Bereitstellen von überwachten Hosts in VMM

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf VMM 2022 durchzuführen.

Dieser Artikel beschreibt das Bereitstellen von überwachten Hyper-V-Hosts in einem Compute-Fabric von System Center – Virtual Machine Manager (VMM). Erfahren Sie mehr über geschütztes Fabric.

Es gibt verschiedene Methoden, um überwachte Hyper-V-Hosts in einem VMM-Fabric einzurichten.

• Konfigurieren eines vorhandenen Hosts als überwachten Host: Sie können einen vorhandenen Host zum Ausführen von abgeschirmten VMs konfigurieren.
• Hinzufügen oder Bereitstellen eines neuen überwachten Hosts: Bei diesem Host kann es sich um Folgendes handeln:
  • Ein vorhandener Windows Server-Computer (mit oder ohne Hyper-V-Rolle)
  • Ein Bare-Metal-Computer

Sie richten überwachte Hosts folgendermaßen im VMM-Fabric ein:

1. Konfigurieren globaler HGS-Einstellungen: VMM verbindet alle überwachten Hosts mit dem gleichen HGS-Server, sodass Sie geschützte VMs erfolgreich zwischen den Hosts migrieren können. Sie geben die globalen HGS-Einstellungen an, die für alle überwachten Hosts gelten, und Sie können hostspezifische Einstellungen angeben, die die globalen Einstellungen überschreiben. Zu diesen Einstellungen zählen:

   • Nachweis-URL: Die URL, die der Host zum Herstellen der Verbindung mit dem HGS-Nachweisdienst verwendet. Dieser Dienst autorisiert einen Host für die Ausführung abgeschirmter VMs.
   • URL des Schlüsselschutzservers: Die URL, die der Host zum Abrufen des Schlüssels verwendet, der zum Entschlüsseln der VMs erforderlich ist. Der Host muss einen Nachweis erbringen, bevor er die Schlüssel abrufen kann.
   • Codeintegritätsrichtlinien: Eine Codeintegritätsrichtlinie beschränkt die Software, die auf einem überwachten Host ausgeführt werden kann. Wenn HGS für die Verwendung von TPM-Nachweisen konfiguriert ist, müssen überwachte Hosts zum Verwenden einer Codeintegritätsrichtlinie konfiguriert sein, die durch den HGS-Server autorisiert wurde. Sie können den Speicherort von Codeintegritätsrichtlinien in VMM angeben und sie auf Ihren Hosts bereitstellen. Dies ist optional und nicht erforderlich, um ein geschütztes Fabric zu verwalten.
   • VM-Schutzhilfs-VHD: Eine speziell vorbereitete virtuelle Festplatte, die zum Konvertieren der vorhandenen VMs in abgeschirmte VMs verwendet wird. Sie müssen diese Einstellung konfigurieren, wenn Sie die vorhandenen VMs schützen möchten.

2. Konfigurieren der Cloud: Wenn der überwachte Host in eine VMM-Cloud integriert werden soll, müssen Sie die Unterstützung geschützter VMs in der Cloud aktivieren.

Vorbereitung

Stellen Sie sicher, dass Sie den Host-Überwachungsdienst bereitgestellt und konfiguriert haben, bevor Sie fortfahren. Erfahren Sie mehr über das Konfigurieren des HGS in der Windows Server-Dokumentation.

Stellen Sie außerdem sicher, dass alle Hosts, die zu überwachten Hosts werden, die Voraussetzungen für den überwachten Host erfüllen:

• Betriebssystem: Auf den Hostservern muss Windows Server Datacenter ausgeführt werden. Es wird empfohlen, Server Core für geschützte Hosts zu verwenden.
• Rollen und Features: Auf den Hostservern muss die Hyper-V-Rolle und das Feature „Hyper-V-Unterstützung für die Hostüberwachung“ ausgeführt werden. Die Hyper-V-Unterstützung für die Hostüberwachung ermöglicht die Kommunikation zwischen Host und HGS, um die Integrität des Hosts nachzuweisen und Schlüssel für geschützte VMs anzufordern. Wenn auf dem Host Nano Server ausgeführt wird, sollten darauf die Pakete „Compute“, „SCVMM-Package“, „SCVMM-Compute“, „SecureStartup“ und „ShieldedVM“ installiert sein.
• TPM-Nachweis: Wenn Ihr HGS für den TPM-Nachweis konfiguriert ist, muss für die Hostserver Folgendes gelten:
  • Sie müssen UEFI 2.3.1c und ein TPM 2.0-Modul verwenden
  • Sie müssen im UEFI-Modus starten (nicht im BIOS-Modus oder „Legacymodus“)
  • Sicherer Start muss aktiviert sein
• HGS-Registrierung: Hyper-V-Hosts müssen bei HGS registriert werden. Wie sie registriert werden, hängt davon ab, ob HGS den AD- oder TPM-Nachweis verwendet. Weitere Informationen
• Livemigration: Wenn Sie eine Livemigration abgeschirmter VMs ausführen möchten, müssen Sie mindestens zwei überwachte Hosts bereitstellen.
• Domäne: Überwachte Hosts und der VMM-Server müssen sich in derselben Domäne oder in Domänen mit einer bidirektionalen Vertrauensstellung befinden.

Konfigurieren globaler HGS-Einstellungen

Bevor Sie Ihrem VMM-Compute fabric geschützte Hosts hinzufügen können, müssen Sie VMM mit Informationen zum Host Guardian Service (HGS) für das Fabric konfigurieren. Derselbe HGS wird für alle überwachten Hosts verwendet, die von VMM verwaltet werden.

1. Fragen Sie Ihren HGS-Administrator nach den Nachweis- und Schlüsselschutz-URLs für Ihr Fabric.

2. Wählen Sie in der VMM-Konsole Einstellungen>Host-Überwachungsdiensteinstellungen aus.

3. Geben Sie die Nachweis- und Schlüsselschutz-URLs in die entsprechenden Felder ein. Sie müssen derzeit nicht die Abschnitte für Codeintegritätsrichtlinien und VM-Hilfsprogramme konfigurieren.
   
   

4. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Hinzufügen oder Bereitstellen eines neuen überwachten Hosts

1. Fügen Sie den Host hinzu:
   • Wenn Sie einen vorhandenen Server unter Windows Server als überwachten Hyper-V-Host hinzufügen möchten, fügen Sie ihn dem Fabric hinzu.
   • Wenn Sie einen Hyper-V-Host von einem Bare-Metal-Computer bereitstellen möchten, erhalten Sie hier Informationen zu den Voraussetzungen sowie Anweisungen.

     Hinweis

     Sie können den Host bei der Bereitstellung als geschützt bereitstellen (Ressourcen hinzufügen assistent >, Betriebssystemeinstellungen>als geschützter Host konfigurieren).

2. Fahren Sie mit dem nächsten Abschnitt fort, um den Host als überwachten Host zu konfigurieren.

Konfigurieren eines vorhandenen Hosts als überwachten Host

Um einen vorhandenen Hyper-V-Host, der von VMM verwaltet wird, als überwachten Host zu konfigurieren, führen Sie die folgenden Schritte aus:

1. Versetzen Sie den Host in den Wartungsmodus.

2. Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host EigenschaftenHost-Überwachungsdienst.

   

3. Aktivieren Sie die Funktion „Hyper-V-Unterstützung für die Host-Überwachung“, und konfigurieren Sie den Host.

   Hinweis

   • Die URLs für den globalen Nachweis und den Schlüsselschutzserver werden auf dem Host festgelegt.
   • Wenn Sie diese URLs außerhalb der VMM-Konsole ändern, müssen Sie sie auch in VMM aktualisieren. Wenn dies nicht der Fall ist, platziert VMM keine abgeschirmten VMs auf dem Host, bis die URLs erneut übereinstimmen. Sie können auch das Kontrollkästchen "Aktivieren" deaktivieren und erneut aktivieren, um den Host mit den in VMM konfigurierten URLs neu zu konfigurieren.

4. Wenn Sie VMM zum Verwalten von Codeintegritätsrichtlinien verwenden, können Sie das zweite Kontrollkästchen aktivieren und die entsprechende Richtlinie für das System auswählen.

5. Wählen Sie OK aus, um die Konfiguration des Hosts zu aktualisieren.

6. Beenden Sie für den Hosts den Wartungsmodus.

VMM überprüft, ob der Host den Nachweis besteht, wenn Sie ihn hinzufügen und jedes Mal, wenn der Host status aktualisiert wird. VMM stellt abgeschirmte VMs nur auf Hosts bereit, die einen entsprechenden Nachweis erbracht haben. Gleiches gilt für die Migration von VMs. Sie können den Nachweisstatus eines Hosts unter EigenschaftenStatusGesamtintegrität des HGS-Clients überprüfen.

Aktivieren von überwachten Hosts in einer VMM-Cloud

Konfigurieren Sie die Cloud für die Unterstützung überwachter Hosts:

1. Wählen Sie in der VMM-Konsole VMs und Dienstclouds> aus. Klicken Sie mit der rechten Maustaste auf den Cloudnamen >>.
2. Wählen Sie unter AllgemeinUnterstützung für geschützte VMs die Option In dieser privaten Cloud unterstützt aus.

Verwalten und Bereitstellen von Codeintegritätsrichtlinien mit VMM

In geschützten Fabrics, die für die Verwendung von TPM-Nachweisen konfiguriert sind, muss jeder Host mit einer Codeintegritätsrichtlinie konfiguriert werden, die für den Host-Überwachungsdienst als vertrauenswürdig gilt. Um die Verwaltung von Codeintegritätsrichtlinien zu vereinfachen, können Sie optional VMM verwenden, um neue oder aktualisierte Richtlinien für die überwachten Hosts bereitzustellen.

Um eine Codeintegritätsrichtlinie auf einem von VMM verwalteten überwachten Host bereitzustellen, führen Sie folgende Schritte aus:

1. Erstellen Sie eine Codeintegritätsrichtlinie für jeden Referenzhost in Ihrer Umgebung. Sie benötigen eine andere CI-Richtlinie für jede eindeutige Hardware- und Softwarekonfiguration Ihrer geschützten Hosts.
2. Speichern Sie die Codeintegritätsrichtlinie in einer sicheren Dateifreigabe. Die Computerkonten für die einzelnen überwachten Hosts erfordern Lesezugriff auf die Freigabe. Nur vertrauenswürdigen Administratoren sollte Schreibzugriff gewährt werden.
3. Wählen Sie in der VMM-Konsole Einstellungen>Host-Überwachungsdiensteinstellungen aus.
4. Wählen Sie im Abschnitt Codeintegritätsrichtlinien die Option Hinzufügen aus, und geben Sie einen Anzeigenamen und den Pfad zu einer CI-Richtlinie an. Wiederholen Sie diesen Schritt für jede einzelne Codeintegritätsrichtlinie. Stellen Sie sicher, dass Sie Ihre Richtlinien so benennen, dass Sie ermitteln können, welche Richtlinie auf welche Hosts angewendet werden soll.
5. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Führen Sie jetzt für jeden überwachten Host die folgenden Schritte aus, um eine Codeintegritätsrichtlinie anzuwenden:

1. Versetzen Sie den Host in den Wartungsmodus.

2. Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host EigenschaftenHost-Überwachungsdienst.

   

3. Aktivieren Sie die Option, dass der Host mit einer Codeintegritätsrichtlinie konfiguriert werden soll, und wählen dann die entsprechende Richtlinie für das System aus.

4. Wählen Sie OK aus, um die Konfigurationsänderung anzuwenden. Der Host wird möglicherweise neu gestartet, um die neue Richtlinie anzuwenden.

5. Beenden Sie für den Hosts den Wartungsmodus.

Warnung

Stellen Sie sicher, dass Sie die richtige Codeintegritätsrichtlinie für den Host auswählen. Wenn eine inkompatible Richtlinie auf den Host angewendet wird, funktionieren einige Anwendungen, Treiber oder Betriebssystemkomponenten möglicherweise nicht mehr.

Wenn Sie die Codeintegritätsrichtlinie in der Dateifreigabe und auch die überwachten Hosts aktualisieren möchten, können Sie dafür die folgenden Schritte ausführen:

1. Versetzen Sie den Host in den Wartungsmodus.
2. Klicken Sie in Alle Hosts mit der rechten Maustaste auf den Host, und wählen Sie Aktuelle Codeintegritätsrichtlinie anwenden aus.
3. Beenden Sie für den Hosts den Wartungsmodus.

Nächste Schritte

• Richten Sie einen abgeschirmten Vorlagendatenträger, einen Hilfsdatenträger und eine VM-Vorlage ein.