메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Udoskonalenia ekranowanych maszyn wirtualnych w systemie Windows Server 2019

요약: Udoskonalenia ekranowanych maszyn wirtualnych

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Ekranowana maszyna wirtualna to unikalna funkcja zabezpieczeń wprowadzona przez firmę Microsoft w systemie Windows Server 2016 i w wersji Windows Server 2019 została wprowadzona wiele ulepszeń. Celem tego bloga jest wywołanie ulepszeń tej funkcji.

Aby zapoznać się z podstawowym wprowadzeniem do tej funkcji i szczegółowymi krokami wdrażania, skorzystaj z poniższych łączy:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Tryby poświadczania

Funkcja początkowo obsługiwała dwa tryby atestowania — atestowanie oparte na usłudze Active Directory i atestowanie oparte na module TPM. Atestowanie oparte na module TPM zapewnia rozszerzone zabezpieczenia, ponieważ używa modułu TPM jako głównego źródła zaufania sprzętowego i obsługuje zmierzoną integralność rozruchu i kodu.

Nowym dodatkiem jest poświadczenia trybu klucza, zastępujące atesty oparte na AD (które nadal występują, ale zostały wycofane z systemu Windows Server 2019 i nowsze). Poniższe łącze zawiera informacje na temat konfiguracji węzła HGS (Host Guardian Service) przy użyciu atestowania trybu klucza. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Poświadczenia trybu klucza są preferowane lub używane w scenariuszach, gdy sprzęt modułu TPM jest niedostępny do użycia. Konfiguracja jest łatwiejsza, ale wiąże się z zestawem zagrożeń dla bezpieczeństwa, ponieważ nie wiąże się ona ze sprzętowym źródłem zaufania.

Funkcja tworzenia kopii zapasowych HGS

Ponieważ klaster HGS jest krytycznym elementem ekranowanego rozwiązania maszyn wirtualnych, firma Microsoft udostępniła udoskonalenie umożliwiające łatwe wprowadzenie kopii zapasowej adresów URL HGS, dzięki czemu nawet jeśli podstawowy serwer HGS nie reaguje, hosty ochraniane hyper-V mogą potwierdzać i uruchamiać ekranowane maszyny wirtualne bez przestojów. Wymaga to skonfigurowania dwóch serwerów HGS, z niezależnymi maszynami wirtualnymi przetestowanymi z obu serwerów podczas wdrażania. Poniższe polecenia służą do umożliwienia testowania maszyn wirtualnych przez oba klastry HGS.

 

# Zastąp https://hgs.primary.com i https://hgs.backup.com własnymi nazwami domen i protokołami

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAusestationServerUrl 'https://hgs.backup.com/Attestation'

 

Aby host Hyper-V przeszedł atestację zarówno z podstawowymi, jak i rezerwowymi serwerami, należy upewnić się, że informacje o poświadczaniu są aktualne w obu klastrach HGS.

Tryb offline

Jest to również specjalny tryb wprowadzony przez firmę Microsoft, który umożliwia włączanie ekranowanych maszyn wirtualnych nawet wtedy, gdy węzeł HGS jest nieosiągalny. Aby włączyć ten tryb dla maszyn wirtualnych, należy uruchomić następujące polecenie w węźle HGS:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Po wykonaniu tej czynności należy ponownie uruchomić wszystkie maszyny wirtualne, aby włączyć funkcję ochrony kluczy z możliwością zapisu w pamięci podręcznej dla maszyn wirtualnych.

Uwaga:  Wszelkie zmiany konfiguracji zabezpieczeń na komputerze lokalnym spowodują nieprawidłowy tryb offline. Przed ponownym włączeniem trybu offline maszyny wirtualne muszą sprawdzić działanie serwera HGS.

Ekranowana maszyna wirtualna Linux

Firma Microsoft rozszerzyła również obsługę hostowania maszyn wirtualnych z systemem Linux jako systemem operacyjnym gościa. Aby uzyskać więcej informacji na temat wersji i wersji systemu operacyjnego, sprawdź poniższe łącze.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Ważne wytyczne

Podczas wdrażania ekranowanych maszyn wirtualnych należy przestrzegać kilku ważnych wytycznych:

  1. Podczas przeprowadzania aktualizacji z systemu Windows Server 2016 do systemu Windows Server 2019 należy wyczyścić wszystkie konfiguracje zabezpieczeń i zastosować je ponownie po uaktualnieniu HGS i zabezpieczonych hostów, aby rozwiązanie działało bezproblemowo.
  2. Dyski szablonów mogą być używane tylko z zabezpieczonym ekranowanym procesem przydzielania maszyny wirtualnej. Próba uruchomienia zwykłej (nieekranowej) maszyny wirtualnej przy użyciu dysku szablonu prawdopodobnie spowoduje błąd zatrzymania (niebieski ekran) i nie jest obsługiwana.

Pomoc techniczna firmy DELL

Wszystkie opcje z WS2016 i 2019 są obsługiwane przez systemy Dell PowerEdge 13 i 14G. Aby uzyskać najbardziej rygorystyczne zabezpieczenia, zalecane jest używanie atestów opartych na module TPM oraz modułu TPM 2.0.


Ten blog został napisany przez inżynierów DELL Pavan Cortan, Cortanay Patkar i Shubhub Rana

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.