在现有堡垒林中使用 TPM 模式初始化 HGS 群集

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

若要在现有堡垒林中使用 TPM 模式初始化 HGS 群集,请执行以下步骤。 Active Directory 域服务将安装在计算机上,但应保持未配置状态。

找到 HGS 守护者证书。 需要一个签名证书和一个加密证书来初始化 HGS 群集。 向 HGS 提供证书的最简单方法是为每个包含公钥和私钥的证书创建受密码保护的 PFX 文件。 如果使用 HSM 支持的密钥或其他不可导出的证书,请确保证书安装在本地计算机的证书存储中,然后再继续。 有关要使用的证书的详细信息,请参阅 获取 HGS 的证书

在继续之前,请确保已预留主机保护者服务的群集对象,并授予对 Active Directory 中 VCO 和 CNO 对象的登录用户 完全控制 。 需要将虚拟计算机对象名称传递给参数,并将群集名称传递给-HgsServiceName-ClusterName参数。

提示

仔细检查 AD 域控制器,确保群集对象在继续之前已复制到所有 DC。

如果使用基于 PFX 的证书,请在 HGS 服务器上运行以下命令:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm

如果使用本地计算机上安装的证书 ((如 HSM 支持的证书和不可导出的证书) ),请改用 -SigningCertificateThumbprint-EncryptionCertificateThumbprint 参数。

在生产环境中,应继续 向群集添加其他 HGS 节点

后续步骤