Condividi tramite

Eseguire l'aggiornamento di un'infrastruttura sorvegliata a Windows Server 2019

Questo articolo descrive i passaggi necessari per aggiornare un'infrastruttura sorvegliata esistente da Windows Server 2016, Windows Server versione 1709 o Windows Server versione 1803 a Windows Server 2019.

Novità di Windows Server 2019

Quando si esegue un'infrastruttura sorvegliata in Windows Server 2019, è possibile sfruttare diverse nuove funzionalità:

Attestazione della chiave host è la modalità di attestazione più recente, progettata per semplificare l'esecuzione di macchine virtuali schermate quando gli host Hyper-V non hanno dispositivi TPM 2.0 disponibili per l'attestazione TPM. Attestazione della chiave host usa coppie di chiavi per autenticare gli host con HGS, rimuovendo il requisito dell'aggiunta di host a un dominio di Active Directory, eliminando il trust di Active Directory tra HGS e la foresta aziendale e riducendo il numero di porte del firewall aperte. Attestazione della chiave host sostituisce l'attestazione di Active Directory, deprecata in Windows Server 2019.

Versione di attestazione V2: per supportare Attestazione della chiave host e le nuove funzionalità in futuro, è stato introdotto il controllo versioni in HGS. Una nuova installazione di HGS in Windows Server 2019 comporterà l'uso dell'attestazione v2 nel server, il che significa che può supportare Attestazione della chiave host per gli host Windows Server 2019 e supportare ancora host v1 in Windows Server 2016. Gli aggiornamenti sul posto alla versione 2019 rimarranno nella versione v1 fino a quando non si abilita manualmente la versione v2. La maggior parte dei cmdlet ha ora un parametro -HgsVersion che consente di specificare se si vogliono usare criteri di attestazione legacy o moderni.

Supporto per macchine virtuali schermate Linux: gli host Hyper-V che eseguono Windows Server 2019 possono eseguire macchine virtuali schermate Linux. Anche se le macchine virtuali schermate Linux sono state operative a partire da Windows Server versione 1709, Windows Server 2019 è la prima versione con canale di manutenzione nel lungo periodo che possa supportarle.

Miglioramenti di succursale: è stata semplificata l'esecuzione di macchine virtuali schermate nelle succursali con supporto per le macchine virtuali schermate offline e le configurazioni di fallback negli host Hyper-V.

Associazione host TPM: per i carichi di lavoro più sicuri, in cui si vuole che una macchina virtuale schermata venga eseguita solo nel primo host in cui è stata creata, ma non in un altro, è ora possibile associare la macchina virtuale a tale host usando il TPM dell'host. Questa opzione viene usata in modo ottimale per workstation e succursali con accesso con privilegi, anziché per i carichi di lavoro dei data center generali per cui è necessario eseguire la migrazione tra host.

Matrice di compatibilità

Prima di aggiornare l'infrastruttura sorvegliata a Windows Server 2019, esaminare la matrice di compatibilità seguente per verificare se la configurazione è supportata.

WS2016 HGS WS2019 HGS
WS2016 host Hyper-V Supportato Supportato1
WS2019 host Hyper-V Non supportato2 Supportato

1 Gli host Windows Server 2016 possono attestare solo i server HGS di Windows Server 2019 usando il protocollo di attestazione v1. Le nuove funzionalità disponibili esclusivamente nel protocollo di attestazione v2, compresa Attestazione della chiave host, non sono supportate per gli host Windows Server 2016.

2 Microsoft è a conoscenza di un problema che impedisce agli host Windows Server 2019 che usano l'attestazione TPM di attestarsi correttamente su un server HGS di Windows Server 2016. Questa limitazione verrà risolta in un aggiornamento futuro per Windows Server 2016.

Aggiornare HGS a Windows Server 2019

È consigliabile aggiornare il cluster HGS a Windows Server 2019 prima di aggiornare gli host Hyper-V per assicurarsi che tutti gli host, sia che eseguano Windows Server 2016 che 2019, possano continuare a eseguire correttamente l'attestazione.

L'aggiornamento del cluster HGS richiederà la rimozione temporanea dal cluster di un nodo alla volta durante l'aggiornamento. In questo modo si ridurrà la capacità del cluster di rispondere alle richieste dagli host Hyper-V e potrebbero verificarsi tempi di risposta lenti o interruzioni del servizio per i tenant. Assicurarsi di avere una capacità sufficiente per gestire le richieste di attestazione e rilascio delle chiavi prima di aggiornare un server HGS.

Per aggiornare il cluster HGS, seguire questa procedura in ogni nodo del cluster, un nodo alla volta:

  1. Rimuovere il server HGS dal cluster eseguendo Clear-HgsServer in un prompt PowerShell con privilegi elevati. Questo cmdlet rimuoverà l'archivio replicato HGS, i siti Web HGS e il nodo dal cluster di failover.
  2. Se il server HGS è un controller di dominio (configurazione predefinita), sarà necessario eseguire adprep /forestprep e adprep /domainprep nel primo nodo da aggiornare per preparare il dominio per un aggiornamento del sistema operativo. Per altre informazioni, vedere Documentazione sull'aggiornamento dei Servizi di dominio Active Directory.
  3. Eseguire un aggiornamento sul posto a Windows Servern 2019.
  4. Eseguire Initialize-HgsServer per aggiungere nuovamente il nodo al cluster.

Dopo che tutti i nodi sono stati aggiornati a Windows Server 2019, è possibile aggiornare facoltativamente la versione HGS alla versione v2 affinché supporti nuove funzionalità, ad esempio Attestazione della chiave host.

Set-HgsServerVersion  v2

Aggiornare gli host Hyper-V a Windows Server 2019

Prima di aggiornare gli host Hyper-V a Windows Server 2019, assicurarsi che il cluster HGS sia già stato aggiornato a Windows Server 2019 e che tutte le macchine virtuali siano state spostate dal server Hyper-V.

  1. Se si usano i criteri di integrità del codice di controllo delle applicazioni di Windows Defender nel server (sempre nel caso in cui si usi l'attestazione TPM), assicurarsi che il criterio sia in modalità di controllo o disabilitato prima di tentare di aggiornare il server. Informazioni su come disabilitare un criterio WDAC
  2. Seguire le indicazioni del Contenuto di aggiornamento di Windows Server per aggiornare l'host a Windows Server 2019. Se l'host Hyper-V fa parte di un cluster di failover, è consigliabile usare un aggiornamento in sequenza del sistema operativo del cluster.
  3. Testare e riabilitare i criteri di controllo delle applicazioni di Windows Defender, se ne è stata abilitata una prima dell'aggiornamento.
  4. Eseguire Get-HgsClientConfiguration per verificare se IsHostGuarded = True, ovvero se l'host sta passando correttamente l'attestazione con il server HGS.
  5. Se si usa l'attestazione TPM, potrebbe essere necessario acquisire nuovamente i criteri iniziali o di integrità del codice TPM dopo l'aggiornamento per passare l'attestazione.
  6. Avviare di nuovo l'esecuzione di macchine virtuali schermate nell'host.

Passare ad Attestazione della chiave host

Seguire questa procedura se si esegue l'attestazione basata su Active Directory e si vuole eseguire l'aggiornamento ad Attestazione della chiave host. Si noti che l'attestazione basata su Active Directory è deprecata in Windows Server 2019 e potrebbe essere rimossa in una versione futura.

  1. Verificare che il server HGS funzioni in modalità di attestazione v2 eseguendo il comando seguente. Gli host v1 esistenti continueranno ad attestare anche quando il server HGS viene aggiornato alla versione v2.

    Set-HgsServerVersion v2

  2. Generare chiavi host da ognuno degli host Hyper-V e registrarli con HGS. Poiché HGS è ancora operativo in modalità Active Directory, si riceverà un avviso che indica che le nuove chiavi host non sono immediatamente effettive. Questa operazione è intenzionale, perché non si vuole passare alla modalità chiave host finché tutti gli host non possono attestare correttamente con le chiavi host.

  3. Dopo aver registrato le chiavi host per ogni host, è possibile configurare HGS per l'uso della modalità di attestazione della chiave host:

    Set-HgsServer -TrustHostKey

    Se si verificano problemi con la modalità chiave host ed è necessario ripristinare l'attestazione basata su Active Directory, eseguire il comando seguente in HGS:

    Set-HgsServer -TrustActiveDirectory