Menginisialisasi kluster HGS menggunakan mode AD di forest bastion yang ada
Penting
Pengesahan tepercaya admin (mode AD) tidak digunakan lagi dimulai dengan Windows Server 2019. Untuk lingkungan di mana pengesahan TPM tidak dimungkinkan, konfigurasikan pengesahan kunci host. Pengesahan kunci host memberikan jaminan serupa dengan mode AD dan lebih mudah disiapkan.
Active Directory Domain Services akan diinstal pada komputer, tetapi harus tetap tidak dikonfigurasi.
Temukan sertifikat wali HGS Anda. Anda akan memerlukan satu sertifikat penandatanganan dan satu sertifikat enkripsi untuk menginisialisasi kluster HGS. Cara term mudah untuk memberikan sertifikat ke HGS adalah dengan membuat file PFX yang dilindungi kata sandi untuk setiap sertifikat yang berisi kunci publik dan privat. Jika Anda menggunakan kunci yang didukung HSM atau sertifikat lain yang tidak dapat diekspor, pastikan sertifikat diinstal ke penyimpanan sertifikat komputer lokal sebelum melanjutkan. Untuk informasi selengkapnya tentang sertifikat mana yang akan digunakan, lihat Mendapatkan sertifikat untuk HGS.
Sebelum melanjutkan, pastikan Anda telah melakukan prestaging objek kluster untuk Layanan Wali Host dan memberikan Kontrol Penuh pengguna yang masuk atas objek VCO dan CNO di Direktori Aktif.
Nama objek komputer virtual perlu diteruskan ke -HgsServiceName
parameter , dan nama kluster ke -ClusterName
parameter .
Tip
Periksa kembali Pengendali Domain AD Anda untuk memastikan objek kluster Anda telah direplikasi ke semua DC sebelum melanjutkan.
Jika Anda menggunakan sertifikat berbasis PFX, jalankan perintah berikut di server HGS:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
Jika Anda menggunakan sertifikat yang diinstal pada komputer lokal (seperti sertifikat yang didukung HSM dan sertifikat yang tidak dapat diekspor), gunakan parameter dan -EncryptionCertificateThumbprint
sebagai gantinya-SigningCertificateThumbprint
.