Überlegungen zu FilialenBranch office considerations

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal),Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel),

Dieser Artikel beschreibt bewährte Methoden für die Ausführung von abgeschirmten virtuellen Computern in Zweigniederlassungen und in anderen Remote Szenarien, in denen Hyper-V-Hosts Zeiträume mit eingeschränkter Konnektivität zu HGS aufweisen können.This article describes best practices for running shielded virtual machines in branch offices and other remote scenarios where Hyper-V hosts may have periods of time with limited connectivity to HGS.

Fall Back KonfigurationFallback configuration

Ab Windows Server, Version 1709, können Sie einen zusätzlichen Satz von Host-Überwachungsdienst-URLs auf Hyper-V-Hosts konfigurieren, die verwendet werden, wenn Ihre primäre HGS nicht reagiert.Starting with Windows Server version 1709, you can configure an additional set of Host Guardian Service URLs on Hyper-V hosts for use when your primary HGS is unresponsive. Auf diese Weise können Sie einen lokalen HGS-Cluster ausführen, der als primärer Server verwendet wird, um eine bessere Leistung zu erzielen. Sie können dann auf die HGS Ihres Unternehmens Rechenzentrums zurückgreifen, wenn die lokalen Server ausfallen.This allows you to run a local HGS cluster that is used as a primary server for better performance with the ability to fall back to your corporate datacenter's HGS if the local servers are down.

Wenn Sie die Fall Back-Option verwenden möchten, müssen Sie zwei HGS-Server einrichten.To use the fallback option, you'll need to set up two HGS servers. Sie können Windows Server 2019 oder Windows Server 2016 ausführen und sind entweder Teil desselben oder unterschiedlichen Clusters.They can run Windows Server 2019 or Windows Server 2016 and either be part of the same or different clusters. Wenn es sich um verschiedene Cluster handelt, sollten Sie operative Verfahren einrichten, um sicherzustellen, dass die Nachweis Richtlinien zwischen den beiden Servern synchronisiert werden.If they are different clusters, you will want to establish operational practices to ensure the attestation policies are in sync between the two servers. Beide müssen in der Lage sein, den Hyper-V-Host ordnungsgemäß zu autorisieren, um abgeschirmte VMS auszuführen, und Sie müssen über das Schlüsselmaterial verfügen, das zum Starten der abgeschirmten VMSThey both need to be able to correctly authorize the Hyper-V host to run shielded VMs and have the key material needed to start up the shielded VMs. Sie können entweder ein paar frei gegebener Verschlüsselungs-und Signatur Zertifikate zwischen den beiden Clustern verwenden oder separate Zertifikate verwenden und die abgeschirmte HGS-VM so konfigurieren, dass beide Wächter (Verschlüsselungs-/Signatur-zertifikatpaare) in der Schutz Datendatei autorisiert werden.You can choose to either have a pair of shared encryption and signing certificates between the two clusters, or use separate certificates and configure the HGS shielded VM to authorize both guardians (encryption/signing certificate pairs) in the shielding data file.

Aktualisieren Sie dann Ihre Hyper-V-Hosts auf Windows Server-Version 1709 oder Windows Server 2019, und führen Sie den folgenden Befehl aus:Then upgrade your Hyper-V hosts to Windows Server version 1709 or Windows Server 2019 and run the following command:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Wenn Sie die Konfiguration eines Fall Back Servers aufheben möchten, lassen Sie einfach beide Fall back Parameter aus:To unconfigure a fallback server, simply omit both fallback parameters:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Damit der Hyper-V-Host den Nachweis sowohl mit dem primären als auch dem Fall Back Server übergibt, müssen Sie sicherstellen, dass Ihre Nachweis Informationen mit beiden HGS-Clustern auf dem neuesten Stand sind.In order for the Hyper-V host to pass attestation with both the primary and fallback servers, you will need to ensure that your attestation information is up to date with both HGS clusters. Außerdem müssen die Zertifikate, mit denen das TPM des virtuellen Computers entschlüsselt wird, in beiden HGS-Clustern verfügbar sein.Additionally, the certificates used to decrypt the virtual machine's TPM need to be available in both HGS clusters. Sie können jeden HGS mit verschiedenen Zertifikaten konfigurieren und den virtuellen Computer so konfigurieren, dass er sowohl vertrauenswürdig ist, als auch einen freigegebenen Satz von Zertifikaten zu beiden HGS-Clustern hinzufügen.You can configure each HGS with different certificates and configure the VM to trust both, or add a shared set of certificates to both HGS clusters.

Weitere Informationen zum Konfigurieren von HGS in einer Zweigstelle mithilfe von Fall Back-URLs finden Sie im Blogbeitrag verbesserte Unterstützung für Zweigstellen für abgeschirmte VMs in Windows Server, Version 1709.For additional information about configuring HGS in a branch office using fallback URLs, see the blog post Improved branch office support for shielded VMs in Windows Server, version 1709.

Offline ModusOffline mode

Im Offline Modus kann die abgeschirmte VM aktiviert werden, wenn HGS nicht erreicht werden kann, solange die Sicherheitskonfiguration des Hyper-V-Hosts nicht geändert wurde.Offline mode allows your shielded VM to turn on when HGS cannot be reached, so long as the security configuration of your Hyper-V host has not changed. Der Offline Modus funktioniert, indem eine spezielle Version der TPM-Schlüssel Schutzvorrichtung des virtuellen Computers auf dem Hyper-V-Host zwischengespeichert wird.Offline mode works by caching a special version of the VM TPM key protector on the Hyper-V host. Die Schlüssel Schutzvorrichtung wird in die aktuelle Sicherheitskonfiguration des Hosts (mit dem virtualisierungsbasierten Sicherheits Identitätsschlüssel) verschlüsselt.The key protector is encrypted to the current security configuration of the host (using the Virtualization Based Security identity key). Wenn der Host nicht mit HGS kommunizieren kann und seine Sicherheitskonfiguration nicht geändert wurde, kann er die zwischengespeicherte Schlüssel Schutzvorrichtung zum Starten der abgeschirmten VM verwenden.If your host is unable to communicate with HGS and its security configuration has not changed, it will be able to use the cached key protector to start up the shielded VM. Wenn sich die Sicherheitseinstellungen auf dem System ändern, z. b. eine neue Code Integritätsrichtlinie, die angewendet wird, oder der sichere Start deaktiviert wird, werden die zwischengespeicherten Schlüssel Schutzvorrichtungen für ungültig erklärt, und der Host muss einen HGS bestätigen, damit alle abgeschirmten VMS erneut offline gestartet werden können.When security settings change on the system, such as a new code integrity policy being applied or Secure Boot being disabled, the cached key protectors will be invalidated and the host will have to attest with an HGS before any shielded VMs can be started offline again.

Der Offline Modus erfordert Windows Server Insider Preview Build 17609 oder höher sowohl für den Host-Überwachungsdienst Cluster als auch für den Hyper-V-Host.Offline mode requires Windows Server Insider Preview build 17609 or newer for both the Host Guardian Service cluster and Hyper-V host. Sie wird durch eine Richtlinie auf HGS gesteuert, die standardmäßig deaktiviert ist.It is controlled by a policy on HGS, which is disabled by default. Um die Unterstützung für den Offline Modus zu aktivieren, führen Sie den folgenden Befehl auf einem HGS-Knoten aus:To enable support for offline mode, run the following command on an HGS node:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Da die zwischen speicherbaren Schlüssel Schutzvorrichtungen für jeden abgeschirmten virtuellen Computer eindeutig sind, müssen Sie den vollständigen Herunterfahren (kein Neustart) durchlaufen und die abgeschirmten VMs starten, um eine zwischen speicherbare Schlüssel Schutzvorrichtung zu erhalten, nachdem diese Einstellung auf HGS aktiviert wurde.Since the cacheable key protectors are unique to each shielded VM, you will need to fully shut down (not restart) and start up your shielded VMs to obtain a cacheable key protector after this setting is enabled on HGS. Wenn Ihre abgeschirmte VM zu einem Hyper-V-Host migriert wird, auf dem eine ältere Version von Windows Server ausgeführt wird, oder eine neue Schlüssel Schutzvorrichtung aus einer älteren Version von HGS erhält, kann Sie nicht im Offline Modus gestartet werden, Sie kann jedoch weiterhin im Online Modus ausgeführt werden, wenn der Zugriff auf HGS verfügbar ist.If your shielded VM migrates to a Hyper-V host running an older version of Windows Server, or obtains a new key protector from an older version of HGS, it will not be able to start itself up in offline mode, but can continue running in online mode when access to HGS is available.