Mengonfigurasi simpul HGS tambahan

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Di lingkungan produksi, HGS harus disiapkan dalam kluster ketersediaan tinggi untuk memastikan bahwa Mesin Virtual yang terlindungi dapat diaktifkan bahkan jika node HGS tidak aktif. Untuk lingkungan pengujian, simpul HGS sekunder tidak diperlukan.

Gunakan salah satu metode ini untuk menambahkan simpul HGS, yang paling cocok untuk lingkungan Anda.

Lingkungan Pilihan 1 Opsi 2
Forest HGS baru Menggunakan file PFX Menggunakan thumbprint sertifikat
Hutan bastion yang ada Menggunakan file PFX Menggunakan thumbprint sertifikat

Prasyarat

Pastikan bahwa setiap simpul tambahan:

  • Memiliki konfigurasi perangkat keras dan perangkat lunak yang sama dengan simpul utama
  • Terhubung ke jaringan yang sama dengan server HGS lainnya
  • Dapat mengatasi server HGS lainnya dengan nama DNS mereka

Forest HGS khusus dengan sertifikat PFX

  1. Mempromosikan simpul HGS ke pengendali domain
  2. Menginisialisasi server HGS

Mempromosikan simpul HGS ke pengendali domain

  1. Jalankan Install-HgsServer untuk bergabung dengan domain dan promosikan simpul ke pengendali domain.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Saat server memulai ulang, masuk dengan akun administrator domain.

Menginisialisasi server HGS

Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Forest HGS khusus dengan thumbprint sertifikat

  1. Mempromosikan simpul HGS ke pengendali domain
  2. Menginisialisasi server HGS
  3. Menginstal kunci privat untuk sertifikat

Mempromosikan simpul HGS ke pengendali domain

  1. Jalankan Install-HgsServer untuk bergabung dengan domain dan promosikan simpul ke pengendali domain.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. Saat server memulai ulang, masuk dengan akun administrator domain.

Menginisialisasi server HGS

Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Menginstal kunci privat untuk sertifikat

Jika Anda tidak menyediakan file PFX untuk enkripsi atau sertifikat penandatanganan di server HGS pertama, hanya kunci publik yang akan direplikasi ke server ini. Anda harus menginstal kunci privat dengan mengimpor file PFX yang berisi kunci privat ke penyimpanan sertifikat lokal atau, dalam kasus kunci yang didukung HSM, mengonfigurasi Penyedia Penyimpanan Kunci dan mengaitkannya dengan sertifikat Anda sesuai instruksi produsen HSM Anda.

Hutan bastion yang ada dengan sertifikat PFX

  1. Menggabungkan simpul ke domain yang sudah ada
  2. Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount
  3. Menginisialisasi server HGS

Menggabungkan simpul ke domain yang sudah ada

  1. Pastikan setidaknya satu NIC pada simpul dikonfigurasi untuk menggunakan server DNS di server HGS pertama Anda.
  2. Gabungkan simpul HGS baru ke domain yang sama dengan simpul HGS pertama Anda.

Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount

  1. Minta admin layanan direktori menambahkan akun komputer untuk simpul baru Anda ke grup keamanan yang berisi semua server HGS Anda yang diizinkan untuk memungkinkan server tersebut menggunakan akun HGS gMSA.

  2. Reboot simpul baru untuk mendapatkan tiket Kerberos baru yang menyertakan keanggotaan komputer dalam grup keamanan tersebut. Setelah boot ulang selesai, masuk dengan identitas domain milik grup administrator lokal di komputer.

  3. Instal akun layanan terkelola grup HGS pada simpul.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Menginisialisasi server HGS

Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Forest bastion yang ada dengan thumbprint sertifikat

  1. Menggabungkan simpul ke domain yang sudah ada
  2. Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount
  3. Menginisialisasi server HGS
  4. Menginstal kunci privat untuk sertifikat

Menggabungkan simpul ke domain yang sudah ada

  1. Pastikan setidaknya satu NIC pada simpul dikonfigurasi untuk menggunakan server DNS di server HGS pertama Anda.
  2. Gabungkan simpul HGS baru ke domain yang sama dengan simpul HGS pertama Anda.

Berikan hak komputer untuk mengambil kata sandi gMSA dan menjalankan Install-ADServiceAccount

  1. Minta admin layanan direktori menambahkan akun komputer untuk simpul baru Anda ke grup keamanan yang berisi semua server HGS Anda yang diizinkan untuk memungkinkan server tersebut menggunakan akun HGS gMSA.

  2. Reboot simpul baru untuk mendapatkan tiket Kerberos baru yang menyertakan keanggotaan komputer dalam grup keamanan tersebut. Setelah boot ulang selesai, masuk dengan identitas domain milik grup administrator lokal di komputer.

  3. Instal akun layanan terkelola grup HGS pada simpul.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

Menginisialisasi server HGS

Jalankan perintah berikut untuk bergabung dengan kluster HGS yang ada.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

Diperlukan waktu hingga 10 menit untuk enkripsi dan penandatanganan sertifikat dari server HGS pertama untuk mereplikasi ke simpul ini.

Menginstal kunci privat untuk sertifikat

Jika Anda tidak menyediakan file PFX untuk enkripsi atau sertifikat penandatanganan di server HGS pertama, hanya kunci publik yang akan direplikasi ke server ini. Anda harus menginstal kunci privat dengan mengimpor file PFX yang berisi kunci privat ke penyimpanan sertifikat lokal atau, dalam kasus kunci yang didukung HSM, mengonfigurasi Penyedia Penyimpanan Kunci dan mengaitkannya dengan sertifikat Anda sesuai instruksi produsen HSM Anda.

Mengonfigurasi HGS untuk komunikasi HTTPS

Jika Anda ingin mengamankan titik akhir HGS dengan sertifikat SSL, Anda harus mengonfigurasi sertifikat SSL pada simpul ini, serta setiap node lain di kluster HGS. Sertifikat SSL tidak direplikasi oleh HGS dan tidak perlu menggunakan kunci yang sama untuk setiap simpul (yaitu Anda dapat memiliki sertifikasi SSL yang berbeda untuk setiap simpul).

Saat meminta sertifikasi SSL, pastikan nama domain kluster yang sepenuhnya memenuhi syarat (seperti yang ditunjukkan dalam output Get-HgsServer) adalah nama umum subjek sertifikasi, atau disertakan sebagai nama DNS alternatif subjek. Setelah mendapatkan sertifikat dari otoritas sertifikat, Anda dapat mengonfigurasi HGS untuk menggunakannya dengan Set-HgsServer.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Jika Anda sudah menginstal sertifikat ke penyimpanan sertifikat lokal dan ingin mereferensikannya dengan thumbprint, jalankan perintah berikut sebagai gantinya:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS akan selalu mengekspos port HTTP dan HTTPS untuk komunikasi. Tidak didukung untuk menghapus pengikatan HTTP di IIS, namun Anda dapat menggunakan Windows Firewall atau teknologi firewall jaringan lainnya untuk memblokir komunikasi melalui port 80.

Menonaktifkan simpul HGS

Untuk menonaktifkan simpul HGS:

  1. Hapus konfigurasi HGS.

    Ini menghapus simpul dari kluster dan menghapus instalasi layanan pengesahan dan perlindungan kunci. Jika itu adalah simpul terakhir dalam kluster, -Force diperlukan untuk menandakan Anda ingin menghapus simpul terakhir dan menghancurkan kluster di Direktori Aktif.

    Jika HGS disebarkan di forest bastion (default), itu adalah satu-satunya langkah. Anda dapat secara opsional membatalkan bergabung dengan komputer dari domain dan menghapus akun gMSA dari Direktori Aktif.

  2. Jika HGS membuat domainnya sendiri, Anda juga harus menghapus instalan HGS untuk membatalkan bergabung dengan domain dan menurunkan pengontrol domain.