在新的專用樹系中使用 TPM 模式初始化 HGS 叢集 (預設)

適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016

1. 用戶端可以使用容錯移轉叢集分散式網路名稱 (DNN) 輕鬆地連絡任何 HGS 節點。 您必須選擇 DNN。 此名稱將會在 HGS DNS 服務中註冊。 舉例來說，如果您的 3 個 HGS 節點具有主機名稱 HGS01、HGS02 和 HGS03，則可能會決定為 DNN 選擇 "hgs" 或 "HgsCluster"。

2. 找出 HGS 守護者憑證。 您需要一個簽署憑證和一個加密憑證來初始化 HGS 叢集。 為 HGS 提供憑證的最簡單方式，是為每個包含公開和私密金鑰的憑證，建立受密碼保護的 PFX 檔案。 如果您使用 HSM 支援的金鑰或其他不可匯出的憑證，請先確定此憑證已安裝在本機電腦的憑證存放區，然後再繼續。 如需要使用哪些憑證的詳細資訊，請參閱取得 HGS 的憑證。

3. 在第一個 HGS 節點上提升權限的 PowerShell 視窗中執行 Initialize-HgsServer。 此 Cmdlet 的語法支援許多不同的輸入，但 2 個最常見的引動過程如下：

   • 如果您使用 PFX 檔案進行簽署和加密憑證，請執行下列命令：

     $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
     $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
     
     Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm
     

   • 如果您使用本機憑證存放區中安裝的不可匯出憑證，請執行下列命令。 如果您不知道憑證的指紋，您可執行 Get-ChildItem Cert:\LocalMachine\My 以列出可用的憑證。

     Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' -TrustTpm
     

4. 如果您使用指紋將任何憑證提供給 HGS，系統會指示您將這些憑證的私密金鑰讀取權限授與 HGS。 在已安裝桌面體驗的伺服器上，完成下列步驟：

   1. 開啟本機電腦憑證管理員 (certlm.msc)
   2. 尋找憑證 > 以滑鼠右鍵按一下 > 所有工作 > 管理私密金鑰
   3. 按一下 [新增]
   4. 在物件選擇器視窗中，按一下 [物件類型] 並啟用 [服務帳戶]
   5. 輸入來自 Initialize-HgsServer 的警告文字中提及的服務帳戶名稱
   6. 確定 gMSA 具有私密金鑰的「讀取」存取權。

   在 Server Core 上，您必須下載 PowerShell 模組，以協助設定私密金鑰權限。

   1. 請在具有網際網路連線能力的 HGS 伺服器上執行 Install-Module GuardedFabricTools，或在另一部電腦上執行 Save-Module GuardedFabricTools 並將此模組複製到 HGS 伺服器。

   2. 執行 Import-Module GuardedFabricTools。 這會將其他屬性新增至 PowerShell 中找到的憑證物件。

   3. 在 PowerShell 中使用 Get-ChildItem Cert:\LocalMachine\My 尋找您的憑證指紋

   4. 更新 ACL，將指紋取代為您自己的指紋，並將下列程式碼中的 gMSA 帳戶取代為 Initialize-HgsServer 的警告文字中所列的帳戶。

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

   如果您使用 HSM 支援的憑證，或第三方金鑰儲存提供者中儲存的憑證，您可能不適用這些步驟。 請參閱金鑰儲存提供者的文件，以了解如何管理私密金鑰的權限。 在某些情況下，安裝憑證時，沒有授權或不會提供授權給整部電腦。

5. 介紹完畢 在生產環境中，您應該繼續將其他 HGS 節點新增至叢集。

後續步驟

安裝 TPM 根憑證