Mise à niveau d’une structure protégée vers Windows Server 2019

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cet article décrit les étapes nécessaires pour mettre à niveau une structure protégée existante de Windows Server 2016, Windows Server version 1709 ou Windows Server version 1803 vers Windows Server 2019.

Nouveautés de Windows Server 2019

Lorsque vous exécutez une structure protégée sur Windows Server 2019, vous pouvez tirer parti de plusieurs nouvelles fonctionnalités :

L’attestation de clé d’hôte est notre mode d’attestation le plus récent. Il est conçu pour faciliter l’exécution de machines virtuelles dotées d’une protection maximale lorsque vos hôtes Hyper-V ne disposent pas d’appareils TPM 2.0 disponibles pour l’attestation TPM. L’attestation de clé d’hôte utilise des paires de clés pour authentifier les hôtes auprès de SGH, en supprimant l’obligation de joindre les hôtes à un domaine Active Directory, en éliminant l’approbation AD entre SGH et la forêt d’entreprise et en réduisant le nombre de ports de pare-feu ouverts. L’attestation de clé d’hôte remplace l’attestation Active Directory, qui est déconseillée dans Windows Server 2019.

Version de l’attestation v2 : pour prendre en charge l’attestation de clé d’hôte et les nouvelles fonctionnalités à venir, nous avons introduit le contrôle de version dans SGH. Une nouvelle installation de SGH sur Windows Server 2019 entraîne l’utilisation de l’attestation v2 par le serveur, ce qui signifie qu’il peut prendre en charge l’attestation de clé d’hôte pour les hôtes Windows Server 2019 tout en prenant en charge les hôtes v1 sur Windows Server 2016. Les mises à niveau sur place vers Windows Server 2019 restent à la version 1 jusqu’à ce que vous activiez manuellement la version 2. La plupart des applets de commande possèdent désormais un paramètre -HgsVersion qui vous permet d’indiquer si vous souhaitez utiliser des stratégies d’attestation héritées ou modernes.

Prise en charge des machines virtuelles Linux dotées d’une protection maximale : les hôtes Hyper-V exécutant Windows Server 2019 peuvent exécuter des machines virtuelles Linux dotées d’une protection maximale. Bien que les machines virtuelles Linux dotées d’une protection maximale soient présentes depuis Windows Server version 1709, Windows Server 2019 est la première version du canal de maintenance à long terme qui les prend en charge.

Améliorations apportées aux succursales : nous avons facilité l’exécution de machines virtuelles dotées d’une protection maximale dans les succursales avec la prise en charge de ces machines virtuelles hors connexion, ainsi que des configurations de secours sur les hôtes Hyper-V.

Liaison d’hôte TPM : pour les charges de travail les plus sécurisées, où vous souhaitez qu’une machine virtuelle dotée d’une protection maximale s’exécute uniquement sur le premier hôte sur lequel elle a été créée, mais pas sur un autre, vous pouvez maintenant lier la machine virtuelle à cet hôte à l’aide du module TPM de l’hôte. Il est préférable de l’utiliser pour les succursales et les stations de travail à accès privilégié, plutôt que pour les charges de travail de centre de données générales qui doivent migrer d’un hôte à un autre.

Matrice de compatibilité

Avant de mettre à niveau votre structure protégée vers Windows Server 2019, passez en revue la matrice de compatibilité suivante pour déterminer si votre configuration est prise en charge.

SGH WS2016 SGH WS2019
Hôte Hyper-V WS2016 Prise en charge Pris en charge1
Hôte Hyper-V WS2019 Non pris en charge2 Prise en charge

1 L’attestation des hôtes Windows Server 2016 peut uniquement se faire auprès de serveurs SGH Windows Server 2019 à l’aide du protocole d’attestation v1. Les nouvelles fonctionnalités qui sont exclusivement disponibles dans le protocole d’attestation v2, y compris l’attestation de clé d’hôte, ne sont pas prises en charge pour les hôtes Windows Server 2016.

2 Microsoft a connaissance d’un problème empêchant l’attestation auprès d’un serveur SGH Windows Server 2016 des hôtes Windows Server 2019 utilisant l’attestation TPM. Ce problème sera résolu dans une mise à jour ultérieure pour Windows Server 2016.

Mise à niveau de SGH vers Windows Server 2019

Nous vous recommandons de mettre à niveau votre cluster SGH vers Windows Server 2019 avant de mettre à niveau vos hôtes Hyper-V afin de vous assurer que l’attestation de tous les hôtes, qu’ils exécutent Windows Server 2016 ou 2019, puisse continuer à se faire avec succès.

La mise à niveau de votre cluster SGH vous oblige à supprimer temporairement un nœud du cluster à la fois pendant la mise à niveau. Cela réduit la capacité de votre cluster à répondre aux demandes de vos hôtes Hyper-V et peut entraîner des temps de réponse lents ou des pannes de service pour vos locataires. Vérifiez que vous disposez d’une capacité suffisante pour gérer vos demandes d’attestation et de mise en production de clé avant de mettre à niveau un serveur SGH.

Pour mettre à niveau votre cluster SGH, procédez comme suit sur chaque nœud de votre cluster, un nœud à la fois :

  1. Supprimez le serveur SGH de votre cluster en exécutant Clear-HgsServer dans une invite PowerShell avec élévation de privilèges. Cet applet de commande supprime le magasin SGH répliqué, les sites web SGH et le nœud du cluster de basculement.
  2. Si votre serveur SGH est un contrôleur de domaine (configuration par défaut), vous devez exécuter adprep /forestprep et adprep /domainprep sur le premier nœud mis à niveau pour préparer le domaine à une mise à niveau du système d’exploitation. Pour plus d’informations, voir la documentation sur la mise à niveau d’Active Directory Domain Services (AD DS).
  3. Effectuez une mise à niveau sur place vers Windows Server 2019.
  4. Exécutez Initialize-HgsServer pour joindre à nouveau le nœud au cluster.

Une fois que tous les nœuds ont été mis à niveau vers Windows Server 2019, vous pouvez éventuellement mettre à niveau SGH vers la version 2 pour prendre en charge de nouvelles fonctionnalités telles que l’attestation de clé d’hôte.

Set-HgsServerVersion  v2

Mettre à niveau des hôtes Hyper-V vers Windows Server 2019

Avant de mettre à niveau vos hôtes Hyper-V vers Windows Server 2019, vérifiez que votre cluster SGH est déjà mis à niveau vers Windows Server 2019 et que vous avez déplacé toutes les machines virtuelles hors du serveur Hyper-V.

  1. Si vous utilisez les stratégies d’intégrité du code de Contrôle d’application Windows Defender sur votre serveur (c’est toujours le cas lors de l’utilisation de l’attestation TPM), assurez-vous que la stratégie est en mode audit ou qu’elle est désactivée avant de tenter de mettre à niveau le serveur. Apprendre à désactiver une stratégie WDAC
  2. Suivez les instructions du contenu de mise à niveau de Windows Server pour mettre à niveau votre hôte vers Windows Server 2019. Si votre hôte Hyper-V fait partie d’un cluster de basculement, envisagez une mise à niveau propagée de système d’exploitation de cluster.
  3. Testez et réactivez votre stratégie Contrôle d’application Windows Defender, si vous en aviez une activée avant la mise à niveau.
  4. Exécutez Get-HgsClientConfiguration pour vérifier si IsHostGuarded = True, ce qui signifie que l’attestation de l’hôte auprès de votre serveur SGH est réussie.
  5. Si vous utilisez l’attestation TPM, vous devrez peut-être recréer la base TPM ou la stratégie d’intégrité du code après la mise à niveau pour réussir l’attestation.
  6. Vous pouvez maintenant exécuter à nouveau des machines virtuelles dotées d’une protection maximale sur l’hôte.

Passer à l’attestation de clé d’hôte

Procédez comme suit si vous exécutez actuellement une attestation basée sur Active Directory et que vous souhaitez effectuer une mise à niveau vers l’attestation de clé d’hôte. Notez que l’attestation basée sur Active Directory est déconseillée dans Windows Server 2019 et qu’elle est susceptible d’être supprimée dans une version ultérieure.

  1. Vérifiez que votre serveur SGH fonctionne en mode d’attestation v2 en exécutant la commande suivante. L’attestation des hôtes v1 existants continue à se faire, même lorsque le serveur SGH est mis à niveau vers la version 2.

    Set-HgsServerVersion v2

  2. Générez des clés d’hôte à partir de chacun de vos hôtes Hyper-V et inscrivez-les auprès de SGH. Étant donné que SGH fonctionne toujours en mode Active Directory, vous recevrez un avertissement indiquant que les nouvelles clés d’hôte ne sont pas immédiatement effectives. Cela est intentionnel. En effet, il est préférable de ne pas passer en mode de clé d’hôte tant que l’attestation de tous vos hôtes avec des clés d’hôte n’a pas réussi.

  3. Une fois les clés d’hôte inscrites pour chaque hôte, vous pouvez configurer SGH de façon à utiliser le mode d’attestation de clé d’hôte :

    Set-HgsServer -TrustHostKey

    Si vous rencontrez des problèmes avec le mode de clé d’hôte et que vous devez revenir à l’attestation basée sur Active Directory, exécutez la commande suivante sur SGH :

    Set-HgsServer -TrustActiveDirectory