在现有堡垒林中使用 AD 模式初始化 HGS 群集
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
重要
从 Windows Server 2019 开始,管理员信任的证明(AD 模式)已弃用。 对于无法进行 TPM 证明的环境,请配置主机密钥证明。 主机密钥证明提供与 AD 模式类似的保证,并且更易于设置。
Active Directory 域服务将安装在计算机上,但应保持在未配置状态。
找到 HGS 守护者证书。 需要一个签名证书和一个加密证书来初始化 HGS 群集。 向 HGS 提供证书的最简单方法是为每个包含公钥和私钥的证书创建一个受密码保护的 PFX 文件。 如果使用 HSM 支持的密钥或其他不可导出的证书,请确保先将证书安装到本地计算机的证书存储中,然后再继续操作。 有关要使用的证书的详细信息,请参阅为 HGS 获取证书。
在继续之前,请确保已为主机保护者服务预设了群集对象,并向已登录用户授予了对 Active Directory 中的 VCO 和 CNO 对象的完全控制权限。
需要将虚拟计算机对象名称传递给 -HgsServiceName 参数,将群集名称传递给 -ClusterName 参数。
提示
在继续操作之前,请仔细检查 AD 域控制器,确保群集对象已复制到所有 DC。
如果使用基于 PFX 的证书,请在 HGS 服务器上运行以下命令:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
如果使用安装在本地计算机上的证书(例如 HSM 支持的证书和不可导出的证书),请改用 -SigningCertificateThumbprint 和 -EncryptionCertificateThumbprint 参数。