Implementarea unui VM ecranat

  • 12 minute

În calitate de administrator Windows Server, trebuie să investigați și să vă asigurați că înțelegeți pașii implicați în crearea și implementarea unui VM ecranat.

Implementați mașini virtuale ecranate

Iată pașii de nivel înalt necesari pentru implementarea mașinilor virtuale ecranate. Pașii includ câțiva pași asociați cu VMM.

Activitatea 1: Instalați și configurați HGS

  1. Verificați cerințele preliminare HGS și pregătiți mediul pentru implementarea HGS:

    1. Asigurați-vă că hardware-ul și sistemul de operare îndeplinesc cerințele preliminare HGS, notând că:

      • HGS poate rula pe mașini fizice sau virtuale, dar sunt recomandate mașini fizice.
      • Dacă doriți să rulați HGS ca cluster fizic de 3 noduri, trebuie să aveți 3 servere fizice.
      • Cerințe de atestare:
        • Atestarea cheii gazdă necesită funcționarea ediției Windows Server 2019 Standard sau Datacenter pentru atestarea v2.
        • Atestarea bazată pe TPM necesită Ediția Windows Server 2019 sau Windows Server 2016, Standard sau Datacenter.

    2. Instalați rolurile de server HGS corespunzătoare și configurați domeniul tesatura (gazdă) pentru a permite redirecționarea DNS între domeniul fabric și domeniul HGS.

    Notă

    Atunci când implementați HGS, vi se va solicita să furnizați certificate de semnare și criptare care sunt utilizate pentru a proteja informațiile sensibile necesare pentru a porni un VM protejat. Se recomandă să utilizați o autoritate de certificare de încredere pentru a obține aceste două certificate; cu toate acestea, este posibil să utilizați certificate autosemnate. Aceste două certificate rămân întotdeauna pe gazda HGS.

  2. Configurați primul nod HGS:

    • Selectați dacă să instalați HGS în propria sa pădure AD DS dedicată sau într-o pădure bastion existentă.

  3. Configurați noduri HGS suplimentare în funcție de mediul dvs.:

    1. Fiecare nod HGS va necesita acces la aceleași certificate de semnare și criptare. Gestionați-le alegând una dintre următoarele două opțiuni:

      • Exportați certificatele într-un fișier PFX cu o parolă și permiteți HGS să gestioneze certificatele pentru dvs.
      • Instalați certificatele în depozitul de certificate al computerului local pe fiecare nod HGS și furnizați amprenta HGS.

      Oricare dintre opțiuni este validă, dar va necesita pași ușor diferiți în timpul adăugării unui nod.

    2. Adăugați noduri suplimentare utilizând unul dintre următoarele două scenarii posibile:

      • Adăugați noduri HGS la o pădure HGS nouă, dedicată.

        • Pentru a adăuga noduri HGS la o nouă pădure HGS dedicată, cu certificate PFX (Personal Information Exchange):

          1. Promovați nodul HGS la un controler de domeniu.
          2. Inițializați serverul HGS.

        • Pentru a adăuga noduri HGS la o nouă pădure HGS dedicată cu amprente de certificat:

          1. Promovați nodul HGS la un controler de domeniu.
          2. Inițializați serverul HGS.
          3. Instalați cheile private pentru certificate.

      • Adăugați noduri HGS la o pădure bastion existentă.

        • Pentru a adăuga noduri HGS la o pădure bastion existentă cu certificate PFX:

          1. Asociați nodul la domeniul existent.
          2. Acordați computerului drepturi de regăsire a unei parole pentru contul de serviciu gestionat (MSA) și rulați Install-ADServiceAccount.
          3. Inițializați serverul HGS.

        • Pentru a adăuga noduri HGS la o pădure bastion existentă cu amprente de certificat:

          1. Asociați nodul la domeniul existent.
          2. Acordați computerului drepturi de regăsire a unei parole MSA și rulați Install-ADServiceAccount.
          3. Inițializați serverul HGS.
          4. Instalați cheile private pentru certificate.

    Notă

    HGS utilizează un cont de serviciu gestionat de grup (gMSA) ca identitate de cont pentru a-și regăsi și utiliza certificatele pe mai multe noduri.

    Important

    În mediile de producție, HGS ar trebui să fie configurat într-un cluster cu disponibilitate ridicată, pentru a vă asigura că mașinile virtuale ecranate pot fi alimentate pe chiar dacă un nod HGS coboară.

  4. Configurați DNS-ul materialului pentru a permite gazdelor păzite să rezolve clusterul HGS.

  5. Verificați cerințele preliminare pentru atestarea gazdelor:

    1. Revizuiți cerințele preliminare ale gazdei pentru modul de atestare pe care l-ați ales: TPM, Cheie sau Mod administrator.
    2. Adăugați gazdele la HGS.

  6. Creați o cheie gazdă (modul cheie) sau colectați informații despre gazdă (modul TPM):

    • Pentru a pregăti gazdele Hyper-V să devină gazde păzite utilizând atestarea cheii gazdă (modul cheie), creați o pereche de chei gazdă (sau utilizați un certificat existent), apoi adăugați jumătatea publică a cheii la HGS.

    • Pentru a pregăti gazdele Hyper-V de a deveni gazde păzite utilizând atestarea modului TPM (modul cheie), capturați identificatorul TPM al gazdei (cheia ută), referința TPM și politica CI.

  7. Adăugați taste gazdă (mod cheie) sau informații TPM (modul TPM) la configurația HGS.

  8. Confirmați că HGS atestă gazdele ca gazde păzite.

  9. (Opțional) Configurați materialul VMM de calcul pentru implementarea și gestionarea gazdelor păzite și a gazdelor protejate Hyper-V.

Activitatea 2: Pregătirea unui fișier .vhdx de sistem de operare

  1. Pregătiți un disc de sistem de operare (fișier.vhdx) utilizând una dintre următoarele opțiuni:

    • Utilizați utilitarul Hyper-V, Windows PowerShell sau Microsoft Desktop Image Service Manager (DISM).
    • Configurați manual un VM cu un fișier .vhdx gol și instalați sistemul de operare pe acel disc.

  2. Instalați cele mai recente actualizări pe discul sistemului de operare, rulând Windows Update.

Activitatea 3: Crearea discului șablon VM ecranat în VMM

  1. Pregătiți și protejați fișierul .vhdx utilizând Expertul creare disc șablon ecranat.

    • Pentru a utiliza un disc șablon cu mașini virtuale ecranate, trebuie să pregătiți discul și să îl criptați cu BitLocker utilizând Expertul creare disc șablon ecranat.

  2. Copiați discul șablonului în Biblioteca VMM.

    • Dacă utilizați VMM, după ce creați un disc șablon, copiați-l într-o partajare de bibliotecă VMM, astfel încât gazdele să poată descărca și utiliza discul atunci când furnizați mașini virtuale ecranate noi.

Activitatea 4: Crearea fișierului de date de scutare

  1. Pregătiți-vă pentru a crea fișierul de protejare a datelor (PDK):

    1. Obțineți un certificat pentru Conexiune desktop la distanță.
    2. Creați un fișier de răspuns.
    3. Obțineți fișierul catalog de semnături de volum.
    4. Setați materiale de încredere.

  2. Creați fișierul de date de scutare.

  3. Adăugați gardieni autorizați să utilizeze fișierul de date de scutare.

Activitatea 5: Implementarea unei mașini virtuale ecranate

  1. Implementați o mașină virtuală ecranată utilizând Windows Azure Pack sau VMM:

    1. Încărcați fișierul de date de scutare în funcție de cerințele pentru metoda de implementare aleasă, cum ar fi Windows Azure Pack sau VMM.
    2. Furnizați o nouă vM ecranată.

Activitatea 6: Pornirea unei mașini virtuale ecranate

Procesul de pornire a unui VM ecranat este după cum urmează:

  1. Un utilizator solicită pornirea mașinii virtuale ecranate.

  2. Serviciul de atestare HGS validează acreditările gazdei păzite și trimite un certificat de atestare gazdei păzite.

  3. Gazda păzită își prezintă certificatul de atestare și KP la KPS și solicită o cheie pentru deblocarea VM-ului ecranat.

  4. KPS determină validitatea certificatului de atestare, decriptează KP-ul, regăsește cheia pentru deblocarea VM-ului protejat și trimite cheia gazdei păzite.

  5. Gazda păzită utilizează cheia pentru a debloca și a porni VM-ul ecranat.

    Notă

    Instrumente > de administrare server la distanță Instrumentele VM ecranate includ Expertul creare disc ecranat, care este accesibil din meniul Instrumente din Server Manager.