Menginisialisasi kluster HGS menggunakan mode TPM di forest khusus baru (default)
Klien dapat dengan mudah menghubungi simpul HGS apa pun dengan menggunakan pengklusteran failover nama jaringan terdistribusi (DNN). Anda harus memilih DNN. Nama ini akan terdaftar di layanan DNS HGS. Sebagai contoh, jika Anda memiliki 3 node HGS dengan nama host HGS01, HGS02, dan HGS03, Anda mungkin memutuskan untuk memilih "hgs" atau "HgsCluster" untuk DNN.
Temukan sertifikat wali HGS Anda. Anda akan memerlukan satu sertifikat penandatanganan dan satu sertifikat enkripsi untuk menginisialisasi kluster HGS. Cara term mudah untuk memberikan sertifikat ke HGS adalah dengan membuat file PFX yang dilindungi kata sandi untuk setiap sertifikat yang berisi kunci publik dan privat. Jika Anda menggunakan kunci yang didukung HSM atau sertifikat lain yang tidak dapat diekspor, pastikan sertifikat diinstal ke penyimpanan sertifikat komputer lokal sebelum melanjutkan. Untuk informasi selengkapnya tentang sertifikat mana yang akan digunakan, lihat Mendapatkan sertifikat untuk HGS.
Jalankan Initialize-HgsServer di jendela PowerShell yang ditinggikan pada simpul HGS pertama. Sintaks cmdlet ini mendukung banyak input yang berbeda, tetapi 2 pemanggilan yang paling umum ada di bawah ini:
Jika Anda menggunakan file PFX untuk sertifikat penandatanganan dan enkripsi, jalankan perintah berikut:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password" $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password" Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm
Jika Anda menggunakan sertifikat yang tidak dapat diekspor yang diinstal di penyimpanan sertifikat lokal, jalankan perintah berikut. Jika Anda tidak mengetahui thumbprint sertifikat Anda, Anda dapat mencantumkan sertifikat yang tersedia dengan menjalankan
Get-ChildItem Cert:\LocalMachine\My
.Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' -TrustTpm
Jika Anda memberikan sertifikat apa pun ke HGS menggunakan thumbprint, Anda akan diinstruksikan untuk memberikan akses baca HGS ke kunci privat sertifikat tersebut. Di server dengan Pengalaman Desktop terinstal, selesaikan langkah-langkah berikut:
- Buka manajer sertifikat komputer lokal (certlm.msc)
- Temukan sertifikat > klik > kanan semua tugas mengelola > kunci privat
- Klik Tambahkan
- Di jendela pemilih objek, klik Jenis objek dan aktifkan akun layanan
- Masukkan nama akun layanan yang disebutkan dalam teks peringatan dari
Initialize-HgsServer
- Pastikan gMSA memiliki akses "Baca" ke kunci privat.
Pada inti server, Anda harus mengunduh modul PowerShell untuk membantu mengatur izin kunci privat.
Jalankan
Install-Module GuardedFabricTools
di server HGS jika memiliki konektivitas Internet, atau jalankanSave-Module GuardedFabricTools
di komputer lain dan salin modul ke server HGS.Jalankan
Import-Module GuardedFabricTools
. Ini akan menambahkan properti tambahan ke objek sertifikat yang ditemukan di PowerShell.Temukan thumbprint sertifikat Anda di PowerShell dengan
Get-ChildItem Cert:\LocalMachine\My
Perbarui ACL, ganti thumbprint dengan akun Anda sendiri dan gMSA dalam kode di bawah ini dengan akun yang tercantum dalam teks peringatan .
Initialize-HgsServer
$certificate = Get-Item "Cert:\LocalMachine\1A2B3C..." $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
Jika Anda menggunakan sertifikat yang didukung HSM, atau sertifikat yang disimpan di penyedia penyimpanan kunci pihak ketiga, langkah-langkah ini mungkin tidak berlaku untuk Anda. Lihat dokumentasi penyedia penyimpanan utama Anda untuk mempelajari cara mengelola izin pada kunci privat Anda. Dalam beberapa kasus, tidak ada otorisasi, atau otorisasi disediakan untuk seluruh komputer saat sertifikat diinstal.
Itu saja! Di lingkungan produksi, Anda harus terus menambahkan simpul HGS tambahan ke kluster Anda.