Freigeben über

Installieren von HGS in einer vorhandenen Bastion-Gesamtstruktur

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Verknüpfen des HGS-Servers mit der Stammdomäne

In einer bestehenden geschützten Gesamtstruktur muss der HGS der Stammdomäne hinzugefügt werden. Verwenden Sie Server-Manager oder Add-Computer, um Ihren HGS-Server mit der Stammdomäne zu verknüpfen.

Hinzufügen der HGS-Serverrolle

Führen Sie alle Befehle in diesem Thema in einer PowerShell-Sitzung mit erhöhten Rechten aus.

Fügen Sie die Rolle „Host-Überwachungsdienst“ hinzu, indem Sie den folgenden Befehl ausführen:

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

Wenn Ihr Rechenzentrum über eine sichere geschützte Gesamtstruktur verfügt, mit der Sie HGS-Knoten verknüpfen möchten, führen Sie die folgenden Schritte aus. Sie können diese Schritte auch verwenden, um zwei oder mehr unabhängige HGS-Cluster zu konfigurieren, die mit derselben Domäne verknüpft sind.

Verknüpfen des HGS-Servers mit der gewünschten Domäne

Verwenden Sie Server-Manager oder Add-Computer, um die HGS-Server mit der gewünschten Domäne zu verknüpfen.

Vorbereiten von Active Directory-Objekten

Erstellen Sie ein gruppenverwaltetes Dienstkonto und zwei Sicherheitsgruppen. Sie können die Clusterobjekte auch vorab vorbereiten, wenn das Konto, mit dem Sie den HGS initialisieren, nicht über die Berechtigung zum Erstellen neuer Computerobjekte in der Domäne verfügt.

Gruppenverwaltetes Dienstkonto

Das gruppenverwaltete Dienstkonto (gMSA) ist die Identität, die vom HGS zum Abrufen und Verwenden seiner Zertifikate verwendet wird. Verwenden Sie New-ADServiceAccount, um ein gMSA zu erstellen. Wenn dies das erste gMSA in der Domäne ist, müssen Sie einen Schlüsselverteilungsdienst-Stammschlüssel hinzufügen.

Jeder HGS-Knoten muss auf das gMSA-Kennwort zugreifen dürfen. Die einfachste Möglichkeit, dies zu konfigurieren, besteht darin, eine Sicherheitsgruppe zu erstellen, die alle Ihre HGS-Knoten enthält, und dieser Sicherheitsgruppe Zugriff zum Abrufen des gMSA-Kennworts zu gewähren.

Nach dem Hinzufügen des HGS-Servers zu einer Sicherheitsgruppe müssen Sie ihn neu starten, um sicherzustellen, dass er seine neue Gruppenmitgliedschaft erhält.

# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
    # Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
    Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}

# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru

# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"

# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes

Das gMSA muss berechtigt sein, Ereignisse im Sicherheitsprotokoll auf jedem HGS-Server zu generieren. Wenn Sie eine Gruppenrichtlinie verwenden, um die Zuweisung von Benutzerrechten zu konfigurieren, stellen Sie sicher, dass dem gMSA-Konto die Berechtigung zum Generieren von Überwachungsereignissen auf Ihren HGS-Servern gewährt wurde.

Hinweis

Gruppenverwaltete Dienstkonten sind ab dem Windows Server 2012 Active Directory-Schema verfügbar. Weitere Informationen finden Sie unter Anforderungen für gruppenverwaltete Dienstkonten.

JEA-Sicherheitsgruppen

Beim Einrichten des HGS wird ein Just Enough Administration (JEA)-PowerShell-Endpunkt so konfiguriert, dass Administratoren den HGS ohne vollständige lokale Administratorrechte verwalten können. Sie müssen JEA nicht verwenden, um den HGS zu verwalten, aber JEA muss trotzdem konfiguriert werden, wenn „Initialize-HgsServer“ ausgeführt wird. Die Konfiguration des JEA-Endpunkts besteht aus der Zuweisung von zwei Sicherheitsgruppen, die Ihre HGS-Administratoren und HGS-Prüfer enthalten. Benutzer, die der Administratorgruppe angehören, können Richtlinien für den HGS hinzufügen, ändern oder entfernen. Prüfer können nur die aktuelle Konfiguration anzeigen.

Erstellen Sie zwei Sicherheitsgruppen für diese JEA-Gruppen unter Verwendung von Active Directory-Verwaltungstools oder New-ADGroup.

New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal

Clusterobjekte

Wenn das Konto, das Sie zum Einrichten des HGS verwenden, nicht über die Berechtigung zum Erstellen neuer Computerobjekte in der Domäne verfügt, müssen Sie die Clusterobjekte vorab vorbereiten. Diese Schritte werden unter Vorabbereitstellen von Clustercomputerobjekten in Active Directory Domain Services erläutert.

Um Ihren ersten HGS-Knoten einzurichten, müssen Sie ein Clusternamenobjekt (Cluster Name Object, CNO) und ein virtuelles Computerobjekt (Virtual Computer Object, VCO) erstellen. Das CNO stellt den Namen des Clusters dar und wird hauptsächlich intern vom Failoverclustering verwendet. Das VCO stellt den HGS-Dienst dar, der sich oberhalb des Clusters befindet, und gibt den Namen an, der beim DNS-Server registriert ist.

Wichtig

Der Benutzer, der Initialize-HgsServer ausführt, benötigt Vollzugriff auf die CNO- und VCO-Objekte in Active Directory.

Lassen Sie einen Active Directory-Administrator die folgenden PowerShell-Befehle ausführen, um das CNO und das VCO schnell vorab bereitzustellen:

# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru

# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru

# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl

# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing

Ausnahmen zur Sicherheitsbaseline

Wenn Sie den HGS in einer stark restriktiven Umgebung bereitstellen, verhindern bestimmte Gruppenrichtlinieneinstellungen möglicherweise, dass der HGS normal ausgeführt wird. Überprüfen Sie ihre Gruppenrichtlinienobjekte auf die folgenden Einstellungen, und befolgen Sie die Anleitung, wenn Sie betroffen sind:

Netzwerkanmeldung

Richtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechtezuweisungen

Richtlinienname: Zugriff vom Netzwerk auf diesen Computer verweigern

Erforderlicher Wert: Stellen Sie sicher, dass der Wert die Netzwerkanmeldungen für alle lokalen Konten nicht blockiert. Sie können jedoch lokale Administratorkonten ruhig blockieren.

Grund: Failoverclustering basiert auf einem lokalen Konto ohne Administratorrechte namens CLIUSR zum Verwalten von Clusterknoten. Das Blockieren der Netzwerkanmeldung für diesen Benutzer verhindert, dass der Cluster ordnungsgemäß ausgeführt wird.

Kerberos-Verschlüsselung

Richtlinienpfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Richtlinienname: Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren

Aktion: Wenn diese Richtlinie konfiguriert ist, müssen Sie das gMSA-Konto mit Set-ADServiceAccount aktualisieren, damit nur die unterstützten Verschlüsselungstypen in dieser Richtlinie verwendet werden. Wenn Ihre Richtlinie beispielsweise nur AES128_HMAC_SHA1 und AES256_HMAC_SHA1 zulässt, sollten Sie Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256 ausführen.

Nächste Schritte