다음을 통해 공유

추가 HGS 노드 구성

프로덕션 환경에서는 HGS 노드가 중단된 경우에도 보호된 VM의 전원이 켜졌는지 확인하기 위해 고가용성 클러스터에서 HGS를 설정해야 합니다. 테스트 환경의 경우 보조 HGS 노드가 필요하지 않습니다.

이러한 방법 중 하나를 사용하여 환경에 가장 적합한 HGS 노드를 추가합니다.

Environment 옵션 1 옵션 2
새 HGS 포리스트 PFX 파일 사용 인증서 지문 사용
기존 베스천 포리스트 PFX 파일 사용 인증서 지문 사용

필수 조건

각 추가 노드가 다음과 같은지 확인합니다.

  • 기본 노드와 동일한 하드웨어 및 소프트웨어 구성이 있습니다.
  • 다른 HGS 서버와 동일한 네트워크에 연결되어 있습니다.
  • DNS 이름으로 다른 HGS 서버를 확인할 수 있습니다.

PFX 인증서를 사용하는 전용 HGS 포리스트가 있습니다.

  1. HGS 노드를 도메인 컨트롤러로 승격합니다.
  2. HGS 서버를 초기화합니다.

HGS 노드를 도메인 컨트롤러로 승격합니다.

  1. Install-HgsServer를 실행하여 하여 도메인에 가입하고 노드를 도메인 컨트롤러로 승격합니다.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. 서버가 다시 부팅되면 도메인 관리자 계정으로 로그인합니다.

HGS 서버를 초기화합니다.

다음 명령을 실행하여 기존 HGS 클러스터에 가입합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

인증서 지문이 있는 전용 HGS 포리스트가 있습니다.

  1. HGS 노드를 도메인 컨트롤러로 승격합니다.
  2. HGS 서버를 초기화합니다.
  3. 인증서에 대한 프라이빗 키를 설치합니다.

HGS 노드를 도메인 컨트롤러로 승격합니다.

  1. Install-HgsServer를 실행하여 하여 도메인에 가입하고 노드를 도메인 컨트롤러로 승격합니다.

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. 서버가 다시 부팅되면 도메인 관리자 계정으로 로그인합니다.

HGS 서버를 초기화합니다.

다음 명령을 실행하여 기존 HGS 클러스터에 가입합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

인증서에 대한 프라이빗 키를 설치합니다.

첫 번째 HGS 서버에서 암호화 또는 서명 인증서에 대한 PFX 파일을 제공하지 않은 경우 공개 키만 이 서버에 복제됩니다. 프라이빗 키가 포함된 PFX 파일을 로컬 인증서 저장소로 가져오거나 HSM 지원 키의 경우 키 스토리지 공급자를 구성하고 HSM 제조업체의 지침에 따라 인증서와 연결하여 프라이빗 키를 설치해야 합니다.

PFX 인증서가 있는 기존 베스천 포리스트

  1. 노드를 기존 도메인에 조인합니다.
  2. gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 권한을 컴퓨터에 부여합니다.
  3. HGS 서버를 초기화합니다.

노드를 기존 도메인에 조인합니다.

  1. 노드에서 하나 이상의 NIC가 첫 번째 HGS 서버의 DNS 서버를 사용하도록 구성되어 있는지 확인합니다.
  2. 새 HGS 노드를 첫 번째 HGS 노드와 동일한 도메인에 조인합니다.

gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 권한을 컴퓨터에 부여합니다.

  1. 디렉터리 서비스 관리자가 해당 서버가 HGS gMSA 계정을 사용할 수 있도록 권한이 부여된 모든 HGS 서버를 포함하는 보안 그룹에 새 노드에 대한 컴퓨터 계정을 추가하도록 합니다.

  2. 새 노드를 다시 부팅하여 해당 보안 그룹의 컴퓨터 구성원 자격을 포함하는 새 Kerberos 티켓을 가져옵니다. 재부팅이 완료되면 컴퓨터의 로컬 관리자 그룹에 속한 도메인 ID로 로그인합니다.

  3. 노드에 HGS 그룹 관리 서비스 계정을 설치합니다.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

HGS 서버를 초기화합니다.

다음 명령을 실행하여 기존 HGS 클러스터에 가입합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

인증서 지문이 있는 기존 베스천 포리스트

  1. 노드를 기존 도메인에 조인합니다.
  2. gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 권한을 컴퓨터에 부여합니다.
  3. HGS 서버를 초기화합니다.
  4. 인증서에 대한 프라이빗 키를 설치합니다.

노드를 기존 도메인에 조인합니다.

  1. 노드에서 하나 이상의 NIC가 첫 번째 HGS 서버의 DNS 서버를 사용하도록 구성되어 있는지 확인합니다.
  2. 새 HGS 노드를 첫 번째 HGS 노드와 동일한 도메인에 조인합니다.

gMSA 암호를 검색하고 Install-ADServiceAccount를 실행할 수 있는 권한을 컴퓨터에 부여합니다.

  1. 디렉터리 서비스 관리자가 해당 서버가 HGS gMSA 계정을 사용할 수 있도록 권한이 부여된 모든 HGS 서버를 포함하는 보안 그룹에 새 노드에 대한 컴퓨터 계정을 추가하도록 합니다.

  2. 새 노드를 다시 부팅하여 해당 보안 그룹의 컴퓨터 구성원 자격을 포함하는 새 Kerberos 티켓을 가져옵니다. 재부팅이 완료되면 컴퓨터의 로컬 관리자 그룹에 속한 도메인 ID로 로그인합니다.

  3. 노드에 HGS 그룹 관리 서비스 계정을 설치합니다.

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

HGS 서버를 초기화합니다.

다음 명령을 실행하여 기존 HGS 클러스터에 가입합니다.

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

첫 번째 HGS 서버의 암호화 및 서명 인증서가 이 노드에 복제되는 데 최대 10분이 소요됩니다.

인증서에 대한 프라이빗 키를 설치합니다.

첫 번째 HGS 서버에서 암호화 또는 서명 인증서에 대한 PFX 파일을 제공하지 않은 경우 공개 키만 이 서버에 복제됩니다. 프라이빗 키가 포함된 PFX 파일을 로컬 인증서 저장소로 가져오거나 HSM 지원 키의 경우 키 스토리지 공급자를 구성하고 HSM 제조업체의 지침에 따라 인증서와 연결하여 프라이빗 키를 설치해야 합니다.

HTTPS 통신에 대한 HGS 구성

SSL 인증서를 사용하여 HGS 엔드포인트를 보호하려면 이 노드와 HGS 클러스터의 다른 모든 노드에서 SSL 인증서를 구성해야 합니다. SSL 인증서는 HGS에 의해 복제되지 않으며 모든 노드에 대해 동일한 키를 사용할 필요가 없습니다(즉, 각 노드에 대해 다른 SSL 인증서를 가질 수 있음).

SSL 인증서를 요청할 때 클러스터의 정규화된 도메인 이름(Get-HgsServer의 출력에 표시된 것과 같음)이 인증서의 주체 일반 이름이거나 주체 대체 DNS 이름인지 확인합니다. 인증 기관에서 인증서를 가져온 경우 Set-HgsServer와 함께 사용하도록 HGS를 구성할 수 있습니다.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

인증서를 로컬 인증서 저장소에 이미 설치하고 지문으로 참조하려는 경우 대신 다음 명령을 실행합니다.

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS는 항상 통신을 위해 HTTP 및 HTTPS 포트를 모두 노출합니다. IIS에서 HTTP 바인딩을 제거하는 것은 지원되지 않지만 Windows 방화벽 또는 기타 네트워크 방화벽 기술을 사용하여 포트 80을 통한 통신을 차단할 수 있습니다.

HGS 노드 서비스 해제

HGS 노드 서비스 해제 방법:

  1. HGS 구성을 지웁니다.

    이렇게 하면 클러스터에서 노드가 제거되고 증명 및 키 보호 서비스가 제거됩니다. 클러스터의 마지막 노드인 경우 -Force는 마지막 노드를 제거하고 Active Directory에서 클러스터를 삭제하려는 경우를 나타내기 위해 필요합니다.

    HGS가 베스천 포리스트(기본값)에 배포되는 경우에는 유일한 단계입니다. 필요에 따라 도메인에서 컴퓨터를 연결 해제하고 Active Directory에서 gMSA 계정을 제거할 수 있습니다.

  2. HGS가 자체 도메인을 만든 경우 도메인을 연결 해제하고 도메인 컨트롤러를 강등하기 위하려면 추가로 HGS를 제거해야 합니다.