Table of contents
TOC
Collapse the table of content
Expand the table of content

Preparar la implementación de Host Tutor servicio

Ryan Puffer|Última actualización: 14/04/2017
|
1 Colaborador

Se aplica a: Windows Server 2016

Este tema trata los requisitos previos HGS y los pasos iniciales para preparar la implementación de HGS.

Requisitos previos para el servicio de Tutor de Host

  • Hardware: HGS se puede ejecutar en máquinas virtuales o físicos, pero se recomiendan equipos físicos.

    Si quieres ejecutar HGS como un clúster de tres nodos físico (por disponibilidad), debes tener tres servidores físicos. (Como una práctica recomendada para el clúster, los servidores de tres deben tener hardware muy similar).

  • Sistema operativo: Windows Server 2016, Standard o Datacenter edition.

  • Roles de servidor: servicio de Tutor de Host y la compatibilidad con roles de servidor.

  • Configuración o privilegios de permisos para el dominio fabric (host): tendrás que configurar el reenvío de DNS entre el fabric (host) y el dominio HGS. Si estás usando la atestación de administración de confianza (modo AD), tendrás que configurar una confianza entre la estructura y el dominio HGS de Active Directory.

Escenarios de actualización admitidos

Antes de implementar a una estructura protegida, asegúrate de que los servidores han instalado la actualización acumulativa más reciente. Si ha implementado una estructura vigilada antes del lanzamiento de la 27 de octubre de 2016 actualización acumulativa, los servidores deben actualizarse:

  • Vigiladas hosts pueden actualizarse in situ al instalar la última actualización acumulativa.
  • HGS servidores deben generarse, incluida la configuración de certificados e información acerca de los hosts, como se explica en este tema.

Máquinas virtuales blindadas que se ejecutó en un host protegido con una versión anterior del sistema operativo, como TP5, pueden seguir ejecutándose después de actualiza a Windows Server 2016 al host. Nuevo blindado no se puede crear máquinas virtuales de discos de plantilla que contaban con el Asistente de disco de la plantilla de una compilación de Technical Preview.

Preparar para HGS

Estos pasos previos requieren permisos que los administradores de fabric HGS y Hyper-V podrían no tener. Haciendo que estos elementos en el inicio para facilitar la implementación.

Especificar los certificados de firma y el cifrado que se usará HGS

Debes configurar el servicio de Tutor de Host con dos certificados por motivos de firmas y cifrado. Existen tres opciones mutuamente exclusivas:

OpciónProcedimiento
Tiene su propio certificado PKI y un archivo PFX.Usar mis propios certificados PKI que no están respaldados por un HSM
Tiene un certificado respaldado por un módulo de seguridad de Hardware (HSM).Usar mis propios certificados con un HSM
Estás usando un certificado autofirmado (solo recomendado para prueba o en entornos de prueba de Concepto).Crear y usar certificados autofirmados

Ten en cuenta  independientemente de cómo crear los certificados, deben admitir las claves de 2048 bits RSA y la directiva de uso de claves (EKU) debe permitir que la firma digital y cifrado.

No se necesita HTTPS para proteger la comunicación entre HGS y un host de Hyper-V, pero si lo deseas habilitar HTTPS, necesitarás un certificado adicional. El certificado HTTPS puede ser uno que ya tienes, o puedes crear un nuevo certificado que se especifican al inicializar el servidor HGS.

OpciónProcedimiento adicional
Que deseas habilitar HTTPSConfigurar un certificado para habilitar HTTPS
Usar mis propios certificados PKI que no están respaldados por un HSM

Si obtuvo certificados en un entorno de infraestructura de clave pública (PKI) de confianza y tanto el certificado y la organización permitir que las claves privadas para exportarse a un archivo PFX (intercambio de información personal), puede agregar fácilmente el PFX uno de los nodos del clúster HGS y ha automáticamente configurado y replicar en todos los otros nodos del clúster HGS.

Si no se puede obtener un PFX o no puede obtener uno con la clave privada intacta, deberás instalar los certificados (incluida la clave privada) manualmente en cada nodo HGS del clúster según los procesos de inscripción de certificados de la organización. Los certificados que se agregan al HGS por referencia de huella digital en lugar de un archivo PFX y una contraseña requieren acción adicional, como se describe en el siguiente procedimiento.

Para conceder el acceso del servicio HGS a las claves privadas de certificados agregados por referencia de huella digital
  1. A diferencia de otras tareas relacionadas con el certificado, DEBES repetir este proceso en cada nodo HGS. Ejecutar CERTLM.MSC (que se abre la consola de administración de certificado para el almacén local).

  2. Navega hasta el certificado de firma, haz clic en él y, a continuación, haz clic en todas las tareas>administrar claves privadas.

  3. En el cuadro de diálogo de seguridad, agrega la cuenta de servicio de grupo que administrados (gMSA) para HGS a la lista de cuentas. Para ello, haz clic en agregar y haga clic en el cuadro de diálogo resultante tipos de objeto, selecciona cuentas de servicioy haz clic en Aceptar. En escriba los nombres de objeto para seleccionar, escribe el nombre de cuenta - de manera predeterminada, HGSSVC - y haz clic en comprobar nombres. Si configuraste originalmente HGS en un dominio existente, se escribe el nombre de la gMSA que proporcionaste al comando Initialize-HgsServer.

    Selecciona la cuenta que puede obtener acceso al certificado

  4. Conceder a la cuenta lectura acceso a las claves privadas para el certificado.

  5. Repite el proceso para el certificado de cifrado.

Usar sus propios certificados con un HSM

Si tienes previsto usar certificados que residen en un módulo de seguridad de Hardware (HSM), usa los siguientes pasos de alto nivel, que varían según el proveedor HSM:

  1. Instala el software del proveedor HSM para garantizar que el HSM es visible para Windows.

  2. Crea dos certificados en el HSM con claves de RSA 2048 bits y las directivas de uso de la clave para la firma y el cifrado.

    1. Crear un certificado de cifrado en el HSM

    2. Crear un certificado de firma en el HSM

  3. Comprueba que los certificados se instalan en el almacén de certificados del equipo local. Si no hayan sido automáticamente instalado, deben agregarse por instrucciones del proveedor HSM (Ten en cuenta que la clave privada permanece en el HSM según lo esperado). Como antes, puedes agregar el certificado al almacén de certificados del equipo local en un nodo del clúster HGS y automáticamente se configura y se replica en todos los demás nodos del clúster HGS.

  4. Por último, debes asegurarte de que la cuenta de servicio de grupo que administrados (gMSA) para HGS se ha concedido acceso de lectura a las claves privadas para el certificado. De manera predeterminada, es el nombre de cuenta gMSA HGSSVC. Si configuraste originalmente HGS en un dominio existente, la gMSA es la que proporcionaste al comando Initialize-HgsServer. El proceso para conceder acceso varía entre proveedores, por lo tanto, consulte el manual del usuario para el HSM específica para obtener información sobre cómo configurar el acceso para el certificado respaldados por el HSM.

Crear y usar certificados autofirmados (que se usa principalmente con entornos de prueba o prueba de concepto)

Advertencia  no se recomienda crear certificados autofirmados fuera de las implementaciones de prueba o prueba de Concepto. Usar certificados emitidos por una entidad de certificación de confianza si vas a implementar en un entorno de producción.

  1. Abre la consola de Windows PowerShell con privilegios elevados y ejecuta el siguiente comando para especificar la contraseña para usar al exportar el certificado autofirmado. Para <contraseña>, sustituir una contraseña.

    $certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force
    
  2. Crear y exportar el certificado de firma mediante la ejecución de los siguientes comandos. Para firmar (después de -DnsName) y para C:\signingCert, puedes dejar los nombres, como se muestra o sustituir los nombres de los prefieres.

    $signingCert = New-SelfSignedCertificate -DnsName "signing.relecloud.com"
    
    Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
    
  3. Crear y exportar el certificado de cifrado mediante la ejecución de los siguientes comandos. Para el cifrado (después de -DnsName) y para C:\encryptionCert, puedes dejar los nombres, como se muestra o sustituir los nombres de los prefieres.

    $encryptionCert = New-SelfSignedCertificate -DnsName "encryption.relecloud.com"
    
    Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
    
Configurar un certificado para habilitar HTTPS

Si elige habilitar HTTPS en el servidor HGS, debe tener o crear un certificado adicional. Para crear un nuevo certificado, ejecuta el siguiente comando. Para <HgsServiceName>, elige un nombre que se usará como el nombre de red distribuida de tu servidor HGS o clúster HGS.

$HttpsCertificate = New-SelfSignedCertificate -DnsName "<HgsServiceName>.$env:userdnsdomain" -CertStoreLocation Cert:\LocalMachine\My

Después de que haya elegido o crea el certificado que utilizarás para HTTPS, usar un comando como el siguiente para exportarla.

Export-PfxCertificate -Cert $HttpsCertificate -Password $certificatePassword -FilePath 'c:\HttpsCertificate.pfx'

En el que se tratan las opciones para especificar este certificado al inicializar el servidor HGS configurar el primer nodo HGS.

Elige si deseas instalar HGS en su propio bosque nuevo o en un bosque de baluarte existente

Bosque de Active Directory para HGS es confidencial porque los administradores tienen acceso a las claves que el control blindado máquinas virtuales. La instalación predeterminada se configura un bosque nuevo para HGS y configurar otras dependencias. Esta opción se recomienda porque el entorno es independiente y sabe que es seguro cuando se crea. Para la sintaxis de PowerShell y un ejemplo, consulta instalar HGS en su propio bosque nuevo.

El requisito solo técnico para instalar HGS en un bosque existente es que se agregarán al dominio raíz; no se admiten los dominios no raíz. Pero también hay requisitos operativos y procedimientos recomendados relacionados con la seguridad para el uso de un bosque existente. Bosques adecuados intencionadamente están integradas para suministrar una función con información confidencial, como el bosque usado con privilegios de acceso de administración de AD DS o un bosque mejorado seguridad administrativas entorno (ESAE). Por lo general, estos bosques presentan las siguientes características:

  • Tienen algunos administradores (independientes de administradores fabric)
  • Tienen un número reducido de los inicios de sesión
  • No son un propósito general en la naturaleza

No son adecuados para su uso por HGS bosques de propósito general como bosques de producción. Bosques fabric también son inadecuadas porque HGS debe ser aislados de los administradores de fabric.

Requisitos para agregar HGS a un bosque existente

Para agregar HGS a un bosque baluarte existente, debe agregarse al dominio raíz. Antes de inicializar HGS, tendrás que unirse a cada servidor de destino del clúster HGS al dominio raíz y, a continuación, agrega estos objetos:

  • Un grupo administrado cuenta de servicio (gMSA) que está configurada para usar en los equipos que hospedan HGS.

  • Dos grupos de Active Directory que usarás para solo lo suficientemente administración (JEA). Uno es para los usuarios que pueden realizar la administración de HGS mediante JEA, y el otro es para los usuarios que solo se pueden ver HGS a través de JEA.

  • Para configurar el clúster, ya sea preconfigurado objetos de clúster o, para el usuario que se ejecuta Initialize HgsServer, permisos para preconfigurar los objetos del clúster.

Para que obtener la sintaxis de PowerShell agregar HGS a un bosque, consulta inicializar HGS en un bosque de baluarte existente.

Configurar la resolución de nombres

La estructura de que DNS debe configurarse para que protegido hosts puede resolver el nombre del clúster HGS. Por ejemplo, consulta configurar el tejido DNS.

Si usas la atestación del modo de AD, el dominio HGS necesita reenvío conjunto de DNS y una confianza de bosque unidireccional así HGS puede validar la pertenencia al grupo de hosts protegidos. Por ejemplo, consulta configurar el reenvío de DNS y la confianza de dominio.

Consulta también

© 2017 Microsoft