Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Tworzenie grupy zabezpieczeń dla chronionych hostów

Ryan Puffer|Ostatnia aktualizacja: 14.04.2017
|
1 Współautor

W tym temacie opisano kroki pośrednie, które administrator sieci szkieletowej przejście do przygotowania hosty funkcji Hyper-V w celu staną się hostami chronionymi przy użyciu zaświadczanie (Tryb AD). Przed wykonaniem poniższych czynności należy wykonać kroki opisane w Konfigurowanie systemu DNS sieci szkieletowej dla hostów, które staną się hostami chronionymi.

Wymagania wstępne

Hosty funkcji Hyper-V musi spełniać następujące wymagania wstępne w trybie AD:

  • Sprzęt: dowolnego serwera uruchamiania funkcji Hyper-V w systemie Windows Server 2016. Jeden host będzie wymagane do wdrożenia początkowej. Przeprowadzanie migracji na żywo funkcji Hyper-V dla chronionych maszyn wirtualnych, potrzebne są co najmniej dwa hosty.

  • System operacyjny: Windows Server 2016 Datacenter edition

  • Roli i funkcji: rola funkcji Hyper-V i funkcję obsługi funkcji Hyper-V ochrona hosta, która jest dostępna tylko w systemie Windows Server 2016 Datacenter edition.

Ostrzeżenie

Funkcja obsługi funkcji Hyper-V ochrona hosta umożliwia opartych na wirtualizacji ochroną integralności kodu, które mogą być niezgodne z niektórych urządzeń. Zdecydowanie zaleca się testowanie tej konfiguracji w środowisku laboratoryjnym przed włączeniem tej funkcji. Niewykonanie tej czynności może spowodować nieoczekiwane błędy, łącznie z utratą danych lub błąd niebieskiego ekranu (zwany również błędem zatrzymania). Aby uzyskać więcej informacji, zobacz sprzęt zgodny z ochrony spójności kodu opartej na wirtualizacja systemu Windows Server 2016.

Utwórz grupę zabezpieczeń i dodać hosty

  1. Utwórz nowy GLOBAL zabezpieczeń grupy w domenie sieci szkieletowej i dodać hosty funkcji Hyper-V, które będą działać chronionych maszyn wirtualnych. Uruchom ponownie hosty zaktualizować członkostwa w grupach.

  2. Aby uzyskać identyfikator zabezpieczeń (SID) grupy zabezpieczeń i przekazywanie ich do administratora usługi Ochrona hosta, należy użyć Get-ADGroup.

     Get-ADGroup "Guarded Hosts"
    

    Polecenie Get-AdGroup z danych wyjściowych

Konfigurowanie serwera Nano Server jako chronionego hosta

Dostępnych jest kilka metod wdrażania serwera Nano Server. Ta sekcja jest zgodna z instrukcją Nano Server — szybki start. W skrócie — utworzysz plik VHDX za pomocą polecenia cmdlet New-NanoServerImage, a na komputerze fizycznym zmodyfikujesz wpis rozruchu, aby ustawić domyślną opcję rozruchu na plik VHDX. Wszystkie funkcje zarządzania serwerem Nano Server są realizowanie zdalnie za pomocą środowiska Windows PowerShell.

Uwaga

Nano Server może obsługiwać tylko chronione maszyny wirtualne w chronionej sieci szkieletowej; nie może być używany do obsługi chronionych maszyn wirtualnych bez usługi Ochrona hosta w celu odblokowania urządzeń wirtualnych modułu TPM. Oznacza to, że nie można używać serwera Nano Server do tworzenia nowych chronionych maszyn wirtualnych lokalnie i przenoszenia ich do chronionej sieci szkieletowej, ponieważ Nano Server nie obsługuje lokalnego materiału klucza do uruchamiania chronionych maszyn wirtualnych.

Tworzenie obrazu serwera Nano Server

Te kroki pochodzą z instrukcji Nano Server — szybki start:

  1. Skopiuj folder NanoServerImageGenerator z folderu \NanoServer w obrazie ISO systemu Windows Server 2016 do folderu na używanym dysku twardym.

  2. Uruchom program Windows PowerShell jako administrator, zmień katalog na folder, w którym został umieszczony folder NanoServerImageGenerator (np. c:\NanoServer\NanoServerImageGenerator), a następnie uruchom:

    Import-Module .\NanoServerImageGenerator -Verbose
    
  3. Utwórz obraz Nano Server przy użyciu zestawu następujących poleceń:

    $mediapath = <location of the mounted ISO image, e.g. E:\>
    
    New-NanoServerImage -MediaPath $mediapath -TargetPath <nanoVHD path> -ComputerName "<nanoserver name>" -OEMDrivers -Compute -DeploymentType Host -Edition Datacenter -Packages Microsoft-NanoServer-SecureStartup-Package, Microsoft-NanoServer-ShieldedVM-Package -EnableRemoteManagementPort -DomainName <Domain Name>
    

    Wykonanie polecenia potrwa kilka minut.

Po określeniu nazwy domeny, Nano Server zostanie przyłączony do określonej domeny. W tym celu komputer, na którym uruchomiono polecenie cmdlet, powinien być przyłączony do tej samej domeny. Dzięki temu polecenie cmdlet jest w stanie zebrać obiekt blob domeny z komputera lokalnego. Jeśli zamierzasz użyć trybu modułu TPM, nie trzeba przyłączać serwera Nano Server do domeny. W trybie AD Nano Server musi być przyłączony do domeny.

Konfigurowanie menu rozruchu

Po utworzeniu obrazu systemu Nano Server, należy ustawić go jako domyślną opcję rozruchu systemu operacyjnego.

Skopiuj plik VHDX systemu Nano Server na komputer fizyczny i skonfiguruj do rozruchu z tego komputera:

  1. W Eksploratorze plików kliknij prawym przyciskiem wygenerowany dysk VHDX i wybierz Zainstaluj. W tym przykładzie dysk został instalowany jako D:\.

  2. Uruchom polecenie: bcdboot d:\windows

  3. Kliknij prawym przyciskiem myszy plik VHDX i wybierz Wysuń, aby go odinstalować.

Uruchom ponownie komputer, aby uruchomić do systemu Nano Server. Teraz system Nano Server jest gotowy.

Uzyskiwanie adresu IP

Musisz uzyskać adres IP systemu Nano Server lub użyć nazwy serwera do zarządzania.

  • Zaloguj się do konsoli odzyskiwania przy użyciu konta i hasła administratora podanych przy tworzeniu obrazu Nano.

  • Uzyskaj adres IP komputera serwera z systemem Nano Server i użyj komunikacji zdalnej programu Windows PowerShell lub innych narzędzi do zarządzania zdalnego w celu nawiązania połączenia z systemem Nano Server i zdalnego nią zarządzania.

Zarządzanie zdalne

Aby uruchomić polecenia w systemie Nano Server, np. Get-PlatformIdentifier, trzeba połączyć się z systemem Nano Server z oddzielnego serwera zarządzania z systemem operacyjnym z graficznym interfejsem użytkownika przy użyciu komunikacji zdalnej programu Windows PowerShell.

Aby włączyć serwer zarządzania, by uruchomić sesję komunikacji zdalnej programu Windows PowerShell:

Set-Item WSMan:\localhost\Client\TrustedHosts <nano server ip address or name>

Wystarczy uruchomić to polecenie cmdlet raz na serwerze zarządzania.

Aby rozpocząć sesję zdalną:

Enter-PSSession -ComputerName <nano server name or ip address> -Credential <nano server>\administrator

Czasami po uruchomieniu powyższych poleceń może być wyświetlany komunikat o odmowie dostępu. Można zresetować ustawienia WinRM i reguły zapory sieciowej w systemie Nano Server, logując się do konsoli odzyskiwania systemu Nano Server i wybierając opcję WinRM.

Następny krok

Upewnij się, że hosty mogą poświadczać pomyślnie

Zobacz też

© 2017 Microsoft