기존 요새 포리스트에 HGS 설치

아티클
10/15/2024
적용 대상:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

HGS 서버를 루트 도메인에 가입

기존 요새 포리스트에서 루트 도메인에 HGS를 추가해야 합니다. 서버 관리자 또는 추가-컴퓨터를 사용하여 HGS 서버를 루트 도메인에 가입합니다.

HGS 서버 역할 추가

관리자 권한 PowerShell 세션에서 이 토픽의 모든 명령을 실행합니다.

다음 명령을 실행하여 호스트 보호 서비스 역할을 추가합니다.

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

데이터 센터에 HGS 노드를 가입하려는 보안 요새 포리스트가 있는 경우 다음 단계를 수행합니다. 또한 이러한 단계를 사용하여 동일한 도메인에 가입된 2개 이상의 독립적인 HGS 클러스터를 구성할 수도 있습니다.

HGS 서버를 원하는 도메인에 가입합니다.

서버 관리자 또는 추가-컴퓨터를 사용하여 HGS 서버를 원하는 도메인에 가입합니다.

Active Directory 개체를 준비합니다.

그룹 관리 서비스 계정 및 2개의 보안 그룹을 생성합니다. 또한 HGS를 초기화하는 계정에 도메인에서 컴퓨터 개체를 만들 수 있는 권한이 없는 경우 클러스터 개체를 미리 준비할 수도 있습니다.

그룹 관리 서비스 계정

gMSA(그룹 관리 서비스 계정)는 HGS에서 인증서를 검색 및 사용하는 데 사용하는 ID입니다. New-ADServiceAccount를 사용하여 gMSA를 만듭니다. 이것이 도메인의 첫 번째 gMSA인 경우 키 배포 서비스 루트 키를 추가해야 합니다.

각각의 HGS 노드는 gMSA 암호에 액세스하도록 허용되어야 합니다. 이를 구성하는 가장 쉬운 방법은 모든 HGS 노드가 포함된 보안 그룹을 만들어 해당 보안 그룹에 gMSA 암호를 검색할 수 있는 액세스 권한을 부여하는 것입니다.

HGS 서버를 보안 그룹에 추가한 후 다시 부팅해야 새 그룹 구성원 자격을 얻을 수 있습니다.

# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
    # Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
    Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}

# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru

# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"

# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes

gMSA에는 각 HGS 서버의 보안 로그에서 이벤트를 생성할 수 있는 권한이 필요합니다. 그룹 정책을 사용하여 사용자 권한 할당을 구성하는 경우 gMSA 계정에 HGS 서버에 대한 감사 이벤트 생성 권한이 부여되었는지 확인합니다.

참고 항목

그룹 관리 서비스 계정은 Windows Server 2012 Active Directory 스키마부터 사용할 수 있습니다. 자세한 내용은 그룹 관리 서비스 계정 요구 사항을 참조하세요.

JEA 보안 그룹

HGS를 설정하면 관리자가 전체 로컬 관리자 권한 없이 HGS를 관리할 수 있도록 JEA(충분한 관리 수행) PowerShell 엔드포인트가 구성됩니다. JEA를 사용하여 HGS를 관리할 필요는 없지만 Initialize-HgsServer를 실행하는 경우에는 여전히 구성해야 합니다. JEA 엔드포인트의 구성은 HGS 관리자 및 HGS 검토자를 포함한 2개의 보안 그룹을 지정하는 것으로 구성됩니다. 관리 그룹에 속해 있는 사용자는 HGS에서 정책을 추가, 변경 또는 제거할 수 있습니다. 검토자는 현재 구성만 볼 수 있습니다.

Active Directory 관리 도구 또는 New-ADGroup을 사용하여 이러한 JEA 그룹에 대해 2개의 보안 그룹을 만듭니다.

New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal

클러스터 개체

HGS를 설정하는 데 사용 중인 계정에 도메인에 새 컴퓨터 개체를 만들 수 있는 권한이 없는 경우 클러스터 개체를 미리 준비해야 합니다. 이러한 단계는 Active Directory Domain Services의 클러스터 컴퓨터 개체 사전 준비에 설명되어 있습니다.

첫 번째 HGS 노드를 설정하려면 CNO(클러스터 이름 개체) 1개와 VCO(가상 컴퓨터 개체)를 1개 만들어야 합니다. CNO는 클러스터의 이름을 나타내며 주로 장애 조치(failover) 클러스터링을 통해 내부적으로 사용됩니다. VCO는 클러스터 맨 위에 있는 HGS 서비스를 나타내며 DNS 서버에 등록된 이름입니다.

Important

Initialize-HgsServer을 실행할 사용자는 Active Directory에서 CNO 및 VCO 개체를 완전히 제어해야 합니다.

CNO 및 VCO를 신속히 사전 준비하려면 Active Directory 관리자가 다음 PowerShell 명령을 실행하도록 합니다.

# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru

# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru

# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl

# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing

보안 기준 예외 사항

HGS를 엄격하게 통제된 환경에 배포하는 경우 특정 그룹 정책 설정으로 인해 HGS가 정상적으로 작동하지 못할 수 있습니다. 다음 설정의 그룹 정책 개체를 확인하고 영향을 받는 경우 지침을 따릅니다.

네트워크 로그온

컴퓨터 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당

정책 이름: 네트워크에서 이 컴퓨터 액세스 거부

필수 값: 값에서 모든 로컬 계정에 대한 네트워크 로그온을 차단하지 않는지 확인합니다. 하지만 로컬 관리자 계정을 안전하게 차단할 수 있습니다.

이유: 장애 조치(failover) 클러스터링에서는 CLIUSR이라는 관리자가 아닌 로컬 계정을 사용해서 클러스터 노드를 관리합니다. 이 사용자에 대한 네트워크 로그온을 차단하면 클러스터가 올바르게 작동하지 못합니다.

Kerberos 암호화

정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션

정책 이름: 네트워크 보안: Kerberos에 허용된 암호화 유형 구성

작업: 이 정책이 구성된 경우 이 정책에서 지원되는 암호화 유형만 사용하도록 GMSA 계정을 Set-ADServiceAccount로 업데이트해야 합니다. 예를 들어 정책에서 AES128_HMAC_SHA1 및 AES256_HMAC_SHA1만 허용하는 경우 Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256을 실행해야 합니다.

다음 단계

TPM 기반의 증명을 설정하는 다음 단계는 기존 요새 포리스트에서 TPM 모드를 사용하여 HGS 클러스터 초기화를 참조하세요.
호스트 키 증명을 설정하는 다음 단계는 기존 요새 포리스트에서 키 모드를 사용하여 HGS 클러스터 초기화를 참조하세요.
관리자 기반의 증명을 설정하는 다음 단계(Windows Server 2019에서는 사용되지 않음)는 기존 요새 포리스트에서 AD 모드를 사용하여 HGS 클러스터 초기화를 참조하세요.

다음을 통해 공유