Pertimbangan kantor cabang

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019

Artikel ini menjelaskan praktik terbaik untuk menjalankan komputer virtual terlindungi di kantor cabang dan skenario jarak jauh lainnya di mana host Hyper-V mungkin memiliki periode waktu dengan konektivitas terbatas ke HGS.

Konfigurasi fallback

Dimulai dengan Windows Server versi 1709, Anda dapat mengonfigurasi serangkaian URL Layanan Host Guardian tambahan pada host Hyper-V untuk digunakan saat HGS utama Anda tidak responsif. Ini memungkinkan Anda menjalankan kluster HGS lokal yang digunakan sebagai server utama untuk performa yang lebih baik dengan kemampuan untuk kembali ke HGS pusat data perusahaan Anda jika server lokal tidak berfungsi.

Untuk menggunakan opsi fallback, Anda harus menyiapkan dua server HGS. Mereka dapat menjalankan Windows Server 2019 atau Windows Server 2016 dan menjadi bagian dari kluster yang sama atau berbeda. Jika mereka adalah kluster yang berbeda, Anda akan ingin membuat praktik operasional untuk memastikan kebijakan pengesahan sinkron di antara kedua server. Keduanya harus dapat mengotorisasi host Hyper-V dengan benar untuk menjalankan VM terlindungi dan memiliki materi utama yang diperlukan untuk memulai VM terlindungi. Anda dapat memilih untuk memiliki sepasang enkripsi bersama dan sertifikat penandatanganan antara dua kluster, atau menggunakan sertifikat terpisah dan mengonfigurasi HGS shielded VM untuk mengotorisasi kedua wali (pasangan sertifikat enkripsi/penandatanganan) dalam file data perisai.

Kemudian tingkatkan host Hyper-V Anda ke Windows Server versi 1709 atau Windows Server 2019 dan jalankan perintah berikut:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Untuk membatalkan konfigurasi server fallback, cukup hilangkan kedua parameter fallback:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Agar host Hyper-V meneruskan pengesahan dengan server utama dan fallback, Anda harus memastikan bahwa informasi pengesahan Anda sudah diperbarui dengan kedua kluster HGS. Selain itu, sertifikat yang digunakan untuk mendekripsi TPM komputer virtual harus tersedia di kedua kluster HGS. Anda dapat mengonfigurasi setiap HGS dengan sertifikat yang berbeda dan mengonfigurasi VM untuk mempercayai keduanya, atau menambahkan sekumpulan sertifikat bersama ke kedua kluster HGS.

Untuk informasi tambahan tentang mengonfigurasi HGS di kantor cabang menggunakan URL fallback, lihat posting blog Dukungan kantor cabang yang ditingkatkan untuk VM terlindungi di Windows Server, versi 1709.

Mode offline

Mode offline memungkinkan VM terlindung Anda menyala ketika HGS tidak dapat dicapai, selama konfigurasi keamanan host Hyper-V Anda tidak berubah. Mode offline berfungsi dengan penembolokan versi khusus pelindung kunci TPM VM pada host Hyper-V. Pelindung kunci dienkripsi ke konfigurasi keamanan host saat ini (menggunakan kunci identitas Keamanan Berbasis Virtualisasi). Jika host Anda tidak dapat berkomunikasi dengan HGS dan konfigurasi keamanannya tidak berubah, host akan dapat menggunakan pelindung kunci cache untuk memulai VM terlindungi. Ketika pengaturan keamanan berubah pada sistem, seperti kebijakan integritas kode baru yang diterapkan atau Boot Aman dinonaktifkan, pelindung kunci yang di-cache akan dibatalkan dan host harus membuktikan dengan HGS sebelum VM terlindungi dapat dimulai secara offline lagi.

Mode offline memerlukan Windows Server Insider Preview build 17609 atau yang lebih baru untuk kluster Host Guardian Service dan host Hyper-V. Ini dikendalikan oleh kebijakan pada HGS, yang dinonaktifkan secara default. Untuk mengaktifkan dukungan untuk mode offline, jalankan perintah berikut pada simpul HGS:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Karena pelindung kunci yang dapat di-cache unik untuk setiap VM terlindungi, Anda harus sepenuhnya mematikan (tidak memulai ulang) dan memulai VM terlindung Anda untuk mendapatkan pelindung kunci yang dapat di-cache setelah pengaturan ini diaktifkan pada HGS. Jika VM terlindungi Anda bermigrasi ke host Hyper-V yang menjalankan versi Windows Server yang lebih lama, atau mendapatkan pelindung kunci baru dari versi HGS yang lebih lama, ia tidak akan dapat memulai dirinya sendiri dalam mode offline, tetapi dapat terus berjalan dalam mode online ketika akses ke HGS tersedia.