sie sich mit einem Domänenadministratorkonto an.

Initialisieren des Host-Überwachungsdienst-Servers

Führen Sie den folgenden Befehl aus, um dem vorhandenen Cluster des Host-Überwachungsdiensts beizutreten.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Dedizierte Gesamtstruktur des Host-Überwachungsdiensts mit Zertifikatfingerabdrücken

  1. Höherstufen des Host-Überwachungsdienst-Knotens auf einen Domänencontroller
  2. Initialisieren des Host-Überwachungsdienst-Servers
  3. Installieren der privaten Schlüssel für die Zertifikate

Höherstufen des Host-Überwachungsdienst-Knotens auf einen Domänencontroller

  1. Führen Sie Install-HgsServer aus, um der Domäne beizutreten und den Knoten auf einen Domänencontroller höherzustufen.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Wenn der Server neu gestartet wird, melden Sie sich mit einem Domänenadministratorkonto an.

Initialisieren des Host-Überwachungsdienst-Servers

Führen Sie den folgenden Befehl aus, um dem vorhandenen Cluster des Host-Überwachungsdiensts beizutreten.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Installieren der privaten Schlüssel für die Zertifikate

Wenn Sie keine PFX-Datei für die Verschlüsselung oder das Signieren von Zertifikaten auf dem ersten Server des Host-Überwachungsdiensts bereitgestellt haben, wird nur der öffentliche Schlüssel auf diesen Server repliziert. Sie müssen den privaten Schlüssel installieren, indem Sie eine PFX-Datei mit dem privaten Schlüssel in den lokalen Zertifikatspeicher importieren oder (bei durch HSM geschützten Schlüsseln) den Schlüsselspeicheranbieter konfigurieren und diesen gemäß den Anweisungen des HSM-Herstellers Ihren Zertifikaten zuordnen.

Vorhandene Bastiongesamtstruktur mit PFX-Zertifikaten

  1. Einbinden des Knotens in die bestehende Domäne
  2. Erteilen von Rechten zum Abrufen eines gMSA-Kennworts und zum Ausführen von „Install-ADServiceAccount“ an den Computer
  3. Initialisieren des Host-Überwachungsdienst-Servers

Einbinden des Knotens in die bestehende Domäne

  1. Stellen Sie sicher, dass mindestens ein Netzwerkadapter auf dem Knoten für die Verwendung des DNS-Servers auf Ihrem ersten Server des Host-Überwachungsdiensts konfiguriert ist.
  2. Binden Sie den neuen Knoten des Host-Überwachungsdiensts in die Domäne Ihres ersten Knotens des Host-Überwachungsdiensts ein.

Erteilen von Rechten zum Abrufen eines gMSA-Kennworts und zum Ausführen von „Install-ADServiceAccount“ an den Computer

  1. Bitten Sie einen/eine Verzeichnisdienstadministrator*in, das Computerkonto für Ihren neuen Knoten der Sicherheitsgruppe mit all Ihren Host-Überwachungsdienst-Servern hinzuzufügen, die dazu berechtigt ist, diesen Servern die Verwendung des gMSA-Kontos für den Host-Überwachungsdienst zu ermöglichen.

  2. Starten Sie den neuen Knoten neu, um ein neues Kerberos-Ticket zu erhalten, das die Mitgliedschaft des Computers in dieser Sicherheitsgruppe enthält. Melden Sie sich nach Abschluss des Neustarts mit einer Domänenidentität an, die zur lokalen Administratorgruppe auf dem Computer gehört.

  3. Installieren Sie das verwaltete Dienstkonto der Host-Überwachungsdienst-Gruppe auf dem Knoten.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Initialisieren des Host-Überwachungsdienst-Servers

Führen Sie den folgenden Befehl aus, um dem vorhandenen Cluster des Host-Überwachungsdiensts beizutreten.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Vorhandene Bastiongesamtstruktur mit Zertifikatfingerabdrücken

  1. Einbinden des Knotens in die bestehende Domäne
  2. Erteilen von Rechten zum Abrufen eines gMSA-Kennworts und zum Ausführen von „Install-ADServiceAccount“ an den Computer
  3. Initialisieren des Host-Überwachungsdienst-Servers
  4. Installieren der privaten Schlüssel für die Zertifikate

Einbinden des Knotens in die bestehende Domäne

  1. Stellen Sie sicher, dass mindestens ein Netzwerkadapter auf dem Knoten für die Verwendung des DNS-Servers auf Ihrem ersten Server des Host-Überwachungsdiensts konfiguriert ist.
  2. Binden Sie den neuen Knoten des Host-Überwachungsdiensts in die Domäne Ihres ersten Knotens des Host-Überwachungsdiensts ein.

Erteilen von Rechten zum Abrufen eines gMSA-Kennworts und zum Ausführen von „Install-ADServiceAccount“ an den Computer

  1. Bitten Sie einen/eine Verzeichnisdienstadministrator*in, das Computerkonto für Ihren neuen Knoten der Sicherheitsgruppe mit all Ihren Host-Überwachungsdienst-Servern hinzuzufügen, die dazu berechtigt ist, diesen Servern die Verwendung des gMSA-Kontos für den Host-Überwachungsdienst zu ermöglichen.

  2. Starten Sie den neuen Knoten neu, um ein neues Kerberos-Ticket zu erhalten, das die Mitgliedschaft des Computers in dieser Sicherheitsgruppe enthält. Melden Sie sich nach Abschluss des Neustarts mit einer Domänenidentität an, die zur lokalen Administratorgruppe auf dem Computer gehört.

  3. Installieren Sie das verwaltete Dienstkonto der Host-Überwachungsdienst-Gruppe auf dem Knoten.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Initialisieren des Host-Überwachungsdienst-Servers

Führen Sie den folgenden Befehl aus, um dem vorhandenen Cluster des Host-Überwachungsdiensts beizutreten.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Es dauert bis zu 10 Minuten, bis die Verschlüsselungs- und Signaturzertifikate vom ersten Server des Host-Überwachungsdiensts auf diesen Knoten repliziert wurden.

Installieren der privaten Schlüssel für die Zertifikate

Wenn Sie keine PFX-Datei für die Verschlüsselung oder das Signieren von Zertifikaten auf dem ersten Server des Host-Überwachungsdiensts bereitgestellt haben, wird nur der öffentliche Schlüssel auf diesen Server repliziert. Sie müssen den privaten Schlüssel installieren, indem Sie eine PFX-Datei mit dem privaten Schlüssel in den lokalen Zertifikatspeicher importieren oder (bei durch HSM geschützten Schlüsseln) den Schlüsselspeicheranbieter konfigurieren und diesen gemäß den Anweisungen des HSM-Herstellers Ihren Zertifikaten zuordnen.

Konfigurieren des Host-Überwachungsdiensts für die HTTPS-Kommunikation

Wenn Sie Endpunkte des Host-Überwachungsdiensts mit einem SSL-Zertifikat schützen möchten, müssen Sie das SSL-Zertifikat auf diesem Knoten sowie auf jedem anderen Knoten im Host-Überwachungsdienst-Cluster konfigurieren. SSL-Zertifikate werden nicht vom Host-Überwachungsdienst repliziert und müssen nicht für jeden Knoten dieselben Schlüssel verwenden. (Daher können Sie für jeden Knoten unterschiedliche SSL-Zertifikate einsetzen.)

Stellen Sie beim Anfordern eines SSL-Zertifikats sicher, dass der vollqualifizierte Domänenname des Clusters (wie in der Ausgabe von Get-HgsServer gezeigt) entweder der allgemeine Antragstellername des Zertifikats ist oder als alternativer DNS-Name des Antragstellers einbezogen wird. Wenn Sie ein Zertifikat von Ihrer Zertifizierungsstelle erhalten haben, können Sie den Host-Überwachungsdienst mit Set-HgsServer für die Verwendung konfigurieren.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Wenn Sie das Zertifikat bereits im lokalen Zertifikatspeicher installiert haben und per Fingerabdruck darauf verweisen möchten, führen Sie stattdessen den folgenden Befehl aus:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

Der Host-Überwachungsdienst macht immer sowohl den HTTP- als auch den HTTPS-Port für die Kommunikation verfügbar. Das Entfernen der HTTP-Bindung in IIS wird nicht unterstützt. Sie können jedoch die Windows-Firewall oder andere Netzwerkfirewalltechnologien verwenden, um die Kommunikation über Port 80 zu blockieren.

Außerbetriebnahme eines Host-Überwachungsdienst-Knotens

So nehmen Sie einen Knoten des Host-Überwachungsdiensts außer Betrieb

  1. Löschen Sie die Konfiguration des Host-Überwachungsdiensts.

    Dadurch wird der Knoten aus dem Cluster entfernt, und die Nachweis- und Schlüsselschutzdienste werden deinstalliert. Wenn es sich um den letzten Knoten im Cluster handelt, wird -Force benötigt, um zu signalisieren, dass Sie den letzten Knoten entfernen und den Cluster in Active Directory zerstören möchten.

    Wenn der Host-Überwachungsdienst in einer Bastiongesamtstruktur (Standard) bereitgestellt wird, ist dies der einzige Schritt. Optional können Sie die Einbindung des Computers in die Domäne aufheben und das gMSA-Konto aus Active Directory entfernen.

  2. Wenn der Host-Überwachungsdienst eine eigene Domäne erstellt hat, sollten Sie auch den Host-Überwachungsdienst deinstallieren, um die Verbindung mit der Domäne aufzuheben und den Domänencontroller tieferzustufen.