Creare un disco modello di macchina virtuale schermata Windows
Si applica a: Windows Server 2022, Windows Server 2016, Windows Server 2019
Come per le normali macchine virtuali, è possibile creare un modello di macchina virtuale, ad esempio, un modello di macchina virtuale in Virtual Machine Manager (VMM), per semplificare la distribuzione di nuove VM nell'infrastruttura da parte di tenant e amministratori usando un disco modello. Poiché le macchine virtuali schermate sono beni sensibili alla sicurezza, per creare un modello di macchina virtuale che supporta la schermatura sono previsti passaggi aggiuntivi. Questo argomento illustra i passaggi per creare un disco modello schermato e un modello di macchina virtuale in VMM.
Per comprendere in che modo questo argomento rientra nel processo complessivo di distribuzione di macchine virtuali schermate, vedere Passaggi di configurazione del provider di servizi di hosting per gli host sorvegliati e le macchine virtuali schermate.
Preparare un VHDX del sistema operativo
Prima di tutto preparare un disco del sistema operativo che verrà eseguito mediante la Creazione guidata disco modello schermato. Questo disco verrà usato come disco del sistema operativo nelle macchine virtuali del tenant. È possibile usare qualsiasi strumento esistente per creare questo disco, ad esempio Gestione e manutenzione immagini distribuzione, oppure configurare manualmente una macchina virtuale con un VHDX vuoto e installare il sistema operativo su tale disco. Quando si configura il disco, questo deve rispettare i requisiti seguenti, specifici per le macchine virtuali schermate e/o di seconda generazione:
| Requisito per VHDX | Motivo |
|---|---|
| Deve essere un disco della tabella di partizione GUID (GPT) | Necessario per le macchine virtuali di seconda generazione per supportare UEFI |
| Il tipo di disco deve essere di base e non dinamico. Nota: si riferisce al tipo di disco logico, non alla funzionalità VHDX "a espansione dinamica" supportata da Hyper-V. |
BitLocker NON supporta i dischi dinamici. |
| Il disco ha almeno due partizioni. Una partizione deve includere l'unità in cui è installato Windows. Questa è l'unità che BitLocker crittograferà. L'altra partizione è la partizione attiva, che contiene il caricatore di avvio e rimane non crittografata in modo che il computer possa essere avviato. | Necessario per BitLocker |
| Il file system è NTFS | Necessario per BitLocker |
| Il sistema operativo installato in VHDX è uno dei seguenti: - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 - Windows 10, Windows 8.1, Windows 8 |
Necessario per supportare macchine virtuali di seconda generazione e il modello di avvio protetto Microsoft |
| Il sistema operativo deve essere generalizzato (eseguire sysprep.exe) | Il provisioning dei modelli prevede la specializzazione delle macchine virtuali per un carico di lavoro di un tenant specifico |
Nota
Se si usa VMM, non copiare il disco modello nella libreria VMM in questa fase.
Eseguire Windows Update nel sistema operativo modello
Sul disco modello verificare che nel sistema operativo siano installati tutti gli aggiornamenti più recenti di Windows. Gli aggiornamenti rilasciati di recente migliorano l'affidabilità del processo di schermatura end-to-end, un processo il cui completamento potrebbe non riuscire se il sistema operativo del modello non è aggiornato.
Preparare e proteggere il file VHDX con la procedura guidata del disco modello
Per usare un disco modello con macchine virtuali schermate, il disco deve essere preparato e crittografato con BitLocker usando la Creazione guidata disco modello schermato. Questa procedura guidata genererà un hash per il disco e lo aggiungerà a un catalogo delle firme del volume (VSC). Il VSC viene firmato usando un certificato specificato e viene usato durante il processo di provisioning per assicurarsi che il disco distribuito per un tenant non sia stato modificato o sostituito con un disco che il tenant non considera attendibile. Infine, BitLocker viene installato nel sistema operativo del disco (se non è già presente) per preparare il disco per la crittografia durante il provisioning della macchina virtuale.
Nota
La procedura guidata del disco modello modificherà il disco modello specificato sul posto. È possibile creare una copia del VHDX non protetto prima di eseguire la procedura guidata per apportare aggiornamenti al disco in un secondo momento. Non sarà possibile modificare un disco protetto con la procedura guidata del disco modello.
Eseguire la procedura seguente in un computer che esegue Windows Server 2016, Windows 10 (con Strumenti di amministrazione remota del server installato) o versione successiva. Non è necessario che si tratti di un host sorvegliato o un server VMM:
Copiare il VHDX generalizzato creato in Preparare un VHDX del sistema operativo nel server, se non è già presente.
Per amministrare il server in locale, installare la funzionalità Strumenti VM schermata da Strumenti di amministrazione remota del server nel computer.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartÈ anche possibile amministrare il server da un computer client in cui è stato installato Strumenti di amministrazione remota del server di Windows 10.
Ottenere o creare un certificato per firmare il catalogo delle firme del volume per il VHDX che diventerà il disco modello per le nuove macchine virtuali schermate. I dettagli su questo certificato verranno visualizzati ai tenant quando creano i file di dati di schermatura e autorizzano i dischi considerati attendibili. Pertanto, è importante ottenere questo certificato da un'autorità di certificazione considerata reciprocamente attendibile sia dall'utente che dai tenant. Negli scenari aziendali in cui si è sia l'host che il tenant, è consigliabile rilasciare questo certificato tramite l'infrastruttura a chiave pubblica.
Se si configura un ambiente di test e si vuole usare solo un certificato autofirmato per preparare il disco modello, eseguire un comando simile al seguente:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comAvviare la Creazione guidata disco modello dalla cartella Strumenti di amministrazione del menu Start o digitando TemplateDiskWizard.exe in un prompt dei comandi.
Nella pagina Certificato fare clic su Sfoglia per visualizzare un elenco di certificati. Selezionare il certificato con cui preparare il modello di disco. Fare clic su OK e quindi su Avanti.
Nella pagina Disco virtuale fare clic su Sfoglia per selezionare il VHDX preparato, quindi fare clic su Avanti.
Nella pagina Catalogo firme specificare un nome del disco descrittivo e una versione dello stesso. Questi campi sono presenti per facilitare l'identificazione del disco dopo la preparazione.
Ad esempio, per il nome del disco è possibile digitare WS2016 e per Versione1.0.0.0
Esaminare le selezioni nella pagina Verifica impostazioni della procedura guidata. Quando si fa clic su Genera, la procedura guidata abiliterà BitLocker sul disco modello, calcolerà l'hash del disco e creerà il catalogo delle firme del volume, archiviato nei metadati VHDX.
Attendere il completamento del processo di preparazione prima di tentare di montare o spostare il disco modello. Il completamento di questo processo può richiedere del tempo, a seconda delle dimensioni del disco.
Importante
I dischi modello possono essere usati solo con il processo di provisioning protetto delle macchine virtuali schermate. Il tentativo di avviare una macchina virtuale normale (non schermata) usando un disco modello genererà probabilmente un errore irreversibile (schermata blu) e non è supportato.
Nella pagina Riepilogo vengono visualizzate informazioni sul modello di disco, il certificato usato per firmare il VSC e l'autorità di certificazione. Fare clic su Chiudi per uscire dalla procedura guidata.
Se si usa VMM, seguire la procedura descritta nelle sezioni rimanenti di questo argomento per incorporare un disco modello in un modello di macchina virtuale schermata in VMM.
Copiare il disco modello nella libreria VMM
Se si usa VMM, dopo aver creato un disco modello è necessario copiarlo in una condivisione di libreria VMM in modo che gli host possano scaricare e usare il disco durante il provisioning di nuove macchine virtuali. Usare la procedura seguente per copiare il disco modello nella libreria VMM e quindi aggiornare la libreria.
Copiare il file VHDX nella cartella di condivisione della libreria VMM. Se è stata usata la configurazione VMM predefinita, copiare il disco modello in \<\vmmserver>\MSSCVMMLibrary\VHD.
Aggiornare il server di libreria. Espandere l'area di lavoro Libreria, espandere Server di libreria, fare clic con il pulsante destro del mouse sul server di libreria da aggiornare e quindi scegliere Aggiorna.
Fornire quindi a VMM le informazioni sul sistema operativo installato nel disco modello:
a. Trovare il disco modello appena importato nel server di libreria nell'area di lavoro Libreria.
b. Fare clic con il pulsante destro del mouse sul disco e scegliere Proprietà.
c. Per sistema operativo espandere l'elenco e selezionare il sistema operativo installato nel disco. La selezione di un sistema operativo indica a VMM che il file VHDX non è vuoto.
d. Dopo aver aggiornato le proprietà, fare clic su OK.
La piccola icona dello scudo accanto al nome del disco indica il disco è un disco modello preparato per VM schermate. È anche possibile fare clic con il pulsante destro del mouse sulle intestazioni di colonna e attivare o disattivare la colonna Schermato per visualizzare una rappresentazione testuale che indica se un disco è destinato a distribuzioni regolari o schermate di macchine virtuali.
Creare il modello di macchina virtuale schermata in VMM usando il disco modello preparato
Con un disco modello preparato nella libreria VMM, è possibile creare un modello di macchina virtuale per le VM schermate. I modelli di VM per le macchine virtuali schermate differiscono leggermente dai modelli tradizionali in quanto determinate impostazioni sono fisse, come VM di seconda generazione, UEFI e Avvio protetto abilitati e così via, mentre altre non sono disponibili: la personalizzazione del tenant è limitata a poche proprietà selezionate della macchina virtuale. Per creare il modello di macchina virtuale, seguire questa procedura:
Nell'area di lavoro Libreria fare clic su Crea modello di macchina virtuale nella scheda Home nella parte superiore.
Nella pagina Seleziona origine fare clic su Usa un modello macchina virtuale esistente o un disco rigido virtuale archiviato nella libreria, quindi fare clic su Sfoglia.
Nella finestra visualizzata selezionare un disco modello preparato dalla libreria VMM. Per identificare più facilmente i dischi preparati, fare clic con il pulsante destro del mouse su un'intestazione di colonna e abilitare la colonna Schermato. Fare clic su OK e quindi su Avanti.
Specificare il nome di un modello di macchina virtuale e facoltativamente una descrizione e quindi fare clic su Avanti.
Nella pagina Configura hardware specificare le funzionalità delle macchine virtuali create da questo modello. Verificare che almeno una scheda di interfaccia di rete sia disponibile e configurata nel modello di macchina virtuale. L'unico modo per connettere un tenant a una macchina virtuale schermata è tramite Connessione Desktop remoto, Gestione remota Windows o altri strumenti di gestione remota preconfigurati che funzionano su protocolli di rete.
Se si sceglie di utilizzare pool di IP statici in VMM anziché eseguire un server DHCP nella rete del tenant, sarà necessario avvisare i tenant di questa configurazione. Quando un tenant fornisce il file di dati di schermatura, che contiene il file di installazione automatica per VMM, dovrà fornire valori segnaposto speciali per le informazioni sul pool di IP statici. Per altre informazioni sui segnaposto di VMM nei file di installazione automatica del tenant, vedere Creare un file di risposte.
Nella pagina Configura sistema operativo VMM mostrerà solo alcune opzioni per le macchine virtuali schermate, tra cui il codice Product Key, il fuso orario e il nome del computer. Alcune informazioni protette, ad esempio la password dell'amministratore e il nome di dominio, vengono specificate dal tenant tramite un file di dati di schermatura (con estensione PDK).
Nota
Se si sceglie di specificare un codice Product Key in questa pagina, assicurarsi che sia valido per il sistema operativo presente nel disco modello. Se viene usato un codice Product Key non corretto, la creazione della macchina virtuale avrà esito negativo.
Dopo la creazione del modello, i tenant possono usarlo per creare nuove macchine virtuali. È necessario verificare che il modello di macchina virtuale sia una delle risorse disponibili per il ruolo utente Amministratore tenant. In VMM i ruoli utente si trovano nell'area di lavoro Impostazioni.
Preparare e proteggere il VHDX con PowerShell
In alternativa all'esecuzione della Creazione guidata disco modello, è possibile copiare il disco modello e il certificato in un computer che esegue Strumenti di amministrazione remota del server ed eseguire Protect-TemplateDisk per avviare il processo di firma.
Nell'esempio seguente vengono usate le informazioni sul nome e sulla versione specificate dai parametri TemplateName e Version.
Il VHDX fornito al parametro -Path verrà sovrascritto con il disco modello aggiornato, quindi assicurarsi di creare una copia prima di eseguire il comando.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
Il disco modello è ora pronto per essere usato per il provisioning di VM schermate. Se si usa System Center Virtual Machine Manager per distribuire la macchina virtuale, ora è possibile copiare il file VHDX nella libreria VMM.
È anche possibile estrarre il catalogo delle firme del volume dal VHDX. Questo file viene usato per fornire informazioni sul certificato di firma, sul nome del disco e sulla versione ai proprietari di macchine virtuali che vogliono usare il modello. Il file va importato nella Creazione guidata file di dati di schermatura per autorizzare l'autore del modello, che possiede il certificato di firma, a creare questo e i futuri dischi modello per gli utenti.
Per estrarre il catalogo delle firme del volume eseguire il comando seguente in PowerShell:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'