Installare il servizio Sorveglianza host in una foresta bastion esistente
Aggiungere il server del servizio Sorveglianza host al dominio radice
In una foresta bastion esistente il servizio Sorveglianza host deve essere aggiunto al dominio radice. Usare Server Manager o Add-Computer per aggiungere il server del servizio Sorveglianza host al dominio radice.
Aggiungere il ruolo del server del servizio Sorveglianza host
Eseguire tutti i comandi in questo argomento in una sessione di PowerShell con privilegi elevati.
Aggiungere il ruolo del servizio Sorveglianza host eseguendo il comando seguente:
Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart
Se il data center ha una foresta bastion sicura in cui si vogliono aggiungere nodi del servizio Sorveglianza host, seguire questa procedura. È anche possibile usare questi passaggi per configurare 2 o più cluster indipendenti del servizio Sorveglianza host aggiunti allo stesso dominio.
Aggiungere il server del servizio Sorveglianza host al dominio desiderato
Usare Server Manager o Add-Computer per aggiungere i server del servizio Sorveglianza host al dominio desiderato.
Preparare gli oggetti di Active Directory
Creare un account del servizio gestito del gruppo e 2 gruppi di sicurezza. È anche possibile pre-installare gli oggetti cluster se l'account con cui si sta inizializzando il servizio Sorveglianza host non ha l'autorizzazione per creare oggetti computer nel dominio.
Account del servizio gestito del gruppo
L'account del servizio gestito del gruppo è l'identità usata dal servizio Sorveglianza host per recuperare e usare i certificati. Usare New-ADServiceAccount per creare un account del servizio gestito del gruppo. Se si tratta del primo account del servizio gestito del gruppo nel dominio, sarà necessario aggiungere una chiave radice del Servizio distribuzione chiavi.
Ogni nodo del servizio Sorveglianza host dovrà essere autorizzato ad accedere alla password dell'account del servizio gestito del gruppo. Il modo più semplice per configurare questa operazione consiste nel creare un gruppo di sicurezza contenente tutti i nodi del servizio Sorveglianza host e concedere a tale gruppo di sicurezza l'accesso per recuperare la password dell'account del servizio gestito del gruppo.
È necessario riavviare il server del servizio Sorveglianza host dopo averlo aggiunto a un gruppo di sicurezza per assicurarsi che ottenga la nuova appartenenza al gruppo.
# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
# Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}
# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru
# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"
# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes
L'account del servizio gestito del gruppo necessiterà del diritto di generare eventi nel log di sicurezza in ogni server del servizio Sorveglianza host. Se si usano Criteri di gruppo per configurare Assegnazione diritti utente, assicurarsi che all'account del servizio gestito del gruppo venga concesso il privilegio Genera eventi di controllo nei server del servizio Sorveglianza host.
Nota
Gli account del servizio gestito del gruppo sono disponibili a partire dallo schema di Active Directory di Windows Server 2012. Per altre informazioni, vedere Requisiti per l'account del servizio gestito del gruppo.
Gruppi di sicurezza JEA
Quando si configura il servizio Sorveglianza host, viene configurato un endpoint JEA (Just Enough Administration) di PowerShell è configurato per consentire agli amministratori di gestire il servizio Sorveglianza host senza dover avere i privilegi di amministratore locale completi. Non è necessario usare JEA per gestire il servizio Sorveglianza host, ma occorre configurarlo comunque quando si esegue Initialize-HgsServer. La configurazione dell'endpoint JEA consiste nella progettazione di 2 gruppi di sicurezza che contengono gli amministratori del servizio Sorveglianza host e i revisori del servizio Sorveglianza host. Gli utenti che appartengono al gruppo di amministratori possono aggiungere, modificare o rimuovere criteri nel servizio Sorveglianza host; i revisori possono solo visualizzare la configurazione corrente.
Creare 2 gruppi di sicurezza per questi gruppi JEA usando gli strumenti di amministrazione di Active Directory o New-ADGroup.
New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal
Oggetti del cluster
Se l'account usato per configurare il servizio Sorveglianza host non ha l'autorizzazione per creare nuovi oggetti computer nel dominio, sarà necessario pre-installare gli oggetti cluster. Questi passaggi sono illustrati in Pre-installare oggetti computer cluster in Active Directory Domain Services.
Per configurare il primo nodo del servizio Sorveglianza host, è necessario creare un oggetto nome cluster (CNO) e un oggetto computer virtuale (VCO). L'oggetto nome cluster rappresenta il nome del cluster e viene usato internamente dal clustering di failover. L'oggetto computer virtuale rappresenta il servizio Sorveglianza host che si trova sopra il cluster e sarà il nome registrato nel server DNS.
Importante
L'utente che eseguirà Initialize-HgsServer richiede il Controllo completo sull'oggetto nome cluster e sull'oggetto computer virtuale in Active Directory.
Per pre-installare rapidamente l'oggetto nome cluster e l'oggetto computer virtuale, è necessario che un amministratore di Active Directory esegua i comandi di PowerShell seguenti:
# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru
# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru
# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl
# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing
Eccezioni della baseline di sicurezza
Se si distribuisce il servizio Sorveglianza host in un ambiente altamente bloccato, alcune impostazioni di Criteri di gruppo potrebbero impedire il normale funzionamento del servizio Sorveglianza host. Controllare gli oggetti Criteri di gruppo per le impostazioni seguenti e seguire le indicazioni se si è interessati dal problema:
Accesso alla rete
Percorso criteri: Configurazione computer\Impostazioni Windows\Impostazioni di sicurezza\Criteri locali\Assegnazioni diritti utente
Nome criterio: consente di negare l'accesso al computer dalla rete
Valore obbligatorio: assicurarsi che il valore non blocchi gli accessi di rete per tutti gli account locali. È tuttavia possibile bloccare in modo sicuro gli account amministratore locale.
Motivo: Clustering di failover si basa su un account locale non amministratore denominato CLIUSR per gestire i nodi del cluster. Il blocco dell'accesso alla rete per questo utente impedirà il corretto funzionamento del cluster.
Crittografia Kerberos
Percorso criteri: Configurazione computer\Impostazioni Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza
Nome criterio: Sicurezza di rete consente di configurare i tipi di crittografia consentiti per Kerberos
Azione: se questo criterio è configurato, è necessario aggiornare l'account del servizio gestito del gruppo con Set-ADServiceAccount in modo da usare solo i tipi di crittografia supportati in questo criterio. Ad esempio, se i criteri consentono solo AES128_HMAC_SHA1 e AES256_HMAC_SHA1, è necessario eseguire Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256.
Passaggi successivi
- Per i passaggi successivi per configurare l'attestazione basata su TPM, vedere Inizializzare il cluster del servizio Sorveglianza host usando la modalità TPM in una foresta bastion esistente.
- Per i passaggi successivi per configurare l'attestazione della chiave host, vedere Inizializzare il cluster del servizio Sorveglianza host usando la modalità chiave in una foresta bastion esistente.
- Per i passaggi successivi per configurare l'attestazione basata su amministratore (deprecata in Windows Server 2019), vedere Inizializzare il cluster del servizio Sorveglianza host usando la modalità AD in una foresta bastion esistente.