Configurare nodi HGS aggiuntivi
Negli ambienti di produzione, HGS deve essere configurato in un cluster a disponibilità elevata per assicurare che le macchine virtuali schermate possano essere avviate anche se un nodo HGS diventa inattivo. Per gli ambienti di test, i nodi HGS secondari non sono necessari.
Usare uno di questi metodi per aggiungere nodi HGS, come più adatto per l'ambiente in uso.
Ambiente | Opzione 1 | Opzione 2 |
---|---|---|
Nuova foresta HGS | Uso di file PFX | Uso delle identificazioni personali del certificato |
Foresta bastion esistente | Uso di file PFX | Uso delle identificazioni personali del certificato |
Prerequisiti
Assicurarsi che ogni nodo aggiuntivo:
- abbia la stessa configurazione hardware e software del nodo primario
- sia connesso alla stessa rete degli altri server HGS
- possa risolvere gli altri server HGS in base ai nomi DNS
Foresta HGS dedicata con certificati PFX
- Alzare di livello il nodo HGS a un controller di dominio
- Inizializzare il server HGS
Alzare di livello il nodo HGS a un controller di dominio
Eseguire Install-HgsServer per aggiungere il dominio e alzare di livello il nodo a un controller di dominio.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
Quando il server viene riavviato, accedere con un account amministratore di dominio.
Inizializzare il server HGS
Eseguire il comando seguente per aggiungere il cluster HGS esistente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Foresta HGS dedicata con identificazioni personali del certificato
- Alzare di livello il nodo HGS a un controller di dominio
- Inizializzare il server HGS
- Installare le chiavi private per i certificati
Alzare di livello il nodo HGS a un controller di dominio
Eseguire Install-HgsServer per aggiungere il dominio e alzare di livello il nodo a un controller di dominio.
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart
Quando il server viene riavviato, accedere con un account amministratore di dominio.
Inizializzare il server HGS
Eseguire il comando seguente per aggiungere il cluster HGS esistente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Installare le chiavi private per i certificati
Se non è stato specificato un file PFX per la crittografia o la firma dei certificati nel primo server HGS, solo la chiave pubblica verrà replicata in questo server. Sarà necessario installare la chiave privata importando un file PFX contenente la chiave privata nell'archivio certificati locale o, nel caso di chiavi supportate dal modulo di protezione hardware, configurando il provider di archiviazione chiavi e associandolo ai certificati in base alle istruzioni del produttore del modulo di protezione hardware.
Foresta bastion esistente con certificati PFX
- Aggiungere il nodo al dominio esistente
- Concedere i diritti del computer per recuperare la password dell'account del servizio gestito del gruppo ed eseguire Install-ADServiceAccount
- Inizializzare il server HGS
Aggiungere il nodo al dominio esistente
- Verificare che almeno una scheda di interfaccia di rete nel nodo sia configurata per l'uso del server DNS nel primo server HGS.
- Aggiungere il nuovo nodo HGS allo stesso dominio del primo nodo HGS.
Concedere i diritti del computer per recuperare la password dell'account del servizio gestito del gruppo ed eseguire Install-ADServiceAccount
Chiedere a un amministratore dei servizi directory di aggiungere l'account computer per il nuovo nodo al gruppo di sicurezza contenente tutti i server HGS autorizzati a consentire a tali server di usare l'account del servizio gestito del gruppo HGS.
Riavviare il nuovo nodo per ottenere un nuovo ticket Kerberos che include l'appartenenza del computer a tale gruppo di sicurezza. Al termine del riavvio, accedere con un'identità di dominio appartenente al gruppo di amministratori locale nel computer.
Installare l'account del servizio gestito del gruppo HGS nel nodo.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Inizializzare il server HGS
Eseguire il comando seguente per aggiungere il cluster HGS esistente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
Foresta bastion esistente con identificazioni personali del certificato
- Aggiungere il nodo al dominio esistente
- Concedere i diritti del computer per recuperare la password dell'account del servizio gestito del gruppo ed eseguire Install-ADServiceAccount
- Inizializzare il server HGS
- Installare le chiavi private per i certificati
Aggiungere il nodo al dominio esistente
- Verificare che almeno una scheda di interfaccia di rete nel nodo sia configurata per l'uso del server DNS nel primo server HGS.
- Aggiungere il nuovo nodo HGS allo stesso dominio del primo nodo HGS.
Concedere i diritti del computer per recuperare la password dell'account del servizio gestito del gruppo ed eseguire Install-ADServiceAccount
Chiedere a un amministratore dei servizi directory di aggiungere l'account computer per il nuovo nodo al gruppo di sicurezza contenente tutti i server HGS autorizzati a consentire a tali server di usare l'account del servizio gestito del gruppo HGS.
Riavviare il nuovo nodo per ottenere un nuovo ticket Kerberos che include l'appartenenza del computer a tale gruppo di sicurezza. Al termine del riavvio, accedere con un'identità di dominio appartenente al gruppo di amministratori locale nel computer.
Installare l'account del servizio gestito del gruppo HGS nel nodo.
Install-ADServiceAccount -Identity <HGSgMSAAccount>
Inizializzare il server HGS
Eseguire il comando seguente per aggiungere il cluster HGS esistente.
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
La replica dei certificati dal primo server HGS in questo nodo richiederà fino a 10 minuti.
Installare le chiavi private per i certificati
Se non è stato specificato un file PFX per la crittografia o la firma dei certificati nel primo server HGS, solo la chiave pubblica verrà replicata in questo server. Sarà necessario installare la chiave privata importando un file PFX contenente la chiave privata nell'archivio certificati locale o, nel caso di chiavi supportate dal modulo di protezione hardware, configurando il provider di archiviazione chiavi e associandolo ai certificati in base alle istruzioni del produttore del modulo di protezione hardware.
Configurare il servizio Sorveglianza host per le comunicazioni HTTPS
Se si desidera proteggere gli endpoint HGS con un certificato SSL, è necessario configurare il certificato SSL in questo nodo, nonché tutti gli altri nodi del cluster HGS. I certificati SSL non sono replicati da HGS e non devono usare le stesse chiavi per ogni nodo( ad esempio, è possibile avere certificati SSL diversi per ogni nodo).
Quando si richiede un certificato SSL, assicurarsi che il nome di dominio completo del cluster (come illustrato nell'output di Get-HgsServer
) sia il nome comune soggetto del certificato o incluso come nome DNS alternativo del soggetto.
Dopo aver ottenuto un certificato dall'autorità di certificazione, è possibile configurare HGS per usarlo con Set-HgsServer.
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
Se il certificato è già stato installato nell'archivio certificati locale e si vuole farvi riferimento tramite identificazione personale, eseguire invece il comando seguente:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
HGS esporrà sempre le porte HTTP e HTTPS per la comunicazione. Non è supportato rimuovere l'associazione HTTP in IIS, ma è possibile usare Windows Firewall o altre tecnologie firewall di rete per bloccare le comunicazioni sulla porta 80.
Rimuovere le autorizzazioni di un nodo HGS
Per rimuovere le autorizzazioni di un nodo HGS:
Cancellare la configurazione di HGS.
In questo modo il nodo viene rimosso dal cluster e disinstalla i servizi di attestazione e protezione delle chiavi. Se si tratta dell'ultimo nodo nel cluster, -Force è necessario per indicare che si vuole rimuovere l'ultimo nodo ed eliminare definitivamente il cluster in Active Directory.
Se HGS viene distribuito in una foresta bastion (impostazione predefinita), questo è l'unico passaggio. Facoltativamente, è possibile annullare la partecipazione del computer dal dominio e rimuovere l'account del servizio gestito del gruppo da Active Directory.
Se HGS ha creato il proprio dominio, è necessario anche disinstallare HGS per annullare la connessione al dominio e abbassare di livello il controller di dominio.