Table of contents
TOC
Tartalomjegyzék összecsukása
Tartalomjegyzék kibontása

A Gazdagépőr szolgáltatás központi telepítésének előkészítése

Ryan Puffer|Utoljára frissítve:: 2017. 04. 14.
|
1 Közreműködő

Vonatkozik: Windows Server 2016

Ez a témakör ismerteti a gazdagépőr szolgáltatás az Előfeltételek és a kezdeti lépéseket a gazdagépőr szolgáltatás telepítésének előkészítéséhez.

Az állomás gyám szolgáltatás előfeltételei

  • Hardver: HGS fizikai vagy virtuális gépek futtatható, de a fizikai gépek használata ajánlott.

    Ha szeretné futtatni HGS fizikai fürt három csomópontból (a rendelkezésre állás), három fizikai kiszolgáló kell rendelkeznie. (A fürtözéshez szempontból, a három kiszolgáló kell nagyon hasonló hardveres.)

  • Operációs rendszer: Windows Server 2016, Standard vagy Datacenter edition.

  • Kiszolgálói szerepkörök: Guardian gazdaszolgáltatása és támogató kiszolgálói szerepkörök.

  • Konfigurációs engedélyek vagy jogosultságokkal a háló (állomás) tartomány: között a háló (állomás) és a gazdagépőr szolgáltatás tartomány DNS-továbbító konfigurálása szüksége lesz. Rendszergazdafüggő állapotigazolás (AD mód) használatakor szüksége lesz a háló és a gazdagépőr szolgáltatás tartomány között egy Active Directory megbízhatósági kapcsolat beállítása.

Támogatott frissítési forgatókönyvek

Védett szövet, központi telepítése előtt ellenőrizze, hogy a kiszolgálók a legújabb kumulatív frissítés telepítve van. Ha telepítette a védett szövet kiadása előtt a 2016. október 27. kumulatív frissítés, szükséges frissíteni a kiszolgálókat:

  • Védett állomások frissíthető helyben a legújabb kumulatív frissítés telepítésével.
  • HGS kiszolgálóknak kell építeni, beleértve a tanúsítványok és az állomások adatainak konfigurálása ebben a témakörben leírtak szerint.

Árnyékolt VMS-rendszer, amely a korábbi operációs rendszer verzióját, például a TP5 a védett állomáson futtatta, továbbra is a fogadó frissítése a Windows Server 2016 után futtassa. Új árnyékolt VMS-rendszer nem hozható létre a sablon varázsló olyan műszaki előnézet build a állították elő sablon lemezről.

Gazdagépőr szolgáltatás előkészítése

Ezek előzetes lépések végrehajtásához szükséges engedélyek, amelyek a gazdagépőr szolgáltatás és a Hyper-V háló rendszergazdáitól előfordulhat, hogy nincs. Ha ezek kezdetekor tesz, a telepítés egyszerűbb.

Adja meg a HGS által használt aláírási és titkosítási tanúsítványok

Két tanúsítványok titkosítási és aláírási céljából a fogadó gyám szolgáltatás konfigurálása szükséges. Három egymást kölcsönösen kizáró lehetőség van:

A beállításAz eljárás
A nyilvános kulcsú Infrastruktúra-tanúsítvány és a PFX-fájl van.Nem készül egy HSM saját PKI-tanúsítványok használata
Rendelkezik egy hardveres biztonsági modul (HSM) biztonsági tanúsítvánnyal.A HSM saját tanúsítványok használata
(Csak vizsgálat vagy a megvalósíthatósági Vizsgálat környezetben ajánlott) egy önaláírt tanúsítványt használ.Hozzon létre, és az önaláírt tanúsítványok használata

Megjegyzés:  hogyan hoz létre a bizonyítványokat, függetlenül azok támogatnia kell a RSA 2048 bites kulcsok és -kulcshasználati (EKU) házirendjének lehetővé kell tennie a digitális aláírásra és titkosításra.

HGS és a Hyper-V állomások közötti kommunikáció biztonságos HTTPS nincs szükség, de ha úgy dönt, hogy engedélyezze a HTTPS, szüksége lesz egy további tanúsítványt. A HTTPS-tanúsítványon lehet egy már meglévő, vagy létrehozhat egy új tanúsítványt, amely a HGS kiszolgáló inicializálása meg fog adni.

A beállításTovábbi eljárás
Engedélyezi a HTTPSHTTPS engedélyezése tanúsítvány konfigurálása
Nem készül egy HSM saját PKI-tanúsítványok használata

Ha beszerezte a tanúsítványokat egy megbízható nyilvános kulcsok infrastruktúrája (PKI) környezet és a tanúsítvány mindkét és a szervezet lehetővé teszi a (személyes információcsere) PFX-fájlba exportálható személyes kulcsok, most tudunk kényelmesen adja hozzá a PFX bármely a HGS fürt egyik csomópontja, és azt automatikusan konfigurálva, és a HGS a fürt összes csomópontjára replikálódnak.

Ha nem tudja megszerezni a PFX vagy nem áll módjukban megszerezni egy ép személyes kulccsal, szüksége lesz (beleértve a személyes kulcs) a tanúsítványok telepítése manuálisan minden HGS csomóponton a fürt a szervezet tanúsítvány igénylési folyamat szerint. Tanúsítvány ujjlenyomata hivatkozással PFX-fájl és a jelszó HGS hozzáadott további lépésekre van szükség, a következő eljárásban leírt módon.

A HGS tanúsítványok ujjlenyomat-hivatkozás hozzáadása a személyes kulcsokhoz történő hozzáférés biztosítása
  1. Eltérően más tanúsítványokkal kapcsolatos feladatok meg KELL ismételnie ezt az eljárást minden egyes HGS csomópont. Futtassa a CERTLM.MSC (amely megnyitja a tanúsítványt a helyi üzletben Management Console).

  2. Keresse meg az aláíró tanúsítványt, kattintson rá jobb gombbal, és kattintson a feladatok>a személyes kulcsok kezelése.

  3. A biztonság párbeszédpanelen hozzáadása a kezelt csoport szolgáltatásfiók (gMSA) HGS fiókok listáját. Ehhez kattintson a hozzáadása, majd kattintson a megjelenő párbeszédpanel objektumtípusok, válassza szolgáltatásfiókok, és kattintson a OK. A írja be a kijelölendő objektum nevét, írja be a fiók nevét - alapértelmezés szerint HGSSVC -, majd Névellenőrzés. Ha eredetileg beállított HGS meglévő tartományban, be fogjuk írni a gMSA, a Initialize-HgsServer paranccsal megadott neve.

    Jelölje ki a fiókot, amelyhez hozzáférhet a tanúsítvány

  4. A fiók olvasható a tanúsítvány személyes kulcsokhoz történő hozzáférés.

  5. Ismételje meg a folyamat a titkosítási tanúsítvány.

A saját tanúsítványok használata egy HSM

Ha egy hardveres biztonsági modul (HSM) telepített tanúsítványok használatát tervezi, használja az alábbi magas szintű lépéseket, amelyek a HSM gyártójától függően változik:

  1. Annak érdekében, hogy a HSM látható a Windows a HSM szállító szoftver telepítése.

  2. Hozzon létre két tanúsítványokat a HSM RSA 2048 bites kulcsok és az aláírási és titkosítási célokra kulcshasználati házirendek.

    1. A HSM belül egy titkosítási tanúsítvány létrehozása

    2. A HSM belül egy aláíró tanúsítvány létrehozása

  3. Győződjön meg arról, hogy a tanúsítványt a helyi számítógép tanúsítványtárolójában telepítve vannak. Azok nem automatikusan telepítve van, ha azok per (Megjegyzés: a személyes kulcsot a HSM marad, elvárt módon) a HSM szállító útmutatást kell adni. Előtt, hozzáadhatja a tanúsítvány a helyi számítógép tanúsítványtárolójában bármely a HGS a fürt egyik csomópontján, és azt a rendszer automatikusan konfigurálva, és a HGS fürt összes többi csomópontjára replikálódnak.

  4. Végül győződjön meg arról, hogy a kezelt csoport szolgáltatás fiókjának (gMSA) HGS rendelkezik olvasási hozzáféréssel a személyes kulcs a tanúsítványhoz. Alapértelmezés szerint a gMSA fiók neve van HGSSVC. Eredetileg beállított HGS meglévő tartományban, a gMSA, hogy a kapott a Initialize-HgsServer parancsot. Szállítók között úgy változik a folyamat hozzáférés biztosításához, olvassa el a felhasználói kézikönyv az adott HSM hozzáférés a HSM-biztonsági bizonyítvány olvashat.

Hozzon létre és használjon önaláírt tanúsítványok (elsősorban próba vagy bizonyítékot termelésen kívüli környezetben használatos)

Figyelmeztetés  saját aláírású tanúsítványok létrehozása nem ajánlott vizsgálati/megvalósíthatósági Vizsgálat telepítések kívül. Ha az éles környezetben telepít egy megbízható legfelső szintű hitelesítésszolgáltató által kibocsátott tanúsítványok használata.

  1. Nyisson meg egy emelt szintű Windows PowerShell konzolt, és futtassa a következő parancsot az önaláírt tanúsítvány exportálásakor használandó jelszó megadása. A <jelszó>, helyettesítse a jelszót.

    $certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force
    
  2. Hozzon létre, és az aláíró tanúsítvány exportálása a következő parancsok futtatásával. Az aláírás (után -DnsName) és a C:\signingCert, hagyja a neve látható, vagy az előnyben részesített nevét helyettesítse.

    $signingCert = New-SelfSignedCertificate -DnsName "signing.relecloud.com"
    
    Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
    
  3. Hozzon létre, és a titkosítási tanúsítvány exportálása a következő parancsok futtatásával. Titkosítás (után -DnsName) és a C:\encryptionCert, hagyja a neve látható, vagy az előnyben részesített nevét helyettesítse.

    $encryptionCert = New-SelfSignedCertificate -DnsName "encryption.relecloud.com"
    
    Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
    
HTTPS engedélyezése tanúsítvány konfigurálása

Ha úgy dönt, hogy a HGS kiszolgálón engedélyezi a HTTPS, kell rendelkeznie, vagy hozzon létre egy további tanúsítványt. Új tanúsítvány létrehozásához futtassa a következő parancsot. A <HgsServiceName>, a HGS kiszolgáló vagy fürt HGS elosztott hálózati nevét használni kívánt nevet választani.

$HttpsCertificate = New-SelfSignedCertificate -DnsName "<HgsServiceName>.$env:userdnsdomain" -CertStoreLocation Cert:\LocalMachine\My

Választott, vagy HTTPS használt tanúsítvány létrehozása után a következő parancs segítségével exportálja.

Export-PfxCertificate -Cert $HttpsCertificate -Password $certificatePassword -FilePath 'c:\HttpsCertificate.pfx'

A beállítások megadására ezt a tanúsítványt, ha a gazdagépőr szolgáltatás kiszolgáló inicializálása tartoznak a konfigurálása az első HGS csomópont.

HGS telepíteni a saját új erdő vagy megerősített már létező erdőben

Az Active Directory-erdőben, a gazdagépőr szolgáltatás bizalmas azért, mert a rendszergazdák a kulcsokat, hogy a vezérlési védett virtuális gépek a hozzáférést. Az alapértelmezett telepítés is gazdagépőr szolgáltatás egy új erdő beállítása és egyéb függőségek konfigurálása. Ez a beállítás javasolt, mert a környezet nem önálló, és ismert, hogy biztonságos létrehozásakor. A PowerShell szintaxis és egy példa, lásd: gazdagépőr szolgáltatás a saját új erdő telepítéséhez.

A gazdagépőr szolgáltatás telepítése egy meglévő erdőben csak technikai követelménynek, akkor adja hozzá a gyökértartomány; nem legfelső szintű tartományok nem támogatottak. De is működési követelmények és ajánlott eljárásai biztonsággal kapcsolatos használatával egy meglévő erdőhöz. Megfelelő erdők szándékosan készült kiszolgálására egy érzékeny funkció, például az erdő által használt kiváltságos hozzáférés-kezelés, Active Directory tartományi szolgáltatások vagy erdő továbbfejlesztett biztonsági felügyeleti környezet (ESAE). Az ilyen erdők általában melléklet a következő jellemzőkkel:

  • (Külön szövet rendszergazdák) néhány rendszergazdák rendelkeznek
  • Rendelkeznek a bejelentkezések száma alacsony
  • Nincsenek általános célú jellegű

Az általános célú erdők, például az üzemi erdők nem alkalmasak a gazdagépőr szolgáltatás által használt. Háló erdők esetében is alkalmatlant, hiszen HGS kell el legyen különítve a hálórendszergazdák.

HGS meglévő erdőben történő hozzáadására vonatkozó követelmények

Gazdagépőr szolgáltatás hozzáadása egy meglévő megerősített erdőhöz, akkor lehet hozzáadni a gyökértartomány. Mielőtt inicializálása gazdagépőr szolgáltatás, szüksége lesz a gazdagépőr szolgáltatás fürt minden egyes célkiszolgáló csatlakoztatása a legfelső szintű tartományhoz, majd adja hozzá ezeket az objektumokat:

  • Csoport felügyelt szolgáltatásfiók (gMSA), amely a gépek, amelyek HGS használatra van beállítva.

  • Két Active Directory-csoportok esetében csak elég felügyeleti (JEA) fogja használni. Egy csoport azon felhasználóknak, akik HGS felügyeleti JEA keresztül hajthatja végre, és a másik pedig a felhasználók csak megtekinteni tudják a HGS JEA keresztül.

  • Vagy a fürt beállításának előzetesen beállította a fürtobjektumok vagy a felhasználó futtató inicializálása-HgsServer, előzetes beállítása a fürtobjektumok engedélyeket.

Erről a PowerShell szintaxis gazdagépőr szolgáltatás hozzáadása egy erdő, inicializálni a gazdagépőr szolgáltatás egy meglévő erdőben megerősített.

Konfigurálhatja a névfeloldást

A háló DNS kell kell konfigurálni, hogy a védett gazdagépek megoldhatja a gazdagépőr szolgáltatás fürt nevét. Példaként lásd: konfigurálása a háló-DNS-.

Ha AD módú tanúsítványt használ, a gazdagépőr szolgáltatás tartomány kell a DNS-továbbító beállítása felfelé és a egyirányú erdőszintű bizalmi kapcsolat, HGS ellenőrizhesse a csoport tagjának kell lennie a védett gazdagépek. Példaként lásd: konfigurálása a DNS-továbbító és tartományi megbízhatósági.

Lásd még:

© 2017 Microsoft