Bereitstellen abgeschirmter virtueller Computers im VMM-Fabric

Dieser Artikel beschreibt das Bereitstellen von abgeschirmten virtuellen Computern im Computefabric von System Center Virtual Machine Manager (VMM).

Sie können abgeschirmte VMs in VMM auf verschiedene Arten bereitstellen:

  • Konvertieren Sie eine vorhandene VM in eine abgeschirmte VM.
  • Erstellen Sie eine neue abgeschirmte VM mit einer signierten VM-Festplatte (VHDX) und optional einer VM-Vorlage.

Hinweis

Möglicherweise treten Probleme beim Bereitstellen eines abgeschirmten virtuellen Computers über ein Netzwerk mit einem Lastenausgleich oder einem WAN-Optimierungsgerät auf. Es ist erforderlich, dass das Paket während der Übertragung nicht geändert wird, damit abgeschirmte VMs erfolgreich bereitgestellt werden.

Vor der Installation

Sehen Sie sich ein Video an, das einen schnellen, zweiminütigen Überblick über die Bereitstellung abgeschirmter VMs in VMM bietet. Stellen Sie dann sicher, dass Sie Folgendes erledigt haben:

  1. Vorbereiten eines HGS-Servers: Sie sollten einen HGS-Server bereitgestellt haben. Weitere Informationen

  2. Einrichten von VMM: Sie müssen globale HGS-Einstellungen in VMM konfigurieren und mindestens einen überwachten Host einrichten. Wenn überwachte Hosts zu einer Cloud gehören, sollte für die Cloud aktiviert sein, dass sie abgeschirmte VMs unterstützt. Weitere Informationen

  3. Vorbereiten einer abgeschirmten VHDX und einer VM-Vorlage: Sie sollten abgeschirmte VMs über eine abgeschirmte virtuellen Festplatte (VHDX) bereitstellen und optional eine VM-Vorlage verwenden. Erfahren Sie mehr über diese Vorbereitungen.

    Hinweis

    Mit einer Dienstvorlage können Sie keinen abgeschirmten virtuellen Computer erstellen. Verwenden Sie stattdessen ein Skript.

  4. Vorbereiten geschützter Datendateien: Mandanten müssen mindestens eine geschützte Datendatei vorbereiten, um die signierten Vorlagedatenträger in der VMM-Bibliothek zu verwenden. Diese Datei enthält alle Geheimnisse, die ein Mandant zum Bereitstellen einer VM benötigt, einschließlich der unattend-Datei, die verwendet wird, um die VM, Zertifikate und Kennwörter des Administratorkontos zu spezialisieren. Die Datei gibt auch an, welchem geschützten Fabric ein Mandant vertraut, um die VM zu hosten, sowie Informationen zu den signierten Vorlagendatenträgern. Die Datei ist verschlüsselt und kann nur von einem Host in einem geschützten Fabric gelesen werden, dem der Mandant vertraut. Weitere Informationen

  5. Einrichten der Hostgruppe: Zur einfachen Verwaltung empfehlen wir, dass überwachte Hosts in einer dedizierten VMM-Hostgruppe platziert werden.

  6. Überprüfen vorhandener VM-Anforderungen: Wenn Sie eine vorhandene VM in eine abgeschirmt VM konvertieren möchten, beachten Sie Folgendes:

    • Die VM muss zur Generation 2 gehören, und die Microsoft Windows-Vorlage für den sicheren Start muss aktiviert sein.
    • Das Betriebssystem auf dem Datenträger muss eines der folgenden sein:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10, Windows 8.1, Windows 8
    • Der Betriebssystemdatenträger für die VM muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der Generation 2 erforderlich, damit sie UEFI unterstützen.
    • Die VM muss zur Generation 2 gehören, und die Microsoft Windows-Vorlage für den sicheren Start muss aktiviert sein.
    • Das Betriebssystem auf dem Datenträger muss eines der folgenden sein:
    • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
    • Windows 10
    • Der Betriebssystemdatenträger für die VM muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der Generation 2 erforderlich, damit sie UEFI unterstützen.
    • Die VM muss zur Generation 2 gehören, und die Microsoft Windows-Vorlage für den sicheren Start muss aktiviert sein.
    • Das Betriebssystem auf dem Datenträger muss eines der folgenden sein:
      • Windows Server 2022, Windows Server 2019, Windows Server 2016
      • Windows 11, Windows 10
    • Der Betriebssystemdatenträger für die VM muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der Generation 2 erforderlich, damit sie UEFI unterstützen.
    • Der virtuelle Computer muss die Generation 2 sein und die Vorlage für den sicheren Start von Microsoft Windows aktiviert haben.
    • Das Betriebssystem auf dem Datenträger muss eines der folgenden sein:
      • Windows Server 2025, Windows Server 2022, Windows Server 2019
      • Windows 11, Windows 10
    • Der Betriebssystemdatenträger für die VM muss die GUID-Partitionstabelle verwenden. Dies ist für VMs der Generation 2 erforderlich, um UEFI zu unterstützen.
  7. Einrichten der VHD für das Hilfsprogramm: Der Hostingdienstanbieter muss eine VM erstellen, der als VHD für das Hilfsprogramm fungiert, um die vorhandenen Computer zu konvertieren. Weitere Informationen

Hinzufügen von geschützten Datendateien zu VMM

Bevor Sie eine vorhandene VM in eine abgeschirmte VM konvertieren oder eine neue abgeschirmte VM aus einer Vorlage bereitstellen können, muss der Besitzer/die Besitzerin der VM eine geschützte Datendatei generieren und sie zu VMM hinzufügen.

Wenn Sie noch keine geschützte Datendatei importiert haben, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine geschützte Datendatei, wenn Sie noch keine Datei besitzen. Stellen Sie sicher, dass die geschützte Datendatei das Host-Fabric autorisiert, das VMM zum Ausführen ihrer abgeschirmten VMs verwaltet.
  2. Wählen Sie in der VMM-Konsole Bibliothek>Geschützte Daten importieren>Durchsuchen und dann Ihre geschützte Datendatei aus.
  3. Geben Sie einen Anzeigenamen für die geschützte Datendatei i Name an, und fügen Sie optional eine Beschreibung hinzu. Es wird empfohlen, im Namen anzugeben, ob die geschützte Datendatei für die Verwendung mit den vorhandenen oder neuen VMs vorgesehen ist, um die Suche zu erleichtern.
  4. Wählen Sie Importieren aus, um die geschützten Daten in VMM zu speichern.

Um Ihre importierten geschützten Datendateien zu verwalten, wechseln Sie zu Bibliothek>Geschützte VM-Daten (unter Profile).

Bereitstellen einer neuen abgeschirmten VM

  1. Stellen Sie sicher, dass Sie die Voraussetzungen erfüllen, bevor Sie beginnen.
  2. Wählen Sie in VMs und Dienste die Option Virtuellen Computer erstellen aus, um den Assistenten zum Erstellen von virtuellen Computern zu öffnen.
  3. Wählen Sie unter Quelle auswählen die Option Vorhandene virtuelle Computer, VM-Vorlagen oder virtuelle Festplatten verwenden>Durchsuchen aus.
  4. Wählen Sie eine Vorlage für abgeschirmte VMs oder einen signierten Vorlagendatenträger aus. Beide sind durch das Schildsymbol Bild des Schildsymbols in VMM. gekennzeichnet.
  5. Wählen Sie unter Geschützte Datendatei auswählen die Option Durchsuchen und dann eine geschützte Datendatei aus. Es werden nur geschützte Datendateien angezeigt, die zum Erstellen einer neuen abgeschirmten VM verwendet werden können. Wählen Sie OK>Weiter aus, um fortzufahren.
  6. Befolgen Sie diese Anweisungen , um den Assistenten abzuschließen und die VM auf einem Host/in einer Cloud bereitzustellen.

Wenn Sie den Assistenten abschließen, erstellt VMM eine neue abgeschirmte VM über den Datenträger oder die Vorlage:

  1. Die Vorlagendatenträgerdatei (VHDX) wird aus der VMM-Bibliothek kopiert.
  2. Die VM-Bereitstellung entschlüsselt die Daten in der geschützten Datendatei, vervollständigt alle Ersetzungszeichenfolgen in der Datei „unattend.xml“ und kopiert zusätzliche Dateien aus der geschützten Datendatei auf das Betriebssystemlaufwerk (z. B. das RDP-Zertifikat).
  3. Die VM wird neu gestartet, angepasst und mit BitLocker erneut verschlüsselt. Der BitLocker-Verschlüsselungsschlüssel für das vollständige Volume wird im virtuellen TPM der neuen VM gespeichert.
  4. Die VM-Anpassung ist abgeschlossen, wenn der Befehl zum Herunterfahren in der Datei „unattend.xml“ ausgeführt wird. Die VM bleibt ausgeschaltet. Wenn die Anpassung hängen bleibt, überprüfen Sie die Datei „unattend.xml“, indem Sie sie auf einer nicht geschützten VM ausführen oder eine geschützte Datendatei mit Unterstützung von Verschlüsselung verwenden, die Konsolenzugriff ermöglicht.
  5. Nachdem VMM festgestellt hat, dass die Spezialisierung abgeschlossen ist, wird der Status aktualisiert, um anzugeben, dass die VM erstellt wurde. Wenn ausgewählt, wird die VM gestartet.

Abschirmen einer vorhandenen VM

Sie können die Abschirmung für eine VM aktivieren, die derzeit auf einem Host im VMM-Fabric ausgeführt wird, der nicht geschützt ist.

  1. Stellen Sie sicher, dass Sie die Voraussetzungen erfüllen, bevor Sie beginnen.
  2. Schalten Sie die VM offline.
  3. Es wird empfohlen, BitLocker auf allen Datenträgern zu aktivieren, die an die VM angefügt sind, bevor Sie sie auf den geschützten Host verschieben.
  4. Wählen Sie die VM, dann >Eigenschaften>Shield und danach eine geschützte Datendatei aus.
  5. Fahren Sie die VM herunter, exportieren Sie sie vom nicht geschützten Host, und importieren Sie sie in einen geschützten Host. Nur ein geschützter Host kann auf die VM-Daten zugreifen.

Nächste Schritte

Lesen Sie Verwalten von Einstellungen für virtuelle Computer, um zu erfahren, wie Sie Einstellungen für Leistung und Verfügbarkeit für virtuelle Computer konfigurieren.