受保护的虚拟机 - 准备虚拟机防护帮助程序 VHD

本节概述了托管服务提供商为支持将现有虚拟机转换为受保护虚拟机而执行的步骤。

若要了解本主题在部署受防护的 VM 的整个过程中的适用性，请参阅受保护的主机和受防护的 VM 的托管服务提供商配置步骤。

可以保护哪些虚拟机？

现有虚拟机的保护过程仅适用于满足以下前提条件的虚拟机：

• 客户操作系统是 Windows Server 2012、2012 R2、2016 或半年渠道版本。 现有的 Linux 虚拟机无法转换为受保护虚拟机。
• 虚拟机是第 2 代虚拟机（UEFI 固件）
• VM 没有对其 OS 卷使用差异磁盘。

准备帮助程序 VHD

1. 在安装了 Hyper-V 和远程服务器管理工具功能“受保护的虚拟机工具”的计算机上，使用空白 VHDX 创建新的第 2 代虚拟机，并使用 Windows Server ISO 安装介质在其上安装 Windows Server 2016。 此 VM 不应受到防护，必须运行服务器核心或具有桌面体验的服务器。

   Important

   VM 防护帮助程序 VHD 不得 与在托管服务提供商中创建的模板磁盘相关 ，该模板将创建受防护的 VM 模板。 如果重复使用模板磁盘，则在保护过程中将发生磁盘签名冲突，因为两个磁盘将具有相同的 GPT 磁盘标识符。 要避免这种情况，你可以创建一个新的（空白）VHD 并使用你的 ISO 安装介质将 Windows Server 2016 安装到这个新 VHD 中。

2. 启动虚拟机，完成所有设置步骤，然后登录桌面。 验证虚拟机处于工作状态后，关闭虚拟机。

3. 在提升的 Windows PowerShell 窗口中，运行以下命令以准备之前创建的 VHDX，使其成为虚拟机保护帮助程序磁盘。 将路径更新为你环境的正确路径。

   Initialize-VMShieldingHelperVHD -Path 'C:\VHD\shieldingHelper.vhdx'
   

4. 命令成功完成后，将 VHDX 复制到 VMM 库共享。 不要 再次从步骤 1 启动 VM。 这样做会损坏帮助程序磁盘。

5. 现在可以在 Hyper-V 中删除步骤 1 中的虚拟机。

配置 VMM 主机保护者服务器设置

在 VMM 控制台中，打开“设置”窗格，然后在“常规”下打开“主机保护者服务设置”。 在此窗口的底部，有一个用于配置帮助程序 VHD 位置的字段。 使用“浏览”按钮从库共享中选择 VHD。 如果未在共享中看到磁盘，则可能需要手动刷新 VMM 中的库才能显示。

其他引用

• 用于受保护的主机和受防护的 VM 的主机托管服务提供商配置步骤
• 受保护的结构和受防护的 VM