將受防護網狀架構升級至 Windows Server 2019
本文說明將現有受防護網狀架構從 Windows Server 2016、Windows Server 版本 1709 或 Windows Server 版本 1803 升級至 Windows Server 2019 所需的步驟。
Windows Server 2019 的新功能
當您在 Windows Server 2019 上執行受防護網狀架構時,您可以利用下列數個新功能:
「主機金鑰證明」是我們最新的證明模式,其設計目的是在您的 Hyper-V 主機沒有可用於 TPM 證明的 TPM 2.0 裝置時更輕鬆地執行受防護的虛擬機器。 「主機金鑰證明」會使用金鑰組向 HGS 驗證主機、移除將主機加入 Active Directory 網域的需求、消除 HGS 與公司樹系之間的 AD 信任,以及減少開啟的防火牆埠數目。 「主機金鑰證明」取代了 Active Directory 證明 (已在 Windows Server 2019 中被棄用)。
「V2 證明版本」 - 為了支援「主機金鑰證明」和未來的新功能,我們已將版本設定引入 HGS。 在 Windows Server 2019 上全新安裝 HGS 將導致伺服器使用 v2 證明,這表示它可以支援用於 Windows Server 2019 主機的主機金鑰證明,而且仍然支援 Windows Server 2016 上的 v1 主機。 就地升級到 2019 會保留版本 v1,直到您手動啟用 v2 為止。 大部分 Cmdlet 現在都有一個 -HgsVersion 參數,可讓您指定是否要使用舊版或新式證明原則。
「支援 Linux 受防護 VM」 - 執行 Windows Server 2019 的 Hyper-V 主機可以執行 Linux 受防護的 VM。 雖然 Linux 受防護的 VM 自 Windows Server 版本 1709 以來就已存在,但 Windows Server 2019 是第一個支援它們的長期服務通道版本。
「分公司改進功能」 - 我們透過支援離線受防護的 VM 和 Hyper-V 主機上的後援設定,讓在分公司中執行受防護的 VM 變得更加容易。
「TPM 主機繫結」 - 為了獲得最安全的工作負載 (在當中您希望受防護的 VM 只在建立它的第一台主機上執行,而不在其他主機上執行),您現在可以使用主機的 TPM 將 VM 繫結到該主機。 這最適合用於需要具有特殊許可權才能存取受保護的工作站和分公司資源的工作負載,而不是需要在主機之間移轉的一般資料中心工作負載。
相容性矩陣
在將受防護網狀架構升級至 Windows Server 2019 之前,請先檢閱下列的相容性矩陣,以查看您的設定是否受支援。
| WS2016 HGS | WS2019 HGS | |
|---|---|---|
| WS2016 Hyper-V 主機 | 支援 | 受支援1 |
| WS2019 Hyper-V 主機 | 不受支援2 | 支援 |
1 Windows Server 2016 主機只能使用 v1 證明通訊協定來針對 Windows Server 2019 HGS 伺服器進行證明。 Windows Server 2016 主機不支援 v2 證明通訊協定中專有的新功能 (包括主機金鑰證明)。
2 Microsoft 發現存在一個問題,該問題會阻止使用 TPM 證明的 Windows Server 2019 主機順利針對 Windows Server 2016 HGS 伺服器進行證明。 此限制將在 Windows Server 2016 的未來更新中解決。
將 HGS 升級至 Windows Server 2019
建議在升級 Hyper-V 主機之前先將 HGS 叢集升級到 Windows Server 2019,以確保所有主機 (無論是執行 Windows Server 2016 還是 2019) 都可以繼續順利進行證明。
升級 HGS 叢集會要求您在升級時一次暫時從叢集中移除一個節點。 這會降低叢集回應來自 Hyper-V 主機的要求的能力,且可能導致對租用戶回應時間變慢或服務中斷。 在升級 HGS 伺服器之前,請確定您有足夠的容量可處理證明和金鑰發佈要求。
若要升級 HGS 叢集,請在叢集的每個節點上執行下列步驟 (一次一個節點):
- 在提升權限的 PowerShell 提示字元中執行
Clear-HgsServer,以從叢集中移除 HGS 伺服器。 此 Cmdlet 會從容錯移轉叢集中移除 HGS 複寫的存放區、HGS 網站和節點。 - 如果您的 HGS 伺服器是網域控制站 (預設組態),則需要在要升級的第一個節點上執行
adprep /forestprep和adprep /domainprep來為作業系統升級準備網域。 如需詳細資訊,請參閱 Active Directory Domain Services 升級文件。 - 執行升級為 Windows Server 2019 的就地升級。
- 執行 Initialize-HgsServer,將節點重新加入叢集中。
將所有節點升級為 Windows Server 2019 之後,您可以選擇性地將 HGS 版本升級為 v2,以支援「主機金鑰證明」等新功能。
Set-HgsServerVersion v2
將 Hyper-V 主機升級為 Windows Server 2019
在將 Hyper-V 主機升級為 Windows Server 2019 之前,請確定您的 HGS 叢集已升級為 Windows Server 2019,而且您已將所有 VM 移出 Hyper-V 伺服器。
- 如果您在伺服器上使用「Windows Defender 應用程式控制」程式碼完整性原則 (使用 TPM 證明時始終如此),請確定該原則處於稽核模式或停用狀態,然後再嘗試升級伺服器。 了解如何停用 WDAC 原則
- 請遵循 Windows Server 升級內容中的指引,將您的主機升級為 Windows Server 2019。 如果您的 Hyper-V 主機是容錯移轉叢集的一部分,請考慮使用叢集作業系統輪流升級。
- 測試並重新啟用「Windows Defender 應用程式控制」原則 (如果您在升級之前已啟用的話)。
- 執行
Get-HgsClientConfiguration以檢查是否 IsHostGuarded = True,這表示該主機已順利向 HGS 伺服器通過證明。 - 如果您使用 TPM 證明,則可能需要在升級後重新擷取 TPM 基準或程式碼完整性原則才能通過證明。
- 再次開始在主機上執行受防護的 VM!
切換為主機金鑰證明
如果您目前正在執行 Active Directory 型的證明,且想要升級為「主機金鑰證明」,請遵循下列步驟。 請注意,Active Directory 型的證明已在 Windows Server 2019 中棄用,而且可能會在未來版本中移除。
透過執行以下命令以確保 HGS 伺服器在 v2 證明模式下運作。 即使 HGS 伺服器升級為 v2,現有的 v1 主機也將繼續進行證明。
Set-HgsServerVersion v2從每台 Hyper-V 主機產生主機金鑰,並向 HGS 註冊它們。 由於 HGS 仍在 Active Directory 模式下運作,因此您會收到一則警告,指出新的主機金鑰不會立即生效。 這是刻意的,因為在所有主機都可以順利使用主機金鑰進行證明之前,您不想變更為主機金鑰模式。
一旦為每台主機註冊了主機金鑰之後,您就可以將 HGS 設為使用主機金鑰證明模式:
Set-HgsServer -TrustHostKey如果您在主機金鑰模式下遇到問題,且需要還原回到 Active Directory 型的證明,請對 HGS 執行下列命令:
Set-HgsServer -TrustActiveDirectory