다음을 통해 공유

새 전용 포리스트에서 AD 모드를 사용하여 HGS 클러스터 초기화(기본값)

Important

관리자가 신뢰할 수 있는 증명(AD 모드)은 Windows Server 2019부터 더 이상 사용되지 않습니다. TPM 증명이 불가능한 환경의 경우 호스트 키 증명을 구성합니다. 호스트 키 증명은 AD 모드와 유사한 보증을 제공하며 설정이 더욱 간단합니다.

  1. 클라이언트는 장애 조치(failover) 클러스터링 DNN(분산 네트워크 이름)을 사용하여 모든 HGS 노드에 쉽게 연결할 수 있습니다. DNN을 선택해야 합니다. 이 이름은 HGS DNS 서비스에서 등록됩니다. 예를 들어 HGS01, HGS02 및 HGS03 호스트 이름이 있는 HGS 노드가 3개 있는 경우 DNN에 대해 "hgs" 또는 "HgsCluster"를 선택하도록 결정할 수 있습니다.

  2. HGS 보호자 인증서를 찾습니다. HGS 클러스터를 초기화하려면 하나의 서명 인증서 및 하나의 암호화 인증서가 필요합니다. 인증서를 HGS에 제공하는 가장 쉬운 방법은 퍼블릭 키와 프라이빗 키를 모두 포함하는 각 인증서에 대해 암호로 보호되는 PFX 파일을 만드는 것입니다. HSM 지원 키 또는 내보낼 수 없는 다른 인증서를 사용하는 경우 계속하기 전에 인증서가 로컬 컴퓨터의 인증서 저장소에 설치되어 있는지 확인합니다. 사용할 인증서에 대한 자세한 내용은 HGS용 인증서 가져오기를 참조하세요.

  3. 첫 번째 HGS 노드의 승격된 PowerShell 창에서 Initialize-HgsServer를 실행합니다. 이 cmdlet의 구문은 다양한 입력을 지원하지만 가장 일반적인 두 가지 호출은 다음과 같습니다.

    • 서명 및 암호화 인증서 PFX 파일을 사용하는 경우 다음 명령을 실행합니다.

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory

    • 로컬 인증서 저장소에 설치된 내보낼 수 없는 인증서를 사용 중인 경우 다음 명령을 실행합니다. 인증서의 지문을 모르는 경우 Get-ChildItem Cert:\LocalMachine\My을 실행하여 사용 가능한 인증서를 나열할 수 있습니다.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustActiveDirectory

  4. 지문을 사용하여 HGS에 인증서를 제공한 경우 HGS에 해당 인증서의 프라이빗 키에 대한 읽기 권한을 부여하라는 지시를 받습니다. 데스크톱 환경이 설치되어 있는 서버에서 다음 단계를 완료합니다.

    1. 로컬 컴퓨터 인증서 관리자(certlm.msc)를 엽니다.
    2. 인증서 찾기 > 마우스 오른쪽 단추로 클릭 > 모든 작업 > 프라이빗 키 관리
    3. 추가를 클릭합니다.
    4. 개체 선택 창에서 개체 유형을 클릭하고 서비스 계정을 사용하도록 설정합니다.
    5. Initialize-HgsServer에서 경고 텍스트에 언급된 서비스 계정의 이름을 입력합니다.
    6. gMSA에 프라이빗 키에 대한 "읽기" 액세스 권한이 있는지 확인합니다.

    서버 코어에서 프라이빗 키 권한 설정을 지원하도록 PowerShell 모듈을 다운로드해야 합니다.

    1. 인터넷에 연결되어 있는 경우 HGS 서버에서 Install-Module GuardedFabricTools을 실행하거나 다른 컴퓨터에서 Save-Module GuardedFabricTools을 실행하여 모듈을 HGS 서버에 복사합니다.

    2. Import-Module GuardedFabricTools를 실행합니다. 그러면 PowerShell에 있는 인증서 개체에 추가적인 속성이 더해집니다.

    3. Get-ChildItem Cert:\LocalMachine\My을 사용하여 PowerShell에서 인증서 지문 찾기

    4. 아래 코드의 지문과 gMSA 계정을 Initialize-HgsServer의 경고 텍스트에 나열된 계정으로 바꿔 ACL을 업데이트합니다.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
$certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow

    HSM 지원 인증서 또는 타사 키 스토리지 공급자에 저장된 인증서를 사용하는 경우 이러한 단계는 적용되지 않을 수 있습니다. 프라이빗 키의 사용 권한을 관리하는 방법을 알아보려면 키 스토리지 공급자의 설명서를 참조하세요. 경우에 따라 인증이 없거나 인증서가 설치되는 경우 전체 컴퓨터에 권한 부여가 제공됩니다.

  5. 정말 간단하죠. 프로덕션 환경에서는 계속해서 클러스터에 HGS 노드를 추가해야 합니다.

다음 단계

패브릭 DNS 구성