Bagikan melalui

Menginisialisasi kluster HGS menggunakan mode AD di forest khusus baru (default)

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Penting

Pengesahan tepercaya admin (mode AD) tidak digunakan lagi dimulai dengan Windows Server 2019. Untuk lingkungan di mana pengesahan TPM tidak dimungkinkan, konfigurasikan pengesahan kunci host. Pengesahan kunci host memberikan jaminan serupa dengan mode AD dan lebih mudah disiapkan.

  1. Klien dapat dengan mudah menghubungi simpul HGS apa pun dengan menggunakan pengklusteran failover nama jaringan terdistribusi (DNN). Anda harus memilih DNN. Nama ini akan terdaftar di layanan DNS HGS. Sebagai contoh, jika Anda memiliki 3 node HGS dengan nama host HGS01, HGS02, dan HGS03, Anda mungkin memutuskan untuk memilih "hgs" atau "HgsCluster" untuk DNN.

  2. Temukan sertifikat wali HGS Anda. Anda akan memerlukan satu sertifikat penandatanganan dan satu sertifikat enkripsi untuk menginisialisasi kluster HGS. Cara term mudah untuk memberikan sertifikat ke HGS adalah dengan membuat file PFX yang dilindungi kata sandi untuk setiap sertifikat yang berisi kunci publik dan privat. Jika Anda menggunakan kunci yang didukung HSM atau sertifikat lain yang tidak dapat diekspor, pastikan sertifikat diinstal ke penyimpanan sertifikat komputer lokal sebelum melanjutkan. Untuk informasi selengkapnya tentang sertifikat mana yang akan digunakan, lihat Mendapatkan sertifikat untuk HGS.

  3. Jalankan Initialize-HgsServer di jendela PowerShell yang ditinggikan pada simpul HGS pertama. Sintaks cmdlet ini mendukung banyak input yang berbeda, tetapi 2 pemanggilan yang paling umum ada di bawah ini:

    • Jika Anda menggunakan file PFX untuk sertifikat penandatanganan dan enkripsi, jalankan perintah berikut:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory

    • Jika Anda menggunakan sertifikat yang tidak dapat diekspor yang diinstal di penyimpanan sertifikat lokal, jalankan perintah berikut. Jika Anda tidak mengetahui thumbprint sertifikat Anda, Anda dapat mencantumkan sertifikat yang tersedia dengan menjalankan Get-ChildItem Cert:\LocalMachine\My.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustActiveDirectory

  4. Jika Anda memberikan sertifikat apa pun ke HGS menggunakan thumbprint, Anda akan diinstruksikan untuk memberikan akses baca HGS ke kunci privat sertifikat tersebut. Di server dengan Pengalaman Desktop terinstal, selesaikan langkah-langkah berikut:

    1. Buka manajer sertifikat komputer lokal (certlm.msc)
    2. Temukan sertifikat > klik > kanan semua tugas mengelola > kunci privat
    3. Klik Tambahkan
    4. Di jendela pemilih objek, klik Jenis objek dan aktifkan akun layanan
    5. Masukkan nama akun layanan yang disebutkan dalam teks peringatan dari Initialize-HgsServer
    6. Pastikan gMSA memiliki akses "Baca" ke kunci privat.

    Pada inti server, Anda harus mengunduh modul PowerShell untuk membantu mengatur izin kunci privat.

    1. Jalankan Install-Module GuardedFabricTools di server HGS jika memiliki konektivitas Internet, atau jalankan Save-Module GuardedFabricTools di komputer lain dan salin modul ke server HGS.

    2. Jalankan Import-Module GuardedFabricTools. Ini akan menambahkan properti tambahan ke objek sertifikat yang ditemukan di PowerShell.

    3. Temukan thumbprint sertifikat Anda di PowerShell dengan Get-ChildItem Cert:\LocalMachine\My

    4. Perbarui ACL, ganti thumbprint dengan akun Anda sendiri dan gMSA dalam kode di bawah ini dengan akun yang tercantum dalam teks peringatan .Initialize-HgsServer

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
$certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow

    Jika Anda menggunakan sertifikat yang didukung HSM, atau sertifikat yang disimpan di penyedia penyimpanan kunci pihak ketiga, langkah-langkah ini mungkin tidak berlaku untuk Anda. Lihat dokumentasi penyedia penyimpanan utama Anda untuk mempelajari cara mengelola izin pada kunci privat Anda. Dalam beberapa kasus, tidak ada otorisasi, atau otorisasi disediakan untuk seluruh komputer saat sertifikat diinstal.

  5. Itu saja! Di lingkungan produksi, Anda harus terus menambahkan simpul HGS tambahan ke kluster Anda.

Langkah selanjutnya

Mengonfigurasi FABRIC DNS