새 전용 포리스트에서 키 모드를 사용하여 HGS 클러스터 초기화(기본값)

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

  1. 클라이언트는 장애 조치(failover) 클러스터링 DNN(분산 네트워크 이름)을 사용하여 HGS 노드에 쉽게 연결할 수 있습니다. DNN을 선택해야 합니다. 이 이름은 HGS DNS 서비스에 등록됩니다. 예를 들어 HGS01, HGS02 및 HGS03 호스트 이름을 가진 HGS 노드가 3개인 경우 DNN에 대해 "hgs" 또는 "HgsCluster"를 선택하도록 결정할 수 있습니다.

  2. HGS 보호 인증서를 찾습니다. HGS 클러스터를 초기화하려면 하나의 서명 인증서와 하나의 암호화 인증서가 필요합니다. HGS에 인증서를 제공하는 가장 쉬운 방법은 퍼블릭 키와 프라이빗 키를 모두 포함하는 각 인증서에 대해 암호로 보호된 PFX 파일을 만드는 것입니다. HSM 지원 키 또는 내보내지 않는 다른 인증서를 사용하는 경우 계속하기 전에 인증서가 로컬 컴퓨터의 인증서 저장소에 설치되어 있는지 확인합니다. 사용할 인증서에 대한 자세한 내용은 HGS용 인증서 가져오기를 참조하세요.

  3. 첫 번째 HGS 노드의 관리자 권한 PowerShell 창에서 Initialize-HgsServer 를 실행합니다. 이 cmdlet의 구문은 다양한 입력을 지원하지만 가장 일반적인 2개의 호출은 다음과 같습니다.

    • 서명 및 암호화 인증서에 PFX 파일을 사용하는 경우 다음 명령을 실행합니다.

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
      
    • 로컬 인증서 저장소에 설치된 내보낼 수 없는 인증서를 사용하는 경우 다음 명령을 실행합니다. 인증서의 지문을 모르는 경우 실행 Get-ChildItem Cert:\LocalMachine\My하여 사용 가능한 인증서를 나열할 수 있습니다.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
      
  4. 지문을 사용하여 HGS에 인증서를 제공한 경우 HGS에 해당 인증서의 프라이빗 키에 대한 읽기 권한을 부여하라는 지시가 표시됩니다. 데스크톱 환경이 설치된 서버에서 다음 단계를 완료합니다.

    1. 로컬 컴퓨터 인증서 관리자(certlm.msc)를 엽니다.
    2. 프라이빗 키를 관리하는 모든 작업을 > 마우스 오른쪽 단추로 클릭 > 하는 인증서 > 찾기
    3. 추가를 클릭합니다.
    4. 개체 선택 창에서 개체 유형을 클릭하고 서비스 계정을 사용하도록 설정합니다.
    5. 에서 경고 텍스트에 언급된 서비스 계정의 이름을 입력합니다. Initialize-HgsServer
    6. gMSA에 프라이빗 키에 대한 "읽기" 액세스 권한이 있는지 확인합니다.

    서버 코어에서 프라이빗 키 사용 권한을 설정하는 데 도움이 되도록 PowerShell 모듈을 다운로드해야 합니다.

    1. 인터넷 연결이 있는 경우 HGS 서버에서 실행 Install-Module GuardedFabricTools 하거나 다른 컴퓨터에서 실행 Save-Module GuardedFabricTools 하여 HGS 서버에 모듈을 복사합니다.

    2. Import-Module GuardedFabricTools을 실행합니다. 그러면 PowerShell에 있는 인증서 개체에 추가 속성이 추가됩니다.

    3. PowerShell에서 인증서 지문 찾기 Get-ChildItem Cert:\LocalMachine\My

    4. ACL을 업데이트하고 아래 코드의 지문과 gMSA 계정을 경고 텍스트 Initialize-HgsServer에 나열된 계정으로 바꿔서 업데이트합니다.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    HSM 지원 인증서 또는 타사 키 스토리지 공급자에 저장된 인증서를 사용하는 경우 이러한 단계가 적용되지 않을 수 있습니다. 프라이빗 키에 대한 사용 권한을 관리하는 방법을 알아보려면 키 스토리지 공급자의 설명서를 참조하세요. 경우에 따라 인증이 없거나 인증서가 설치될 때 전체 컴퓨터에 권한 부여가 제공됩니다.

  5. 정말 간단하죠. 프로덕션 환경에서는 클러스터에 HGS 노드를 계속 추가해야 합니다.

다음 단계