Actualizar un tejido protegido a Windows Server 2019
En este artículo se describen los pasos necesarios para actualizar un tejido protegido existente de Windows Server 2016; Windows Server, versión 1709, o Windows Server, versión 1803, a Windows Server 2019.
Novedades de Windows Server 2019
Si se ejecuta un tejido protegido en Windows Server 2019, se pueden aprovechar varias características nuevas:
Atestación de clave de host es nuestro modo de atestación más reciente y está diseñado para facilitar la ejecución de máquinas virtuales blindadas cuando los hosts de Hyper-V no tienen dispositivos TPM 2.0 disponibles para la atestación de TPM. Atestación de clave de host usa pares de claves para autenticar hosts con HGS, lo que elimina el requisito de que los hosts tengan que unirse a un dominio de Active Directory, lo que a su vez elimina la confianza de AD entre HGS y el bosque corporativo y reduce el número de puertos de firewall abiertos. Atestación de clave de host reemplaza la atestación de Active Directory, que queda en desuso en Windows Server 2019.
Versión de atestación V2: para admitir en el futuro tanto Atestación de clave de host como nuevas características, hemos introducido el control de versiones en HGS. Una instalación nueva de HGS en Windows Server 2019 dará lugar a que el servidor use la atestación v2, lo que significa que puede admitir Atestación de clave de host en los hosts de Windows Server 2019 y, al mismo tiempo, admitir hosts v1 en Windows Server 2016. Las actualizaciones locales a la versión 2019 permanecerán en la versión 1 hasta que habilite manualmente la versión 2. La mayoría de los cmdlets ahora tienen un parámetro -HgsVersion que permite especificar si se desea trabajar con directivas de atestación heredadas o modernas.
Compatibilidad con máquinas virtuales blindadas Linux: los hosts de Hyper-V que ejecutan Windows Server 2019 pueden ejecutar máquinas virtuales blindadas Linux. Aunque las máquinas virtuales blindadas Linux se han usado desde la versión 1709 de Windows Server, Windows Server 2019 es la primera versión de Canal de mantenimiento a largo plazo en admitirlas.
Mejoras en las sucursales: hemos facilitado la ejecución de máquinas virtuales blindadas en sucursales que admitan máquinas virtuales blindadas sin conexión y configuraciones de reserva en hosts de Hyper-V.
Enlace de host en TPM: en el caso de las cargas de trabajo más seguras, donde se desea que una máquina virtual blindada se ejecute exclusivamente en el primer host en que se creó, ahora puede enlazar la máquina virtual a ese host mediante el TPM del host. Lo mejor es usarlo en estaciones de trabajo de acceso con privilegios y sucursales, en lugar de cargas de trabajo de centros de datos generales que necesitan migrar entre hosts.
Matriz de compatibilidad
Antes de actualizar el tejido protegido a Windows Server 2019, consulte la siguiente matriz de compatibilidad para ver si se admite la configuración.
HGS de WS2016 | HGS de WS2019 | |
---|---|---|
Host Hyper-V de WS2016 | Compatible | Se admite1 |
Host Hyper-V de WS2019 | No se admite1 | Compatible |
1 Los hosts con Windows Server 2016 solo pueden dar fe en los servidores HGS de Windows Server 2019 mediante la versión 1 del protocolo de atestación. Las nuevas características que están disponibles de forma exclusiva en la versión 2 del protocolo de atestación, incluida Atestación de clave de host, no se admiten para los hosts con Windows Server 2016.
2 Microsoft es consciente de un problema que impide que los hosts con Windows Server 2019 que usan la atestación de TPM den fe correctamente en un servidor de HGS con Windows Server 2016. Esta limitación se solucionará en una actualización futura para Windows Server 2016.
Actualice HGS a Windows Server 2019
Se recomienda actualizar el clúster de HGS a Windows Server 2019 antes de actualizar los hosts de Hyper-V para asegurarse de que todos los hosts, independientemente de que ejecutan Windows Server 2016 o 2019, pueden seguir dando fe correctamente.
La actualización de un clúster de HGS requerirá la eliminación temporal de los nodos del clúster de uno en uno mientras se actualiza. Esto reducirá la capacidad del clúster para responder a las solicitudes de los hosts de Hyper-V y podría provocar tiempos de respuesta prolongados o que los inquilinos sufrieran interrupciones en el servicio. Asegúrese de que tiene capacidad suficiente para controlar las solicitudes de atestación y de versión de clave antes de actualizar cualquier servidor de HGS.
Para actualizar un clúster de HGS, siga los pasos que se indican a continuación en todos los nodos del clúster, pero de uno en uno:
- Quite el servidor de HGS del clúster. Para ello, debe ejecutar
Clear-HgsServer
en un símbolo del sistema de PowerShell con privilegios elevados. Este cmdlet quitará el almacén replicado de HGS, los sitios web de HGS y el nodo del clúster de conmutación por error. - Si el servidor de HGS es un controlador de dominio (configuración predeterminada), deberá ejecutar
adprep /forestprep
yadprep /domainprep
en el primer nodo que se va a actualizar para preparar el dominio para una actualización del sistema operativo. Para más información, consulte la documentación para la actualización de Active Directory Domain Services. - Realice una actualización local a Windows Server 2019.
- Ejecute Initialize-HgsServer para volver a unir el nodo al clúster.
Una vez que todos los nodos se hayan actualizado a Windows Server 2019, si lo desea, puede actualizar HGS a la versión 2 para admitir nuevas características, como Atestación de clave de host.
Set-HgsServerVersion v2
Actualización de hosts de Hyper-V a Windows Server 2019
Antes de actualizar los hosts de Hyper-V a Windows Server 2019, asegúrese de que el clúster de HGS ya está actualizado a Windows Server 2019 y de que ha movido todas las máquinas virtuales fuera del servidor de Hyper-V.
- Si usa las directivas de integridad de código de control de aplicaciones de Windows Defender en el servidor (siempre se hace cuando se usa la atestación de TPM), asegúrese de que la directiva está en modo auditoría o deshabilitada antes de intentar actualizar el servidor. Aprenda a deshabilitar una directiva WDAC
- Siga las instrucciones que se proporcionan en Introducción a las actualizaciones de Windows Server para actualizar el host a Windows Server 2019. Si el host de Hyper-V forma parte de un clúster de conmutación por error, considere la posibilidad de usar una actualización gradual del sistema operativo del clúster.
- Pruebe y vuelva a habilitar la directiva de control de aplicaciones de Windows Defender, si estaba habilitada antes de la actualización.
- Ejecute
Get-HgsClientConfiguration
para comprobar si IsHostGuarded = True, lo que significa que el host pasa correctamente la atestación con el servidor de HGS. - Si usa la atestación de TPM, es posible que tenga que volver a capturar la línea base de TPM o la directiva de integridad de código después de la actualización para pasar la atestación.
- Vuelva a ejecutar máquinas virtuales blindadas en el host.
Cambio a Atestación de clave de host
Siga los pasos que se indican a continuación si actualmente ejecuta la atestación basada en Active Directory y desea actualizar a Atestación de clave de host. Tenga en cuenta que la atestación basada en Active Directory está en desuso en Windows Server 2019 y puede quitarse en una versión futura.
Asegúrese de que el servidor de HGS funciona en la versión 2 del modo de atestación. Para ello, debe ejecutar el siguiente comando. Los hosts de la versión 1 existentes seguirán dando fe aunque el servidor de HGS se actualice a la versión 2.
Set-HgsServerVersion v2
Genere claves de host a partir de cada uno de los hosts de Hyper-V y regístrelas en HGS. Como HGS sigue funcionando en modo Active Directory, recibirá la advertencia de que las nuevas claves de host no son efectivas de inmediato. Esto no es involuntario, ya que no desea cambiar al modo de clave de host hasta que todos los hosts puedan dar fe con claves de host correctamente.
Una vez registradas las claves para cada host, puede configurar HGS para que use el modo de atestación de clave de host:
Set-HgsServer -TrustHostKey
Si tiene problemas con el modo de clave de host y necesita volver a la atestación basada en Active Directory, ejecute el siguiente comando en HGS:
Set-HgsServer -TrustActiveDirectory