Suojatun näennäiskoneen käyttöönotto

  • 12 minuuttia

Windows Server -järjestelmänvalvojana sinun on tutkittava ja varmistettava, että ymmärrät suojatun näennäiskoneen luomiseen ja käyttöönottoon liittyvät vaiheet.

Suojatun näennäiskoneen käyttöönotto

Seuraavassa on kuvattu suojatun näennäiskoneen käyttöönottoon tarvittavat korkean tason toimenpiteet. Vaiheet sisältävät joitakin Näennäiskoneet-kohtaan liittyviä vaiheita.

Tehtävä 1: HGS:n asentaminen ja määrittäminen

  1. Tarkista HGS:n edellytykset ja valmistele ympäristösi HGS-käyttöönottoa varten:

    1. Varmista, että laitteisto ja käyttöjärjestelmä täyttävät HGS:n edellytykset, ja huomioi seuraavat asiat:

      • HGS voidaan suorittaa fyysisissä tai näennäiskoneissa, mutta fyysisiä koneita suositellaan.
      • Jos haluat suorittaa HGS:n fyysisenä 3-solmuisena fyysisenä klusterina, sinulla on oltava kolme fyysistä palvelinta.
      • Todennusvaatimukset:
        • Isäntäavainten todennus edellyttää Windows Server 2019 Standard- tai Datacenter-versiota, joka toimii v2-todennykselle.
        • TPM-pohjainen todentaminen edellyttää Windows Server 2019:n tai Windows Server 2016:n, Standard- tai Datacenter-version.

    2. Asenna asianmukaiset HGS-palvelinroolit ja määritä kankaan (isäntä) toimialue sallimaan DNS-toimialueen ja HGS-toimialueen välinen DNS-toimialue.

    Huomautus

    Kun otat HGS:n käyttöön, sinua pyydetään antamaan allekirjoitus- ja salausvarmenteet, joilla suojataan luottamuksellisia tietoja, joita tarvitaan suojatun näennäiskoneen käynnistämiseen. Näiden kahden varmenteen hankkimiseen suositellaan käyttämään luotettua varmenteiden myöntäjää. On kuitenkin mahdollista käyttää itse allekirjoitettuja varmenteita. Nämä kaksi varmennetta pysyvät aina HGS-isännässä.

  2. Määritä ensimmäinen HGS-solmu:

    • Valitse, asennetaanko HGS omaan AD DS -metsäänsä vai olemassa olevaan linnakemetsään.

  3. Määritä lisää HGS-solmuja ympäristösi mukaan:

    1. Jokainen HGS-solmu edellyttää samoja allekirjoitus- ja salausvarmenteita. Hallitse niitä valitsemalla jokin seuraavista kahdesta vaihtoehdosta:

      • Vie varmenteet PFX-tiedostoon salasanalla ja salli HGS:n hallita varmenteita puolestasi.
      • Asenna varmenteet paikallisen tietokoneen varmennesäilöön kuhunkin HGS-solmuun ja anna allekirjoitus HGS:lle.

      Kumpi tahansa asetus on kelvollinen, mutta se edellyttää hieman eri vaiheita solmun lisäämisen aikana.

    2. Lisää solmuja käyttämällä jompaa kumpia seuraavista kahdesta mahdollisesta skenaariosta:

      • Lisää HGS-solmut uuteen, erilliseen HGS-metsään.

        • HGS-solmujen lisääminen uuteen erilliseen HGS-metsään Personal Information Exchange (PFX) -varmenteilla:

          1. Korota HGS-solmu toimialueen ohjauskoneeseen.
          2. Alusta HGS-palvelin.

        • HGS-solmujen lisääminen uuteen erilliseen HGS-metsään varmenteiden allekirjoitusten avulla:

          1. Korota HGS-solmu toimialueen ohjauskoneeseen.
          2. Alusta HGS-palvelin.
          3. Asenna varmenteiden yksityiset avaimet.

      • Lisää HGS-solmut olemassa olevaan linnakepuuryhmään.

        • HGS-solmujen lisääminen olemassa olevaan bastion-metsään PFX-varmenteilla:

          1. Liitä solmu olemassa olevaan toimialueeseen.
          2. Myönnä koneille oikeudet, jotta voit noutaa hallitun palvelutilin (MSA) salasanan ja suorittaa komennon Install-ADServiceAccount.
          3. Alusta HGS-palvelin.

        • HGS-solmujen lisääminen olemassa olevaan linnakemetsään varmenteiden allekirjoitusten avulla:

          1. Liitä solmu olemassa olevaan toimialueeseen.
          2. Myönnä koneille oikeudet MSA-salasanan noutamiseen ja suorita Install-ADServiceAccount.
          3. Alusta HGS-palvelin.
          4. Asenna varmenteiden yksityiset avaimet.

    Huomautus

    HGS käyttää ryhmän hallittua palvelutiliä (gMSA) tilin käyttäjätietoina varmenteiden noutamiseen ja käyttämiseen useissa solmuissa.

    Tärkeää

    Tuotantoympäristöissä HGS tulisi määrittää suuren käytettävyyden klusteriin sen varmistamiseksi, että suojatut näennäiskoneet toimivat, vaikka HGS-solmu kaatuu.

  4. Määritä kankaan DNS niin, että suojatut isännät voivat ratkaista HGS-klusterin.

  5. Tarkista isäntien todentamisen edellytykset:

    1. Tarkista valitsemasi todennustilan isäntäedellytykset: TPM-, Avain- tai Järjestelmänvalvoja-tila.
    2. Lisää isännät HGS:ään.

  6. Luo isäntäavain (avaintila) tai kerää isäntätietoja (TPM-tila):

    • Jotta Hyper-V isännistä tulee vartioituja isäntiä isäntäavainten todentamisen (avaintila) avulla, luo isäntäavainpari (tai käytä olemassa olevaa varmennetta) ja lisää sitten avain julkisen puoliskon HGS:ään.

    • Jotta Hyper-V isännistä tulisi vartioituja isäntiä TPM-tilan todentamisen (avaintila) avulla, sieppaa isäntien TPM-tunnus (suositusavain), TPM-perusarvo ja CI-käytäntö.

  7. Lisää isäntäavaimet (avaintila) tai TPM-tiedot (TPM-tila) HGS-määritykseen.

  8. Vahvista, että HGS testaa isännät valvottuina isäntinä.

  9. (Valinnainen) Määritä VMM-käsittelykangas Hyper-V sekä suojattujen näennäiskoneiden käyttöönottoa ja hallintaa varten.

Tehtävä 2: OS:n .vhdx-tiedoston valmisteleminen

  1. Valmistele käyttöjärjestelmälevy (.vhdx-tiedosto) käyttämällä jotakin seuraavista vaihtoehdoista:

    • Käytä Hyper-V-, Windows PowerShell - tai Microsoft Desktop Image Service Manager (DISM) -apuohjelmaa.
    • Määritä näennäiskone manuaalisesti tyhjällä .vhdx-tiedostolla ja asenna käyttöjärjestelmä kyseiselle levylle.

  2. Asenna uusimmat päivitykset käyttöjärjestelmän levylle suorittamalla Windows Update.

Tehtävä 3: Suojatun näennäiskoneen mallilevyn luominen VMM:ssä

  1. Valmistele ja suojaa .vhdx-tiedosto käyttämällä Ohjatun Shielded Template Disk Creation Wizard -toiminnon avulla.

    • Jos haluat käyttää mallilevyä suojattujen näennäiskoneiden kanssa, sinun on valmisteltava levy ja salattava se BitLockerillakäyttämällä Ohjattua Shielded Template Disk Creation Wizard -toimintoa.

  2. Kopioi mallilevy VMM-kirjastoon.

    • Jos käytät näennäiskonetta, kopioi mallilevyn luomisen jälkeen Näennäiskoneen kirjastoresurssiin, jotta isännät voivat ladata levyn ja käyttää sitä, kun valmistellaan uusia suojattuja näennäiskoneita.

Tehtävä 4: Suojaustietotiedoston luominen

  1. Valmistaudu luomaan suojaustietojen (PDK) tiedosto:

    1. Hanki varmenne etätyöpöytäyhteyttä varten.
    2. Luo vastaustiedosto.
    3. Hae aseman allekirjoituksen luettelotiedosto.
    4. Määritä luotetut kankaat.

  2. Luo suojaustietotiedosto.

  3. Lisää huoltajat, joilla on valtuudet käyttää suojaustiedostoa.

Tehtävä 5: Suojatun näennäiskoneen käyttöönotto

  1. Suojatun näennäiskoneen käyttöönotto Windows Azure Packin tai VMM:n avulla:

    1. Lataa tietojen suojaustiedosto valitsemasi käyttöönottotavan vaatimusten mukaan, kuten Windows Azure Pack tai VMM.
    2. Valmistelemme uuden suojatun näennäiskoneen.

Tehtävä 6: Käynnistä suojattu näennäiskone

Suojatun näennäiskoneen käynnistysprosessi on seuraava:

  1. Käyttäjä pyytää käynnistämään suojatun näennäiskoneen.

  2. HGS Attestation -palvelu vahvistaa suojatun isännän tunnistetiedot ja lähettää todennetun varmenteen vartioidulle isännälle.

  3. Valvottu isäntä lähettää todennetun sertifikaatin ja suorituskykyilmaisimen suorituskykyilmaisimiin ja pyytää avainta suojatun näennäiskoneen avaamiseksi.

  4. Suorituskykyilmaisimet määrittävät todennusvarmenteen kelpoisuuden, purkaa suorituskykyilmaisimen salauksen, noutaa avaimen suojatun näennäiskoneen lukituksen avaamiseksi ja lähettää avaimen valvotulle isännälle.

  5. Valvottu isäntä käyttää avainta suojatun näennäiskoneen lukituksen avaamiseen ja käynnistämiseen.

    Huomautus

    Etäpalvelimen hallintatyökalut > Suojatut näennäiskonetyökalut sisältävät Ohjatun Shielded Template Disk Creation Wizard -toiminnon, jota voi käyttää Server Managerin Työkalut-valikosta .