Обновление защищенной структуры до Windows Server 2019

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этой статье описаны шаги, необходимые для обновления существующей защищенной структуры с Windows Server 2016, Windows Server версии 1709 или Windows Server версии 1803 до Windows Server 2019.

Новые возможности Windows Server 2019

При запуске защищенной структуры в Windows Server 2019 вы можете воспользоваться несколькими новыми функциями:

Аттестация ключей узла — это наш новейший режим аттестации , предназначенный для упрощения запуска экранированных виртуальных машин, когда на узлах Hyper-V нет устройств TPM 2.0, доступных для аттестации доверенного платформенного модуля. Аттестация ключей узла использует пары ключей для проверки подлинности узлов с помощью HGS, удаление требования к присоединению узлов к домену Active Directory, устранение доверия AD между HGS и корпоративным лесом и уменьшение числа открытых портов брандмауэра. Аттестация ключей узла заменяет аттестацию Active Directory, которая не рекомендуется использовать в Windows Server 2019.

Версия аттестации версии 2. Для поддержки аттестации ключей узла и новых функций в будущем мы ввели управление версиями в HGS. Новая установка HGS на Windows Server 2019 приведет к тому, что сервер будет использовать аттестацию версии 2, что означает, что она может поддерживать аттестацию ключей узла для узлов Windows Server 2019 и по-прежнему поддерживать узлы версии 1 в Windows Server 2016. Обновление на месте до версии 2019 останется в версии 1 до тех пор, пока не включите версию 2 вручную. Большинство командлетов теперь имеют параметр -HgsVersion, который позволяет указать, требуется ли работать с устаревшими или современными политиками аттестации.

Поддержка экранированных виртуальных машин Linux — узлы Hyper-V под управлением Windows Server 2019 могут запускать экранированные виртуальные машины Linux. Хотя экранированные виртуальные машины Linux были вокруг с Windows Server версии 1709, Windows Server 2019 является первым выпуском канала долгосрочного обслуживания для их поддержки.

Улучшения филиала. Мы облегчили запуск экранированных виртуальных машин в филиалах с поддержкой автономных экранированных виртуальных машин и резервных конфигураций на узлах Hyper-V.

Привязка узла TPM — для наиболее безопасных рабочих нагрузок, где требуется экранированная виртуальная машина запускаться только на первом узле, где она была создана, но не другая, теперь можно привязать виртуальную машину к тому узлу с помощью доверенного платформенного модуля узла. Это лучше всего используется для рабочих станций привилегированного доступа и филиалов, а не для общих рабочих нагрузок центра обработки данных, которые необходимо перенести между узлами.

Матрица совместимости

Перед обновлением защищенной структуры до Windows Server 2019 просмотрите следующую матрицу совместимости, чтобы узнать, поддерживается ли конфигурация.

	WS2016 HGS	WS2019 HGS
Узел Hyper-V WS2016	Поддерживается	Поддерживается1
Узел Hyper-V WS2019	Неподдерживаемый2	Поддерживается

¹ Узлы Windows Server 2016 могут тестовать только серверы HGS Windows Server 2019 с помощью протокола аттестации версии 1. Новые функции, которые доступны исключительно в протоколе аттестации версии 2, включая аттестацию ключей узла, не поддерживаются для узлов Windows Server 2016.

² Корпорация Майкрософт знает о проблеме, препятствующей узлам Windows Server 2019, использующим аттестацию доверенного платформенного модуля, успешно протестовать на сервере HGS Windows Server 2016. Это ограничение будет устранено в будущем обновлении для Windows Server 2016.

Обновление HGS до Windows Server 2019

Перед обновлением узлов Hyper-V рекомендуется обновить кластер HGS до Windows Server 2019, чтобы убедиться, что все узлы, независимо от того, работают ли они под управлением Windows Server 2016 или 2019, могут успешно проверить.

При обновлении кластера HGS потребуется временно удалить один узел из кластера во время обновления. Это приведет к снижению емкости кластера для реагирования на запросы узлов Hyper-V и может привести к замедлению времени отклика или сбоям служб для клиентов. Убедитесь, что у вас достаточно емкости для обработки запросов аттестации и выпуска ключей перед обновлением сервера HGS.

Чтобы обновить кластер HGS, выполните следующие действия на каждом узле кластера:

1. Удалите сервер HGS из кластера, выполнив Clear-HgsServer запрос PowerShell с повышенными привилегиями. Этот командлет удаляет реплицированное хранилище HGS, веб-сайты HGS и узел из отказоустойчивого кластера.
2. Если сервер HGS является контроллером домена (конфигурация по умолчанию), необходимо запустить adprep /forestprep и adprep /domainprep на первом узле, обновляемом для подготовки домена к обновлению ОС. Дополнительные сведения см. в документации по обновлению служб домен Active Directory.
3. Выполните обновление на месте до Windows Server 2019.
4. Запустите initialize-HgsServer , чтобы присоединить узел к кластеру.

После обновления всех узлов до Windows Server 2019 можно при необходимости обновить версию HGS до версии 2, чтобы обеспечить поддержку новых функций, таких как аттестация ключей узла.

Set-HgsServerVersion  v2

Обновление узлов Hyper-V до Windows Server 2019

Перед обновлением узлов Hyper-V до Windows Server 2019 убедитесь, что кластер HGS уже обновлен до Windows Server 2019 и перемещены все виртуальные машины с сервера Hyper-V.

1. Если на сервере используются политики целостности кода управления приложениями в Защитнике Windows (всегда это происходит при аттестации доверенного платформенного модуля), убедитесь, что политика находится в режиме аудита или отключена перед попыткой обновления сервера. Узнайте, как отключить политику WDAC
2. Следуйте инструкциям в содержимом обновления Windows Server, чтобы обновить узел до Windows Server 2019. Если узел Hyper-V является частью отказоустойчивого кластера, рассмотрите возможность использования последовательного обновления операционной системы кластера.
3. Проверьте и повторно включите политику управления приложениями в Защитнике Windows, если вы включили ее перед обновлением.
4. Запустите Get-HgsClientConfiguration , чтобы проверить, является ли IsHostGuarded = True, то есть узел успешно передает аттестацию серверу HGS.
5. Если вы используете аттестацию доверенного платформенного модуля, возможно, потребуется повторно записать базовую базу TPM или политику целостности кода после обновления, чтобы передать аттестацию.
6. Снова запустите экранированные виртуальные машины на узле!

Переключение на аттестацию ключей узла

Выполните приведенные ниже действия, если в настоящее время выполняется аттестация на основе Active Directory и хотите перейти на аттестацию ключей узла. Обратите внимание, что аттестация на основе Active Directory устарела в Windows Server 2019 и может быть удалена в будущем выпуске.

1. Убедитесь, что сервер HGS работает в режиме аттестации версии 2, выполнив следующую команду. Существующие узлы версии 1 будут продолжать тестировать, даже если сервер HGS обновляется до версии 2.

   Set-HgsServerVersion v2
   

2. Создайте ключи узлов из каждого узла Hyper-V и зарегистрируйте их в HGS. Так как HGS по-прежнему работает в режиме Active Directory, вы получите предупреждение о том, что новые ключи узлов не являются немедленно эффективными. Это намеренно, так как вы не хотите изменять режим ключа узла до тех пор, пока все узлы не смогут убедиться в успешном использовании ключей узлов.

3. После регистрации ключей узлов для каждого узла можно настроить HGS для использования режима аттестации ключей узла:

   Set-HgsServer -TrustHostKey
   

   Если возникают проблемы с режимом ключа узла и необходимо вернуться к аттестации на основе Active Directory, выполните следующую команду в HGS:

   Set-HgsServer -TrustActiveDirectory