Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Precis som med vanliga virtuella datorer kan du skapa en mall för virtuella datorer (till exempel en VM-mall i Virtual Machine Manager (VMM)) för att göra det enkelt för klientorganisationer och administratörer att distribuera nya virtuella datorer på infrastrukturresurserna med hjälp av en malldisk. Eftersom avskärmade virtuella datorer är säkerhetskänsliga tillgångar finns det ytterligare steg för att skapa en mall för virtuella datorer som stöder avskärmning. Det här avsnittet beskriver stegen för att skapa en avskärmad malldisk och en VM-mall i VMM.
Information om hur det här avsnittet passar i den övergripande processen för att distribuera avskärmade virtuella datorer finns i Konfigurationssteg för värdtjänstprovider för skyddade värdar och avskärmade virtuella datorer.
Förbereda ett operativsystem VHDX
Förbered först en OS-disk som du sedan ska köra via guiden Skapa avskärmad malldisk. Den här disken används som OS-disk på klientorganisationens virtuella datorer. Du kan använda alla befintliga verktyg för att skapa den här disken, till exempel Microsoft Desktop Image Service Manager (DISM), eller manuellt konfigurera en virtuell dator med en tom VHDX och installera operativsystemet på disken. När du konfigurerar disken måste den uppfylla följande krav som är specifika för generation 2 och/eller avskärmade virtuella datorer:
| Krav för VHDX | Reason |
|---|---|
| Måste vara en GPT-disk (GUID Partition Table) | Behövs för virtuella datorer i generation 2 för att stödja UEFI |
| Disktypen måste vara Basic i stället för Dynamisk. Obs! Detta refererar till den logiska disktypen, inte den "dynamiskt expanderande" VHDX-funktionen som stöds av Hyper-V. |
BitLocker stöder INTE dynamiska diskar. |
| Disken har minst två partitioner. En partition måste innehålla den enhet där Windows är installerat. Det här är den enhet som BitLocker kommer att kryptera. Den andra partitionen är den aktiva partitionen, som innehåller startladdaren och förblir okrypterad så att datorn kan startas. | Behövs för BitLocker |
| Filsystemet är NTFS | Behövs för BitLocker |
| Operativsystemet som är installerat på VHDX är något av följande: – Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 eller Windows Server 2012 – Windows 10, Windows 8.1, Windows 8 |
Behövs för att stödja virtuella datorer i generation 2 och Microsoft Secure Boot-mallen |
| Operativsystemet måste generaliseras (kör sysprep.exe) | Malletablering omfattar specialisering av virtuella datorer för en specifik klientorganisations arbetsbelastning |
Note
Om du använder VMM kopierar du inte malldisken till VMM-biblioteket i det här skedet.
Kör Windows Update på malloperativsystemet
På malldisken kontrollerar du att operativsystemet har alla de senaste Windows-uppdateringarna installerade. Nyligen släppta uppdateringar förbättrar tillförlitligheten hos skyddsprocessen i hela kedjan – en process som möjligen inte kan slutföras om malldriften av operativsystemet inte är up-to-uppdaterat.
Förbereda och skydda VHDX med malldiskguiden
Om du vill använda en malldisk med skärmade virtuella datorer måste disken förberedas och krypteras med BitLocker med hjälp av guiden Skapa avskärmad malldisk. Guiden kommer att generera en hash för disken och lägga till den i en volymsignaturkatalog (VSC). VSC signeras med ett certifikat som du anger och används under etableringsprocessen för att säkerställa att disken som distribueras för en klientorganisation inte har ändrats eller ersatts med en disk som klientorganisationen inte litar på. Slutligen installeras BitLocker på diskens operativsystem (om det inte redan finns där) för att förbereda disken för kryptering under vm-etableringen.
Note
Malldiskguiden ändrar den malldisk som du anger på plats. Du kanske vill göra en kopia av den oskyddade VHDX innan du kör guiden, så att du kan uppdatera disken senare. Du kommer inte att kunna ändra en disk som har skyddats med malldiskguiden.
Utför följande steg på en dator som kör Windows Server 2016, Windows 10 (med verktyg för fjärrserverhantering, RSAT installerat) eller senare (behöver inte vara en skyddad värd eller en VMM-server):
Kopiera den generaliserade VHDX som skapades i Förbered ett operativsystem VHDX- till servern, om det inte redan finns där.
Om du vill administrera servern lokalt installerar du funktionen Avskärmade verktyg för virtuella datorer från Verktyg för fjärrserveradministration på servern.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartDu kan också administrera servern från en klientdator där du har installerat Windows 10 Fjärrserveradministrationsverktyg.
Skaffa eller skapa ett certifikat för att signera VSC för VHDX som blir malldisken för nya avskärmade virtuella datorer. Information om det här certifikatet visas för hyresgäster när de skapar sina avskärmningsdatafiler och auktoriserar pålitliga diskar. Därför är det viktigt att hämta det här certifikatet från en certifikatutfärdare som är ömsesidigt betrodd av dig och dina klienter. I företagsscenarier där du både är värd och klient kan du överväga att utfärda det här certifikatet från din PKI.
Om du konfigurerar en testmiljö och bara vill använda ett självsignerat certifikat för att förbereda malldisken kör du ett kommando som liknar följande:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comStarta Malldiskguiden från mappen Administrationsverktyg på Start-menyn eller genom att skriva TemplateDiskWizard.exe i en kommandoprompt.
På sidan Certifikat klickar du på Bläddra för att visa en lista över certifikat. Välj det certifikat som diskmallen ska förberedas med. Klicka på OK och sedan på Nästa.
På sidan Virtuell disk klickar du på Bläddra för att välja den VHDX som du har förberett och klickar sedan på Nästa.
På sidan Signaturkatalog anger du ett eget disknamn och en egen version. Dessa fält finns för att hjälpa dig att identifiera disken när den har förberetts.
För disknamn kan du till exempel skriva WS2016 och version1.0.0.0 för version 1.0.0
Granska dina val på sidan Granska inställningar i guiden. När du klickar på Generera aktiverar guiden BitLocker på malldisken, beräknar diskens hash och skapar volymsignaturkatalogen, som lagras i VHDX-metadata.
Vänta tills förberedelseprocessen har slutförts innan du försöker montera eller flytta malldisken. Den här processen kan ta en stund att slutföra, beroende på diskens storlek.
Important
Malldiskar kan bara användas med säker avskärmad vm-etableringsprocess. Försök att starta en vanlig (oskärmad) virtuell dator med hjälp av en malldisk resulterar sannolikt i ett stoppfel (blå skärm) och stöds inte.
På sidan Sammanfattning visas information om diskmallen, certifikatet som används för att signera VSC och certifikatutfärdaren. Klicka på Stäng för att avsluta guiden.
Om du använder VMM följer du stegen i de återstående avsnitten i det här avsnittet för att införliva en malldisk i en avskärmad VM-mall i VMM.
Kopiera malldisken till VMM-biblioteket
Om du använder VMM, när du har skapat en malldisk, måste du kopiera den till en VMM-biblioteksresurs så att värdar kan ladda ned och använda disken när du etablerar nya virtuella datorer. Använd följande procedur för att kopiera malldisken till VMM-biblioteket och uppdatera sedan biblioteket.
Kopiera VHDX-filen till mappen för VMM-biblioteksresursen. Om du använde VMM-standardkonfigurationen kopierar du malldisken till \<\vmmserver>\MSSCVMMLibrary\VHDs.
Uppdatera biblioteksservern. Öppna arbetsytan Bibliotek , expandera Biblioteksservrar, högerklicka på den biblioteksserver som du vill uppdatera och klicka på Uppdatera.
Ge sedan VMM information om operativsystemet som är installerat på malldisken:
a. Hitta den nyligen importerade malldisken på biblioteksservern på arbetsytan Bibliotek .
b. Högerklicka på disken och klicka sedan på Egenskaper.
c. Expandera listan för operativsystem och välj det operativsystem som är installerat på disken. Om du väljer ett operativsystem anges för VMM att VHDX inte är tomt.
d. När du har uppdaterat egenskaperna klickar du på OK.
Den lilla skärmikonen bredvid diskens namn anger disken som en förberedd malldisk för avskärmade virtuella datorer. Du kan också högerklicka på kolumnrubrikerna och växla den avskärmade kolumnen för att se en textrepresentation som anger om en disk är avsedd för regelbundna eller skärmade VM-distributioner.
Skapa mallen för avskärmade virtuella datorer i VMM med den förberedda malldisken
Med en förberedd mallskiva i VMM-biblioteket är du redo att skapa en mall för avskärmade virtuella datorer. Vm-mallar för avskärmade virtuella datorer skiljer sig något från traditionella VM-mallar eftersom vissa inställningar är fasta (generation 2 VM, UEFI och Säker start aktiverat och så vidare) och andra är inte tillgängliga (klientanpassning är begränsad till några få, välj egenskaper för den virtuella datorn). Utför följande steg för att skapa mallen för den virtuella datorn:
På arbetsytan Bibliotek klickar du på Skapa mall för virtuell dator på fliken Start överst.
På sidan Välj källa klickar du på Använd en befintlig mall för virtuell dator eller en virtuell hårddisk som lagras i biblioteket och klickar sedan på Bläddra.
I fönstret som visas väljer du en förberedd malldisk från VMM-biblioteket. För att lättare kunna identifiera vilka diskar som förbereds högerklickar du på en kolumnrubrik och aktiverar den avskärmade kolumnen. Klicka på OK och sedan på Nästa.
Ange ett namn på den virtuella datorns mall och eventuellt en beskrivning och klicka sedan på Nästa.
På sidan Konfigurera maskinvara anger du funktionerna för virtuella datorer som skapats från den här mallen. Kontrollera att minst ett nätverkskort är tillgängligt och konfigurerat på mallen för den virtuella datorn. Det enda sättet för en klientorganisation att ansluta till en skärmad virtuell dator är via fjärrskrivbordsanslutning, Windows Fjärrhantering eller andra förkonfigurerade fjärrhanteringsverktyg som fungerar via nätverksprotokoll.
Om du väljer att använda statiska IP-pooler i VMM i stället för att köra en DHCP-server i klientnätverket måste du varna dina klienter om den här konfigurationen. När en hyresgäst tillhandahåller sin skyddsdatafil, som innehåller den obevakade filen för VMM, måste de ange särskilda platshållarvärden för informationen om den statiska IP-poolen. Mer information om VMM-platshållare i ouppmärksammade klientfiler finns i Skapa en svarsfil.
På sidan Konfigurera operativsystem visar VMM bara några alternativ för skärmade virtuella datorer, inklusive produktnyckeln, tidszonen och datornamnet. Viss säker information, till exempel administratörslösenordet och domännamnet, anges av klientorganisationen via en avskärmningsdatafil (. PDK-fil).
Note
Om du väljer att ange en produktnyckel på den här sidan kontrollerar du att den är giltig för operativsystemet på malldisken. Om en felaktig produktnyckel används misslyckas skapandet av den virtuella datorn.
När mallen har skapats kan klientorganisationer använda den för att skapa nya virtuella datorer. Du måste kontrollera att mallen för den virtuella datorn är en av de resurser som är tillgängliga för användarrollen Innehavaradministratör (i VMM finns användarroller i arbetsytan Inställningar ).
Förbereda och skydda VHDX med Hjälp av PowerShell
Som ett alternativ till att köra guiden Malldisk kan du kopiera malldisken och certifikatet till en dator som kör RSAT och köra Protect-TemplateDisk för att initiera signeringsprocessen.
I följande exempel används den namn- och versionsinformation som anges av parametrarna TemplateName och Version .
Den VHDX som du anger för parametern -Path skrivs över med den uppdaterade malldisken, så se till att göra en kopia innan du kör kommandot.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
Malldisken är nu redo att användas för att etablera avskärmade virtuella datorer. Om du använder System Center Virtual Machine Manager för att distribuera den virtuella datorn kan du nu kopiera VHDX till VMM-biblioteket.
Du kan också vilja extrahera volymsignaturkatalogen från VHDX. Den här filen används för att ge information om signeringscertifikatet, disknamnet och versionen till vm-ägare som vill använda mallen. De måste importera den här filen till guiden för Avskärmningsdatafil för att ge dig, mallförfattaren som har signeringscertifikatet, behörighet att skapa dessa och framtida malldiskar åt dem.
Om du vill extrahera volymsignaturkatalogen kör du följande kommando i PowerShell:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'