Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De HGS-server toevoegen aan het hoofddomein
In een bestaand bastionforest moet HGS worden toegevoegd aan het hoofddomein. Gebruik Serverbeheer of Add-Computer om uw HGS-server toe te voegen aan het hoofddomein.
De HGS-serverfunctie toevoegen
Voer alle opdrachten in dit onderwerp uit in een PowerShell-sessie met verhoogde bevoegdheid.
Voeg de rol Host Guardian-service toe door de volgende opdracht uit te voeren:
Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart
Als uw datacenter een beveiligd bastionforest heeft waar u HGS-knooppunten wilt koppelen, volgt u deze stappen. U kunt deze stappen ook gebruiken om twee of meer onafhankelijke HGS-clusters te configureren die lid zijn van hetzelfde domein.
De HGS-server toevoegen aan het gewenste domein
Gebruik Serverbeheer of Add-Computer om de HGS-servers toe te voegen aan het gewenste domein.
Active Directory-objecten voorbereiden
Maak een door een groep beheerd serviceaccount en 2 beveiligingsgroepen. U kunt de clusterobjecten ook vooraf voorbereiden als het account waarmee u HGS initialiseert, niet gemachtigd is om computerobjecten in het domein te maken.
Door groepen beheerd serviceaccount
Het door de groep beheerde serviceaccount (gMSA) is de identiteit die door HGS wordt gebruikt om de certificaten op te halen en te gebruiken. Gebruik New-ADServiceAccount om een gMSA te maken. Als dit de eerste gMSA in het domein is, moet u een hoofdsleutel voor de sleuteldistributieservice toevoegen.
Elk HGS-knooppunt moet toegang hebben tot het gMSA-wachtwoord. De eenvoudigste manier om dit te configureren, is door een beveiligingsgroep te maken die al uw HGS-knooppunten bevat en die beveiligingsgroep toegang te verlenen om het gMSA-wachtwoord op te halen.
U moet de HGS-server opnieuw opstarten nadat u deze hebt toegevoegd aan een beveiligingsgroep om ervoor te zorgen dat het nieuwe groepslidmaatschap wordt verkregen.
# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
# Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}
# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru
# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"
# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes
De gMSA vereist het recht om gebeurtenissen te genereren in het beveiligingslogboek op elke HGS-server. Als u Groepsbeleid gebruikt om toewijzing van gebruikersrechten te configureren, moet u ervoor zorgen dat aan het gMSA-account de controlegebeurtenissenbevoegdheden worden gegenereerd op uw HGS-servers.
Notitie
Door groepen beheerde serviceaccounts zijn beschikbaar vanaf het Windows Server 2012 Active Directory-schema. Zie vereisten voor beheerde serviceaccounts voor groepenvoor meer informatie.
JEA-beveiligingsgroepen
Wanneer u HGS instelt, wordt een Just Enough Administration (JEA) PowerShell-eindpunt geconfigureerd zodat beheerders HGS kunnen beheren zonder dat ze volledige lokale beheerdersbevoegdheden nodig hebben. U hoeft JEA niet te gebruiken om HGS te beheren, maar deze moet nog steeds worden geconfigureerd bij het uitvoeren van Initialize-HgsServer. De configuratie van het JEA-eindpunt bestaat uit het toewijzen van 2 beveiligingsgroepen die uw HGS-beheerders en HGS-revisoren bevatten. Gebruikers die deel uitmaken van de beheergroep kunnen beleidsregels toevoegen, wijzigen of verwijderen in HGS; revisoren kunnen alleen de huidige configuratie bekijken.
Maak 2 beveiligingsgroepen voor deze JEA-groepen met behulp van Active Directory-beheerhulpprogramma's of New-ADGroup.
New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal
Clusterobjecten
Als het account dat u gebruikt voor het instellen van HGS, geen machtigingen heeft om nieuwe computerobjecten in het domein te maken, moet u de clusterobjecten vooraf voorbereiden. Deze stappen worden uitgelegd in Clustercomputerobjecten voorbereiden binnen Active Directory Domain Services.
Als u uw eerste HGS-knooppunt wilt instellen, moet u één clusternaamobject (CNO) en één VCO (Virtual Computer Object) maken. De CNO vertegenwoordigt de naam van het cluster en wordt voornamelijk intern gebruikt door failoverclustering. De VCO vertegenwoordigt de HGS-service die zich boven op het cluster bevindt en is de naam die is geregistreerd bij de DNS-server.
Belangrijk
De gebruiker die Initialize-HgsServer uitvoert, vereist Volledig beheer over de CNO- en VCO-objecten in Active Directory.
Als u uw CNO en VCO snel wilt voorbereiden, moet u een Active Directory-beheerder de volgende PowerShell-opdrachten uitvoeren:
# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru
# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru
# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl
# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing
Uitzonderingen voor beveiligingsbasislijnen
Als u HGS in een maximaal vergrendelde omgeving implementeert, kunnen bepaalde groepsbeleidsinstellingen voorkomen dat HGS normaal werkt. Controleer uw groepsbeleidsobjecten op de volgende instellingen en volg de richtlijnen als dit van invloed is:
Netwerkaanmelding
-beleidspad: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Toewijzingen van gebruikersrechten
beleidsnaam: toegang tot deze computer vanuit het netwerk weigeren
Vereiste waarde: Zorg ervoor dat de waarde geen netwerkaanmeldingen voor alle lokale accounts blokkeert. U kunt echter veilig lokale beheerdersaccounts blokkeren.
Reden: Failover-clustering is afhankelijk van een lokaal account die geen beheerdersrechten heeft genaamd CLIUSR voor het beheren van clusterknooppunten. Het blokkeren van netwerkaanmelding voor deze gebruiker voorkomt dat het cluster correct werkt.
Kerberos-versleuteling
beleidspad: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties
beleidsnaam: netwerkbeveiliging: versleutelingstypen configureren die zijn toegestaan voor Kerberos
Action: als dit beleid is geconfigureerd, moet u het gMSA-account bijwerken met Set-ADServiceAccount om alleen de ondersteunde versleutelingstypen in dit beleid te kunnen gebruiken. Als uw beleid bijvoorbeeld alleen AES128_HMAC_SHA1 en AES256_HMAC_SHA1 toestaat, moet u Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256uitvoeren.
Volgende stappen
- Zie Initialiseer het HGS-cluster met behulp van de TPM-modus in een bestaand bastionforestvoor de volgende stappen voor het instellen van TPM-gebaseerde attestation.
- Zie Initialiseer het HGS-cluster in sleutelmodus binnen een bestaand bastion-bosvoor de volgende stappen voor het instellen van attestatie van hostsleutels.
- Zie Initialiseer het HGS-cluster met behulp van de AD-modus in een bestaande bastionforestvoor de volgende stappen voor het instellen van beheerder gebaseerde attestation (afgeschaft in Windows Server 2019).