Table of contents
TOC
Sbalit obsah
Rozbalit obsah

Vytvořit skupinu zabezpečení pro strážené hostitele

Ryan Puffer|Poslední aktualizace: 14.04.2017
|
1 Přispěvatel

Toto téma popisuje zprostředkující kroky, které správce prostředků infrastruktury je potřeba k přípravě hostitele Hyper-V k stanou stráženými hostiteli pomocí ověření správcem (v režimu AD). Před provedením následujících kroků, dokončete kroky v konfigurace DNS prostředků infrastruktury pro hostitele, kteří se stanou stráženými hostiteli.

Předpoklady

Hostitelé Hyper-V musí splňovat následující požadavky pro režim AD:

  • Hardware: libovolný server, který je schopen spuštění technologie Hyper-V ve Windows serveru 2016. Je potřeba pro počáteční nasazení jednoho hostitele. K otestování migrace za provozu technologie Hyper-V pro chráněné virtuální počítače, potřebujete nejméně dvou hostitelů.

  • Operační systém: Windows Server 2016 Datacenter edition

  • Role a funkce: role Hyper-V a funkce podpory Hyper-V strážce hostitele, která je dostupná jenom v systému Windows Server 2016 Datacenter edition.

Upozornění

Funkce podpory Hyper-V strážce hostitele umožňuje ochranu integrity kódu, které můžou být nekompatibilní s některá zařízení na základě virtualizace. Důrazně doporučujeme testování této konfigurace v testovacím prostředí před povolením této funkce. To neuděláte, může mít za následek neočekávané selhání do a včetně ztráty dat nebo chybě s modrou obrazovkou (nazývané taky chyby stop). Další informace najdete v tématu hardware kompatibilní s ochranou integrity kódu na základě virtualizace Windows serveru 2016.

Vytvoření skupiny zabezpečení a přidání hostitelů

  1. Vytvořte novou globální zabezpečení skupiny v doméně prostředků infrastruktury a přidejte hostitele Hyper-V, které se spustí chráněných virtuálních počítačů. Restartujte hostitele k aktualizaci jejich členství ve skupině.

  2. Použijte Get-ADGroup získat identifikátor zabezpečení (SID) skupiny zabezpečení a poskytovat ho správce služby HGS.

     Get-ADGroup "Guarded Hosts"
    

    Příkaz Get-AdGroup s výstup

Konfigurace Nano Serveru jako stráženého hostitele

Nano Servery je možné nasadit několika různými způsoby. Tato část navazuje na informace v tématu Stručný návod k Nano Serveru. Stručně řečeno, pomocí rutiny New-NanoServerImage vytvoříte soubor VHDX a na fyzickém počítači upravíte spouštěcí položky tak, aby byla jako výchozí možnost spouštění nastavena položka souboru VHDX. Správa Nano Serveru se provádí pomocí vzdálené komunikace Windows PowerShellu.

Poznámka

Nano Server může spouštět pouze chráněné virtuální počítače ve strážených prostředcích infrastruktury. Nelze ho použít ke spouštění chráněných virtuálních počítačů bez použití služby HGS k odemknutí virtuálních zařízení specifikace TPM. To znamená, že pomocí Nano Serveru nelze vytvořit nový místní chráněný virtuální počítač a přesunout ho do strážených prostředků infrastruktury, protože Nano Server nepodporuje používání obsahu místních klíčů pro vytváření chráněných virtuálních počítačů.

Vytvoření image Nano Serveru

Tyto kroky jsou převzaty z tématu Stručný návod k Nano Serveru:

  1. Zkopírujte složku NanoServerImageGenerator ze složky \NanoServer z archivu ISO Windows Serveru 2016 do složky na pevném disku.

  2. Spusťte Windows PowerShell jako správce, změňte adresář na složku, do které jste umístili složku NanoServerImageGenerator (například c:\NanoServer\NanoServerImageGenerator), a potom spusťte:

    Import-Module .\NanoServerImageGenerator -Verbose
    
  3. Vytvořte image Nano Serveru pomocí následující sady příkazů:

    $mediapath = <location of the mounted ISO image, e.g. E:\>
    
    New-NanoServerImage -MediaPath $mediapath -TargetPath <nanoVHD path> -ComputerName "<nanoserver name>" -OEMDrivers -Compute -DeploymentType Host -Edition Datacenter -Packages Microsoft-NanoServer-SecureStartup-Package, Microsoft-NanoServer-ShieldedVM-Package -EnableRemoteManagementPort -DomainName <Domain Name>
    

    Provádění příkazu trvá několik minut.

Když zadáte název domény, bude Nano Server připojen k definované doméně. Abyste to mohli udělat, musí být počítač, ze kterého rutinu spouštíte, už připojený ke stejné doméně. To umožňuje, aby rutina získala objekt blob domény z místního počítače. Pokud plánujete použít režim TPM, není nutné Nano Server připojit k doméně. V případě režimu AD musí být Nano Server k doméně připojen.

Konfigurace spouštěcí nabídky

Po vytvoření image Nano Serveru ji musíte nastavit jako výchozí spouštěcí operační systém.

Zkopírujte soubor VHDX Nano Serveru do fyzického počítače a nakonfigurujte jeho spouštění z tohoto počítače:

  1. V Průzkumníku souborů klikněte pravým tlačítkem na vygenerovaný soubor VHDX a vyberte Připojit. V tomto příkladu je soubor připojen na jednotce D:\.

  2. Spusťte příkaz: bcdboot d:\windows

  3. Klikněte pravým tlačítkem na soubor VHDX a odpojte ho výběrem možnosti Vysunout.

Restartováním počítače spusťte Nano Server. Nano Server je nyní připravený.

Získání IP adresy

Musíte získat adresu IP adresu Nano Serveru nebo pro správu použít název serveru.

  • Pomocí účtu správce a hesla, které jste zadali při vytváření image Nano Serveru, se přihlaste ke Konzole pro zotavení.

  • Zjistěte IP adresu počítače s Nano Serverem a pomocí vzdálené komunikace Windows PowerShellu nebo jiného nástroje pro vzdálenou správu se připojte k Nano Serveru, abyste ho mohli vzdáleně spravovat.

Vzdálená správa

Abyste na Nano Serveru mohli spouštět příkazy, jako je Get-PlatformIdentifier, musíte se k Nano Serveru připojit ze samostatného serveru pro správu s operačním systémem s grafickým uživatelským rozhraním pomocí vzdálené komunikace Windows PowerShellu.

Povolení spuštění relace vzdálené komunikace Windows PowerShellu na serveru pro správu:

Set-Item WSMan:\localhost\Client\TrustedHosts <nano server ip address or name>

Na serveru pro správu je jenom potřeba jednou spustit tuto rutinu.

Spuštění vzdálené relace:

Enter-PSSession -ComputerName <nano server name or ip address> -Credential <nano server>\administrator

V některých případech se může při spouštění předchozích rutin zobrazit chyba odepření přístupu. Nastavení služby WinRM a pravidla brány firewall na Nano Serveru můžete obnovit tak, že se přihlásíte ke konzole pro zotavení Nano Serveru a vyberete možnost WinRM.

Další krok

Ověřte, zda hostitelé mohou potvrzovat úspěšně

Viz také

© 2017 Microsoft