Mengonfigurasi simpul HGS tambahan
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Di lingkungan produksi, HGS harus disiapkan dalam kluster ketersediaan tinggi untuk memastikan bahwa Mesin Virtual yang terlindungi dapat diaktifkan bahkan jika node HGS tidak aktif. Untuk lingkungan pengujian, simpul HGS sekunder tidak diperlukan.
Gunakan salah satu metode ini untuk menambahkan simpul HGS, yang paling cocok untuk lingkungan Anda.
Lingkungan | Pilihan 1 | Opsi 2 |
---|---|---|
Forest HGS baru | Menggunakan file PFX | Menggunakan thumbprint sertifikat |
Hutan bastion yang ada | Menggunakan file PFX | Menggunakan thumbprint sertifikat |
Prasyarat
Pastikan bahwa setiap simpul tambahan:
- Memiliki konfigurasi perangkat keras dan perangkat lunak yang sama dengan simpul utama
- Terhubung ke jaringan yang sama dengan server HGS lainnya
- Dapat mengatasi server HGS lainnya dengan nama DNS mereka
Forest HGS khusus dengan sertifikat PFX
- Mempromosikan simpul HGS ke pengendali domain
- Menginisialisasi server HGS
Mempromosikan simpul HGS ke pengendali domain
Jalankan Install-HgsServer untuk bergabung dengan domain dan promosikan simpul ke pengendali domain.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
Saat server memulai ulang, masuk dengan akun administrator domain.
Menginisialisasi server HGS
Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Forest HGS khusus dengan thumbprint sertifikat
- Mempromosikan simpul HGS ke pengendali domain
- Menginisialisasi server HGS
- Menginstal kunci privat untuk sertifikat
Mempromosikan simpul HGS ke pengendali domain
Jalankan Install-HgsServer untuk bergabung dengan domain dan promosikan simpul ke pengendali domain.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
Saat server memulai ulang, masuk dengan akun administrator domain.
Menginisialisasi server HGS
Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Menginstal kunci privat untuk sertifikat
Jika Anda tidak menyediakan file PFX untuk enkripsi atau sertifikat penandatanganan di server HGS pertama, hanya kunci publik yang akan direplikasi ke server ini. Anda harus menginstal kunci privat dengan mengimpor file PFX yang berisi kunci privat ke penyimpanan sertifikat lokal atau, dalam kasus kunci yang didukung HSM, mengonfigurasi Penyedia Penyimpanan Kunci dan mengaitkannya dengan sertifikat Anda sesuai instruksi produsen HSM Anda.
Hutan bastion yang ada dengan sertifikat PFX
- Menggabungkan simpul ke domain yang sudah ada
- Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount
- Menginisialisasi server HGS
Menggabungkan simpul ke domain yang sudah ada
- Pastikan setidaknya satu NIC pada simpul dikonfigurasi untuk menggunakan server DNS di server HGS pertama Anda.
- Gabungkan simpul HGS baru ke domain yang sama dengan simpul HGS pertama Anda.
Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount
Minta admin layanan direktori menambahkan akun komputer untuk simpul baru Anda ke grup keamanan yang berisi semua server HGS Anda yang diizinkan untuk memungkinkan server tersebut menggunakan akun HGS gMSA.
Reboot simpul baru untuk mendapatkan tiket Kerberos baru yang menyertakan keanggotaan komputer dalam grup keamanan tersebut. Setelah boot ulang selesai, masuk dengan identitas domain milik grup administrator lokal di komputer.
Instal akun layanan terkelola grup HGS pada simpul.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Menginisialisasi server HGS
Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Forest bastion yang ada dengan thumbprint sertifikat
- Menggabungkan simpul ke domain yang sudah ada
- Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount
- Menginisialisasi server HGS
- Menginstal kunci privat untuk sertifikat
Menggabungkan simpul ke domain yang sudah ada
- Pastikan setidaknya satu NIC pada simpul dikonfigurasi untuk menggunakan server DNS di server HGS pertama Anda.
- Gabungkan simpul HGS baru ke domain yang sama dengan simpul HGS pertama Anda.
Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount
Minta admin layanan direktori menambahkan akun komputer untuk simpul baru Anda ke grup keamanan yang berisi semua server HGS Anda yang diizinkan untuk memungkinkan server tersebut menggunakan akun HGS gMSA.
Reboot simpul baru untuk mendapatkan tiket Kerberos baru yang menyertakan keanggotaan komputer dalam grup keamanan tersebut. Setelah boot ulang selesai, masuk dengan identitas domain milik grup administrator lokal di komputer.
Instal akun layanan terkelola grup HGS pada simpul.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Menginisialisasi server HGS
Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Diperlukan waktu hingga 10 menit untuk enkripsi dan penandatanganan sertifikat dari server HGS pertama untuk mereplikasi ke simpul ini.
Menginstal kunci privat untuk sertifikat
Jika Anda tidak menyediakan file PFX untuk enkripsi atau sertifikat penandatanganan di server HGS pertama, hanya kunci publik yang akan direplikasi ke server ini. Anda harus menginstal kunci privat dengan mengimpor file PFX yang berisi kunci privat ke penyimpanan sertifikat lokal atau, dalam kasus kunci yang didukung HSM, mengonfigurasi Penyedia Penyimpanan Kunci dan mengaitkannya dengan sertifikat Anda sesuai instruksi produsen HSM Anda.
Mengonfigurasi HGS untuk komunikasi HTTPS
Jika Anda ingin mengamankan titik akhir HGS dengan sertifikat SSL, Anda harus mengonfigurasi sertifikat SSL pada simpul ini, serta setiap node lain di kluster HGS. Sertifikat SSL tidak direplikasi oleh HGS dan tidak perlu menggunakan kunci yang sama untuk setiap simpul (yaitu Anda dapat memiliki sertifikasi SSL yang berbeda untuk setiap simpul).
Saat meminta sertifikasi SSL, pastikan nama domain kluster yang sepenuhnya memenuhi syarat (seperti yang ditunjukkan dalam output Get-HgsServer
) adalah nama umum subjek sertifikasi, atau disertakan sebagai nama DNS alternatif subjek.
Setelah mendapatkan sertifikat dari otoritas sertifikat, Anda dapat mengonfigurasi HGS untuk menggunakannya dengan Set-HgsServer.
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
Jika Anda sudah menginstal sertifikat ke penyimpanan sertifikat lokal dan ingin mereferensikannya dengan thumbprint, jalankan perintah berikut sebagai gantinya:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
HGS akan selalu mengekspos port HTTP dan HTTPS untuk komunikasi. Tidak didukung untuk menghapus pengikatan HTTP di IIS, namun Anda dapat menggunakan Windows Firewall atau teknologi firewall jaringan lainnya untuk memblokir komunikasi melalui port 80.
Menonaktifkan simpul HGS
Untuk menonaktifkan simpul HGS:
Hapus konfigurasi HGS.
Ini menghapus simpul dari kluster dan menghapus instalasi layanan pengesahan dan perlindungan kunci. Jika itu adalah simpul terakhir dalam kluster, -Force diperlukan untuk menandakan Anda ingin menghapus simpul terakhir dan menghancurkan kluster di Direktori Aktif.
Jika HGS disebarkan di forest bastion (default), itu adalah satu-satunya langkah. Anda dapat secara opsional membatalkan bergabung dengan komputer dari domain dan menghapus akun gMSA dari Direktori Aktif.
Jika HGS membuat domainnya sendiri, Anda juga harus menghapus instalan HGS untuk membatalkan bergabung dengan domain dan menurunkan pengontrol domain.