Consideraciones sobre la sucursal

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019

En este artículo se describen los procedimientos recomendados para ejecutar máquinas virtuales blindadas en sucursales y otros escenarios remotos, donde los hosts de Hyper-V pueden tener periodos de tiempo con conectividad limitada a HGS.

Configuración de reserva

A partir de la versión 1709 de Windows Server, puede configurar un conjunto adicional de direcciones URL del Servicio de protección de host en hosts de Hyper-V para su uso cuando el HGS principal no responde. Esto le permite ejecutar un clúster de HGS local que se usa como servidor principal para mejorar el rendimiento con la capacidad de revertir al HGS del centro de datos corporativo si los servidores locales están inactivos.

Para usar la opción de reserva, deberá configurar dos servidores HGS. Pueden ejecutar Windows Server 2019 o Windows Server 2016 y formar parte del mismo clúster o de clústeres diferentes. Si son clústeres diferentes, querrá establecer prácticas operativas para asegurarse de que las directivas de atestación están sincronizadas entre los dos servidores. Ambos deben poder autorizar correctamente el host de Hyper-V para ejecutar máquinas virtuales blindadas y tener el material clave necesario para iniciar las máquinas virtuales blindadas. Puede elegir entre tener un par de certificados de cifrado y firma compartidos entre los dos clústeres o usar certificados independientes y configurar la máquina virtual blindada de HGS para autorizar a ambos guardianes (pares de certificados de cifrado y firma) en el archivo de datos de blindaje.

A continuación, actualice los hosts de Hyper-V a Windows Server versión 1709 o Windows Server 2019 y ejecute el siguiente comando:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Para anular la configuración de un servidor de reserva, simplemente omita ambos parámetros de reserva:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Para que el host de Hyper-V pase la atestación con los servidores principal y de reserva, deberá asegurarse de que la información de atestación esté actualizada con ambos clústeres de HGS. Además, los certificados usados para descifrar el TPM de la máquina virtual deben estar disponibles en ambos clústeres de HGS. Puede configurar cada HGS con certificados diferentes y configurar la máquina virtual para confiar en ambos, o agregar un conjunto compartido de certificados a ambos clústeres de HGS.

Para obtener más información sobre cómo configurar HGS en una sucursal mediante direcciones URL de reserva, consulte la entrada de blog Compatibilidad mejorada de sucursales con máquinas virtuales blindadas en Windows Server, versión 1709.

Modo sin conexión

El modo sin conexión permite que la máquina virtual blindada se active cuando no se pueda acceder a HGS, siempre y cuando no haya cambiado la configuración de seguridad del host de Hyper-V. El modo sin conexión funciona almacenando en caché una versión especial del protector de clave TPM de máquina virtual en el host de Hyper-V. El protector de clave se cifra en la configuración de seguridad actual del host (mediante la clave de identidad de seguridad basada en virtualización). Si el host no puede comunicarse con HGS y su configuración de seguridad no ha cambiado, podrá usar el protector de clave en caché para iniciar la máquina virtual blindada. Cuando la configuración de seguridad cambia en el sistema, como cuando se aplica una nueva política de integridad del código o se desactiva el arranque seguro, los protectores de clave almacenados en caché se invalidan y el host tiene que atestiguar con un HGS antes de que las máquinas virtuales blindadas se puedan volver a iniciar sin conexión.

El modo sin conexión requiere la compilación 17609 o posterior de Windows Server Insider Preview para el clúster del Servicio de protección de host y el host de Hyper-V. Se controla mediante una directiva en HGS, que está deshabilitada de forma predeterminada. Para habilitar la compatibilidad con el modo sin conexión, ejecute el siguiente comando en un nodo HGS:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Dado que los protectores de claves almacenables en caché son únicos para cada máquina virtual blindada, deberá apagar completamente (no reiniciar) e iniciar las máquinas virtuales blindadas para obtener un protector de clave almacenable en caché después de habilitar esta configuración en HGS. Si la máquina virtual blindada migra a un host de Hyper-V que ejecuta una versión anterior de Windows Server o obtiene un nuevo protector de clave de una versión anterior de HGS, no podrá iniciarse en modo sin conexión, pero puede seguir ejecutándose en modo en línea cuando el acceso a HGS esté disponible.