Table of contents
TOC
콘텐츠의 테이블 축소
콘텐츠의 테이블 확장

지키는 호스트에 대 한 보안 그룹 만들기

Ryan Puffer|마지막 업데이트: 2017-04-14
|
1 기고자

이 항목에서는 패브릭 관리자 Hyper-v 호스트 관리자 신뢰할 수 있는 대 (광고 모드)을 사용 하 여 지키는 호스트를 준비 하는 중간 단계에 설명 합니다. 이 단계를 수행 하기 전에 단계에 따라 패브릭 DNS 지키는 호스트 되는 호스트에 대 한 구성합니다.

필수

Hyper-v 호스트 광고 모드에 대해 다음과 같은 사항을 만족 해야 합니다.

  • 하드웨어: Windows Server 2016에 Hyper-v을 실행할 수 있는 모든 서버 합니다. 하나의 호스트 초기 배포 필요 합니다. Hyper-v Vm 차폐에 대 한 실시간 마이그레이션 테스트를 하려면 두 개 이상의 호스트 필요 합니다.

  • 운영 체제: Windows Server 2016 Datacenter edition

    중요

    설치는 최신 누적 업데이트합니다.

  • 역할 기능과: Hyper-v 역할 및 Windows Server 2016 Datacenter edition에서 사용할 수만 있는 호스트 보호자 Hyper-v 지원 기능입니다.

경고

호스트 보호자 Hyper-v 지원 기능을 사용 하는 일부 디바이스와 호환 되지 않을 수 있는 코드 무결성 Virtualization 기반 보호 합니다. 이 구성 랩에서이 기능을 사용 하려면 먼저 테스트 하는 것이 좋습니다. 이렇게 하려면 데이터가 손실 되거나 블루 스크린 오류 (중지 오류 라고도 함)를 포함 하 여까지 예기치 오류 될 수 있습니다. 자세한 내용은 참조 호환 되는 하드웨어와 Windows Server 2016 코드 무결성 Virtualization 기반 보호합니다.

보안 그룹을 만들고 호스트 추가

  1. GLOBAL 보안 패브릭 도메인에 있는 그룹 하 고 실행 될 Hyper-v 호스트 Vm 보호 추가 합니다. 호스트 그룹 구성원 업데이트를 다시 시작 합니다.

  2. Get-ADGroup를 사용 하 여 보안 그룹의 (SID) 보안 식별자를 얻으려면를 HGS 관리자에 게 제공 합니다.

     Get-ADGroup "Guarded Hosts"
    

    출력으로 Get-AdGroup 명령

Nano 서버를 보호된 호스트로 구성

Nano 서버를 배포하는 몇 가지 방법이 있습니다. 이 섹션은 Nano 서버 빠른 시작을 따릅니다. 간단히 말해서 New-NanoServerImage cmdlet을 사용하여 실제 컴퓨터에 VHDX 파일을 만들고, VHDX 파일에 기본 부팅 옵션을 설정하도록 부팅 항목을 수정할 것입니다. 모든 Nano 서버 관리는 Windows PowerShell 원격 기능을 통해 수행됩니다.

참고

Nano 서버는 보호된 패브릭의 보호된 VM만 실행할 수 있습니다. HGS를 사용하여 가상 TPM 디바이스의 잠금을 해제하지 않고는 보호된 VM을 실행하는 데 사용할 수 없습니다. 다시 말해서 Nano 서버를 사용하여 온-프레미스에 새로운 보호된 VM을 만들어서 보호된 패브릭으로 이동할 수 없다는 의미입니다. 왜냐하면 Nano 서버는 로컬 키 자료를 사용하여 보호된 VM을 시작하는 것을 지원하지 않기 때문입니다.

Nano 서버 이미지 만들기

다음 단계는 Nano 서버 빠른 시작에서 가져온 것입니다.

  1. Windows Server 2016 ISO의 \NanoServer 폴더에서 하드 드라이브의 폴더로 NanoServerImageGenerator 폴더를 복사합니다.

  2. 관리자 권한으로 Windows PowerShell을 시작하고, NanoServerImageGenerator 폴더가 있는 폴더(예: c:\NanoServer\NanoServerImageGenerator)로 디렉터리를 변경하고, 다음을 실행합니다.

    Import-Module .\NanoServerImageGenerator -Verbose
    
  3. 다음 명령을 사용하여 Nano 서버 이미지를 만듭니다.

    $mediapath = <location of the mounted ISO image, e.g. E:\>
    
    New-NanoServerImage -MediaPath $mediapath -TargetPath <nanoVHD path> -ComputerName "<nanoserver name>" -OEMDrivers -Compute -DeploymentType Host -Edition Datacenter -Packages Microsoft-NanoServer-SecureStartup-Package, Microsoft-NanoServer-ShieldedVM-Package -EnableRemoteManagementPort -DomainName <Domain Name>
    

    명령은 몇 분 후에 완료됩니다.

도메인 이름을 지정하면 Nano 서버가 정의된 도메인에 가입됩니다. 이렇게 하려면 cmdlet을 실행 중인 컴퓨터가 이미 같은 도메인에 가입되어 있어야 합니다. 그래야만 cmdlet이 로컬 컴퓨터에서 도메인 blob을 수집할 수 있습니다. TPM 모드를 사용하려는 경우 Nano 서버를 도메인에 가입할 필요가 없습니다. AD 모드의 경우 Nano 서버를 도메인에 가입해야 합니다.

부팅 메뉴 구성

Nano 서버 이미지를 만든 후에는 해당 이미지를 기본 부팅 OS로 설정해야 합니다.

Nano 서버 VHDX 파일을 실제 컴퓨터에 복사하고 다음과 같이 해당 컴퓨터에서 부팅되도록 구성합니다.

  1. 파일 탐색기에서 생성된 VHDX를 마우스 오른쪽 단추로 클릭하고 탑재를 선택합니다. 이 예에서는 D:\ 아래에 탑재됩니다.

  2. bcdboot d:\windows를 실행합니다.

  3. VHDX 파일을 마우스 오른쪽 단추로 클릭하고 꺼내기를 선택하여 파일을 꺼냅니다.

컴퓨터를 다시 시작하여 Nano 서버로 부팅합니다. 이제 Nano 서버가 준비되었습니다.

IP 주소 가져오기

Nano 서버 IP 주소를 가져오거나 관리할 서버 이름을 사용해야 합니다.

  • Nano 이미지를 만들 때 입력한 관리자 계정과 암호를 사용하여 복구 콘솔에 로그온합니다.

  • Nano 서버 컴퓨터의 IP 주소를 가져오고 Windows PowerShell 원격 기능 또는 기타 원격 관리 도구를 사용하여 Nano 서버에 연결하고 원격으로 관리합니다.

원격 관리

Nano 서버에서 Get-PlatformIdentifier 같은 명령을 실행하려면 Windows PowerShell 원격 기능을 사용하는 그래픽 사용자 인터페이스가 포함된 운영 체제를 실행하는 별도의 관리 서버에서 Nano 서버에 연결해야 합니다.

관리 서버에서 Windows PowerShell 원격 세션을 시작할 수 있게 하려면:

Set-Item WSMan:\localhost\Client\TrustedHosts <nano server ip address or name>

이 cmdlet은 관리 서버에서 한 번만 실행하면 됩니다.

원격 세션을 시작하려면:

Enter-PSSession -ComputerName <nano server name or ip address> -Credential <nano server>\administrator

경우에 따라 앞에서 말한 cmdlet을 실행할 때 액세스 거부 오류가 발생할 수 있습니다. Nano 서버 복구 콘솔에 로그온하여 WinRM 옵션을 선택하면 Nano 서버의 WinRM 설정과 방화벽 규칙을 다시 설정할 수 있습니다.

다음 단계

호스트 성공적으로 알 수 있듯이 확인

참조 하십시오

© 2017 Microsoft