Bereitstellen von überwachten Hosts in VMM
Wichtig
Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.
Dieser Artikel beschreibt das Bereitstellen von überwachten Hyper-V-Hosts in einem Compute-Fabric von System Center – Virtual Machine Manager (VMM). Erfahren Sie mehr zum überwachten Fabric.
Es gibt verschiedene Methoden, um überwachte Hyper-V-Hosts in einem VMM-Fabric einzurichten.
- Konfigurieren eines vorhandenen Hosts als überwachten Host: Sie können einen vorhandenen Host zum Ausführen von abgeschirmten VMs konfigurieren.
- Hinzufügen oder Bereitstellen eines neuen überwachten Hosts: Bei diesem Host kann es sich um Folgendes handeln:
- Ein vorhandener Windows Server-Computer (mit oder ohne Hyper-V-Rolle)
- Ein Bare-Metal-Computer
Sie richten überwachte Hosts folgendermaßen im VMM-Fabric ein:
Konfigurieren globaler HGS-Einstellungen: VMM verbindet alle überwachten Hosts mit dem gleichen HGS-Server, sodass Sie geschützte VMs erfolgreich zwischen den Hosts migrieren können. Die von Ihnen angegebenen globalen HGS-Einstellungen gelten für alle überwachten Hosts. Sie können auch hostspezifische Einstellungen angeben, die die globalen Einstellungen außer Kraft setzen. Zu diesen Einstellungen zählen:
- Nachweis-URL: Die URL, die der Host zum Herstellen der Verbindung mit dem HGS-Nachweisdienst verwendet. Dieser Dienst autorisiert einen Host für die Ausführung abgeschirmter VMs.
- URL des Schlüsselschutzservers: Die URL, die der Host zum Abrufen des Schlüssels verwendet, der zum Entschlüsseln der VMs erforderlich ist. Der Host muss einen Nachweis erbringen, bevor er die Schlüssel abrufen kann.
- Codeintegritätsrichtlinien: Eine Codeintegritätsrichtlinie beschränkt die Software, die auf einem überwachten Host ausgeführt werden kann. Wenn HGS für die Verwendung von TPM-Nachweisen konfiguriert ist, müssen überwachte Hosts zum Verwenden einer Codeintegritätsrichtlinie konfiguriert sein, die durch den HGS-Server autorisiert wurde. Sie können den Speicherort von Codeintegritätsrichtlinien in VMM angeben und sie auf Ihren Hosts bereitstellen. Dies ist optional und nicht erforderlich, um ein geschütztes Fabric zu verwalten.
- Schutzhilfsprogramm-VHD für VMs: Eine speziell vorbereitete virtuelle Festplatte, die verwendet wird, um vorhandene VMs in abgeschirmte VMs zu konvertieren. Wenn Sie vorhandene VMs abschirmen möchten, müssen Sie diese Einstellung konfigurieren.
Konfigurieren der Cloud: Wenn der überwachte Host in eine VMM-Cloud integriert werden soll, müssen Sie die Unterstützung geschützter VMs in der Cloud aktivieren.
Vorbereitung
Sie müssen den Host-Überwachungsdienst (Host Guardian Service, HGS) bereitgestellt und konfiguriert haben, bevor Sie fortfahren. Erfahren Sie mehr über das Konfigurieren des HGS in der Windows Server-Dokumentation.
Stellen Sie außerdem sicher, dass alle Hosts, die überwachte Hosts werden sollen, die Voraussetzungen für überwachte Hosts erfüllen:
- Betriebssystem: Auf den Hostservern muss Windows Server Datacenter ausgeführt werden. Es wird empfohlen, Server Core für überwachte Hosts zu verwenden.
- Rollen und Features: Auf den Hostservern muss die Hyper-V-Rolle und das Feature „Hyper-V-Unterstützung für die Hostüberwachung“ ausgeführt werden. Die Hyper-V-Unterstützung für die Hostüberwachung ermöglicht die Kommunikation zwischen Host und HGS, um die Integrität des Hosts nachzuweisen und Schlüssel für geschützte VMs anzufordern. Wenn auf dem Host Nano Server ausgeführt wird, sollten darauf die Pakete „Compute“, „SCVMM-Package“, „SCVMM-Compute“, „SecureStartup“ und „ShieldedVM“ installiert sein.
- TPM-Nachweis: Wenn Ihr HGS für den TPM-Nachweis konfiguriert ist, muss für die Hostserver Folgendes gelten:
- Sie müssen UEFI 2.3.1c und ein TPM 2.0-Modul verwenden
- Sie müssen im UEFI-Modus starten (nicht im BIOS-Modus oder „Legacymodus“)
- Sicherer Start muss aktiviert sein
- HGS-Registrierung: Hyper-V-Hosts müssen bei HGS registriert werden. Die Art der Registrierung richtet sich danach, ob HGS einen AD- oder einen TPM-Nachweis verwendet. Weitere Informationen
- Livemigration: Wenn Sie eine Livemigration abgeschirmter VMs ausführen möchten, müssen Sie mindestens zwei überwachte Hosts bereitstellen.
- Domäne: Überwachte Hosts und der VMM-Server müssen sich in derselben Domäne oder in Domänen mit einer bidirektionalen Vertrauensstellung befinden.
Konfigurieren globaler HGS-Einstellungen
Bevor Sie die überwachten Hosts zum VMM-Computefabric hinzufügen können, müssen Sie VMM mit Informationen zum Host-Überwachungsdienst für das Fabric konfigurieren. Derselbe HGS wird für alle überwachten Hosts verwendet, die von VMM verwaltet werden.
Fragen Sie Ihren HGS-Administrator nach den Nachweis- und Schlüsselschutz-URLs für Ihr Fabric.
Klicken Sie in der VMM-Konsole auf EinstellungenEinstellungen für den Host-Überwachungsdienst.
Geben Sie die Nachweis- und Schlüsselschutz-URLs in die entsprechenden Felder ein. Sie müssen die Abschnitte zu Codeintegritätsrichtlinien und zur Schutzhilfsprogramm-VHD für VMs jetzt nicht konfigurieren.

Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.
Hinzufügen oder Bereitstellen eines neuen überwachten Hosts
- Fügen Sie den Host hinzu:
- Wenn Sie einen vorhandenen Server unter Windows Server als überwachten Hyper-V-Host hinzufügen möchten, fügen Sie ihn dem Fabric hinzu.
- Wenn Sie einen Hyper-V-Host von einem Bare-Metal-Computer bereitstellen möchten, erhalten Sie hier Informationen zu den Voraussetzungen sowie Anweisungen. Beachten Sie, dass Sie den Host bereits bei der Bereitstellung als überwacht konfigurieren können: „Assistent zum Hinzufügen von Ressourcen“ >>>>.
- Fahren Sie mit dem nächsten Abschnitt fort, um den Host als überwachten Host zu konfigurieren.
Konfigurieren eines vorhandenen Hosts als überwachten Host
Um einen vorhandenen Hyper-V-Host, der von VMM verwaltet wird, als überwachten Host zu konfigurieren, führen Sie die folgenden Schritte aus:
Versetzen Sie den Host in den Wartungsmodus.
Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host EigenschaftenHost-Überwachungsdienst.

Aktivieren Sie die Funktion „Hyper-V-Unterstützung für die Host-Überwachung“, und konfigurieren Sie den Host. Beachten Sie dabei Folgendes:
- Die URLs für den globalen Nachweis und den Schlüsselschutzserver werden auf dem Host festgelegt.
- Wenn Sie diese URLs außerhalb der VMM-Konsole ändern, müssen Sie sie auch in VMM aktualisieren. Andernfalls platziert VMM erst dann abgeschirmte VMs auf dem Host, wenn die URLs wieder übereinstimmen. Sie können auch das Kontrollkästchen „Aktivieren“ deaktivieren und erneut aktivieren, um den Host mit den in VMM konfigurierten URLs neu zu konfigurieren.
Wenn Sie VMM zum Verwalten von Codeintegritätsrichtlinien verwenden, können Sie das zweite Kontrollkästchen aktivieren und die entsprechende Richtlinie für das System auswählen.
Klicken Sie auf OK, um die Konfiguration des Hosts zu aktualisieren.
Beenden Sie für den Hosts den Wartungsmodus.
VMM überprüft, ob der Host den Nachweis besteht, wenn Sie den Host hinzufügen und jedes Mal, wenn der Hoststatus aktualisiert wird. VMM stellt abgeschirmte VMs nur auf Hosts bereit, die einen entsprechenden Nachweis erbracht haben. Gleiches gilt für die Migration von VMs. Sie können den Nachweisstatus eines Hosts unter EigenschaftenStatusGesamtintegrität des HGS-Clients überprüfen.
Aktivieren von überwachten Hosts in einer VMM-Cloud
Konfigurieren Sie die Cloud für die Unterstützung überwachter Hosts:
- Klicken Sie in der VMM-Konsole auf VMs und DiensteClouds. Klicken Sie mit der rechten Maustaste auf den Cloudnamen >>.
- Wählen Sie unter AllgemeinUnterstützung für geschützte VMs die Option In dieser privaten Cloud unterstützt aus.
Verwalten und Bereitstellen von Codeintegritätsrichtlinien mit VMM
In geschützten Fabrics, die für die Verwendung von TPM-Nachweisen konfiguriert sind, muss jeder Host mit einer Codeintegritätsrichtlinie konfiguriert werden, die für den Host-Überwachungsdienst als vertrauenswürdig gilt. Um die Verwaltung von Codeintegritätsrichtlinien zu vereinfachen, können Sie optional VMM verwenden, um neue oder aktualisierte Richtlinien für die überwachten Hosts bereitzustellen.
Um eine Codeintegritätsrichtlinie auf einem von VMM verwalteten überwachten Host bereitzustellen, führen Sie folgende Schritte aus:
- Erstellen Sie eine Codeintegritätsrichtlinie für jeden Referenzhost in Ihrer Umgebung. Sie benötigen für jede eindeutige Hardware- und Softwarekonfiguration Ihrer überwachten Hosts eine andere Codeintegritätsrichtlinie.
- Speichern Sie die Codeintegritätsrichtlinie in einer sicheren Dateifreigabe. Die Computerkonten für die einzelnen überwachten Hosts erfordern Lesezugriff auf die Freigabe. Nur vertrauenswürdigen Administratoren sollte Schreibzugriff gewährt werden.
- Klicken Sie in der VMM-Konsole auf EinstellungenEinstellungen für den Host-Überwachungsdienst.
- Klicken Sie im Abschnitt „Codeintegritätsrichtlinien“ auf Hinzufügen, und geben Sie einen Anzeigenamen sowie den Pfad zu einer Codeintegritätsrichtlinie an. Wiederholen Sie diesen Schritt für jede einzelne Codeintegritätsrichtlinie. Achten Sie darauf, dass Sie Ihre Richtlinien so benennen, dass Sie ermitteln können, welche Richtlinie auf welche Hosts angewendet werden soll.

- Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.
Führen Sie jetzt für jeden überwachten Host die folgenden Schritte aus, um eine Codeintegritätsrichtlinie anzuwenden:
Versetzen Sie den Host in den Wartungsmodus.
Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host EigenschaftenHost-Überwachungsdienst.

Aktivieren Sie die Option, dass der Host mit einer Codeintegritätsrichtlinie konfiguriert werden soll, und wählen dann die entsprechende Richtlinie für das System aus.
Klicken Sie auf OK, um die Änderung der Konfiguration anzuwenden. Der Host wird möglicherweise neu gestartet, um die neue Richtlinie anzuwenden.
Beenden Sie für den Hosts den Wartungsmodus.
Warnung
Achten Sie darauf, die richtige Codeintegritätsrichtlinie für den Host auszuwählen. Wenn eine inkompatible Richtlinie auf den Host angewendet wird, funktionieren einige Anwendungen, Treiber oder Betriebssystemkomponenten möglicherweise nicht mehr.
Wenn Sie die Codeintegritätsrichtlinie in der Dateifreigabe und auch die überwachten Hosts aktualisieren möchten, können Sie dafür die folgenden Schritte ausführen:
- Versetzen Sie den Host in den Wartungsmodus.
- Klicken Sie in Alle Hosts mit der rechten Maustaste auf den Host, und wählen Sie Aktuelle Codeintegritätsrichtlinie anwenden aus.
- Beenden Sie für den Hosts den Wartungsmodus.