Initialiser le cluster SGH avec le mode AD dans une nouvelle forêt dédiée (par défaut)

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Important

L’attestation approuvée par l’administrateur (mode AD) est déconseillée à compter de Windows Server 2019. Pour les environnements où l’attestation TPM n’est pas possible, configurez l’attestation de clé d’hôte. L’attestation de clé d’hôte fournit une assurance similaire au mode AD et est plus simple à configurer.

  1. Les clients peuvent facilement contacter n’importe quel nœud SGH en utilisant le nom de réseau distribué (DNN) du clustering de basculement. Vous devez choisir un DNN. Ce nom est inscrit dans le service DNS SGH. Par exemple, si vous avez 3 nœuds SGH avec les noms d’hôte HGS01, HGS02 et HGS03, vous pouvez choisir « hgs » ou « HgsCluster » pour le DNN.

  2. Recherchez vos certificats gardiens SGH. Vous avez besoin d’un certificat de signature et d’un certificat de chiffrement pour initialiser le cluster SGH. Le moyen le plus simple de fournir des certificats à SGH est de créer un fichier PFX protégé par mot de passe pour chaque certificat qui contient les clés publiques et privées. Si vous utilisez des clés HSM ou d’autres certificats non exportables, vérifiez que le certificat est installé dans le magasin de certificats de l’ordinateur local avant de continuer. Pour plus d’informations sur les certificats à utiliser, consultez Obtenir des certificats pour SGH.

  3. Exécutez Initialize-HgsServer dans une fenêtre PowerShell avec élévation de privilèges sur le premier nœud SGH. La syntaxe de cette applet de commande prend en charge de nombreuses entrées différentes, mais les 2 appels les plus courants sont les suivants :

    • Si vous utilisez des fichiers PFX pour vos certificats de signature et de chiffrement, exécutez les commandes suivantes :

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory

    • Si vous utilisez des certificats non exportables installés dans le magasin de certificats local, exécutez la commande suivante. Si vous ne connaissez pas les empreintes de vos certificats, vous pouvez lister les certificats disponibles en exécutant Get-ChildItem Cert:\LocalMachine\My.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustActiveDirectory

  4. Si vous avez fourni des certificats à SGH en utilisant des empreintes, vous êtes invité à accorder à SGH un accès en lecture sur la clé privée de ces certificats. Sur un serveur avec l’Expérience utilisateur installée, effectuez les étapes suivantes :

    1. Ouvrez le gestionnaire de certificats de l’ordinateur local (certlm.msc)
    2. Recherchez le ou les certificats > cliquez avec le bouton droit > toutes les tâches > gérer les clés privées
    3. Cliquez sur Ajouter
    4. Dans la fenêtre du sélecteur d’objets, cliquez sur Types d’objets et activez Comptes de service
    5. Entrez le nom du compte de service mentionné dans le texte d’avertissement de Initialize-HgsServer
    6. Vérifiez que le gMSA a l’accès « Lire » sur la clé privée.

    Sur Server Core, vous devez télécharger un module PowerShell pour vous aider à définir les autorisations de clé privée.

    1. Exécutez Install-Module GuardedFabricTools sur le serveur SGH s’il a une connectivité Internet, ou exécutez Save-Module GuardedFabricTools sur un autre ordinateur et copiez le module sur le serveur SGH.

    2. Exécutez Import-Module GuardedFabricTools. Cela ajoute des propriétés supplémentaires aux objets de certificat trouvés dans PowerShell.

    3. Recherchez votre empreinte de certificat dans PowerShell avec Get-ChildItem Cert:\LocalMachine\My

    4. Mettez à jour la liste ACL, en remplaçant l’empreinte par la vôtre, et le compte gMSA dans le code ci-dessous par le compte listé dans le texte d’avertissement de Initialize-HgsServer.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
$certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow

    Si vous utilisez des certificats HSM ou des certificats stockés dans un fournisseur de stockage de clés tiers, ces étapes ne s’appliquent peut-être pas. Consultez la documentation de votre fournisseur de stockage de clés pour savoir comment gérer les autorisations sur votre clé privée. Dans certains cas, il n’y a pas d’autorisation ou une autorisation est fournie à tout l’ordinateur quand le certificat est installé.

  5. Et voilà ! Dans un environnement de production, vous devez continuer à ajouter des nœuds SGH supplémentaires à votre cluster.

Étape suivante

Configurer une structure DNS