Configurar nós adicionais do HGS
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Em ambientes de produção, o HGS deve ser configurado em um cluster de alta disponibilidade para garantir que as VMs blindadas possam ser ligadas mesmo se um nó HGS ficar inativo. Em ambientes de teste, os nós do HGS secundários não são necessários.
Use um desses métodos para adicionar nós do HGS, conforme for mais indicado para seu ambiente.
| Ambiente | Opção 1 | Opção 2 |
|---|---|---|
| Nova floresta do HGS | Usar arquivos PFX | Usar impressões digitais do certificado |
| Floresta bastion existente | Usar arquivos PFX | Usar impressões digitais do certificado |
Pré-requisitos
Verifique se cada nó adicional:
- Tem a mesma configuração de hardware e software que o nó primário
- Está conectado à mesma rede que os outros servidores do HGS
- Pode resolver os outros servidores do HGS por seus nomes DNS
Floresta do HGS dedicada com certificados PFX
- Promover o nó do HGS para um controlador de domínio
- Inicializar o servidor do HGS
Promover o nó do HGS para um controlador de domínio
Execute Install-HgsServer para ingressar no domínio e promover o nó para um controlador de domínio.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -RestartQuando o servidor for reiniciado, faça logon com uma conta de administrador de domínio.
Inicializar o servidor do HGS
Execute o comando a seguir para ingressar no cluster do HGS existente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Floresta do HGS dedicada com impressões digitais de certificado
- Promover o nó do HGS para um controlador de domínio
- Inicializar o servidor do HGS
- Instalar as chaves privadas dos certificados
Promover o nó do HGS para um controlador de domínio
Execute Install-HgsServer para ingressar no domínio e promover o nó para um controlador de domínio.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -RestartQuando o servidor for reiniciado, faça logon com uma conta de administrador de domínio.
Inicializar o servidor do HGS
Execute o comando a seguir para ingressar no cluster do HGS existente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Instalar as chaves privadas dos certificados
Se você não forneceu um arquivo PFX para os certificados de criptografia ou de assinatura no primeiro servidor do HGS, somente a chave pública será replicada para esse servidor. Você precisará instalar a chave privada importando um arquivo PFX contendo a chave privada para o repositório de certificados local ou, no caso de chaves com suporte do HSM, configurando o provedor de armazenamento de chaves e associando-o aos certificados de acordo com as instruções do fabricante do HSM.
Floresta bastion existente com certificados PFX
- Ingressar o nó ao domínio existente
- Conceda direitos para o computador recuperar uma senha do gMSA e executar Install-ADServiceAccount
- Inicializar o servidor do HGS
Ingressar o nó ao domínio existente
- Verifique se pelo menos uma NIC no nó está configurada para usar o servidor DNS em seu primeiro servidor do HGS.
- Ingresse o novo nó do HGS no mesmo domínio que seu primeiro nó do HGS.
Conceda direitos para o computador recuperar uma senha do gMSA e executar Install-ADServiceAccount
Faça com que um administrador de serviços de diretório adicione a conta de computador do novo nó ao grupo de segurança que contém todos os servidores do HGS que têm permissão para permitir que esses servidores usem a conta gMSA do HGS.
Reinicie o novo nó para obter um novo tíquete Kerberos que inclua a associação do computador nesse grupo de segurança. Após a conclusão da reinicialização, conecte-se a uma identidade de domínio pertencente ao grupo de administradores locais no computador.
Instale a conta de serviço gerenciada do grupo do HGS no nó.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Inicializar o servidor do HGS
Execute o comando a seguir para ingressar no cluster do HGS existente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Floresta bastion existente com impressões digitais de certificado
- Ingressar o nó ao domínio existente
- Conceda direitos para o computador recuperar uma senha do gMSA e executar Install-ADServiceAccount
- Inicializar o servidor do HGS
- Instalar as chaves privadas dos certificados
Ingressar o nó ao domínio existente
- Verifique se pelo menos uma NIC no nó está configurada para usar o servidor DNS em seu primeiro servidor do HGS.
- Ingresse o novo nó do HGS no mesmo domínio que seu primeiro nó do HGS.
Conceda direitos para o computador recuperar uma senha do gMSA e executar Install-ADServiceAccount
Faça com que um administrador de serviços de diretório adicione a conta de computador do novo nó ao grupo de segurança que contém todos os servidores do HGS que têm permissão para permitir que esses servidores usem a conta gMSA do HGS.
Reinicie o novo nó para obter um novo tíquete Kerberos que inclua a associação do computador nesse grupo de segurança. Após a conclusão da reinicialização, conecte-se a uma identidade de domínio pertencente ao grupo de administradores locais no computador.
Instale a conta de serviço gerenciada do grupo do HGS no nó.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Inicializar o servidor do HGS
Execute o comando a seguir para ingressar no cluster do HGS existente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Levará até 10 minutos para que os certificados de criptografia e assinatura do primeiro servidor do HGS sejam replicados para esse nó.
Instalar as chaves privadas dos certificados
Se você não forneceu um arquivo PFX para os certificados de criptografia ou de assinatura no primeiro servidor do HGS, somente a chave pública será replicada para esse servidor. Você precisará instalar a chave privada importando um arquivo PFX contendo a chave privada para o repositório de certificados local ou, no caso de chaves com suporte do HSM, configurando o provedor de armazenamento de chaves e associando-o aos certificados de acordo com as instruções do fabricante do HSM.
Configurar o HGS para comunicações HTTPS
Se você quiser proteger pontos de extremidade do HGS com um certificado SSL, configure o certificado SSL nesse nó, bem como todos os outros nós no cluster HGS. Os certificados SSL não são replicados pelo HGS e não precisam usar as mesmas chaves para cada nó (ou seja, você pode ter certificados SSL diferentes para cada nó).
Ao solicitar um certificado SSL, verifique se o nome de domínio totalmente qualificado do cluster (conforme mostrado na saída de Get-HgsServer) é o nome comum do certificado ou incluído como um nome DNS alternativo de entidade.
Quando você obtiver um certificado de sua autoridade de certificação, será possível configurar o HGS para usá-lo com Set-HgsServer.
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
Se você já instalou o certificado no repositório de certificados local e deseja referenciá-lo por impressão digital, então execute o seguinte comando:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
O HGS sempre exporá as portas HTTP e HTTPS para comunicação. Não há suporte para remover a associação HTTP no IIS, no entanto, você pode usar o Firewall do Windows ou outras tecnologias de firewall de rede para bloquear as comunicações pela porta 80.
Desativar um nó HGS
Para desativar um nó HGS:
-
Isso remove o nó do cluster e desinstala os serviços de atestado e proteção de chave. Se esse for o último nó no cluster, -Force será necessário para significar que você deseja remover o último nó e destruir o cluster no Active Directory.
Se o HGS for implantado em uma floresta bastion (padrão), essa será a única etapa. Opcionalmente, você pode remover o computador do domínio e remover a conta gMSA do Active Directory.
Se o HGS criou o próprio domínio, você também deve desinstalar o HGS para retirá-lo e rebaixar o controlador de domínio.