分公司考量

  • 發行項

適用於︰Windows Server 2022、Windows Server 2019

本文說明在分公司和其他遠端案例 (Hyper-V 主機對 HGS 的連線可能會有一段時間受到限制) 中執行受防護虛擬機器的最佳做法。

後援設定

從 Windows Server 1709 版開始,您可以在 Hyper-V 主機上設定一組額外的主機守護者服務 URL,以在主要 HGS 沒有回應時使用。 這可讓您執行用作主要伺服器的本機 HGS 叢集,而得以在本機伺服器關閉時回復到公司資料中心的 HGS,藉以提升效能。

若要使用後援選項,您必須設定兩部 HGS 伺服器。 兩者可以執行 Windows Server 2019 或 Windows Server 2016,並且可屬於相同或不同的叢集。 如果是不同的叢集,您可以建立操作實務,以確保兩部伺服器之間的證明原則會同步。 兩者都必須能夠正確地授權給 Hyper-V 主機執行受防護的 VM,並具備啟動受防護的 VM 所需的金鑰資料。 您可以選擇在兩個叢集之間使用一對共用的加密和簽署憑證,或選擇使用個別的憑證,並在防護資料檔案中設定 HGS 受防護 VM,為兩個守護者 (加密/簽署憑證配對) 授權。

然後,將 Hyper-V 主機升級至 Windows Server 1709 版或 Windows Server 2019,並執行下列命令:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

若要取消設定後援伺服器,只要省略兩個後援參數即可:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

為了讓 Hyper-V 主機通過主要和後援伺服器的證明,您必須確定您的證明資訊在兩個 HGS 叢集內都是最新的。 此外,用來將虛擬機器的 TPM 解密的憑證,在這兩個 HGS 叢集中都必須可供使用。 您可以使用不同的憑證來設定每個 HGS,並將 VM 設定為信任兩者,或將一組共用的憑證新增至兩個 HGS 叢集。

如需使用後援 URL 在分公司中設定 HGS 的其他資訊,請參閱部落格文章改善分公司對 Windows Server 1709 版中受防護 VM 的支援

離線模式

離線模式可讓您受防護的 VM 在 HGS 無法連線時開啟,只要 Hyper-V 主機的安全性設定未變更即可。 離線模式的運作方式是在 Hyper-V 主機上快取 VM TPM 金鑰保護裝置的特殊版本。 金鑰保護裝置會根據主機的目前安全性設定進行加密 (使用虛擬化安全性身分識別金鑰)。 如果您的主機無法與 HGS 通訊,而其安全性設定並未變更,就能夠使用快取的金鑰保護裝置來啟動受防護的 VM。 當系統上的安全性設定有所變更時 (例如,套用新的程式碼完整性原則,或停用安全開機),快取的金鑰保護裝置就會失效,且主機必須向 HGS 進行證明,才能再次離線啟動任何受防護的 VM。

若要使用離線模式,主機守護者服務叢集和 Hyper-V 主機都需要 Windows Server Insider Preview 組建 17609 或更新版本。 這是由 HGS 上的原則控制的,預設為停用。 若要啟用離線模式的支援,請在 HGS 節點上執行下列命令:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

由於可快取的金鑰保護裝置對每個受防護的 VM 而言都是唯一的,因此在 HGS 上啟用此設定之後,您必須完全關閉再啟動 (而非重新啟動) 受防護的 VM,才能取得可快取的金鑰保護裝置。 如果您受防護的 VM 移轉至執行舊版 Windows Server 的 Hyper-V 主機,或從舊版 HGS 取得新的金鑰保護裝置,則無法在離線模式下自行啟動,但在能夠存取 HGS 的情況下可繼續以線上模式執行。