Überlegungen zu Filialen

Gilt für: Windows Server 2022, Windows Server 2019

In diesem Artikel werden bewährte Methoden für die Ausführung abgeschirmter virtueller Computer in Filialen und andere Remoteszenarien beschrieben, in denen Hyper-V-Hosts zeiträume mit eingeschränkter Konnektivität mit HGS verfügen können.

Fallbackkonfiguration

Ab Windows Server Version 1709 können Sie einen zusätzlichen Satz von Host-Wächterdienst-URLs auf Hyper-V-Hosts für die Verwendung konfigurieren, wenn Ihr primärer HGS nicht mehr reagiert. Auf diese Weise können Sie einen lokalen HGS-Cluster ausführen, der als primärer Server für eine bessere Leistung verwendet wird, und können auf den HGS Ihres Unternehmensdatencenters zurückfallen, wenn die lokalen Server nicht verfügbar sind.

Um die Fallbackoption verwenden zu können, müssen Sie zwei HGS-Server einrichten. Sie können Windows Server 2019 oder Windows Server 2016 ausführen und entweder Teil desselben oder unterschiedlicher Cluster sein. Wenn es sich um unterschiedliche Cluster handelt, sollten Sie betriebsbereite Methoden einrichten, um sicherzustellen, dass die Nachweisrichtlinien zwischen den beiden Servern synchron sind. Beide müssen den Hyper-V-Host ordnungsgemäß autorisieren können, um abgeschirmte VMs ausführen zu können, und über das Schlüsselmaterial verfügen, das zum Starten der abgeschirmten VMs erforderlich ist. Sie können entweder ein Paar freigegebener Verschlüsselungs- und Signaturzertifikate zwischen den beiden Clustern verwenden oder separate Zertifikate verwenden und die abgeschirmte HGS-VM konfigurieren, um beide Wächter (Verschlüsselungs-/Signaturzertifikatpaare) in der schutzenden Datendatei zu autorisieren.

Aktualisieren Sie dann Ihre Hyper-V-Hosts auf Windows Server Version 1709 oder Windows Server 2019, und führen Sie den folgenden Befehl aus:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Um die Konfiguration eines Fallbackservers zu ändern, lassen Sie einfach beide Fallbackparameter weg:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Damit der Hyper-V-Host den Nachweis sowohl mit dem primären als auch mit dem Fallbackserver besteht, müssen Sie sicherstellen, dass Ihre Nachweisinformationen mit beiden HGS-Clustern auf dem neuesten Stand sind. Darüber hinaus müssen die Zertifikate, die zum Entschlüsseln des TPM des virtuellen Computers verwendet werden, in beiden HGS-Clustern verfügbar sein. Sie können jeden HGS mit unterschiedlichen Zertifikaten konfigurieren und den virtuellen Computer so konfigurieren, dass er beiden vertraut, oder einen freigegebenen Satz von Zertifikaten zu beiden HGS-Clustern hinzufügen.

Weitere Informationen zum Konfigurieren von HGS in einer Filiale mit Fallback-URLs finden Sie im Blogbeitrag Improved branch office support for shielded VMs in Windows Server, Version 1709 ( Verbesserte Unterstützung von Filialen für abgeschirmte VMs in Windows Server, Version 1709).

Offlinemodus

Im Offlinemodus kann Ihre abgeschirmte VM aktiviert werden, wenn HGS nicht erreicht werden kann, solange sich die Sicherheitskonfiguration Ihres Hyper-V-Hosts nicht geändert hat. Im Offlinemodus wird eine spezielle Version der TPM-Schlüsselschutzvorrichtung des virtuellen Computers auf dem Hyper-V-Host zwischengeschaltet. Die Schlüsselschutzvorrichtung wird mit der aktuellen Sicherheitskonfiguration des Hosts verschlüsselt (mithilfe des Virtualisierungsbasierten Sicherheitsschlüssels). Wenn Ihr Host nicht mit dem HGS kommunizieren kann und seine Sicherheitskonfiguration nicht geändert wurde, kann er die zwischengespeicherte Schlüsselschutzvorrichtung verwenden, um den abgeschirmten virtuellen Computer zu starten. Wenn sich die Sicherheitseinstellungen auf dem System ändern, z. B. eine neue Codeintegritätsrichtlinie angewendet oder der sichere Start deaktiviert wird, werden die zwischengespeicherten Schlüsselschutzvorrichtungen ungültig, und der Host muss einen HGS bestätigen, bevor abgeschirmte VMs erneut offline gestartet werden können.

Der Offlinemodus erfordert Windows Server Insider Preview-Build 17609 oder neuer für den Host-Wächterdienstcluster und den Hyper-V-Host. Sie wird durch eine Richtlinie für HGS gesteuert, die standardmäßig deaktiviert ist. Um die Unterstützung für den Offlinemodus zu aktivieren, führen Sie den folgenden Befehl auf einem HGS-Knoten aus:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Da die zwischenspeicherbaren Schlüsselschutzvorrichtungen für jede abgeschirmte VM eindeutig sind, müssen Sie Ihre abgeschirmten VMs vollständig herunterfahren (nicht neu starten) und starten, um eine zwischenspeicherbare Schlüsselschutzvorrichtung zu erhalten, nachdem diese Einstellung für HGS aktiviert wurde. Wenn Ihre abgeschirmte VM zu einem Hyper-V-Host migriert wird, auf dem eine ältere Version von Windows Server ausgeführt wird, oder eine neue Schlüsselschutzvorrichtung von einer älteren Version von HGS erhält, kann sie sich nicht im Offlinemodus starten, sondern im Onlinemodus weiter ausgeführt werden, wenn der Zugriff auf HGS verfügbar ist.