Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Chronione maszyny wirtualne — Generowanie pliku odpowiedzi za pomocą funkcji New-ShieldingDataAnswerFile

Ryan Puffer|Ostatnia aktualizacja: 14.04.2017
|
1 Współautor

Dotyczy: Windows Server 2016

W ramach procesu konfiguracji chronionych maszyn wirtualnych, może być konieczne Utwórz plik odpowiedzi specjalizacji maszyny wirtualnej (VM),unattend.xml. New-ShieldingDataAnswerFile funkcji programu Windows PowerShell ułatwia to zrobić. Mogą być następnie użyj pliku odpowiedzi podczas tworzenia chronionych maszyn wirtualnych z szablonu za pomocą programu System Center Virtual Machine Manager (lub dowolnego innego kontrolera sieci szkieletowej).

Aby uzyskać ogólne wytyczne dotyczące plików instalacji nienadzorowanej dla chronionych maszyn wirtualnych, zobacz Utwórz plik odpowiedzi.

Pobieranie funkcji New-ShieldingDataAnswerFile

Aby pobrać New-ShieldingDataAnswerFile funkcji, przejdź do:

https://www.powershellgallery.com/packages/GuardedFabricTools

unattend.xmlDane wyjściowe można umieszczone w ochrony danych, oraz dodatkowe artefaktów, dzięki czemu może służyć do tworzenia chronionych maszyn wirtualnych za pomocą szablonów.

W poniższych sekcjach opisano, jak można użyć parametrów funkcji unattend.xmlplik zawierający różne opcje:

Można także przejrzeć działać parametryw dalszej części tego tematu.

Plik odpowiedzi bez przyłączania do domeny

Utwórz następujące polecenia unattend.xmlpliku, który nie przyłączyć się do domeny na zakończenie inicjowania. Należy zauważyć, że certyfikat protokołu RDP znajduje się w C:\myRDP.pfxz hasłemRDPPassword1. Ten certyfikat udowodni, że jest to maszyny Wirtualnej, po podłączeniu do maszyny Wirtualnej za pomocą protokołu RDP.

$myadminpwd = ConvertTo-SecureString "AdminPassword1" -AsPlainText -Force
$myRDPCertpwd = ConvertTo-SecureString "RDPPassword1" -AsPlainText -Force

New-ShieldingDataAnswerFile -AdminPassword $myadminpwd -RDPCertificateFilePath C:\myRDP.pfx -RDPCertificatePassword $myRDPCertpwd

Plik odpowiedzi, który zawiera przyłączania do domeny

Utwórz następujące polecenia unattend.xmlpliku, który jest dołączany do domeny na zakończenie inicjowania. W tym przykładzie jest domeny, która ma być częścią contoso.comi nazwa użytkownika jestCONTOSO\MyUsername. Należy zauważyć, że certyfikat protokołu RDP znajduje się w C:\myRDP.pfxz hasłemRDPPassword1.

$myadminpwd = ConvertTo-SecureString "AdminPassword1" -AsPlainText -Force
$mydomainpwd = ConvertTo-SecureString "UserPassword1" -AsPlainText -Force
$mydomaincreds = New-Object System.Management.Automation.PSCredential("CONTOSO\MyUsername", $mydomainpwd)
$myRDPCertpwd = ConvertTo-SecureString "RDPPassword1" -AsPlainText -Force

New-ShieldingDataAnswerFile -AdminPassword $myadminpwd -DomainJoin contoso.com -DomainJoinCredential $mydomaincreds -RDPCertificateFilePath C:\myRDP.pfx -RDPCertificatePassword $myRDPCertpwd

Plik odpowiedzi, który używa statyczny adres IP

Utwórz następujące polecenia unattend.xmlpliku, który nie przyłączyć się do domeny na zakończenie inicjowania i ma statyczny adres IP.

Menedżer maszyny wirtualnej zawiera trzy składniki statyczny adres IP przy użyciu puli IP: IPv4 adres, adres bramy i adres serwera DNS. Jeśli chcesz, aby wszystkie dodatkowe pola, które mają zostać uwzględnione, takie jak adres IPv6, należy ręcznie edytować wynikowy unattend.xmlpliku.

Następujące zrzuty ekranu Pokaż pule adresów IP można skonfigurować w Menedżerze maszyny wirtualnej. Pule te są konieczne, jeśli ma być używany statyczny adres IP.

Obecnie funkcję obsługuje tylko jeden serwer DNS. Poniżej opisano, jak będą wyglądać ustawienia DNS:

Konfigurowanie serwera DNS z puli statycznej IP

Poniżej opisano, jak będą wyglądać na stronie Podsumowanie tworzenia statycznej puli adresów IP. Krótko mówiąc musi mieć tylko jedną sieć trasy, jedna brama i jednego serwera DNS — i podaj swój adres IP.

Podsumowanie statyczne tworzenie puli IP

Należy skonfigurować karty sieciowej dla maszyny wirtualnej. Poniższy zrzut ekranu przedstawia gdzie tej konfiguracji i sposobu przełączania go na statyczny adres IP.

Konfigurowanie sprzętu do użycia statyczny adres IP

Możesz użyć funkcji za pomocą przełącznika -StaticIPwłączona. Funkcja będzie wypełniać unattend.xmlpliku z konfiguracji statycznego adresu IP. Parametry @IPAddr-1@, @NextHop-1-1@, i @DNSAddr-1-1@w unattend.xmlnastępnie zostanie przetłumaczony prawdziwe wartości, które określone w Menedżerze maszyny wirtualnej.

New-ShieldingDataAnswerFile -AdminPassword $myadminpwd -RDPCertificateFilePath C:\myRDP.pfx -RDPCertificatePassword $myRDPCertpwd -StaticIP

WARNING: You have enabled StaticIP.
For this answer file, we expect you to configure the VMM to contain only a single NIC and to have your Static IP Pool setup correctly. You should have configured on VMM to have one DNS server address and IPv4 static IP address. You can modify these values from the answer file if you want to do it manually:
    @IP4Addr-1@
    @MACAddr-1@
    @Prefix-1-1@
    @NextHop-1-1@
    @DnsAddr-1-1@

Plik odpowiedzi, który zawiera skrypt instalacyjny

Utwórz następujące polecenia unattend.xmlpliku, który będzie uruchamiany skrypt programu Windows PowerShell, które muszą być zawarte w pliku danych ochrony.

New-ShieldingDataAnswerFile -AdminPassword $myadminpwd -RDPCertificateFilePath C:\myRDP.pfx -RDPCertificatePassword $myRDPCertpwd -SetupScriptFilePath C:\myscript.ps1

Poniższy zrzut ekranu pokazuje, jak dodać skrypt do ochrony pliku danych za pomocą Kreatora osłony plików danych. Otworzyć kreatora, zgodnie z opisem w Utwórz plik danych ochrony i Dodaj opiekunów kontroli, a następnie dodaj opiekunów kontroli. W wartości specjalizacji kliknij pozycję Dodaj i wybierz żądaną skryptu.

Dodawanie skryptu konfiguracyjnego na wartości specjalizacji Kreator plik danych ochrony

Należy zauważyć, że nazwa skryptu musi być taka sama jak skrypt, który będzie zawierać w pliku danych ochrony. Proces instalacji zostanie umieszczony plik C:\Tempi unattend.xmlpliku wywoła skrypt programu Windows PowerShell w tym miejscu. unattend.xmlPliku dołączy polecenia programu Windows PowerShell, aby uruchomić skrypt na SetupComplete.cmdpliku. To polecenie jest uruchamiane po zakończeniu instalacji.

Uwaga

Firma Microsoft zaleca, aby dodać Start-Transcriptpolecenia w skrypcie, dzięki czemu można zobaczyć dane wyjściowe skryptów. Może to być przydatne w przypadku debugowania. Aby uzyskać więcej informacji, zobacz Start wykaz.

Plik odpowiedzi, który służy do konfigurowania kopii zapasowej hasła odzyskiwania funkcji BitLocker

Jeśli maszyna wirtualna jest przyłączony do domeny, można skonfigurować szyfrowanie dysków funkcją BitLocker, aby utworzyć kopię zapasową hasła odzyskiwania dla dysku, który korzysta z funkcji BitLocker. Aby włączyć tę w Twojej unattend.xmlpliku, należy przekazać w przełączniku BackupBitLockerKeyProtectorpodobnie do następującej:

New-ShieldingDataAnswerFile -AdminPassword $myadminpwd -DomainJoin contoso.com -DomainJoinCredential $mydomaincreds -RDPCertificateFilePath C:\myRDP.pfx -RDPCertificatePassword $myRDPCertpwd -BackupBitLockerKeyProtector

Po zakończeniu instalacji i użytkownik zalogował się, możesz sprawdzić następujące pliku wyjściowego, aby sprawdzić, czy wszystko zostało poprawność wykonania kopii zapasowej:

C:\Windows\Setup\Scripts\BitLockerRecoveryScriptOutput.txt

Oto przykład pomyślne dane wyjściowe wygląda następująco:

Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
WARNING: ACTIONS REQUIRED:

1. Save this numerical recovery password in a secure location away from your computer:

517704-229735-170434-383603-399432-419243-060533-116479

To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.


   ComputerName: DJRDP

VolumeType        Mount CapacityGB VolumeStatus    Encryption KeyProtector              AutoUnlockEnabled
                  Point                            Percentage
-----        --- ----- ------    ----- ------              ---------
OperatingSystem   C:    24.55      FullyEncrypted  100        {Tpm, RecoveryPassword}

Można również sprawdzić Podgląd zdarzeń, aby sprawdzić, czy klucz została utworzona kopia zapasowa. Jego powinny wyglądać następująco:

Podgląd zdarzeń, aby sprawdzić klucza funkcji Bitlocker wykonano kopię zapasową pomyślnie usługi Active Directory

Lokalizacja interfejsu API funkcji BitLocker jest Podgląd zdarzeń (lokalny) > Dzienniki aplikacji i usług > Microsoft > Windows > interfejsu API funkcji BitLocker > zarządzania.

Parametry funkcji

Można wyświetlić wszystkie dostępne parametry, za pośrednictwem dokumentację w trybie online lub, odwołując się do funkcji, takich jak to:

Get-Help New-ShieldingDataAnswerFile

Poniżej przedstawiono wszystkie parametry:

ParametrWymagane i opcjonalneOpis
-AdminPassword <SecureString>WymaganeOkreśla administrator & #39; s hasła.
-BackupBitLockerKeyProtectorOpcjonalneJeśli maszyna wirtualna jest przyłączony do domeny, określa, czy do kopii zapasowej hasła odzyskiwania KeyProtector.
-DomainJoin <ciąg>OpcjonalneOkreśla nazwę domeny, której maszyna wirtualna zostanie przyłączony.
-DomainJoinCredential <PSCredential>Opcjonalnie (Jeśli wymagany DomainJoin)Określa poświadczenia użytkownika dla przyłączania do domeny.
-DSCConfigurationID <ciąg>OpcjonalneOkreśla identyfikator konfiguracji serwera ściągania DSC.
-DSCPullServerURL <ciąg>OpcjonalneOkreśla nazwę serwera ściągania DSC z w celu ściągania.
-Język <ciąg>OpcjonalneOkreśla język systemu operacyjnego.
-Path <ciąg>Opcjonalnie (wartość domyślna to bieżącą ścieżkę)Określa dane wyjściowe w pliku XML.
-ProductKey <ciąg>Opcjonalnie (wartość domyślna to brak)Określa wartość Brak lub UserSupplied. Brak jest używany licencji zbiorczych i oceny, natomiast UserSupplied będzie podanie klucza produktu za pomocą Menedżera maszyny wirtualnej.
-RDPCertificateFilePath <ciąg>OpcjonalneOkreśla ścieżkę pliku certyfikatu protokołu RDP, który będzie służyć do nawiązania chronionej maszyny Wirtualnej za pośrednictwem protokołu RDP.
-RDPCertificatePassword <SecureString>Opcjonalnie (Jeśli wymagany RDPCertificate)Określa hasło dla certyfikatu protokołu RDP.
-SetupScriptFilePath <ciąg>OpcjonalneOkreśla ścieżkę pliku skryptu programu Windows PowerShell, które będą uruchamiane podczas uruchamiania komputera.
-StaticIPOpcjonalneUstawia statyczny adres IP i określa adres IP.

Zobacz też

© 2017 Microsoft