추가 HGS 노드 구성

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

프로덕션 환경에서는 HGS 노드가 중단된 경우에도 보호된 VM의 전원이 켜졌는지 확인하기 위해 고가용성 클러스터에서 HGS를 설정해야 합니다. 테스트 환경의 경우 보조 HGS 노드가 필요하지 않습니다.

이러한 방법 중 하나를 사용하여 환경에 가장 적합한 HGS 노드를 추가합니다.

Environment 옵션 1 옵션 2
새 HGS 포리스트 PFX 파일 사용 인증서 지문 사용
기존 요새 포리스트 PFX 파일 사용 인증서 지문 사용

필수 조건

각 추가 노드가 다음과 같은지 확인합니다.

  • 기본 노드와 동일한 하드웨어 및 소프트웨어 구성이 있습니다.
  • 다른 HGS 서버와 동일한 네트워크에 연결됨
  • DNS 이름으로 다른 HGS 서버를 확인할 수 있습니다.

PFX 인증서를 사용하는 전용 HGS 포리스트

  1. HGS 노드를 do기본 컨트롤러로 승격
  2. HGS 서버 초기화

HGS 노드를 do기본 컨트롤러로 승격

  1. Install-HgsServer를 실행하여 do기본 조인하고 노드를 do기본 컨트롤러로 승격합니다.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. 서버가 다시 부팅되면 할 일기본 관리자 계정으로 로그인합니다.

HGS 서버 초기화

다음 명령을 실행하여 기존 HGS 클러스터를 조인합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

인증서 지문이 있는 전용 HGS 포리스트

  1. HGS 노드를 do기본 컨트롤러로 승격
  2. HGS 서버 초기화
  3. 인증서에 대한 프라이빗 키 설치

HGS 노드를 do기본 컨트롤러로 승격

  1. Install-HgsServer를 실행하여 do기본 조인하고 노드를 do기본 컨트롤러로 승격합니다.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. 서버가 다시 부팅되면 할 일기본 관리자 계정으로 로그인합니다.

HGS 서버 초기화

다음 명령을 실행하여 기존 HGS 클러스터를 조인합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

인증서에 대한 프라이빗 키 설치

첫 번째 HGS 서버에서 암호화 또는 서명 인증서에 대한 PFX 파일을 제공하지 않은 경우 공개 키만 이 서버에 복제본(replica). 프라이빗 키가 포함된 PFX 파일을 로컬 인증서 저장소로 가져오거나 HSM 지원 키의 경우 키 스토리지 공급자를 구성하고 HSM 제조업체의 지침에 따라 인증서와 연결하여 프라이빗 키를 설치해야 합니다.

PFX 인증서를 사용하는 기존 요새 포리스트

  1. 노드를 기존 do에 조인합니다기본
  2. gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 컴퓨터 권한 부여
  3. HGS 서버 초기화

노드를 기존 do에 조인합니다기본

  1. 노드에서 하나 이상의 NIC가 첫 번째 HGS 서버의 DNS 서버를 사용하도록 구성되어 있는지 확인합니다.
  2. 새 HGS 노드를 첫 번째 HGS 노드와 동일한 기본 조인합니다.

gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 컴퓨터 권한 부여

  1. 디렉터리 서비스 관리자가 해당 서버가 HGS gMSA 계정을 사용할 수 있도록 권한이 부여된 모든 HGS 서버를 포함하는 보안 그룹에 새 노드에 대한 컴퓨터 계정을 추가하도록 합니다.

  2. 새 노드를 다시 부팅하여 해당 보안 그룹의 컴퓨터 멤버 자격을 포함하는 새 Kerberos 티켓을 가져옵니다. 다시 부팅이 완료되면 컴퓨터의 로컬 관리자 그룹에 속하는 do기본 ID로 로그인합니다.

  3. 노드에 HGS 그룹 관리 서비스 계정을 설치합니다.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

HGS 서버 초기화

다음 명령을 실행하여 기존 HGS 클러스터를 조인합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

인증서 지문이 있는 기존 요새 포리스트

  1. 노드를 기존 do에 조인합니다기본
  2. gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 컴퓨터 권한 부여
  3. HGS 서버 초기화
  4. 인증서에 대한 프라이빗 키 설치

노드를 기존 do에 조인합니다기본

  1. 노드에서 하나 이상의 NIC가 첫 번째 HGS 서버의 DNS 서버를 사용하도록 구성되어 있는지 확인합니다.
  2. 새 HGS 노드를 첫 번째 HGS 노드와 동일한 기본 조인합니다.

gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 컴퓨터 권한 부여

  1. 디렉터리 서비스 관리자가 해당 서버가 HGS gMSA 계정을 사용할 수 있도록 권한이 부여된 모든 HGS 서버를 포함하는 보안 그룹에 새 노드에 대한 컴퓨터 계정을 추가하도록 합니다.

  2. 새 노드를 다시 부팅하여 해당 보안 그룹의 컴퓨터 멤버 자격을 포함하는 새 Kerberos 티켓을 가져옵니다. 다시 부팅이 완료되면 컴퓨터의 로컬 관리자 그룹에 속하는 do기본 ID로 로그인합니다.

  3. 노드에 HGS 그룹 관리 서비스 계정을 설치합니다.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

HGS 서버 초기화

다음 명령을 실행하여 기존 HGS 클러스터를 조인합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

첫 번째 HGS 서버의 암호화 및 서명 인증서가 이 노드에 복제본(replica) 데 최대 10분이 걸립니다.

인증서에 대한 프라이빗 키 설치

첫 번째 HGS 서버에서 암호화 또는 서명 인증서에 대한 PFX 파일을 제공하지 않은 경우 공개 키만 이 서버에 복제본(replica). 프라이빗 키가 포함된 PFX 파일을 로컬 인증서 저장소로 가져오거나 HSM 지원 키의 경우 키 스토리지 공급자를 구성하고 HSM 제조업체의 지침에 따라 인증서와 연결하여 프라이빗 키를 설치해야 합니다.

HTTPS 통신에 대한 HGS 구성

SSL 인증서를 사용하여 HGS 엔드포인트를 보호하려면 이 노드와 HGS 클러스터의 다른 모든 노드에서 SSL 인증서를 구성해야 합니다. SSL 인증서는 HGS에서 복제본(replica) 않으며 모든 노드에 대해 동일한 키를 사용할 필요가 없습니다(즉, 각 노드에 대해 다른 SSL 인증서를 가질 수 있음).

SSL 인증서를 요청할 때 클러스터의 정규화된 do기본 이름이 인증서의 Get-HgsServer주체 일반 이름이거나 주체 대체 DNS 이름으로 포함되어 있는지 확인합니다. 인증 기관에서 인증서를 가져온 경우 Set-HgsServer와 함께 사용하도록 HGS를 구성할 수 있습니다.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

인증서를 로컬 인증서 저장소에 이미 설치하고 지문으로 참조하려는 경우 대신 다음 명령을 실행합니다.

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS는 항상 통신을 위해 HTTP 및 HTTPS 포트를 모두 노출합니다. IIS에서 HTTP 바인딩을 제거하는 것은 지원되지 않지만 Windows 방화벽 또는 기타 네트워크 방화벽 기술을 사용하여 포트 80을 통한 통신을 차단할 수 있습니다.

HGS 노드 서비스 해제

HGS 노드를 서비스 해제하려면:

  1. HGS 구성을 지웁다.

    이렇게 하면 클러스터에서 노드가 제거되고 증명 및 키 보호 서비스가 제거됩니다. 클러스터의 마지막 노드인 경우 -Force는 마지막 노드를 제거하고 Active Directory에서 클러스터를 삭제하려는 경우를 나타내기 위해 필요합니다.

    HGS가 요새 포리스트(기본값)에 배포되는 경우 유일한 단계입니다. 필요에 따라 do기본 컴퓨터의 연결을 해제하고 Active Directory에서 gMSA 계정을 제거할 수 있습니다.

  2. HGS가 자체 do기본 만든 경우 HGS를 제거하여 do기본를 제거하고 do기본 컨트롤러를 강등해야 합니다.