Initialisieren des HGS-Clusters mit dem AD-Modus in einer bestehenden geschützten Gesamtstruktur
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Wichtig
Admin-basierter Nachweis (AD-Modus) ist ab Windows Server 2019 veraltet. Konfigurieren Sie für Umgebungen, in denen der TPM-Nachweis nicht möglich ist, den Hostschlüssel-Nachweis. Der Hostschlüssel-Nachweis bietet eine ähnliche Sicherheit wie im AD-Modus und ist einfacher einzurichten.
Active Directory Domain Services wird auf dem Rechner installiert, sollte aber nicht konfiguriert werden.
Suchen Sie Ihre Host-Überwachungsdienst-Zertifikate. Sie benötigen ein Signaturzertifikat und ein Verschlüsselungszertifikat, um den Host-Überwachungsdienst-Cluster zu initialisieren. Am einfachsten lassen sich Zertifikate für den Host-Überwachungsdienst bereitstellen, indem für jedes Zertifikat eine kennwortgeschützte PFX-Datei erstellt wird, die sowohl die öffentlichen als auch privaten Schlüssel enthält. Wenn Sie HSM-gesicherte Schlüssel oder andere nicht exportierbare Zertifikate verwenden, stellen Sie sicher, dass das Zertifikat im Zertifikatspeicher des lokalen Computers installiert ist, bevor Sie fortfahren. Weitere Informationen zu den zu verwendenden Zertifikaten finden Sie unter Abrufen von Zertifikaten für den Host-Überwachungsdienst.
Bevor Sie fortfahren, müssen Sie Ihre Cluster-Objekte für den Host-Überwachungsdienst vorab bereitgestellt und dem angemeldeten Benutzer den Vollzugriff auf die VCO- und CNO-Objekte in Active Directory gewährt haben.
Der Name des virtuellen Computers muss an den -HgsServiceName-Parameter und der Clustername an den -ClusterName-Parameter übergeben werden.
Tipp
Überprüfen Sie sorgfältig Ihre AD-Domänencontroller, um sicherzustellen, dass Ihre Cluster-Objekte auf alle DCs repliziert wurden, bevor Sie fortfahren.
Wenn Sie PFX-basierte Zertifikate verwenden, führen Sie die folgenden Befehle auf dem Host-Überwachungsdienst-Server aus:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
Wenn Sie Zertifikate verwenden, die auf dem lokalen Computer installiert sind (z. B. HSM-gesicherte Zertifikate und nicht exportierbare Zertifikate), verwenden Sie stattdessen den -SigningCertificateThumbprint- und -EncryptionCertificateThumbprint- Parameter.