SQL Server için Konak Koruyucu Hizmeti'ni dağıtma

Şunlar için geçerlidir: Windows'da SQL Server 2019 (15.x) ve sonraki sürümleri

Bu makalede, Konak Koruyucu Hizmeti'nin (HGS) SQL Server için kanıtlama hizmeti olarak nasıl dağıtılacağı açıklanmaktadır. Başlamadan önce, önkoşulların ve mimari kılavuzun tam listesi için Host Guardian Hizmeti için Doğrulama Planı makalesini okuduğunuzdan emin olun.

Not

HGS yöneticisi bu makalede açıklanan tüm adımları yürütmekle sorumludur. Bkz. HGS ile kanıtlamayı yapılandırırkenRolleri ve sorumlulukları.

1. Adım: İlk HGS bilgisayarını ayarlama

Konak Koruyucu Hizmeti (HGS), bir veya daha fazla bilgisayarda kümelenmiş hizmet olarak çalışır. Bu adımda, ilk bilgisayarda yeni bir HGS kümesi ayarlayacaksınız. Zaten bir HGS kümeniz varsa ve yüksek kullanılabilirlik için buna ek bilgisayarlar ekliyorsanız, Adım 2:kümeye daha fazla HGS bilgisayarı ekleme bölümüne atlayın.

Başlamadan önce, kullandığınız bilgisayarın Windows Server 2019 veya üzeri - Standard veya Datacenter sürümünü çalıştırdığından, yerel yönetici ayrıcalıklarına sahip olduğunuzdan ve bilgisayarın bir Active Directory etki alanına katılmadığından emin olun.

1. İlk HGS bilgisayarında yerel yönetici olarak oturum açın ve yükseltilmiş bir Windows PowerShell konsolu açın. Konak Koruyucu Hizmeti rolünü yüklemek için aşağıdaki komutu çalıştırın. Bilgisayar değişiklikleri uygulamak için otomatik olarak yeniden başlatılır.

   Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart
   

2. HGS bilgisayarı yeniden başlatıldıktan sonra, yeni Active Directory ormanını yüklemek için yükseltilmiş bir Windows PowerShell konsolunda aşağıdaki komutları çalıştırın:

   # Select the name for your new Active Directory root domain.
   # Make sure the name does not conflict with, and is not subordinate to, any existing domains on your network.
   $HGSDomainName = 'bastion.local'
   
   # Specify a Directory Services Restore Mode password that can be used to recover your domain in safe mode.
   # This password is not, and will not change, your admin account password.
   # Save this password somewhere safe and include it in your disaster recovery plan.
   $DSRMPassword = Read-Host -AsSecureString -Prompt "Directory Services Restore Mode Password"
   
   Install-HgsServer -HgsDomainName $HgsDomainName -SafeModeAdministratorPassword $DSRMPassword -Restart
   

   Active Directory ormanının yapılandırılmasını tamamlamak için HGS bilgisayarınız yeniden başlatılır. Gelecek oturum açışınızda, yönetici hesabınız bir etki alanı yöneticisi hesabı olacak. Yeni ormanınızı yönetme ve güvenliğini sağlama hakkında daha fazla bilgi için Active Directory Etki Alanı Hizmetleri İşlemleri belgelerini gözden geçirmenizi öneririz.

3. Ardından, yükseltilmiş bir Windows PowerShell konsolunda aşağıdaki komutu çalıştırarak HGS kümesini ayarlayıp kanıtlama hizmetini yükleyeceksiniz:

   # Note: the name you provide here will be shared by all HGS nodes and used to point your SQL Server computers to the HGS cluster.
   # For example, if you provide "attsvc" here, a DNS record for "attsvc.yourdomain.com" will be created for every HGS computer.
   Initialize-HgsAttestation -HgsServiceName 'hgs'
   

2. Adım: Kümeye daha fazla HGS bilgisayarı ekleme

İlk HGS bilgisayarınız ve kümeniz ayarlandıktan sonra, yüksek kullanılabilirlik sağlamak için ek HGS sunucuları ekleyebilirsiniz. Yalnızca bir HGS sunucusu ayarlıyorsanız (örneğin geliştirme/test ortamında), 3. Adıma atlayabilirsiniz.

İlk HGS bilgisayarında olduğu gibi, kümeye katıldığınız bilgisayarın Windows Server 2019 veya üzeri - Standard veya Datacenter sürümünü çalıştırdığından, yerel yönetici ayrıcalıklarına sahip olduğunuzdan ve bilgisayarın zaten bir Active Directory etki alanına katılmadığından emin olun.

1. Bilgisayarda yerel yönetici olarak oturum açın ve yükseltilmiş bir Windows PowerShell konsolu açın. Konak Koruyucu Hizmeti rolünü yüklemek için aşağıdaki komutu çalıştırın. Bilgisayar değişiklikleri uygulamak için otomatik olarak yeniden başlatılır.

   Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart
   

2. HGS etki alanını çözümleyebildiğinden emin olmak için bilgisayarınızda DNS istemci yapılandırmasını denetleyin. Aşağıdaki komut, HGS sunucunuz için bir IP adresi döndürmelidir. HGS etki alanını çözümleyemiyorsanız, ad çözümlemesi için HGS DNS sunucusunu kullanmak üzere ağ bağdaştırıcınızdaki DNS sunucusu bilgilerini güncelleştirmeniz gerekebilir.

   # Change 'bastion.local' to the domain name you specified in Step 1.2
   nslookup bastion.local
   
   # If it fails, use sconfig.exe, option 8, to set the first HGS computer as your preferred DNS server.
   

3. Bilgisayar yeniden başlatıldıktan sonra, bilgisayarı ilk HGS sunucusu tarafından oluşturulan Active Directory etki alanına eklemek için yükseltilmiş bir Windows PowerShell konsolunda aşağıdaki komutu çalıştırın. Bu komutu çalıştırmak için AD etki alanı için etki alanı yöneticisi kimlik bilgileri gerekir. Komut tamamlandığında, bilgisayar yeniden başlatılır ve makine HGS etki alanı için Active Directory etki alanı denetleyicisi olur.

   # Provide the fully qualified HGS domain name
   $HGSDomainName = 'bastion.local'
   
   # Provide a domain administrator's credential for the HGS domain
   $DomainAdminCred = Get-Credential
   
   # Specify a Directory Services Restore Mode password that can be used to recover your domain in safe mode.
   # This password is not, and will not change, your admin account password.
   # Save this password somewhere safe and include it in your disaster recovery plan.
   $DSRMPassword = Read-Host -AsSecureString -Prompt "Directory Services Restore Mode Password"
   
   Install-HgsServer -HgsDomainName $HgsDomainName -HgsDomainCredential $DomainAdminCred -SafeModeAdministratorPassword $DSRMPassword -Restart
   

4. Bilgisayar yeniden başlatıldıktan sonra etki alanı yöneticisi kimlik bilgileriyle oturum açın. Yükseltilmiş bir Windows PowerShell konsolu açın ve kanıtlama hizmetini yapılandırmak için aşağıdaki komutları çalıştırın. Doğrulama hizmeti küme duyarlı olduğundan, yapılandırmasını diğer küme üyelerinden kopyalayacaktır. Herhangi bir HGS düğümünde kanıtlama ilkelerinde yapılan değişiklikler diğer tüm düğümlere uygulanır.

   # Provide the IP address of an existing, initialized HGS server
   # If you are using separate networks for cluster and application traffic, choose an IP address on the cluster network.
   # You can find the IP address of your HGS server by signing in and running "ipconfig /all"
   Initialize-HgsAttestation -HgsServerIPAddress '172.16.10.20'
   

5. HGS kümenize eklemek istediğiniz her bilgisayar için 2. Adımı yineleyin.

3. Adım: HGS kümenize DNS ileticisi yapılandırma

HGS, kanıtlama hizmetini çözmek için gereken ad kayıtlarını içeren kendi DNS sunucusunu çalıştırır. Ağınızın DNS sunucusunu istekleri HGS DNS sunucularına iletecek şekilde yapılandırana kadar SQL Server bilgisayarlarınız bu kayıtları çözümleyemez.

DNS ileticilerini yapılandırma işlemi satıcıya özgüdür, bu nedenle belirli ağınız için doğru yönergeler için ağ yöneticinize başvurmanızı öneririz.

Şirket ağınız için Windows Server DNS Sunucusu rolünü kullanıyorsanız, DNS yöneticiniz HGS etki alanına bir koşullu iletici oluşturabilir ve böylece yalnızca HGS etki alanı istekleri iletilir. Örneğin, HGS sunucularınız "bastion.local" etki alanı adını kullanıyorsa ve 172.16.10.20, 172.16.10.21 ve 172.16.10.22 IP adreslerine sahipse, koşullu iletici yapılandırmak için kurumsal DNS sunucusunda aşağıdaki komutu çalıştırabilirsiniz:

# Tip: make sure to provide every HGS server's IP address
# If you use separate NICs for cluster and application traffic, use the application traffic NIC IP addresses here
Add-DnsServerConditionalForwarderZone -Name 'bastion.local' -ReplicationScope "Forest" -MasterServers "172.16.10.20", "172.16.10.21", "172.16.10.22"

4. Adım: Kanıtlama hizmetini yapılandırma

HGS iki kanıtlama modunu destekler: Her SQL Server bilgisayarının bütünlüğünü ve kimliğini şifrelemek için TPM kanıtlama ve SQL Server bilgisayarı kimliğinin basit doğrulaması için Konak Anahtarı kanıtlama. Henüz bir kanıtlama modu seçmediyseniz, her mod için güvenlik güvenceleri ve kullanım örnekleri hakkında daha fazla bilgi için planlama kılavuzu kanıtlama bilgilerine göz atın.

Bu bölümdeki adımlar, belirli bir kanıtlama modu için temel kanıtlama ilkelerini yapılandıracaktır. 4. Adımda konağa özgü bilgileri kaydedeceksiniz. Gelecekte kanıtlama modunuzu değiştirmeniz gerekiyorsa, istenen kanıtlama modunu kullanarak 3. ve 4. adımı yineleyin.

TPM kanıtlamaya geçin

HGS'de TPM kanıtlamasını yapılandırmak için İnternet erişimi olan bir bilgisayara ve TPM 2.0 rev 1.16 yongasına sahip en az bir SQL Server bilgisayara ihtiyacınız vardır.

HGS'yi TPM modunu kullanacak şekilde yapılandırmak için yükseltilmiş bir PowerShell konsolu açın ve aşağıdaki komutu çalıştırın:

Set-HgsServer -TrustTpm

Kümenizdeki tüm HGS bilgisayarları artık bir SQL Server bilgisayarı kanıtlamaya çalıştığında TPM modunu kullanacaktır.

HGS'ye SQL Server bilgisayarlarınızdan TPM bilgilerini kaydedebilmeniz için önce TPM satıcılarınızdan onay anahtarı (EK) kök sertifikalarını yüklemeniz gerekir. Her fiziksel TPM, fabrikada üreticiyi tanımlayan bir onay anahtarı sertifikasının eşlik ettiği benzersiz bir onay anahtarıyla yapılandırılır. Bu sertifika TPM'nizin orijinal olmasını sağlar. HGS, HGS'ye yeni bir TPM kaydettiğinizde sertifika zincirini güvenilen kök sertifikaların listesiyle karşılaştırarak onay anahtarı sertifikasını doğrular.

Microsoft, HGS Güvenilen TPM Kök Sertifikaları deposuna aktarabileceğiniz bilinen iyi TPM satıcısı kök sertifikalarının listesini yayımlar. SQL Server bilgisayarlarınız sanallaştırılmışsa, sanal TPM'nizin onay anahtarı için sertifika zincirini alma hakkında bilgi için bulut hizmeti sağlayıcınıza veya sanallaştırma platformu satıcınıza başvurmanız gerekir.

Fiziksel TPM'ler için Microsoft'tan güvenilen TPM kök sertifikaları paketini indirmek için aşağıdaki adımları tamamlayın:

1. İnternet erişimi olan bir bilgisayarda en son TPM kök sertifika paketini https://go.microsoft.com/fwlink/?linkid=2097925'dan indirin

2. Doğru olduğundan emin olmak için cab dosyasının imzasını doğrulayın.

   # Note: replace the path below with the correct one to the file you downloaded in step 1
   Get-AuthenticodeSignature ".\TrustedTpm.cab"
   

   Uyarı

   İmza geçersizse devam etmeyin ve yardım için Microsoft desteğine başvurun.

3. Cab dosyasını yeni bir dizine genişletin.

   mkdir .\TrustedTpmCertificates
   expand.exe -F:* ".\TrustedTpm.cab" ".\TrustedTpmCertificates"
   

4. Yeni dizinde her TPM satıcısının dizinlerini görürsünüz. Kullanmadığınız satıcıların dizinlerini silebilirsiniz.

5. "TrustedTpmCertificates" dizininin tamamını HGS sunucunuza kopyalayın.

6. HGS sunucusunda yükseltilmiş bir PowerShell konsolu açın ve aşağıdaki komutu çalıştırarak tüm TPM kök ve ara sertifikalarını içeri aktarın:

   # Note: replace the path below with the correct location of the TrustedTpmCertificates folder on your HGS computer
   cd "C:\scratch\TrustedTpmCertificates"
   .\setup.cmd
   

7. Her HGS bilgisayarı için 5. ve 6. adımları yineleyin.

OEM'inizden, bulut hizmeti sağlayıcınızdan veya sanallaştırma platformu satıcınızdan ara ve kök CA sertifikaları aldıysanız, sertifikaları doğrudan ilgili yerel makine sertifika deposuna aktarabilirsiniz: TrustedHgs_RootCA veya TrustedHgs_IntermediateCA. Örneğin, PowerShell'de:

# Imports MyCustomTpmVendor_Root.cer to the local machine's "TrustedHgs_RootCA" store
Import-Certificate -FilePath ".\MyCustomTpmVendor_Root.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedHgs_RootCA"

Anahtar doğrulaması için sistem doğrulamasına geçiş yapın

Ana bilgisayar anahtarı kanıtlamasını kullanmak için, yükseltilmiş bir PowerShell konsolundaki bir HGS sunucusunda aşağıdaki komutu çalıştırın.

Set-HgsServer -TrustHostKey

Kümenizdeki tüm HGS bilgisayarları artık bir SQL Server bilgisayarı test etmeye çalıştığında konak anahtar modunu kullanacaktır.

5. Adım: HGS HTTPS bağlamasını yapılandırma

Varsayılan yüklemede HGS yalnızca bir HTTP (bağlantı noktası 80) bağlamasına açık olur. SQL Server bilgisayarları ile HGS arasındaki tüm iletişimleri şifrelemek için bir HTTPS (bağlantı noktası 443) bağlaması yapılandırabilirsiniz. HGS'nin tüm üretim örneklerinin bir HTTPS bağlaması kullanması önerilir.

1. Konu adı olarak Adım 1.3'ten tam HGS hizmet adını kullanarak sertifika yetkilinizden bir TLS sertifikası alın. Hizmet adınızı bilmiyorsanız, herhangi bir HGS bilgisayarında Get-HgsServer çalıştırarak bulabilirsiniz. SQL Server bilgisayarlarınız HGS kümenize ulaşmak için farklı bir DNS adı kullanıyorsa (örneğin, HGS farklı bir adrese sahip bir ağ yük dengeleyicinin arkasındaysa) Konu Diğer Adı listesine alternatif DNS adları ekleyebilirsiniz.

2. HGS bilgisayarında, HTTPS bağlamasını etkinleştirmek ve önceki adımda alınan TLS sertifikasını belirtmek için Set-HgsServer kullanın. Sertifikanız yerel sertifika deposundaki bilgisayarda zaten yüklüyse, HGS'ye kaydetmek için aşağıdaki komutu kullanın:

   # Note: you'll need to know the thumbprint for your certificate to configure HGS this way
   Set-HgsServer -Http -Https -HttpsCertificateThumbprint "54A043386555EB5118DB367CFE38776F82F4A181"
   

   Sertifikanızı (özel anahtarla) parola korumalı bir PFX dosyasına aktardıysanız, aşağıdaki komutu çalıştırarak sertifikayı HGS'ye kaydedebilirsiniz:

   $PFXPassword = Read-Host -AsSecureString -Prompt "PFX Password"
   Set-HgsServer -Http -Https -HttpsCertificatePath "C:\path\to\hgs_tls.pfx" -HttpsCertificatePassword $PFXPassword
   

3. Kümedeki her HGS bilgisayarı için 1. ve 2. adımları yineleyin. TLS sertifikaları HGS düğümleri arasında otomatik olarak çoğaltılamaz. Ayrıca, konu HGS hizmet adıyla eşleştiğinden her HGS bilgisayarının kendi benzersiz TLS sertifikası olabilir.

6. Adım: HGS kanıtlama URL'sini belirleme ve paylaşma

HGS yöneticisi olarak, HGS'nin kanıtlama URL'sini hem SQL Server bilgisayar yöneticileri hem de kuruluşunuzdaki uygulama yöneticileriyle paylaşmanız gerekir. SQL Server bilgisayar yöneticilerinin, SQL Server bilgisayarlarının HGS ile kanıtlayabildiğini doğrulamak için kanıtlama URL'sine ihtiyacı vardır. Uygulama yöneticileri, uygulamalarının SQL Server'a nasıl bağlanacağını yapılandırmak için kanıtlama URL'sine ihtiyaç duyar.

Kanıtlama URL'sini belirlemek için aşağıdaki cmdlet'i çalıştırın.

Get-HGSServer

Komutun çıkışı aşağıdakine benzer olacaktır:

Name                           Value
----                           -----
AttestationOperationMode       HostKey
AttestationUrl                 {http://hgs.bastion.local/Attestation}
KeyProtectionUrl               {}

HGS'nizin kanıtlama URL'si, AttestationUrl özelliğinin değeridir.

İlgili içerik

• Bilgisayarı Konak Koruyucu Hizmeti'ne kaydetme