Implementare una macchina virtuale schermata
L'amministratore di Windows Server deve analizzare e assicurarsi di comprendere i passaggi necessari per creare e distribuire una macchina virtuale schermata.
Implementare macchine virtuali schermate
Di seguito sono riportati i passaggi generali necessari per l'implementazione di macchine virtuali schermate. I passaggi includono alcuni passaggi correlati a VMM.
Attività 1: Installare e configurare HGS
Verificare i prerequisiti di HGS e preparare l'ambiente per la distribuzione di HGS:
Assicurarsi che l'hardware e il sistema operativo soddisfino i requisiti dei prerequisiti HGS, notando che:
- HGS può essere eseguito in macchine fisiche o virtuali, ma sono consigliate macchine fisiche.
- Se si vuole eseguire HGS come cluster fisico a 3 nodi, è necessario disporre di 3 server fisici.
- Requisiti di attestazione:
- L'attestazione della chiave host richiede il funzionamento di Windows Server 2019 Standard o Datacenter Edition per l'attestazione v2.
- L'attestazione basata su TPM richiede Windows Server 2019 o Windows Server 2016, Standard o Datacenter Edition.
Installare i ruoli del server HGS appropriati e configurare il dominio di infrastruttura (host) per consentire l'inoltro DNS tra il dominio di infrastruttura e il dominio HGS.
Annotazioni
Quando si distribuisce HGS verrà richiesto di fornire i certificati di firma e crittografia che vengono usati per proteggere le informazioni riservate necessarie per avviare una macchina virtuale schermata. È consigliabile usare un'autorità di certificazione attendibile per ottenere questi due certificati; Tuttavia, è possibile usare certificati autofirmato. Questi due certificati rimangono sempre nell'host HGS.
Configurare il primo nodo HGS:
- Scegliere se installare HGS nella propria foresta di Active Directory Domain Services dedicata o in una foresta Bastion esistente.
Configurare nodi HGS aggiuntivi in base all'ambiente:
Ogni nodo HGS richiederà l'accesso agli stessi certificati di firma e crittografia. Gestirli scegliendo una delle due opzioni seguenti:
- Esportare i certificati in un file PFX con una password e consentire a HGS di gestire automaticamente i certificati.
- Installare i certificati nell'archivio certificati del computer locale su ogni nodo HGS e fornire l'impronta digitale del certificato a HGS.
Entrambe le opzioni sono valide, ma richiedono passaggi leggermente diversi durante l'aggiunta di un nodo.
Aggiungere altri nodi usando uno dei due scenari seguenti:
Aggiungere nodi HGS a una nuova foresta HGS dedicata.
Per aggiungere nodi HGS a una nuova foresta HGS dedicata con certificati PFX (Personal Information Exchange):
- Alzare di livello il nodo HGS a un controller di dominio.
- Inizializzare il server HGS.
Per aggiungere nodi HGS a una nuova foresta dedicata HGS con impronte digitali del certificato:
- Alzare di livello il nodo HGS a un controller di dominio.
- Inizializzare il server HGS.
- Installare le chiavi private per i certificati.
Aggiungere nodi HGS a una foresta di bastion esistente.
Per aggiungere nodi HGS a una foresta bastion esistente con certificati PFX:
- Aggiungere il nodo al dominio esistente.
- Concedere i diritti della macchina per recuperare la password di un account del servizio gestito (MSA) ed eseguire
Install-ADServiceAccount. - Inizializzare il server HGS.
Per aggiungere nodi HGS a una foresta Bastion esistente con identificazioni personali del certificato:
- Aggiungere il nodo al dominio esistente.
- Concedere i diritti alla macchina per recuperare una password MSA ed eseguire
Install-ADServiceAccount. - Inizializzare il server HGS.
- Installare le chiavi private per i certificati.
Annotazioni
HGS usa un account del servizio gestito del gruppo (gMSA) come identità dell'account per recuperare e usare i certificati in più nodi.
Importante
Negli ambienti di produzione, HGS deve essere configurato in un cluster a disponibilità elevata per assicurare che le macchine virtuali schermate possano essere avviate anche se un nodo HGS diventa inattivo.
Configurare il DNS dell'infrastruttura per consentire agli host sorvegliati di risolvere il cluster HGS.
Verificare i prerequisiti per l'attestazione negli host:
- Esaminare i prerequisiti dell'host per la modalità di attestazione scelta: TPM, Chiave, o Modalità Admin.
- Aggiungere gli host a HGS.
Creare una chiave host (modalità chiave) o raccogliere informazioni sull'host (modalità TPM):
Per preparare gli host Hyper-V perché diventino host sorvegliati tramite l'attestazione chiave host (modalità chiave), creare una coppia di chiavi host (o usare un certificato esistente), quindi aggiungere la metà pubblica della chiave a HGS.
Per preparare gli host Hyper-V a diventare host sorvegliati usando l'attestazione in modalità TPM (modalità chiave), acquisire l'identificatore TPM degli host (chiave di verifica dell'autenticità), la baseline TPM e i criteri CI.
Aggiungere chiavi host (modalità chiave) o informazioni TPM (modalità TPM) alla configurazione HGS.
Verificare che HGS attesti gli host come host sorvegliati.
(Facoltativo) Configurare l'infrastruttura di calcolo VMM per la distribuzione e la gestione di Hyper-V host sorvegliati e macchine virtuali schermate.
Attività 2: Preparare un file .vhdx del sistema operativo
Preparare un disco del sistema operativo (file con estensione vhdx) usando una delle opzioni seguenti:
- Usare Hyper-V, Windows PowerShell o l'utilità DiSM (Microsoft Desktop Image Service Manager).
- Configurare manualmente una macchina virtuale con un file con estensione vhdx vuoto e installare il sistema operativo su tale disco.
Installare gli aggiornamenti più recenti sul disco del sistema operativo eseguendo Windows Update.
Attività 3: Creare un disco modello di macchina virtuale schermato in VMM
Preparare e proteggere il file con estensione VHDX usando la Creazione guidata disco modello schermato.
- Per usare un disco modello con macchine virtuali schermate, è necessario preparare il disco e crittografarlo con BitLocker usando la Creazione guidata disco modello schermata.
Copiare il disco modello nella libreria VMM.
- Se si usa VMM, dopo aver creato un disco modello, copiarlo in una condivisione di libreria VMM in modo che gli host possano scaricare e usare il disco durante il provisioning di nuove macchine virtuali schermate.
Attività 4: Creare il file di dati di protezione
Preparare la creazione del file di dati di schermatura (PDK):
- Ottenere un certificato per la Connessione Desktop Remoto.
- Creare un file di risposte.
- Ottenere il file del catalogo delle firme del volume.
- Impostare le infrastrutture attendibili.
Creare il file di dati di schermatura.
Aggiungere sorveglianti autorizzati all'uso del file di dati di schermatura.
Attività 5: Distribuire una macchina virtuale schermata
Distribuire una macchina virtuale schermata usando Windows Azure Pack o VMM:
- Caricare il file di dati di schermatura in base ai requisiti per il metodo di distribuzione scelto, ad esempio Windows Azure Pack o VMM.
- Effettuare il provisioning di una nuova macchina virtuale schermata.
Attività 6: Avviare una macchina virtuale schermata
Il processo per avviare una macchina virtuale schermata è il seguente:
Un utente richiede di avviare la macchina virtuale schermata.
Il servizio di attestazione HGS convalida le credenziali dell'host sorvegliato e invia un certificato di attestazione all'host sorvegliato.
L'host sorvegliato invia il certificato di attestazione e l'indicatore KPI al KPS e richiede una chiave per sbloccare la macchina virtuale schermata.
KPS determina la validità di un certificato di attestazione, decrittografa il KP, recupera la chiave per sbloccare la macchina virtuale protetta e invia la chiave all'host protetto.
L'host sorvegliato usa la chiave per sbloccare e avviare la macchina virtuale schermata.
Annotazioni
Strumenti di amministrazione remota del server > Strumenti VM schermata include la Creazione guidata disco modello schermato accessibile dal menu Strumenti in Server Manager.