Implementieren einer abgeschirmten VM

  • 12 Minuten

Als Windows Server-Administrator müssen Sie die Schritte zum Erstellen und Bereitstellen einer abgeschirmten VM untersuchen und sicherstellen, dass Sie diese verstehen.

Implementieren abgeschirmter VMs

Nachfolgend sind die allgemeinen Schritte aufgeführt, die für die Implementierung abgeschirmter VMs erforderlich sind. Die Schritte umfassen einige Schritte im Zusammenhang mit VMM.

Aufgabe 1: Installieren und Konfigurieren der HGS

  1. Überprüfen Sie die HGS-Voraussetzungen, und bereiten Sie Ihre Umgebung für die HGS-Bereitstellung vor:

    1. Stellen Sie sicher, dass Ihre Hardware und Ihr Betriebssystem die Voraussetzungen für die HGS erfüllen, und notieren Sie folgendes:

      • HGS kann auf physischen oder virtuellen Computern ausgeführt werden, physische Computer werden jedoch empfohlen.
      • Wenn Sie HGS als physischen 3-Knoten-Cluster ausführen möchten, benötigen Sie drei physische Server.
      • Nachweisanforderungen:
        • Für den Hostschlüsselnachweis (v2) ist die Standard- oder Datacenter-Edition von Windows Server 2019 erforderlich.
        • Für tpmbasierte Nachweise ist Windows Server 2019 oder Windows Server 2016, Standard oder Datacenter Edition erforderlich.

    2. Installieren Sie die entsprechenden HGS-Serverrollen, und konfigurieren Sie Ihre Fabric-Domäne (Hostdomäne), um die DNS-Weiterleitung zwischen der Fabric-Domäne und der HGS-Domäne zu ermöglichen.

    Hinweis

    Beim Bereitstellen des Host-Überwachungsdiensts werden Sie aufgefordert, Signatur- und Verschlüsselungszertifikate bereitzustellen, mit denen die vertraulichen Informationen geschützt werden, die zum Starten einer abgeschirmten VM erforderlich sind. Es wird empfohlen, eine vertrauenswürdige Zertifizierungsstelle zu verwenden, um diese beiden Zertifikate abzurufen; Es ist jedoch möglich, selbstsignierte Zertifikate zu verwenden. Diese beiden Zertifikate verbleiben immer auf dem HGS-Host.

  2. Konfigurieren des ersten HGS-Knotens:

    • Wählen Sie aus, ob der Host-Überwachungsdienst in einer eigenen dedizierten AD DS-Gesamtstruktur oder in einer vorhandenen Bastionhost-Gesamtstruktur installiert werden soll.

  3. Konfigurieren Sie zusätzliche HGS-Knoten entsprechend Ihrer Umgebung:

    1. Jeder Host-Überwachungsdienst-Knoten benötigt Zugriff auf dieselben Signatur- und Verschlüsselungszertifikate. Verwalten Sie sie, indem Sie eine der folgenden beiden Optionen auswählen:

      • Exportieren Sie Ihre Zertifikate mit einem Kennwort in eine PFX-Datei, und erlauben Sie HGS, die Zertifikate für Sie zu verwalten.
      • Installieren Sie die Zertifikate im Zertifikatspeicher des lokalen Computers auf jedem HGS-Knoten, und stellen Sie den Fingerabdruck für HGS bereit.

      Beide Optionen sind gültig, erfordern jedoch während des Hinzufügens eines Knotens geringfügig unterschiedliche Schritte.

    2. Fügen Sie zusätzliche Knoten hinzu, indem Sie eines der folgenden beiden möglichen Szenarien verwenden:

      • Fügen Sie Knoten zu einer neuen dedizierten Gesamtstruktur für den Host-Überwachungsdienst hinzu.

        • So fügen Sie einer neuen dedizierten Gesamtstruktur des Host-Überwachungsdiensts mit Personal Information Exchange-Zertifikaten (PFX) Knoten für den Host-Überwachungsdienst hinzu:

          1. Stufen Sie den HGS-Knoten zum Domänencontroller hoch.
          2. Initialisieren Sie den HGS-Server.

        • So fügen Sie einer neuen dedizierten Gesamtstruktur des Host-Überwachungsdiensts mit Zertifikatfingerabdrücken Knoten für den Host-Überwachungsdienst hinzu:

          1. Stufen Sie den HGS-Knoten zum Domänencontroller hoch.
          2. Initialisieren Sie den HGS-Server.
          3. Installieren Sie die privaten Schlüssel für die Zertifikate.

      • Fügen Sie Knoten des Host-Überwachungsdiensts zu einer vorhandenen Bastionhost-Gesamtstruktur hinzu.

        • So fügen Sie HGS-Knoten zu einem vorhandenen Bastion-Wald mit PFX-Zertifikaten hinzu:

          1. Verbinden Sie den Knoten mit der vorhandenen Domäne.
          2. Erteilen Sie der Maschine die Rechte, ein Kennwort für ein Managed Service Account (MSA) abzurufen und Install-ADServiceAccount auszuführen.
          3. Initialisieren Sie den HGS-Server.

        • So fügen Sie einer vorhandenen Bastionhost-Gesamtstruktur mit Zertifikatfingerabdrücken Knoten für den Host-Überwachungsdienst hinzu:

          1. Verbinden Sie den Knoten mit der vorhandenen Domäne.
          2. Gewähren Sie der Maschine Rechte, ein MSA-Kennwort abzurufen und Install-ADServiceAccount auszuführen.
          3. Initialisieren Sie den HGS-Server.
          4. Installieren Sie die privaten Schlüssel für die Zertifikate.

    Hinweis

    HGS verwendet ein gruppenverwaltetes Dienstkonto (gMSA) als Kontoidentität, um seine Zertifikate über mehrere Knoten abzurufen und zu verwenden.

    Von Bedeutung

    In Produktionsumgebungen sollte der Host-Überwachungsdienst in einem Hochverfügbarkeitscluster eingerichtet werden, um sicherzustellen, dass abgeschirmte VMs auch dann eingeschaltet werden können, wenn ein Knoten des Host-Überwachungsdiensts ausfällt.

  4. Konfigurieren Sie das DNS des Fabric so, dass geschützte Hosts den HGS-Cluster auflösen können.

  5. Überprüfen Sie die Anforderungen für den Nachweis auf den Hosts:

    1. Überprüfen Sie die Hostvoraussetzungen für den ausgewählten Bescheinigungsmodus: TPM-Modus, Schlüsselmodus oder Administratormodus.
    2. Fügen Sie dem Host-Überwachungsdienst die Hosts hinzu.

  6. Erstellen Eines Hostschlüssels (Schlüsselmodus) oder Sammeln von Hostinformationen (TPM-Modus):

    • Wenn Sie Hyper-V-Hosts auf die Umwandlung in überwachte Hosts vorbereiten möchten, die den Hostschlüsselnachweis (Schlüsselmodus) verwenden, erstellen Sie ein Hostschlüsselpaar (oder verwenden Sie ein vorhandenes Zertifikat), und fügen Sie dem Host-Überwachungsdienst die öffentliche Hälfte des Schlüssels hinzu.

    • Wenn Sie Hyper-V-Hosts auf die Umwandlung in überwachte Hosts vorbereiten möchten, die den TPM-Modus als Nachweis (Schlüsselmodus) verwenden, erfassen Sie den TPM-Bezeichner (Endorsement Key) des Hosts, die TPM-Baseline und die Codeintegritätsrichtlinie.

  7. Fügen Sie der Konfiguration des Host-Überwachungsdiensts Hostschlüssel (Schlüsselmodus) oder TPM-Informationen (TPM-Modus) hinzu.

  8. Vergewissern Sie sich, dass es sich bei den Hosts laut dem Host-Überwachungsdienst um überwachte Hosts handelt.

  9. (Optional) Konfigurieren Sie das VMM-Computefabric so, dass überwachte Hyper-V-Hosts und abgeschirmte VMs bereitgestellt und verwaltet werden.

Aufgabe 2: Vorbereiten einer Betriebssystemdatei im VHDX-Format

  1. Bereiten Sie einen Betriebssystemdatenträger (VHDX-Datei) mithilfe einer der folgenden Optionen vor:

    • Verwenden Sie Hyper-V, Windows PowerShell oder das Microsoft Desktop Image Service Manager (DISM)-Hilfsprogramm.
    • Richten Sie einen virtuellen Computer manuell mit einer leeren VHDX-Datei ein, und installieren Sie das Betriebssystem auf diesem Datenträger.

  2. Installieren Sie die neuesten Updates auf dem Betriebssystemdatenträger, indem Sie Windows Update ausführen.

Aufgabe 3: Erstellen eines abgeschirmten VM-Vorlagendatenträgers in VMM

  1. Bereiten Sie die VHDX-Datei mithilfe des Assistenten zum Erstellen abgeschirmter Vorlagendatenträger vor und schützen Sie sie.

    • Um einen Vorlagendatenträger mit abgeschirmten VMs zu verwenden, müssen Sie den Datenträger vorbereiten und mit BitLocker verschlüsseln, indem Sie den Assistenten zum Erstellen abgeschirmter Vorlagendatenträger verwenden.

  2. Kopieren Sie den Vorlagendatenträger in die VMM-Bibliothek.

    • Wenn Sie VMM verwenden, kopieren Sie ihn nach dem Erstellen eines Vorlagendatenträgers in eine VMM-Bibliotheksfreigabe, damit Hosts den Datenträger herunterladen und verwenden können, wenn neue abgeschirmte VMs bereitgestellt werden.

Aufgabe 4: Erstellen der Abschirmungsdatendatei

  1. Bereiten Sie sich auf die Erstellung der Schutzdatendatei (PDK) vor:

    1. Rufen Sie ein Zertifikat für die Remotedesktopverbindung ab.
    2. Erstellen Sie eine Antwortdatei.
    3. Rufen Sie die Volumesignaturkatalogdatei ab.
    4. Legen Sie die vertrauenswürdigen Fabrics fest.

  2. Erstellen Sie die Abschirmungsdatendatei.

  3. Fügen Sie Erziehungsberechtigte hinzu, die berechtigt sind, die Abschirmungsdatendatei zu verwenden.

Aufgabe 5: Bereitstellen einer abgeschirmten VM

  1. Bereitstellen einer abgeschirmten VM mithilfe von Windows Azure Pack oder VMM:

    1. Laden Sie die Abschirmungsdatendatei entsprechend den Anforderungen für Ihre ausgewählte Bereitstellungsmethode hoch, z. B. Windows Azure Pack oder VMM.
    2. Bereitstellen einer neuen abgeschirmten VM.

Aufgabe 6: Starten einer abgeschirmten VM

Der Prozess zum Starten einer abgeschirmten VM lautet wie folgt:

  1. Ein Benutzer fordert an, die abgeschirmte VM zu starten.

  2. Der HGS-Nachweisdienst überprüft die Anmeldeinformationen des geschützten Hosts und sendet ein Nachweiszertifikat an den geschützten Host.

  3. Der geschützte Host sendet sein Nachweiszertifikat und KP an das KPS und fordert einen Schlüssel an, um die abgeschirmte VM zu entsperren.

  4. Das KPS bestimmt die Gültigkeit eines Nachweiszertifikats, entschlüsselt die KP, ruft den Schlüssel zum Entsperren der abgeschirmten VM ab und sendet den Schlüssel an den geschützten Host.

  5. Der geschützte Host verwendet den Schlüssel zum Entsperren und Starten der abgeschirmten VM.

    Hinweis

    Remoteserver-Verwaltungstools > Shielded VM Tools (Tools für abgeschirmte VMs) enthält den Assistenten zum Erstellen von Datenträgern für abgeschirmte Vorlagen, auf den Sie im Server-Manager über das Menü Extras zugreifen können.