Etablera avskärmade virtuella datorer i VMM-infrastrukturresurserna

Den här artikeln beskriver hur du distribuerar avskärmade virtuella datorer i beräkningsinfrastrukturen för System Center Virtual Machine Manager (VMM).

Du kan distribuera skärmade virtuella datorer i VMM på ett par olika sätt:

• Konvertera en befintlig virtuell dator till en avskärmad virtuell dator.
• Skapa en ny skärmad virtuell dator med hjälp av en signerad virtuell dators hårddisk (VHDX) och eventuellt en mall för virtuella datorer.

Innan du börjar

Titta på en video som ger en snabb, två minuters översikt över etablering av avskärmade virtuella datorer i VMM. Kontrollera sedan att du har gjort följande:

1. Förbered en HGS-server: Du bör ha en HGS-server distribuerad. Läs mer.

2. Konfigurera VMM: Du måste konfigurera globala HGS-inställningar i VMM och konfigurera minst en skyddad värd. Om skyddade värdar tillhör ett moln bör molnet vara aktiverat för att stödja avskärmade virtuella datorer. Läs mer.

3. Förbered en avskärmad VHDX- och VM-mall: Du bör distribuera avskärmade virtuella datorer från en avskärmad virtuell hårddisk (VHDX) och eventuellt använda en mall för virtuella datorer. Läs mer om hur du förbereder dem.

   Not

   Du kan inte använda en tjänstmall för att skapa en avskärmad virtuell dator. Använd ett skript i stället.

4. Förbered avskärmningsdatafiler: För att använda de signerade malldiskarna i VMM-biblioteket måste hyresgäster förbereda en eller flera avskärmningsdatafiler. Den här filen innehåller alla hemligheter som en klientorganisation behöver för att distribuera en virtuell dator, inklusive den obevakade fil som används för att specialisera den virtuella datorn, certifikat och administratörskontolösenord. Filen anger också vilken skyddad infrastrukturresurs som en klientorganisation litar på för att vara värd för sin virtuella dator och information om de signerade malldiskarna. Filen är krypterad och kan bara läsas av en värd i en skyddad miljö som är betrodd av hyresgästen. Läs mer.

5. Konfigurera värdgrupp: För enkel hantering rekommenderar vi att skyddade värdar placeras i en dedikerad VMM-värdgrupp.

6. Verifiera befintliga krav för virtuella datorer: Observera följande om du vill konvertera en befintlig virtuell dator till avskärmad:

   • Den virtuella datorn måste vara generation 2 och ha Microsoft Windows Secure Boot-mallen aktiverad
   • Operativsystemet på disken måste vara något av:
   • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
   • Windows 10, Windows 8.1, Windows 8
   • Os-disken för den virtuella datorn måste använda GUID-partitionstabellen. Detta krävs för att virtuella datorer i generation 2 ska ha stöd för UEFI.
   • Den virtuella datorn måste vara generation 2 och ha Microsoft Windows Secure Boot-mallen aktiverad
   • Operativsystemet på disken måste vara något av:
   • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
   • Windows 10
   • Os-disken för den virtuella datorn måste använda GUID-partitionstabellen. Detta krävs för att virtuella datorer i generation 2 ska ha stöd för UEFI.
   • Den virtuella datorn måste vara generation 2 och ha Microsoft Windows Secure Boot-mallen aktiverad
   • Operativsystemet på disken måste vara något av:
     • Windows Server 2022, Windows Server 2019, Windows Server 2016
     • Windows 11, Windows 10
   • Os-disken för den virtuella datorn måste använda GUID-partitionstabellen. Detta krävs för att virtuella datorer i generation 2 ska ha stöd för UEFI.
   • Den virtuella datorn måste vara generation 2 och ha microsoft Windows Secure Boot-mallen aktiverad
   • Operativsystemet på disken måste vara något av:
     • Windows Server 2025, Windows Server 2022, Windows Server 2019
     • Windows 11, Windows 10
   • Os-disken för den virtuella datorn måste använda GUID-partitionstabellen. Detta krävs för att virtuella datorer i generation 2 ska ha stöd för UEFI.

7. Konfigurera hjälp-VHD: Värdtjänstleverantören måste skapa en virtuell maskin som fungerar som en hjälp-VHD för konverteringen av de befintliga datorerna. Läs mer.

Lägga till avskärmningsdatafiler i VMM

Innan du kan konvertera en befintlig virtuell dator till en avskärmad virtuell dator eller etablera en ny avskärmad virtuell dator från en mall måste den virtuella datorns ägare generera en avskärmningsdatafil och lägga till den i VMM.

Om du inte redan har importerat en avskärmningsdatafil utför du följande steg:

1. Skapa en avskärmningsdatafil om du inte redan har en. Se till att avskärmningsdatafilen auktoriserar värdinfrastrukturen VMM hanterar för att köra dina avskärmade virtuella datorer.
2. I VMM-konsolen väljer du Bibliotek>Importera avskärmningsdata>Bläddra och välj avskärmningsdatafilen.
3. Ange ett eget namn för avskärmningsdatafilen i Namn och lägg eventuellt till en beskrivning. Vi rekommenderar att du anger om avskärmningsdatafilen är avsedd att användas med befintliga eller nya virtuella datorer i dess namn för att göra det lättare att hitta igen.
4. Välj Importera för att spara avskärmningsdata i VMM.

Om du vill hantera dina importerade avskärmningsdatafiler går du till Library>VM Shielding Data (under Profiles).

Etablera en ny avskärmad virtuell dator

1. Se till att du har alla förutsättningar på plats innan du börjar.
2. I virtuella datorer och tjänsterväljer du Skapa virtuell dator för att öppna guiden Skapa virtuell dator.
3. I Välj källa, välj Använd en befintlig virtuell dator, VM-mall eller virtuell hårddisk>Bläddra.
4. Välj en avskärmad mall för virtuella datorer eller en signerad malldisk. Båda identifieras av sköldikonen .
5. I Välj Avskärmningsdatafil, välj Bläddra, och välj en avskärmningsdatafil. Endast datafiler för avskärmning som kan användas för att skapa en ny skärmad virtuell maskin visas. Välj OK>Nästa för att fortsätta.
6. Följ de här anvisningarna för att slutföra guiden och distribuera den virtuella datorn på en värd/moln.

När du har slutfört guiden skapar VMM en ny avskärmad virtuell dator från disken eller mallen:

1. Malldiskfilen (VHDX) kopieras från VMM-biblioteket.
2. Tillämpning av virtuella maskiner dekrypterar data i avskärmningsdatafilen, fyller i eventuella ersättningssträngar i unattend.xml-filen, och kopierar ytterligare filer från avskärmningsdatafilen till operativsystemets enhet (till exempel RDP-certifikatet).
3. Den virtuella datorn startas om, anpassas och krypteras om med BitLocker. Krypteringsnyckeln för full volym i BitLocker lagras i den nya virtuella datorns virtuella TPM.
4. Anpassningen av virtuella datorer är klar när avstängningskommandot i unattend.xml-filen körs. den virtuella datorn förblir avstängd. Om anpassningen fastnar kontrollerar du unattend.xml-filen genom att köra den på en oskärmad virtuell dator eller med hjälp av en avskärmningsdatafil som stöds av kryptering som tillåter konsolåtkomst.
5. När VMM har upptäckt att specialiseringen har slutförts uppdaterar den sin status för att ange att den virtuella datorn har skapats och startar den virtuella datorn om den väljs.

Skydda en befintlig virtuell dator

Du kan aktivera avskärmning för en virtuell dator som för närvarande körs på en värd i VMM-infrastrukturresurserna som inte är skyddad.

1. Se till att du har alla förutsättningar på plats innan du börjar.
2. Koppla från den virtuella datorn.
3. Vi rekommenderar att du aktiverar BitLocker på alla diskar som är anslutna till den virtuella datorn innan du flyttar den till den skyddade värden.
4. Välj den virtuella datorn >Egenskaper>Shield och välj en avskärmningsdatafil.
5. Stäng av den virtuella datorn, exportera från en icke-skyddad värd och importera den till en skyddad värd. Endast en skyddad värd kan komma åt vm-data.

Nästa steg

Läs Hantera inställningar för virtuella datorer för att lära dig hur du konfigurerar prestanda- och tillgänglighetsinställningar för virtuella datorer.