Configuración de nodos de HGS adicionales

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En entornos de producción, HGS debe configurarse en un clúster de alta disponibilidad para garantizar que las máquinas virtuales blindadas se puedan encender incluso si un nodo HGS deja de funcionar. En entornos de prueba, no se requieren nodos de HGS secundarios.

Use uno de estos métodos para agregar nodos de HGS, el que resulte más adecuado para su entorno.

Entorno Opción 1 Opción 2
Nuevo bosque de HGS Uso de archivos PFX Uso de huellas digitales de certificados
Bosque bastión existente Uso de archivos PFX Uso de huellas digitales de certificados

Requisitos previos

Asegúrese de que cada nodo adicional:

  • Tiene la misma configuración de hardware y software que el nodo principal
  • Está conectado a la misma red que los demás servidores de HGS.
  • Puede resolver los otros servidores de HGS mediante sus nombres DNS.

Bosque de HGS dedicado con certificados PFX

  1. Promocione el nodo de HGS a un controlador de dominio.
  2. Inicialice el servidor de HGS.

Promocione el nodo de HGS a un controlador de dominio.

  1. Ejecute Install-HgsServer para unir el dominio y promocionar el nodo a un controlador de dominio.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Cuando se reinicie el servidor, inicie sesión con una cuenta de administrador de dominio.

Inicialice el servidor de HGS.

Ejecute el siguiente comando para unir el clúster de HGS existente.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Bosque de HGS dedicado con huellas digitales de certificado

  1. Promocione el nodo de HGS a un controlador de dominio.
  2. Inicialice el servidor de HGS.
  3. Instale las claves privadas de los certificados.

Promocione el nodo de HGS a un controlador de dominio.

  1. Ejecute Install-HgsServer para unir el dominio y promocionar el nodo a un controlador de dominio.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Cuando se reinicie el servidor, inicie sesión con una cuenta de administrador de dominio.

Inicialice el servidor de HGS.

Ejecute el siguiente comando para unir el clúster de HGS existente.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Instale las claves privadas de los certificados.

Si no proporcionó un archivo PFX para el cifrado o los certificados de firma en el primer servidor de HGS, solo se replicará la clave pública en este servidor. Tendrá que instalar la clave privada importando un archivo PFX que contenga la clave privada en el almacén de certificados local o, en el caso de las claves protegidas con HSM, configurando el proveedor de almacenamiento de claves y asociándolo a los certificados según las instrucciones del fabricante de HSM.

Bosque bastión existente con certificados PFX

  1. Una el nodo al dominio existente.
  2. Conceda los derechos de máquina para recuperar una contraseña de gMSA y ejecute Install-ADServiceAccount.
  3. Inicialice el servidor de HGS.

Una el nodo al dominio existente.

  1. Asegúrese de que al menos una NIC del nodo esté configurada para usar el servidor DNS en el primer servidor de HGS.
  2. Una el nuevo nodo de HGS al mismo dominio que el primer nodo HGS.

Conceda los derechos de máquina para recuperar una contraseña de gMSA y ejecute Install-ADServiceAccount.

  1. Pida a un administrador de servicios de directorio que agregue la cuenta de equipo de su nuevo nodo al grupo de seguridad que contiene todos sus servidores de HGS con permiso para permitir que esos servidores utilicen la cuenta gMSA de HGS.

  2. Reinicie el nuevo nodo para obtener un nuevo vale de Kerberos que incluya la pertenencia del equipo a ese grupo de seguridad. Una vez completado el reinicio, inicie sesión con una identidad de dominio que pertenezca al grupo de administradores locales del equipo.

  3. Instale la cuenta de servicio administrada del grupo de HGS en el nodo.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Inicialice el servidor de HGS.

Ejecute el siguiente comando para unir el clúster de HGS existente.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Bosque bastión existente con huellas digitales de certificado

  1. Una el nodo al dominio existente.
  2. Conceda los derechos de máquina para recuperar una contraseña de gMSA y ejecute Install-ADServiceAccount.
  3. Inicialice el servidor de HGS.
  4. Instale las claves privadas de los certificados.

Una el nodo al dominio existente.

  1. Asegúrese de que al menos una NIC del nodo esté configurada para usar el servidor DNS en el primer servidor de HGS.
  2. Una el nuevo nodo de HGS al mismo dominio que el primer nodo HGS.

Conceda los derechos de máquina para recuperar una contraseña de gMSA y ejecute Install-ADServiceAccount.

  1. Pida a un administrador de servicios de directorio que agregue la cuenta de equipo de su nuevo nodo al grupo de seguridad que contiene todos sus servidores de HGS con permiso para permitir que esos servidores utilicen la cuenta gMSA de HGS.

  2. Reinicie el nuevo nodo para obtener un nuevo vale de Kerberos que incluya la pertenencia del equipo a ese grupo de seguridad. Una vez completado el reinicio, inicie sesión con una identidad de dominio que pertenezca al grupo de administradores locales del equipo.

  3. Instale la cuenta de servicio administrada del grupo de HGS en el nodo.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Inicialice el servidor de HGS.

Ejecute el siguiente comando para unir el clúster de HGS existente.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Los certificados de cifrado y firma del primer servidor de HGS pueden tardar hasta 10 minutos en replicarse en este nodo.

Instale las claves privadas de los certificados.

Si no proporcionó un archivo PFX para el cifrado o los certificados de firma en el primer servidor de HGS, solo se replicará la clave pública en este servidor. Tendrá que instalar la clave privada importando un archivo PFX que contenga la clave privada en el almacén de certificados local o, en el caso de las claves protegidas con HSM, configurando el proveedor de almacenamiento de claves y asociándolo a los certificados según las instrucciones del fabricante de HSM.

Configuración de HGS para comunicaciones HTTPS

Si desea proteger los puntos de conexión de HGS con un certificado SSL, debe configurar el certificado SSL en este nodo, así como todos los demás nodos del clúster de HGS. HGS no replica los certificados SSL y no es necesario usar las mismas claves para cada nodo (es decir, puede tener certificados SSL diferentes para cada nodo).

Al solicitar un certificado SSL, asegúrese de que el nombre de dominio completo del clúster (como se muestra en la salida de Get-HgsServer) es el nombre común del firmante del certificado o se incluye como nombre DNS alternativo del firmante. Cuando haya obtenido un certificado de la entidad de certificación, puede configurar HGS para usarlo con Set-HgsServer.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Si ya instaló el certificado en el almacén de certificados local y quiere hacer referencia a él mediante huella digital, ejecute el siguiente comando en su lugar:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS siempre expondrá los puertos HTTP y HTTPS para la comunicación. No se admite eliminar el enlace HTTP en IIS, pero puede usar firewall de Windows u otras tecnologías de firewall de red para bloquear las comunicaciones a través del puerto 80.

Retirada de un nodo de HGS

Para retirar un nodo de HGS

  1. Borre la configuración de HGS.

    Esto elimina el nodo del clúster y desinstala los servicios de atestación y protección de claves. Si es el último nodo del clúster, se necesita -Force para indicar que desea eliminar el último nodo y destruir el clúster en Active Directory.

    Si se implementa HGS en un bosque bastión (valor predeterminado), ese es el único paso. Opcionalmente, puede separar la máquina del dominio y eliminar la cuenta de gMSA de Active Directory.

  2. Si HGS creó su propio dominio, también debe desinstalar HGS para separar el dominio y disminuir el nivel del controlador de dominio.