Bagikan melalui

Meningkatkan fabric yang dijaga ke Windows Server 2019

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Artikel ini menjelaskan langkah-langkah yang diperlukan untuk meningkatkan fabric yang dijaga yang ada dari Windows Server 2016, Windows Server versi 1709 atau Windows Server versi 1803 ke Windows Server 2019.

Apa yang baru di Windows Server 2019

Ketika Anda menjalankan fabric yang dijaga pada Windows Server 2019, Anda dapat memanfaatkan beberapa fitur baru:

Pengesahan Kunci Host adalah mode pengesahan terbaru kami, yang dirancang untuk mempermudah menjalankan VM terlindungi ketika host Hyper-V Anda tidak memiliki perangkat TPM 2.0 yang tersedia untuk pengesahan TPM. Pengesahan Kunci Host menggunakan pasangan kunci untuk mengautentikasi host dengan HGS, menghapus persyaratan bagi host untuk bergabung ke domain Direktori Aktif, menghilangkan kepercayaan AD antara HGS dan forest perusahaan, dan mengurangi jumlah port firewall terbuka. Pengesahan Kunci Host menggantikan pengesahan Direktori Aktif, yang tidak digunakan lagi di Windows Server 2019.

Versi Pengesahan V2 - Untuk mendukung Pengesahan Kunci Host dan fitur baru di masa mendatang, kami telah memperkenalkan penerapan versi ke HGS. Penginstalan baru HGS pada Windows Server 2019 akan menghasilkan server menggunakan pengesahan v2, yang berarti dapat mendukung pengesahan Kunci Host untuk host Windows Server 2019 dan masih mendukung host v1 di Windows Server 2016. Peningkatan di tempat ke 2019 akan tetap berada di versi v1 hingga Anda mengaktifkan v2 secara manual. Sebagian besar cmdlet sekarang memiliki parameter -HgsVersion yang memungkinkan Anda menentukan apakah Anda ingin bekerja dengan kebijakan pengesahan warisan atau modern.

Dukungan untuk VM terlindung Linux - Host Hyper-V yang menjalankan Windows Server 2019 dapat menjalankan VM terlindung Linux. Meskipun VM terlindung Linux telah ada sejak Windows Server versi 1709, Windows Server 2019 adalah rilis Saluran Layanan Jangka Panjang pertama yang mendukungnya.

Peningkatan kantor cabang - Kami mempermudah menjalankan VM terlindungi di kantor cabang dengan dukungan untuk VM terlindung offline dan konfigurasi fallback pada host Hyper-V.

Pengikatan host TPM - Untuk beban kerja yang paling aman, di mana Anda ingin VM terlindungi hanya berjalan pada host pertama tempatnya dibuat tetapi tidak ada yang lain, Anda sekarang dapat mengikat VM ke host tersebut menggunakan TPM host. Ini paling baik digunakan untuk stasiun kerja akses istimewa dan kantor cabang, daripada beban kerja pusat data umum yang perlu bermigrasi antar host.

Matriks kompatibilitas

Sebelum Anda meningkatkan fabric yang dijaga ke Windows Server 2019, tinjau matriks kompatibilitas berikut untuk melihat apakah konfigurasi Anda didukung.

WS2016 HGS WS2019 HGS
WS2016 Hyper-V Host Didukung Didukung1
WS2019 Hyper-V Host Tidak didukung2 Didukung

1 Host Windows Server 2016 hanya dapat membuktikan server HGS Windows Server 2019 menggunakan protokol pengesahan v1. Fitur baru yang tersedia secara eksklusif dalam protokol pengesahan v2, termasuk Pengesahan Kunci Host, tidak didukung untuk host Windows Server 2016.

2 Microsoft mengetahui masalah yang mencegah host Windows Server 2019 menggunakan pengesahan TPM agar tidak berhasil membuktikan server HGS Windows Server 2016. Batasan ini akan ditangani dalam pembaruan mendatang untuk Windows Server 2016.

Meningkatkan HGS ke Windows Server 2019

Sebaiknya tingkatkan kluster HGS Anda ke Windows Server 2019 sebelum Anda meningkatkan host Hyper-V Anda untuk memastikan bahwa semua host, apakah mereka menjalankan Windows Server 2016 atau 2019, dapat terus membuktikan dengan sukses.

Meningkatkan kluster HGS Anda akan mengharuskan Anda untuk menghapus sementara satu simpul dari kluster pada satu waktu saat ditingkatkan. Ini akan mengurangi kapasitas kluster Anda untuk menanggapi permintaan dari host Hyper-V Anda dan dapat mengakibatkan waktu respons yang lambat atau pemadaman layanan untuk penyewa Anda. Pastikan Anda memiliki kapasitas yang memadai untuk menangani permintaan pengesahan dan rilis kunci Anda sebelum meningkatkan server HGS.

Untuk meningkatkan kluster HGS Anda, lakukan langkah-langkah berikut pada setiap simpul kluster Anda, satu simpul sekaligus:

  1. Hapus server HGS dari kluster Anda dengan menjalankan Clear-HgsServer di prompt PowerShell yang ditinggikan. Cmdlet ini akan menghapus penyimpanan yang direplikasi HGS, situs web HGS, dan simpul dari kluster failover.
  2. Jika server HGS Anda adalah pengendali domain (konfigurasi default), Anda harus menjalankan adprep /forestprep dan adprep /domainprep pada simpul pertama yang ditingkatkan untuk menyiapkan domain untuk peningkatan OS. Lihat dokumentasi peningkatan Active Directory Domain Services untuk informasi selengkapnya.
  3. Lakukan pemutakhiran di tempat ke Windows Server 2019.
  4. Jalankan Initialize-HgsServer untuk menggabungkan simpul kembali ke kluster.

Setelah semua simpul ditingkatkan ke Windows Server 2019, Anda dapat secara opsional meningkatkan versi HGS ke v2 untuk mendukung fitur baru seperti Pengesahan Kunci Host.

Set-HgsServerVersion  v2

Meningkatkan host Hyper-V ke Windows Server 2019

Sebelum Anda meningkatkan host Hyper-V ke Windows Server 2019, pastikan kluster HGS Anda sudah ditingkatkan ke Windows Server 2019 dan Anda telah memindahkan semua VM dari server Hyper-V.

  1. Jika Anda menggunakan kebijakan integritas kode Kontrol Aplikasi Pertahanan Windows di server Anda (selalu terjadi saat menggunakan pengesahan TPM), pastikan bahwa kebijakan berada dalam mode audit atau dinonaktifkan sebelum mencoba memutakhirkan server. Pelajari cara menonaktifkan kebijakan WDAC
  2. Ikuti panduan dalam konten peningkatan Windows Server untuk meningkatkan host Anda ke Windows Server 2019. Jika host Hyper-V Anda adalah bagian dari Kluster Failover, pertimbangkan untuk menggunakan Peningkatan Rolling Sistem Operasi Kluster.
  3. Uji dan aktifkan kembali kebijakan Kontrol Aplikasi Pertahanan Windows Anda, jika Anda mengaktifkannya sebelum pemutakhiran.
  4. Jalankan Get-HgsClientConfiguration untuk memeriksa apakah IsHostGuarded = True, yang berarti host berhasil melewati pengesahan dengan server HGS Anda.
  5. Jika Anda menggunakan pengesahan TPM, Anda mungkin perlu mengambil kembali garis besar TPM atau kebijakan integritas kode setelah peningkatan untuk meneruskan pengesahan.
  6. Mulai jalankan VM terlindungi pada host lagi!

Beralih ke Pengesahan Kunci Host

Ikuti langkah-langkah di bawah ini jika Saat ini Anda menjalankan pengesahan berbasis Direktori Aktif dan ingin meningkatkan ke Pengesahan Kunci Host. Perhatikan bahwa pengesahan berbasis Direktori Aktif tidak digunakan lagi di Windows Server 2019 dan dapat dihapus dalam rilis mendatang.

  1. Pastikan server HGS Anda beroperasi dalam mode pengesahan v2 dengan menjalankan perintah berikut. Host v1 yang ada akan terus membuktikan bahkan ketika server HGS ditingkatkan ke v2.

    Set-HgsServerVersion v2

  2. Hasilkan kunci host dari setiap host Hyper-V Anda dan daftarkan dengan HGS. Karena HGS masih beroperasi dalam mode Direktori Aktif, Anda akan menerima peringatan bahwa kunci host baru tidak segera efektif. Ini disengaja, karena Anda tidak ingin mengubah ke mode kunci host sampai semua host Anda dapat membuktikan dengan sukses kunci host.

  3. Setelah kunci host didaftarkan untuk setiap host, Anda dapat mengonfigurasi HGS untuk menggunakan mode pengesahan kunci host:

    Set-HgsServer -TrustHostKey

    Jika Anda mengalami masalah dengan mode kunci host dan perlu kembali ke pengesahan berbasis Direktori Aktif, jalankan perintah berikut pada HGS:

    Set-HgsServer -TrustActiveDirectory