Freigeben über

Überlegungen zu Filialen

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019

Dieser Artikel beschreibt bewährte Methoden für die Ausführung von abgeschirmten virtuellen Computern in Filialen und anderen Remoteszenarien, in denen Hyper-V-Hosts Zeiträume mit eingeschränkter Konnektivität zu HGS haben können.

Fallbackkonfiguration

Ab Windows Server Version 1709 können Sie, wenn Ihr primärer HGS nicht reagiert, einen zusätzlichen Satz von Host Guardian Service-URLs auf Hyper-V-Hosts für die Verwendung konfigurieren. Auf diese Weise können Sie einen lokalen HGS-Cluster ausführen, der als primärer Server verwendet wird, um eine bessere Leistung zu erzielen, mit der Möglichkeit, auf den HGS Ihres Unternehmensrechenzentrums zurückzugreifen, wenn die lokalen Server ausgefallen sind.

Um die Fallbackoption verwenden zu können, müssen Sie zwei HGS-Server einrichten. Sie können unter Windows Server 2019 oder Windows Server 2016 laufen und teil desselben oder eines anderen Clusters sein. Wenn es sich um unterschiedliche Cluster handelt, sollten Sie Betriebspraktiken einrichten, die sicherstellen, dass die Nachweisrichtlinien zwischen den beiden Servern synchronisiert sind. Beide müssen in der Lage sein, den Hyper-V-Host ordnungsgemäß zum Ausführen von abgeschirmten VMs zu autorisieren und sie müssen über das wichtigste Material verfügen, das zum Starten der abgeschirmten VMs erforderlich ist. Sie können entweder ein Paar von gemeinsam genutzten Verschlüsselungs- und Signaturzertifikaten zwischen den beiden Clustern verwenden oder separate Zertifikate verwenden und den abgeschirmten virtuellen Computer konfigurieren, um beide Überwachungsmodule (Verschlüsselung/Signaturzertifikatpaare) in der abschirmenden Datendatei zu autorisieren.

Aktualisieren Sie dann Ihre Hyper-V-Hosts auf Windows Server Version 1709 oder Windows Server 2019, und führen Sie den folgenden Befehl aus:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Um die Konfiguration eines Fallbackservers aufzuheben, lassen Sie einfach beide Fallbackparameter aus:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Damit der Hyper-V-Host den Nachweis sowohl mit dem primären Server als auch mit dem Fallbackserver übergibt, müssen Sie sicherstellen, dass Ihre Nachweisinformationen für beide HGS-Cluster auf dem neuesten Stand sind. Darüber hinaus müssen die Zertifikate, die zum Entschlüsseln des TPM des virtuellen Computers verwendet werden, in beiden HGS-Clustern verfügbar sein. Sie können jedes HGS mit unterschiedlichen Zertifikaten konfigurieren und die VM so konfigurieren, dass beides vertrauenswürdig ist, oder sie können beiden HGS-Clustern einen gemeinsam genutzten Satz von Zertifikaten hinzufügen.

Weitere Informationen zum Konfigurieren von HGS in einer Filiale mithilfe von Fallback-URLs finden Sie im Blogbeitrag Verbesserte Unterstützung von Filialen für abgeschirmte VMs in Windows Server, Version 1709.

Offlinemodus

Solange sich die Sicherheitskonfiguration Ihres Hyper-V-Hosts nicht geändert hat, kann Ihr abgeschirmter virtueller Computer im Offlinemodus aktiviert werden, wenn der HGS nicht erreicht werden kann. Der Offlinemodus funktioniert, indem eine spezielle Version der VM-TPM-Schlüsselschutzvorrichtung auf dem Hyper-V-Host zwischengespeichert wird. Die Schlüsselschutzvorrichtung wird mit der aktuellen Sicherheitskonfiguration des Hosts verschlüsselt (mit dem virtualisierungsbasierten Sicherheitsidentitätsschlüssel). Wenn Ihr Host nicht mit dem HGS kommunizieren kann und sich seine Sicherheitskonfiguration nicht geändert hat, kann er die zwischengespeicherte Schlüsselschutzvorrichtung verwenden, um den abgeschirmten virtuellen Computer zu starten. Wenn sich die Sicherheitseinstellungen auf dem System ändern, z. B. eine neue Codeintegritätsrichtlinie angewendet oder sicherer Start deaktiviert wird, werden die zwischengespeicherten Schlüsselschutzvorrichtungen ungültig, und der Host muss sich bei einem HGS nachweisen, bevor abgeschirmte VMs wieder offline gestartet werden können.

Für den Offlinemodus ist Windows Server Insider Preview Build 17609 oder höher sowohl für den Host Guardian Service-Cluster als auch für den Hyper-V-Host erforderlich. Es wird durch eine Richtlinie für HGS gesteuert, die standardmäßig deaktiviert ist. Führen Sie den folgenden Befehl auf einem HGS-Knoten aus, um die Unterstützung für den Offlinemodus zu aktivieren:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Da die zwischenspeicherbaren Schlüsselschutzvorrichtungen für jeden abgeschirmten virtuellen Computer eindeutig sind, müssen Sie, nachdem diese Einstellung für HGS aktiviert ist, Ihre abgeschirmten VMs vollständig herunterfahren (nicht neu starten), um eine zwischenspeicherbare Schlüsselschutzvorrichtung zu erhalten. Wenn Ihr abgeschirmter virtueller Computer zu einem Hyper-V-Host migriert wird, auf dem eine ältere Version von Windows Server ausgeführt wird, oder eine neue Schlüsselschutzvorrichtung von einer älteren Version des HGS erhält, kann er sich selbst nicht im Offlinemodus starten, sondern kann im Onlinemodus fortgesetzt werden, wenn Zugriff auf das HGS verfügbar ist.