ใช้เครื่องเสมือนแบบป้องกัน

  • 12 นาที

ในฐานะผู้ดูแลระบบ Windows Server คุณจําเป็นต้องตรวจสอบและตรวจสอบให้แน่ใจว่าคุณเข้าใจขั้นตอนที่เกี่ยวข้องในการสร้างและปรับใช้ VM แบบป้องกัน

ใช้เกราะป้องกัน VM

ขั้นตอนต่อไปนี้เป็นขั้นตอนระดับสูงที่จําเป็นสําหรับการใช้เครื่องเสมือนแบบป้องกัน ขั้นตอนดังกล่าวรวมถึงขั้นตอนบางอย่างที่เกี่ยวข้องกับ VMM

งานที่ 1: ติดตั้งและกําหนดค่า HGS

  1. ตรวจสอบข้อกําหนดเบื้องต้นของ HGS และเตรียมสภาพแวดล้อมของคุณสําหรับการปรับใช้ HGS:

    1. ตรวจสอบให้แน่ใจว่าฮาร์ดแวร์และระบบปฏิบัติการของคุณตรงตามข้อกําหนดเบื้องต้นของ HGS โดยสังเกตว่า:

      • สามารถเรียกใช้ HGS บนเครื่องจริงหรือเครื่องเสมือนได้ แต่ขอแนะนําให้ใช้เครื่องจริง
      • ถ้าคุณต้องการเรียกใช้ HGS เป็นคลัสเตอร์จริง 3 โหนด คุณต้องมีเซิร์ฟเวอร์จริง 3 ตัว
      • ข้อกําหนดของการตรวจสอบ:
        • การรับรองคีย์โฮสต์จําเป็นต้องใช้ Windows Server 2019 รุ่นมาตรฐานหรือศูนย์ข้อมูลที่ทํางานสําหรับการรับรอง v2
        • การรับรองที่ใช้ TPM จําเป็นต้องใช้ Windows Server 2019 หรือ Windows Server 2016 รุ่น Standard หรือ Datacenter

    2. ติดตั้งบทบาทเซิร์ฟเวอร์ HGS ที่เหมาะสมและกําหนดค่าโดเมนแฟบริค (โฮสต์) ของคุณเพื่ออนุญาตให้มีการส่งต่อ DNS ระหว่างโดเมนแฟบริคและโดเมน HGS

    หมายเหตุ

    เมื่อคุณปรับใช้ HGS คุณจะถูกขอให้ระบุใบรับรองการลงชื่อและการเข้ารหัสลับที่ใช้เพื่อปกป้องข้อมูลที่สําคัญที่จําเป็นในการเริ่มต้น VM แบบป้องกัน คุณควรใช้ผู้ออกใบรับรองที่เชื่อถือได้เพื่อรับใบรับรองสองรายการนี้ อย่างไรก็ตาม คุณสามารถใช้ใบรับรองแบบลงนามด้วยตนเองได้ ใบรับรองสองรายการเหล่านี้จะยังคงอยู่บนโฮสต์ HGS เสมอ

  2. กําหนดค่าโหนด HGS แรก:

    • เลือกว่าจะติดตั้ง HGS ในฟอเรสต์ AD DS เฉพาะของตัวเองหรือในป่าเบสท์ที่มีอยู่

  3. กําหนดค่าโหนด HGS เพิ่มเติมตามสภาพแวดล้อมของคุณ:

    1. โหนด HGS ทุกโหนดจะต้องเข้าถึงใบรับรองการลงชื่อและการเข้ารหัสเดียวกัน จัดการโดยเลือกหนึ่งในสองตัวเลือกต่อไปนี้:

      • ส่งออกใบรับรองของคุณไปยังไฟล์ PFX ด้วยรหัสผ่านและอนุญาตให้ HGS จัดการใบรับรองให้คุณ
      • ติดตั้งใบรับรองลงในที่เก็บใบรับรองของเครื่องภายในของแต่ละโหนด HGS และใส่รหัสประจําตัวไปยัง HGS

      ตัวเลือกใดตัวเลือกหนึ่งถูกต้อง แต่จะต้องใช้ขั้นตอนที่แตกต่างกันเล็กน้อยในระหว่างการเพิ่มโหนด

    2. เพิ่มโหนดเพิ่มเติมโดยใช้หนึ่งในสองสถานการณ์ต่อไปนี้:

      • เพิ่มโหนด HGS ไปยังฟอเรสต์ HGS ที่จัดสรรเฉพาะใหม่

        • ในการเพิ่มโหนด HGS ไปยังฟอเรสต์ HGS เฉพาะใหม่ที่มีใบรับรอง Personal Information Exchange (PFX):

          1. เลื่อนระดับโหนด HGS ไปยังตัวควบคุมโดเมน
          2. เตรียมใช้งานเซิร์ฟเวอร์ HGS

        • หากต้องการเพิ่มโหนด HGS ไปยังฟอเรสต์ HGS เฉพาะใหม่ด้วยรหัสประจําตัวใบรับรอง:

          1. เลื่อนระดับโหนด HGS ไปยังตัวควบคุมโดเมน
          2. เตรียมใช้งานเซิร์ฟเวอร์ HGS
          3. ติดตั้งคีย์ส่วนตัวสําหรับใบรับรอง

      • เพิ่มโหนด HGS ไปยังป่าเบสท์ที่มีอยู่

        • หากต้องการเพิ่มโหนด HGS ไปยังฟอเรสต์เบสฟอเรสต์ที่มีอยู่พร้อมใบรับรอง PFX:

          1. รวมโหนดไปยังโดเมนที่มีอยู่
          2. ให้สิทธิ์เครื่องเพื่อรับรหัสผ่านบัญชีบริการที่มีการจัดการ (MSA) และเรียกใช้Install-ADServiceAccount
          3. เตรียมใช้งานเซิร์ฟเวอร์ HGS

        • หากต้องการเพิ่มโหนด HGS ไปยังฟอเรสต์เบสฟอเรสต์ที่มีอยู่ด้วยรหัสประจําตัวใบรับรอง:

          1. รวมโหนดไปยังโดเมนที่มีอยู่
          2. ให้สิทธิ์เครื่องเพื่อดึงรหัสผ่าน MSA และเรียกใช้Install-ADServiceAccount
          3. เตรียมใช้งานเซิร์ฟเวอร์ HGS
          4. ติดตั้งคีย์ส่วนตัวสําหรับใบรับรอง

    หมายเหตุ

    HGS ใช้กลุ่มจัดการบัญชีบริการ (gMSA) เป็นข้อมูลประจําตัวของบัญชีเพื่อดึงและใช้ใบรับรองในหลายโหนด

    สําคัญ

    ในสภาพแวดล้อมการผลิต HGS ควรได้รับการตั้งค่าในคลัสเตอร์ความพร้อมใช้งานสูงเพื่อให้แน่ใจว่าเครื่องเสมือนที่ถูกป้องกันสามารถขับเคลื่อนได้แม้ว่าโหนด HGS จะล้มลงก็ตาม

  4. กําหนดค่า DNS ของแฟบริคเพื่อให้โฮสต์ที่ได้รับการปกป้องสามารถแก้ไขคลัสเตอร์ HGS ได้

  5. ตรวจสอบข้อกําหนดเบื้องต้นสําหรับการรับรองความถูกต้องบนโฮสต์:

    1. ตรวจทานข้อกําหนดเบื้องต้นของโฮสต์สําหรับโหมดการรับรองความถูกต้องที่คุณได้เลือก: TPM, Key หรือโหมดผู้ดูแลระบบ
    2. เพิ่มโฮสต์ไปยัง HGS

  6. สร้างคีย์โฮสต์ (โหมดคีย์) หรือรวบรวมข้อมูลโฮสต์ (โหมด TPM):

    • ในการเตรียม Hyper-V โฮสต์ที่จะได้รับการปกป้องโดยใช้การรับรองคีย์โฮสต์ (โหมดคีย์) ให้สร้างคู่คีย์โฮสต์ (หรือใช้ใบรับรองที่มีอยู่) จากนั้นเพิ่มคีย์ครึ่งสาธารณะไปยัง HGS

    • ในการเตรียม Hyper-V โฮสต์ที่ได้รับการปกป้องโดยใช้การรับรองโหมด TPM (โหมดคีย์) ให้จับตัวระบุ TPM ของโฮสต์ (คีย์การรับรอง), ข้อมูลพื้นฐาน TPM และนโยบาย CI

  7. เพิ่มคีย์โฮสต์ (โหมดคีย์) หรือข้อมูล TPM (โหมด TPM) ไปยังการกําหนดค่า HGS

  8. ยืนยันว่า HGS รับรองไปยังโฮสต์ในฐานะผู้โฮสต์ที่ได้รับการป้องกัน

  9. (ไม่บังคับ) กําหนดค่าผ้าคํานวณ VMM สําหรับการปรับใช้ และการจัดการ Hyper-V โฮสต์ที่ได้รับการป้องกันและป้องกัน VM

แบบเอกสารที่ 2: เตรียมไฟล์ OS .vhdx

  1. เตรียมดิสก์ระบบปฏิบัติการ (ไฟล์.vhdx) โดยใช้หนึ่งในตัวเลือกต่อไปนี้:

    • ใช้โปรแกรมอรรถประโยชน์ Hyper V, Windows PowerShell หรือ Microsoft Desktop Image Service Manager (DISM)
    • ตั้งค่าเครื่องเสมือนด้วยไฟล์ .vhdx ว่างและติดตั้งระบบปฏิบัติการลงในดิสก์นั้นด้วยตนเอง

  2. ติดตั้งการอัปเดตล่าสุดบนดิสก์ระบบปฏิบัติการโดยการเรียกใช้ Windows Update

งานที่ 3: สร้างดิสก์เทมเพลต VM แบบป้องกันใน VMM

  1. เตรียมและปกป้องไฟล์ .vhdx โดยใช้ตัวช่วยสร้างการสร้างดิสก์เทมเพลตแบบป้องกัน

    • เมื่อต้องการใช้ดิสก์แม่แบบที่มีเกราะป้องกัน VM คุณต้องเตรียมดิสก์และเข้ารหัสลับด้วย BitLocker โดยใช้ตัวช่วยสร้างการสร้างดิสก์เทมเพลตแบบป้องกัน

  2. คัดลอกดิสก์เทมเพลตไปยังไลบรารี VMM

    • หากคุณใช้ VMM หลังจากที่คุณสร้างดิสก์เทมเพลตให้คัดลอกไปยังไลบรารี VMM ที่ใช้ร่วมกันเพื่อให้โฮสต์สามารถดาวน์โหลดและใช้ดิสก์เมื่อจัดเตรียม VM แบบป้องกันใหม่

งานที่ 4: สร้างไฟล์ข้อมูลการป้องกัน

  1. เตรียมสร้างไฟล์ข้อมูลการป้องกัน (PDK):

    1. ขอรับใบรับรองสําหรับ 'การเชื่อมต่อเดสก์ท็อประยะไกล'
    2. สร้างไฟล์คําตอบ
    3. รับแฟ้มแค็ตตาล็อกลายเซ็นไดรฟ์ข้อมูล
    4. ตั้งค่าผ้าที่เชื่อถือได้

  2. สร้างไฟล์ข้อมูลการป้องกัน

  3. เพิ่มผู้ปกครองที่ได้รับอนุญาตให้ใช้ไฟล์ข้อมูลการป้องกัน

งานที่ 5: ปรับใช้เครื่องเสมือนแบบป้องกัน

  1. ปรับใช้ VM แบบป้องกันโดยใช้ Windows Azure Pack หรือ VMM:

    1. อัปโหลดไฟล์ข้อมูลการป้องกันตามข้อกําหนดสําหรับวิธีการปรับใช้ที่คุณเลือก เช่น Windows Azure Pack หรือ VMM
    2. เตรียมใช้เครื่องเสมือนแบบป้องกันใหม่

งานที่ 6: สตาร์ทเครื่องเสมือนแบบป้องกัน

กระบวนการในการเริ่มต้นเครื่องเสมือนแบบป้องกันมีดังนี้:

  1. ผู้ใช้ร้องขอให้เริ่มต้นเครื่องเสมือนที่ถูกป้องกัน

  2. บริการการรับรอง HGS จะตรวจสอบข้อมูลประจําตัวของโฮสต์ที่ถูกปกป้องและส่งใบรับรองการรับรองความถูกต้องไปยังโฮสต์ที่ได้รับการปกป้อง

  3. โฮสต์ที่ได้รับการปกป้องจะส่งใบรับรองการรับรองและ KP ไปยัง KPS และร้องขอกุญแจเพื่อปลดล็อกเครื่องเสมือนที่ถูกป้องกัน

  4. KPS จะกําหนดความถูกต้องของใบรับรองการรับรอง ถอดรหัส KP ดึงคีย์สําหรับการปลดล็อก VM ที่ถูกป้องกันและส่งคีย์ไปยังโฮสต์ที่ได้รับการปกป้อง

  5. โฮสต์ที่ป้องกันใช้คีย์เพื่อปลดล็อกและเริ่มต้น VM แบบป้องกัน

    หมายเหตุ

    เครื่องมือ > การดูแลเซิร์ฟเวอร์ระยะไกล เครื่องมือป้องกันเครื่องเสมือน มี ตัวช่วยสร้างการสร้างดิสก์เทมเพลตแบบป้องกันซึ่งสามารถเข้าถึงได้จากเมนู เครื่องมือ ในตัวจัดการเซิร์ฟเวอร์