Configurer des nœuds SGH supplémentaires

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Dans les environnements de production, SGH doit être configuré dans un cluster à haute disponibilité pour s’assurer que les machines virtuelles dotées d’une protection maximale peuvent être mises sous tension, même en cas de défaillance d’un nœud SGH. Pour les environnements de test, les nœuds SGH secondaires ne sont pas nécessaires.

Utilisez l’une de ces méthodes pour ajouter des nœuds SGH, en fonction de ce qui convient le mieux à votre environnement.

Environnement Option 1 : Option 2 :
Nouvelle forêt SGH Utilisation de fichiers PFX Utilisation d’empreintes numériques de certificat
Forêt bastion existante Utilisation de fichiers PFX Utilisation d’empreintes numériques de certificat

Prérequis

Vérifiez que chaque nœud supplémentaire :

  • A la même configuration matérielle et logicielle que le nœud principal
  • Est connecté au même réseau que les autres serveurs SGH
  • Peut résoudre les autres serveurs SGH en fonction de leurs noms DNS

Forêt SGH dédiée avec des certificats PFX

  1. Promouvoir le nœud SGH en contrôleur de domaine
  2. Initialiser le serveur SGH

Promouvoir le nœud SGH en contrôleur de domaine

  1. Exécutez Install-HgsServer pour joindre le domaine, et promouvoir le nœud en contrôleur de domaine.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Une fois que le serveur a redémarré, connectez-vous avec un compte Administrateur de domaine.

Initialiser le serveur SGH

Exécutez la commande suivante pour rejoindre le cluster SGH existant.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Forêt SGH dédiée avec empreintes numériques de certificat

  1. Promouvoir le nœud SGH en contrôleur de domaine
  2. Initialiser le serveur SGH
  3. Installer les clés privées des certificats

Promouvoir le nœud SGH en contrôleur de domaine

  1. Exécutez Install-HgsServer pour joindre le domaine, et promouvoir le nœud en contrôleur de domaine.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Une fois que le serveur a redémarré, connectez-vous avec un compte Administrateur de domaine.

Initialiser le serveur SGH

Exécutez la commande suivante pour rejoindre le cluster SGH existant.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Installer les clés privées des certificats

Si vous n’avez pas fourni de fichier PFX pour les certificats de chiffrement ou de signature sur le premier serveur SGH, seule la clé publique est répliquée sur ce serveur. Vous devez installer la clé privée en important un fichier PFX contenant la clé privée dans le magasin de certificats local ou, dans le cas des clés basées sur un module HSM, en configurant le fournisseur de stockage de clés et en l’associant à vos certificats conformément aux instructions du fabricant de votre module HSM.

Forêt bastion existante avec des certificats PFX

  1. Joindre le nœud au domaine existant
  2. Octroyer à la machine les droits nécessaires pour récupérer le mot de passe gMSA et exécuter Install-ADServiceAccount
  3. Initialiser le serveur SGH

Joindre le nœud au domaine existant

  1. Vérifiez qu’au moins une carte d’interface réseau sur le nœud est configurée pour utiliser le serveur DNS sur votre premier serveur SGH.
  2. Joignez le nouveau nœud SGH au même domaine que votre premier nœud SGH.

Octroyer à la machine les droits nécessaires pour récupérer le mot de passe gMSA et exécuter Install-ADServiceAccount

  1. Demandez à un administrateur des services d’annuaire d’ajouter le compte d’ordinateur de votre nouveau nœud au groupe de sécurité contenant tous les serveurs SGH autorisés à permettre à ces serveurs d’utiliser le compte gMSA SGH.

  2. Redémarrez le nouveau nœud pour obtenir un nouveau ticket Kerberos qui inclut l’appartenance de l’ordinateur à ce groupe de sécurité. Une fois le redémarrage effectué, connectez-vous avec une identité de domaine appartenant au groupe Administrateurs local de l’ordinateur.

  3. Installez le compte de service administré par le groupe SGH sur le nœud.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Initialiser le serveur SGH

Exécutez la commande suivante pour rejoindre le cluster SGH existant.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Forêt bastion existante avec des empreintes numériques de certificat

  1. Joindre le nœud au domaine existant
  2. Octroyer à la machine les droits nécessaires pour récupérer le mot de passe gMSA et exécuter Install-ADServiceAccount
  3. Initialiser le serveur SGH
  4. Installer les clés privées des certificats

Joindre le nœud au domaine existant

  1. Vérifiez qu’au moins une carte d’interface réseau sur le nœud est configurée pour utiliser le serveur DNS sur votre premier serveur SGH.
  2. Joignez le nouveau nœud SGH au même domaine que votre premier nœud SGH.

Octroyer à la machine les droits nécessaires pour récupérer le mot de passe gMSA et exécuter Install-ADServiceAccount

  1. Demandez à un administrateur des services d’annuaire d’ajouter le compte d’ordinateur de votre nouveau nœud au groupe de sécurité contenant tous les serveurs SGH autorisés à permettre à ces serveurs d’utiliser le compte gMSA SGH.

  2. Redémarrez le nouveau nœud pour obtenir un nouveau ticket Kerberos qui inclut l’appartenance de l’ordinateur à ce groupe de sécurité. Une fois le redémarrage effectué, connectez-vous avec une identité de domaine appartenant au groupe Administrateurs local de l’ordinateur.

  3. Installez le compte de service administré par le groupe SGH sur le nœud.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Initialiser le serveur SGH

Exécutez la commande suivante pour rejoindre le cluster SGH existant.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

La réplication des certificats de chiffrement et de signature du premier serveur SGH sur ce nœud peut prendre jusqu’à 10 minutes.

Installer les clés privées des certificats

Si vous n’avez pas fourni de fichier PFX pour les certificats de chiffrement ou de signature sur le premier serveur SGH, seule la clé publique est répliquée sur ce serveur. Vous devez installer la clé privée en important un fichier PFX contenant la clé privée dans le magasin de certificats local ou, dans le cas des clés basées sur un module HSM, en configurant le fournisseur de stockage de clés et en l’associant à vos certificats conformément aux instructions du fabricant de votre module HSM.

Configurer SGH pour les communications HTTPS

Si vous souhaitez sécuriser des points de terminaison SGH avec un certificat SSL, vous devez configurer le certificat SSL sur ce nœud ainsi que sur tous les autres nœuds du cluster SGH. Les certificats SSL ne sont pas répliqués par SGH et n’ont pas besoin d’utiliser les mêmes clés pour chaque nœud (autrement dit, vous pouvez avoir différents certificats SSL pour chaque nœud).

Quand vous demandez un certificat SSL, vérifiez que le nom de domaine complet du cluster (comme le montre la sortie de Get-HgsServer) correspond au nom commun de sujet du certificat, ou qu’il est inclus en tant qu’autre nom DNS de sujet. Une fois que vous avez obtenu un certificat auprès de votre autorité de certification, vous pouvez configurer SGH pour l’utiliser avec Set-HgsServer.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Si vous avez déjà installé le certificat dans le magasin de certificats local et si vous souhaitez le référencer en fonction de l’empreinte numérique, exécutez la commande suivante à la place :

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

SGH expose toujours les ports HTTP et HTTPS pour la communication. La suppression de la liaison HTTP dans IIS n’est pas prise en charge. Toutefois, vous pouvez utiliser le Pare-feu Windows ou d’autres technologies de pare-feu réseau pour bloquer les communications sur le port 80.

Désactiver un nœud SGH

Pour désactiver un nœud SGH :

  1. Effacez la configuration SGH.

    Cela permet de supprimer le nœud du cluster, et de désinstaller les services d’attestation et de protection de clé. S’il s’agit du dernier nœud du cluster, vous devez utiliser l’option -Force pour indiquer que vous souhaitez supprimer le dernier nœud et détruire le cluster dans Active Directory.

    Si SGH est déployé dans une forêt bastion (par défaut), il s’agit de la seule étape. Vous pouvez éventuellement annuler la jonction de la machine au domaine, et supprimer le compte gMSA d’Active Directory.

  2. Si SGH a créé son propre domaine, vous devez également désinstaller SGH pour annuler la jonction au domaine et rétrograder le contrôleur de domaine.