Considerazioni sulle succursali
Questo articolo descrive le procedure consigliate per l'esecuzione di macchine virtuali schermate nelle succursali e altri scenari remoti in cui gli host Hyper-V possono avere periodi di tempo con connessione limitata a HGS.
Configurazioni di fallback
A partire da Windows Server versione 1709, è possibile configurare un set aggiuntivo di URL del servizio Sorveglianza host negli host Hyper-V da usare quando il servizio HGS primario non risponde. In questo modo è possibile eseguire un cluster HGS locale usato come server primario per ottenere prestazioni migliori con la possibilità di eseguire il fallback al servizio HGS del data center aziendale se i server locali sono inattivi.
Per usare l'opzione di fallback, è necessario configurare due server HGS. Possono eseguire Windows Server 2019 o Windows Server 2016 e far parte degli stessi cluster o diversi. Se sono cluster diversi, è necessario stabilire procedure operative per garantire che i criteri di attestazione siano sincronizzati tra i due server. Entrambi devono essere in grado di autorizzare correttamente l'host Hyper-V per eseguire macchine virtuali schermate e avere il materiale della chiave necessario per avviare le macchine virtuali schermate. È possibile scegliere di avere una coppia di certificati di crittografia e firma condivisi tra i due cluster oppure di usare certificati separati e configurare la macchina virtuale schermata HGS per autorizzare entrambi i guardiani (coppie di certificati di crittografia/firma) nel file di dati di schermatura.
Aggiornare quindi gli host Hyper-V a Windows Server versione 1709 o Windows Server 2019 ed eseguire il comando seguente:
# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Per annullare la configurazione di un server di fallback, è sufficiente omettere entrambi i parametri di fallback:
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'
Affinché l'host Hyper-V passi l'attestazione con i server primario e di fallback, è necessario assicurarsi che le informazioni di attestazione siano aggiornate con entrambi i cluster HGS. Inoltre, i certificati usati per decrittografare il TPM della macchina virtuale devono essere disponibili in entrambi i cluster HGS. È possibile configurare ogni HGS con certificati diversi e configurare la macchina virtuale in modo che consideri attendibile entrambi o aggiungere un set condiviso di certificati a entrambi i cluster HGS.
Per altre informazioni sulla configurazione di HGS in una succursale tramite URL di fallback, vedere il post di blog Supporto migliorato per le succursali schermate in Windows Server, versione 1709.
Modalità offline
La modalità offline consente alla macchina virtuale schermata di attivare quando non è possibile raggiungere HGS, purché la configurazione di sicurezza dell'host Hyper-V non sia stata modificata. La modalità offline funziona memorizzando nella cache una versione speciale della protezione con chiave TPM della macchina virtuale nell'host Hyper-V. La protezione con chiave viene crittografata nella configurazione di sicurezza corrente dell'host (usando la chiave di identità di sicurezza basata su virtualizzazione). Se l'host non è in grado di comunicare con HGS e la relativa configurazione di sicurezza non è stata modificata, sarà possibile usare la protezione con chiave memorizzata nella cache per avviare la macchina virtuale schermata. Quando le impostazioni di sicurezza cambiano nel sistema, ad esempio un nuovo criterio di integrità del codice applicato o l'avvio protetto viene disabilitato, le protezioni con chiave memorizzate nella cache verranno invalidate e l'host dovrà attestare con un HGS prima che tutte le macchine virtuali schermate possano essere riavviate offline.
La modalità offline richiede la build Insider Preview 17609 o successiva sia per il cluster del servizio Sorveglianza host che per l'host Hyper-V. È controllato da un criterio in HGS, che è disabilitato per impostazione predefinita. Per abilitare il supporto per la modalità offline, eseguire il comando seguente in un nodo HGS:
Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true
Poiché le protezioni con chiave memorizzabili nella cache sono univoche per ogni macchina virtuale schermata, sarà necessario arrestare completamente (non riavviare) e avviare le macchine virtuali schermate per ottenere una protezione con chiave memorizzabile nella cache dopo l'abilitazione di questa impostazione in HGS. Se la macchina virtuale schermata esegue la migrazione a un host Hyper-V che esegue una versione precedente di Windows Server o ottiene una nuova protezione con chiave da una versione precedente di HGS, non sarà in grado di avviarsi in modalità offline, ma può continuare l'esecuzione in modalità online quando è disponibile l'accesso a HGS.