Condividi tramite

Inizializzare il cluster HGS con la modalità chiave in una foresta Bastion esistente

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019

« Installare HGS in una nuova forestaCreare la chiave host »

Active Directory Domain Services verrà installato nel computer, ma deve rimanere non configurato.

Individuare i certificati di sorveglianza HGS. È necessario un certificato di firma e un certificato di crittografia per inizializzare il cluster HGS. Il modo più semplice per fornire certificati a HGS consiste nel creare un file PFX protetto da password per ogni certificato che contiene sia le chiavi pubbliche che quelle private. Quando si usano chiavi supportate da HSM o altri certificati non esportabili, è necessario assicurarsi che il certificato sia installato nell'archivio certificati del computer locale prima di continuare. Per altre informazioni sui certificati da usare, vedere Ottenere certificati per HGS.

Prima di continuare, assicurarsi di avere pre-installato gli oggetti cluster per il servizio Sorveglianza host e di aver concesso all'utente connesso controllo completo sugli oggetti VCO e CNO in Active Directory. Il nome dell'oggetto del computer virtuale deve essere passato al parametro -HgsServiceName e il nome del cluster al parametro -ClusterName.

Suggerimento

Prima di continuare, verificare che i controller di dominio AD siano stati replicati in tutti i controller di dominio di Active Directory.

Se si usano certificati basati su PFX, eseguire i comandi seguenti nel server HGS:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostKey

Se si usano certificati installati nel computer locale, ad esempio certificati supportati dal modulo di protezione hardware e certificati non esportabili, usare invece i parametri -SigningCertificateThumbprint e -EncryptionCertificateThumbprint.