Hyper-V 3.0 (3) – 新增管理帳號及安裝安全性更新

王偉任 (不自量力のWeithenn)

Dn236361.060DE5057573180CEC6D227C6D3E2207(zh-tw,TechNet.10).png

2013年4月

新增本機系統管理員帳號

如同管理其它 Windows Server 主機一樣的管理概念,應該避免使用預設的 Administrator 管理者帳號來管理 Hyper-V Server,因此請建立另一個本機系統管理員群組 Administrators 成員帳號,以減少被暴力密碼猜測工具攻擊的機會:

  1. 在 Server Configuration tool 選單視窗中進行操作請鍵入數字「3」,選擇「新增本機系統管理員」項目。
  2. 輸入新建立的本機系統管理員群組 Administrators 的成員帳號,本文實作所輸入的帳號名稱為「Weithenn」,帳號輸入完畢後接著會彈出視窗,請您設定此管理者帳號的密碼 (需輸入二次密碼以進行密碼一致性確認)。
  3. 接著請切換至命令提示字元鍵入「net user 帳號名稱」指令,查看帳號資訊確認是否屬於 Administrators 管理者群組的成員 (如圖 1 所示)。
  4. 然後預設的管理帳號 Administrator 進行「停用」的動作,請輸入「net user Administrator /ACTIVE :NO」指令,接著再次查看 Adminstrator 帳號資訊您會看到「帳戶使用中」的欄位值由「Yes -> No」,表示該帳戶狀態真的被設定為停用 (如圖 2 所示)。

    Dn236361.8A19CF80DB75B6108018F629BAC6DAD9(zh-tw,TechNet.10).png

    圖1、查看新建立的管理者帳號 Weithenn 其帳號內容

    Dn236361.A2FF6A41014AAF8811C5DDFD9BCA0D58(zh-tw,TechNet.10).png

    圖2、確認預設管理者帳號 Administrator 是否已經停用

變更電腦名稱

預設情況下在安裝過程當中會採用「WIN- + 亂數」的規則,自動給予 Hyper-V Server 電腦名稱 (此實作中電腦名稱便為 WIN-244GI1D2A8C),然而這樣的電腦名稱通常並不符合企業中對於伺服器功能的命名規則。在變更電腦名稱以前先了解一下命名規則,請使用「網際網路主機需求 - 應用程式與支援(RFC-1123)」中定義的任何標準支援字元,並且儘量不要超過「15 個字元」,相關標準支援字元如下:

  • 大寫字母 A 到 Z
  • 小寫字母 a 到 z
  • 數字 0 到 9
  • 連字號(-)

了解電腦名稱的命名規則後,接著便可以準備變更 Hyper-V Server 的電腦名稱:

  1. 請鍵入數字「2」,選擇「電腦名稱」項目。
  2. 接著鍵入「WeithennV-2012」為電腦名稱,此時彈出必須要重新啟動主機才能套用生效的訊息,按下「是」鍵便會立即重新啟動主機。
  3. 當 Hyper-V Server 重新啟動之後,由於剛才已經將預設的 Administrator 管理帳號停用,因此登入畫面僅剩剛才新建立的管理帳號「Weithenn」供您登入 (如圖 3 所示),登入後便可以發現剛才所設定的電腦名稱已經套用生效了 (如圖 4 所示)。

    Dn236361.A3427307CA2F37C64BDC5FA64A8E00AB(zh-tw,TechNet.10).png

    圖3、預設的 Administrator 管理帳號停用,僅剩剛才新建立的管理帳號 Weithenn

    Dn236361.2B391F486DCD1BAC45B643757A9A10F3(zh-tw,TechNet.10).png

    圖4、確認設定的電腦名稱是否套用生效

加入網域或變更工作群組

如果您要將 Hyper-V Server 加入到具備高可用性的容錯移轉叢集當中,那麼您必須要將 Hyper-V Server 加入到 Windows AD 網域當中,並且後續需要鍵入 PowerShell 指令安裝容錯移轉叢集功能,若只是單純的進行伺服器合併的話則不需要或者僅變更工作群組即可 (本次實作便為單機環境),請於 Server Configuration tool 選單視窗中進行操作:

  1. 請鍵入數字「1」,選擇「網域/工作群組」項目。
  2. 接著視您的環境需求鍵入「D > 網域名稱 > 網域管理者帳號 > 網域管理者密碼」以加入網域環境 (加入網域成功後需要重新啟動主機),或者鍵入「W > 工作群組名稱」即可。

    Dn236361.91BFD51976A690F59EDE2A79A3B6A30D(zh-tw,TechNet.10).png

    圖5、將 Hyper-V Server 加入網域或工作群組

設定 Hyper-V Server 允許 Ping 回應

預設情況下 Hyper-V Server 安裝完成後便會自動啟用防火牆功能,預設防火牆的規則為「阻擋進入」的封包「允許出去」的封包 (BlockInbound, AllowOutbound),所以在預設的情況下您無法 ping 到 Hyper-V Server 主機,請進行如下設定即可開啟 Hyper-V Server 主機允許 Ping 封包:

  1. 請鍵入數字「4」,選擇「設定遠端管理」項目。
  2. 接著鍵入數字「3」,選擇「設定伺服器對 Ping 的回應」項目,於彈出視窗按下「是」鍵即可。

    Dn236361.CE77E53521936A357282021372A4CD8F(zh-tw,TechNet.10).png

    圖6、設定 Hyper-V Server 允許 Ping 回應

Windows Update設定

預設情況下 Hyper-V Server 的 Windows Update 安全性更新設定值為 「手動」,當然您可以將其更改為自動,但是筆者並不建議您變更設定,因為 Hyper-V Server 上通常有許多 VM 虛擬主機正在持續運作當中,您應該要將所有 VM 虛擬主機進行關機或者遷移至別台 Hyper-V Server 上運作,確認遷移的 VM 虛擬主機及服務正常運作之後再執行安全性更新 (因為更新完成後 Hyper-V Server 很有可能需要重新啟動):

  1. 請鍵入數字「5」,選擇「Windows Update 設定」項目。
  2. 若要將設定值變更為自動下載安全性更新請鍵入「A」即可,或者鍵入「M」設定為手動更新。

    Dn236361.559981852880402902F2CF514B03F547(zh-tw,TechNet.10).png

    圖7、將 Windows Update 安全性更新設定值設定為手動

下載並安裝安全性更新

當您將所有 VM 虛擬主機進行關機或遷移至別台 Hyper-V Server 主機上運作之後,接著便可以於維護時間執行 Hyper-V Server 安全性更新的動作:

  1. 請鍵入數字「6」,選擇「下載並安裝更新」項目,接著選擇您搜尋更新的方式,本文實作為鍵入「R」也就是僅搜尋建議的更新。
  2. 搜尋更新完畢之後,請鍵入「A」將所有建議的安全性更新進行下載及安裝的動作,安裝完畢之後會彈出視窗提示您必須要重新啟動主機才能套用生效 (如圖 8 所示)。

    Dn236361.152C81E73CA29DC244B1E2D30155F432(zh-tw,TechNet.10).png

    圖8、安全性更新安裝完畢必須要重新啟動主機才能套用生效

文章分類: TechNet – Hyper-V 3.0

顯示: