Memasang HGS di forest bastion yang ada

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Menggabungkan server HGS ke domain akar

Di hutan bastion yang ada, HGS harus ditambahkan ke domain akar. Gunakan Manajer Server atau Add-Computer untuk menggabungkan server HGS Anda ke domain akar.

Menambahkan peran server HGS

Jalankan semua perintah dalam topik ini dalam sesi PowerShell yang ditingkatkan.

Tambahkan peran Layanan Wali Host dengan menjalankan perintah berikut:

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

Jika pusat data Anda memiliki forest bastion aman tempat Anda ingin bergabung dengan simpul HGS, ikuti langkah-langkah ini. Anda juga dapat menggunakan langkah-langkah ini untuk mengonfigurasi 2 atau lebih kluster HGS independen yang digabungkan ke domain yang sama.

Bergabunglah dengan server HGS ke domain yang diinginkan

Gunakan Manajer Server atau Add-Computer untuk bergabung dengan server HGS ke domain yang diinginkan.

Menyiapkan objek Direktori Aktif

Buat akun layanan terkelola grup dan 2 grup keamanan. Anda juga dapat melakukan pra-tahap objek kluster jika akun yang Anda inisialisasi HGS tidak memiliki izin untuk membuat objek komputer di domain.

Akun layanan terkelola grup

Akun layanan terkelola grup (gMSA) adalah identitas yang digunakan oleh HGS untuk mengambil dan menggunakan sertifikatnya. Gunakan New-ADServiceAccount untuk membuat gMSA. Jika ini adalah gMSA pertama di domain, Anda harus menambahkan kunci akar Layanan Distribusi Kunci.

Setiap simpul HGS harus diizinkan untuk mengakses kata sandi gMSA. Cara term mudah untuk mengonfigurasi ini adalah dengan membuat grup keamanan yang berisi semua simpul HGS Anda dan memberikan akses grup keamanan tersebut untuk mengambil kata sandi gMSA.

Anda harus me-reboot server HGS Anda setelah menambahkannya ke grup keamanan untuk memastikan server tersebut mendapatkan keanggotaan grup barunya.

# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
    # Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
    Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}

# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru

# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"

# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes

gMSA akan memerlukan hak untuk menghasilkan peristiwa di log keamanan di setiap server HGS. Jika Anda menggunakan Kebijakan Grup untuk mengonfigurasi Penetapan Hak Pengguna, pastikan bahwa akun gMSA diberikan hak istimewa hasilkan peristiwa audit di server HGS Anda.

Catatan

Akun layanan terkelola grup tersedia dimulai dengan skema Direktori Aktif Windows Server 2012. Untuk informasi selengkapnya, lihat persyaratan akun layanan terkelola grup.

Kelompok keamanan JEA

Saat Anda menyiapkan HGS, titik akhir PowerShell Just Enough Administration (JEA) dikonfigurasi untuk memungkinkan admin mengelola HGS tanpa memerlukan hak istimewa administrator lokal penuh. Anda tidak diharuskan menggunakan JEA untuk mengelola HGS, tetapi masih harus dikonfigurasi saat menjalankan Initialize-HgsServer. Konfigurasi titik akhir JEA terdiri dari penunjukan 2 grup keamanan yang berisi admin HGS dan peninjau HGS Anda. Pengguna yang termasuk dalam grup admin dapat menambahkan, mengubah, atau menghapus kebijakan pada HGS; peninjau hanya dapat melihat konfigurasi saat ini.

Buat 2 grup keamanan untuk grup JEA ini menggunakan alat admin Direktori Aktif atau New-ADGroup.

New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal

Objek klaster

Jika akun yang Anda gunakan untuk menyiapkan HGS tidak memiliki izin untuk membuat objek komputer baru di domain, Anda harus melakukan pra-tahap objek kluster. Langkah-langkah ini dijelaskan dalam Objek Komputer Kluster Prestage di Active Directory Domain Services.

Untuk menyiapkan simpul HGS pertama Anda, Anda harus membuat satu Objek Nama Kluster (CNO) dan satu Objek Komputer Virtual (VCO). CNO mewakili nama kluster, dan terutama digunakan secara internal oleh Pengklusteran Failover. VCO mewakili layanan HGS yang berada di atas kluster dan akan menjadi nama yang terdaftar di server DNS.

Penting

Pengguna yang akan berjalan Initialize-HgsServer memerlukan Kontrol Penuh atas objek CNO dan VCO di Direktori Aktif.

Untuk melakukan prestage CNO dan VCO Anda dengan cepat, minta admin Direktori Aktif menjalankan perintah PowerShell berikut:

# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru

# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru

# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl

# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing

Pengecualian garis besar keamanan

Jika Anda menyebarkan HGS ke lingkungan yang sangat terkunci, pengaturan Kebijakan Grup tertentu dapat mencegah HGS beroperasi secara normal. Periksa objek Kebijakan Grup Anda untuk pengaturan berikut dan ikuti panduan jika Anda terpengaruh:

Masuk Jaringan

Jalur Kebijakan: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna

Nama Kebijakan: Tolak akses ke komputer ini dari jaringan

Nilai yang diperlukan: Pastikan nilai tidak memblokir masuk jaringan untuk semua akun lokal. Namun, Anda dapat memblokir akun administrator lokal dengan aman.

Alasan: Pengklusteran Failover bergantung pada akun lokal non-administrator yang disebut CLIUSR untuk mengelola node kluster. Memblokir masuk jaringan untuk pengguna ini akan mencegah kluster beroperasi dengan benar.

Enkripsi Kerberos

Jalur Kebijakan: Konfigurasi Komputer\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Opsi Keamanan

Nama Kebijakan: Keamanan Jaringan: Mengonfigurasi jenis enkripsi yang diizinkan untuk Kerberos

Tindakan: Jika kebijakan ini dikonfigurasi, Anda harus memperbarui akun gMSA dengan Set-ADServiceAccount untuk hanya menggunakan jenis enkripsi yang didukung dalam kebijakan ini. Misalnya, jika kebijakan Anda hanya mengizinkan AES128_HMAC_SHA1 dan AES256_HMAC_SHA1, Anda harus menjalankan Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256.

Langkah berikutnya

• Untuk langkah berikutnya untuk menyiapkan pengesahan berbasis TPM, lihat Menginisialisasi kluster HGS menggunakan mode TPM di forest bastion yang ada.
• Untuk langkah-langkah berikutnya untuk menyiapkan pengesahan kunci host, lihat Menginisialisasi kluster HGS menggunakan mode kunci di forest bastion yang ada.
• Untuk langkah berikutnya untuk menyiapkan pengesahan berbasis Admin (tidak digunakan lagi di Windows Server 2019), lihat Menginisialisasi kluster HGS menggunakan mode AD di forest bastion yang ada.