Initialisieren des HGS-Clusters mithilfe des Schlüsselmodus in einer vorhandenen Bastion-Gesamtstruktur

Gilt für: Windows Server 2022, Windows Server 2019

Active Directory Domain Services wird auf dem Computer installiert, sollte jedoch nicht konfiguriert bleiben.

Suchen Sie Ihre HGS-Erziehungsberechtigtenzertifikate. Sie benötigen ein Signaturzertifikat und ein Verschlüsselungszertifikat, um den HGS-Cluster zu initialisieren. Die einfachste Möglichkeit zum Bereitstellen von Zertifikaten für HGS besteht darin, eine kennwortgeschützte PFX-Datei für jedes Zertifikat zu erstellen, das sowohl die öffentlichen als auch privaten Schlüssel enthält. Wenn Sie HSM-gesicherte Schlüssel oder andere nicht exportierte Zertifikate verwenden, stellen Sie sicher, dass das Zertifikat im Zertifikatspeicher des lokalen Computers installiert ist, bevor Sie fortfahren. Weitere Informationen zu den zu verwendenden Zertifikaten finden Sie unter Abrufen von Zertifikaten für HGS.

Bevor Sie fortfahren, stellen Sie sicher, dass Sie Ihre Clusterobjekte für den Host Guardian Service vorgestellt haben und dem angemeldeten Benutzer Vollzugriff über die VCO- und CNO-Objekte in Active Directory erteilt haben. Der Name des virtuellen Computerobjekts muss an den -HgsServiceName Parameter übergeben werden, und der Clustername an den -ClusterName Parameter.

Tipp

Überprüfen Sie Ihre AD-Domänencontroller, um sicherzustellen, dass Ihre Clusterobjekte auf alle DCs repliziert wurden, bevor Sie fortfahren.

Wenn Sie PFX-basierte Zertifikate verwenden, führen Sie die folgenden Befehle auf dem HGS-Server aus:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostKey

Wenn Sie Zertifikate verwenden, die auf dem lokalen Computer installiert sind (z. B. HSM-gesicherte Zertifikate und nicht exportierte Zertifikate), verwenden Sie stattdessen die und -EncryptionCertificateThumbprint die -SigningCertificateThumbprint Parameter.