Implementera en avskärmad virtuell dator

  • 12 minuter

Som Windows Server-administratör måste du undersöka och se till att du förstår stegen för att skapa och distribuera en avskärmad virtuell dator.

Implementera avskärmade virtuella datorer

Följande är de övergripande steg som krävs för att implementera avskärmade virtuella datorer. Stegen innefattar några åtgärder som rör VMM.

Uppgift 1: Installera och konfigurera HGS

  1. Kontrollera HGS-kraven och förbered din miljö för HGS-distribution:

    1. Se till att maskinvaran och operativsystemet uppfyller kraven för HGS-kraven och notera att:

      • HGS kan köras på fysiska eller virtuella datorer, men fysiska datorer rekommenderas.
      • Om du vill köra HGS som ett fysiskt kluster med 3 noder måste du ha tre fysiska servrar.
      • Attesteringskrav:
        • Värdnyckelattestering kräver Windows Server 2019 Standard eller Datacenter edition som körs för v2-attestering.
        • TPM-baserad attestering kräver Windows Server 2019 eller Windows Server 2016, Standard eller Datacenter edition.

    2. Installera lämpliga HGS-serverroller och konfigurera infrastrukturresursdomänen (värd) så att DNS-vidarebefordran mellan infrastrukturdomänen och HGS-domänen tillåts.

    Anmärkning

    När du distribuerar HGS uppmanas du att tillhandahålla signerings- och krypteringscertifikat som används för att skydda den känsliga information som behövs för att starta en avskärmad virtuell dator. Vi rekommenderar att du använder en betrodd certifikatutfärdare för att hämta dessa två certifikat. Det är dock möjligt att använda självsignerade certifikat. Dessa två certifikat finns alltid kvar på HGS-värden.

  2. Konfigurera den första HGS-noden:

    • Välj om du vill installera HGS i en egen dedikerad AD DS-skog eller i en befintlig skyddsskog.

  3. Konfigurera ytterligare HGS-noder enligt din miljö:

    1. Varje HGS-nod kräver åtkomst till samma signerings- och krypteringscertifikat. Hantera dem genom att välja något av följande två alternativ:

      • Exportera dina certifikat till en PFX-fil med ett lösenord och låt HGS hantera certifikaten åt dig.
      • Installera certifikaten i den lokala datorns certifikatarkiv på varje HGS-nod och ange tumavtrycket till HGS.

      Båda alternativen är giltiga, men kräver något olika steg när en nod läggs till.

    2. Lägg till ytterligare noder med något av följande två möjliga scenarier:

      • Lägg till HGS-noder i en ny dedikerad HGS-skog.

        • Så här lägger du till HGS-noder i en ny dedikerad HGS-skog med PFX-certifikat (Personal Information Exchange):

          1. Flytta upp HGS-noden till en domänkontrollant.
          2. Initiera HGS-servern.

        • Så här lägger du till HGS-noder i en ny dedikerad HGS-skog med certifikattumavtryck:

          1. Flytta upp HGS-noden till en domänkontrollant.
          2. Initiera HGS-servern.
          3. Installera de privata nycklarna för certifikaten.

      • Lägg till HGS-noder i en befintlig skyddsskog.

        • Så här lägger du till HGS-noder i en befintlig skyddsskog med PFX-certifikat:

          1. Anslut noden till den befintliga domänen.
          2. Ge datorn behörighet att hämta ett MSA-lösenord (Managed Service Account) och köra Install-ADServiceAccount.
          3. Initiera HGS-servern.

        • För att lägga till HGS-noder i en befintlig skyddsskog med certifikatsfingeravtryck:

          1. Anslut noden till den befintliga domänen.
          2. Ge datorn behörighet att hämta ett MSA-lösenord och köra Install-ADServiceAccount.
          3. Initiera HGS-servern.
          4. Installera de privata nycklarna för certifikaten.

    Anmärkning

    HGS använder ett grupphanterat tjänstkonto (gMSA) som kontoidentitet för att hämta och använda sina certifikat över flera noder.

    Viktigt!

    I produktionsmiljöer bör HGS konfigureras i ett kluster med hög tillgänglighet för att säkerställa att avskärmade virtuella datorer kan aktiveras även om en HGS-nod slutar fungera.

  4. Konfigurera fabricens DNS så att skyddade värdar kan lösa HGS-klustret.

  5. Kontrollera förutsättningarna för attestering på värdarna:

    1. Granska värdförutsättningarna för attesteringsläget som du har valt: TPM, nyckel eller administratörsläge.
    2. Lägg till värdarna i HGS.

  6. Skapa en värdnyckel (nyckelläge) eller samla in värdinformation (TPM-läge):

    • Om du vill förbereda Hyper-V värdar för att bli skyddade värdar med värdnyckelattestering (nyckelläge) skapar du ett värdnyckelpar (eller använder ett befintligt certifikat) och lägger sedan till den offentliga hälften av nyckeln till HGS.

    • Om du vill förbereda Hyper-V värdar för att bli skyddade värdar med TPM-lägesattestering (nyckelläge) samlar du in värdarnas TPM-identifierare (bekräftelsenyckel), TPM-baslinje och CI-princip.

  7. Lägg till värdnycklar (nyckelläge) eller TPM-information (TPM-läge) i HGS-inställningarna.

  8. Bekräfta att HGS intygar värdarna som skyddade värdar.

  9. (Valfritt) Konfigurera VMM-beräkningsinfrastrukturen för att distribuera och hantera Hyper-V skyddade värdar och avskärmade virtuella datorer.

Uppgift 2: Förbereda en .vhdx-fil för operativsystem

  1. Förbered en OS-disk (.vhdx-fil) med något av följande alternativ:

    • Använd Hyper-V, Windows PowerShell eller verktyget Microsoft Desktop Image Service Manager (DISM).
    • Konfigurera en virtuell dator manuellt med en tom .vhdx-fil och installera operativsystemet på disken.

  2. Installera de senaste uppdateringarna på OS-disken genom att köra Windows Update.

Uppgift 3: Skapa avskärmad vm-malldisk i VMM

  1. Förbered och skydda .vhdx-filen med hjälp av guiden Skapa avskärmad malldisk.

    • Om du vill använda en malldisk med skärmade virtuella datorer måste du förbereda disken och kryptera den med BitLocker med hjälp av guiden Skapa avskärmad malldisk.

  2. Kopiera malldisken till VMM-biblioteket.

    • Om du använder VMM kopierar du den till en VMM-biblioteksresurs när du har skapat en malldisk så att värdarna kan ladda ned och använda disken när du etablerar nya avskärmade virtuella datorer.

Uppgift 4: Skapa avskärmningsdatafilen

  1. Förbered att skapa skyddsdatafilen (PDK):

    1. Skaffa ett certifikat för anslutning till fjärrskrivbord.
    2. Skapa en svarsfil.
    3. Hämta katalogfilen för volymsignaturen.
    4. Ange betrodda infrastrukturresurser.

  2. Skapa avskärmningsdatafilen.

  3. Lägg till skyddsvakter som har behörighet att använda avskärmningsdatafilen.

Uppgift 5: Distribuera en avskärmad virtuell dator

  1. Distribuera en avskärmad virtuell dator med hjälp av Windows Azure Pack eller VMM:

    1. Ladda upp avskärmningsdatafilen enligt kraven för den valda distributionsmetoden, till exempel Windows Azure Pack eller VMM.
    2. Etablera en ny avskärmad virtuell dator.

Uppgift 6: Starta en avskärmad virtuell dator

Processen för att starta en skärmad virtuell dator är följande:

  1. En användare begär att starta den avskärmade virtuella datorn.

  2. HGS-attesteringstjänsten validerar den skyddade värdens autentiseringsuppgifter och skickar ett attesteringscertifikat till den skyddade värden.

  3. Den skyddade hosten skickar sitt attesteringscertifikat och KP till KPS och begär en nyckel för att låsa upp en avskärmad virtuell dator.

  4. KPS avgör giltigheten för ett attesteringscertifikat, dekrypterar nyckelparet (KP), hämtar nyckeln för att låsa upp den avskärmade virtuella datorn och skickar nyckeln till den skyddade värddatorn.

  5. Den skyddade värden använder nyckeln för att låsa upp och starta den avskärmade virtuella datorn.

    Anmärkning

    Verktyg > för fjärrserveradministration Avskärmade verktyg för virtuella datorer innehåller guiden Skapa avskärmad malldisk, som är tillgänglig från menyn Verktyg i Serverhanteraren.