Inicializar o cluster HGS usando o modo de chave em uma nova floresta dedicada (padrão)

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

  1. Os clientes podem contatar facilmente qualquer nó HGS usando o DNN (nome de rede distribuída) de clustering de failover. Você precisará escolher um DNN. Esse nome será registrado no serviço DNS do HGS. Por exemplo, se você tiver três nós HGS com nomes de host HGS01, HGS02 e HGS03, poderá optar por escolher "hgs" ou "HgsCluster" para o DNN.

  2. Localize seus certificados de guardião do HGS. Você precisará de um certificado de autenticação e um certificado de criptografia para inicializar o cluster HGS. A maneira mais fácil de fornecer certificados ao HGS é criar um arquivo PFX protegido por senha para cada certificado que contenha chaves públicas e privadas. Se você estiver usando chaves com suporte de HSM ou outros certificados não exportáveis, verifique se o certificado está instalado no repositório de certificados do computador local antes de continuar. Para obter mais informações sobre quais certificados usar, consulte Obter certificados para HGS.

  3. Execute Initialize-HgsServer em uma janela elevada do PowerShell no primeiro nó do HGS. A sintaxe deste cmdlet dá suporte a muitas entradas diferentes, mas as 2 invocações mais comuns estão abaixo:

    • Se você estiver usando arquivos PFX para seus certificados de assinatura e criptografia, execute os seguintes comandos:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
      
    • Se você estiver usando certificados não exportáveis instalados no repositório de certificados local, execute o comando a seguir. Se você não souber as impressões digitais de seus certificados, poderá listar certificados disponíveis executando Get-ChildItem Cert:\LocalMachine\My.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
      
  4. Se você forneceu certificados ao HGS usando impressões digitais, será instruído a conceder acesso de leitura do HGS à chave privada desses certificados. Em um servidor com a Experiência da Área de Trabalho instalada, conclua as seguintes etapas:

    1. Abra o gerenciador de certificados do computador local (certlm.msc)
    2. Localize os certificados com o botão direito do > mouse > em todas as tarefas > para gerenciar chaves privadas
    3. Clique em Adicionar
    4. Na janela seletor de objetos, clique em Tipos de objeto e habilite contas de serviço
    5. Insira o nome da conta de serviço mencionada no texto de aviso de Initialize-HgsServer
    6. Verifique se o gMSA tem acesso "Leitura" à chave privada.

    No núcleo do servidor, você precisará baixar um módulo do PowerShell para ajudar a definir as permissões de chave privada.

    1. Execute Install-Module GuardedFabricTools no servidor HGS se ele tiver conectividade com a Internet ou executado Save-Module GuardedFabricTools em outro computador e copiar o módulo para o servidor HGS.

    2. Execute Import-Module GuardedFabricTools. Isso adicionará propriedades adicionais aos objetos de certificado encontrados no PowerShell.

    3. Localizar a impressão digital do certificado no PowerShell com Get-ChildItem Cert:\LocalMachine\My

    4. Atualize a ACL, substituindo a impressão digital por sua própria e a conta gMSA no código abaixo pela conta listada no texto de aviso de Initialize-HgsServer.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    Se você estiver usando certificados com suporte de HSM ou certificados armazenados em um provedor de armazenamento de chaves de terceiros, essas etapas podem não se aplicar a você. Consulte a documentação do provedor de armazenamento de chaves para saber como gerenciar permissões em sua chave privada. Em alguns casos, não há autorização ou a autorização é fornecida para todo o computador quando o certificado é instalado.

  5. É isso! Em um ambiente de produção, você deve continuar a adicionar nós HGS adicionais ao cluster.

Próxima etapa