다음을 통해 공유

보호된 패브릭을 Windows Server 2019로 업그레이드

이 문서에서는 기존 보호된 패브릭을 Windows Server 2016, Windows Server 버전 1709 또는 Windows Server 버전 1803에서 Windows Server 2019로 업그레이드하는 데 필요한 단계에 대해 설명합니다.

Windows Server 2019의 새로운 기능

Windows Server 2019에서 보호된 패브릭을 실행하는 경우 다음과 같은 몇 가지 새 기능을 활용할 수 있습니다.

호스트 키 증명은 Hyper-V에 TPM 증명에 사용할 수 있는 TPM 2.0 디바이스가 없는 경우 보호된 VM을 더 쉽게 실행할 수 있도록 고안된 최신 증명 모드입니다. 호스트 키 증명은 키 쌍을 사용하여 HGS를 사용하여 호스트를 인증하고, 호스트가 Active Directory 도메인에 가입되어야 하는 요구 사항을 제거하고, HGS와 회사 포리스트 간의 AD 트러스트를 제거하고, 열려 있는 방화벽 포트 수를 줄입니다. 호스트 키 증명은 Windows Server 2019에서 사용되지 않는 Active Directory 증명을 대체합니다.

V2 증명 버전 - 향후 호스트 키 증명 및 새로운 기능을 지원하기 위해 HGS에 버전 관리가 도입되었습니다. Windows Server 2019에 HGS를 새로 설치하면 v2 증명을 사용하여 서버가 생성됩니다. 즉, Windows Server 2019 호스트에 대한 호스트 키 증명을 지원하고 Windows Server 2016에서 v1 호스트를 계속 지원할 수 있습니다. 2019로의 현재 위치 업그레이드는 v2를 수동으로 사용하도록 설정할 때까지 버전 v1에 유지됩니다. 이제 대부분의 cmdlet에는 레거시 또는 최신 증명 정책을 사용할지 여부를 지정할 수 있는 -HgsVersion 매개 변수가 있습니다.

Linux 보호 VM 지원 - Windows Server 2019를 실행하는 Hyper-V 호스트는 Linux 보호 VM을 실행할 수 있습니다. Windows Server 버전 1709부터 Linux 보호 VM이 사용되었지만 Windows Server 2019는 이를 지원하는 최초의 장기 서비스 채널 릴리스입니다.

지점 개선 사항 - 오프라인 보호 VM을 지원하고 Hyper-V 호스트에서 대체 구성을 지원하여 지사에서 보호된 VM을 보다 쉽게 실행할 수 있도록 했습니다.

TPM 호스트 바인딩 - 보호된 VM이 만들어진 첫 번째 호스트에서만 실행되도록 하지만 다른 호스트가 없는 가장 안전한 워크로드의 경우 이제 호스트의 TPM을 사용하여 해당 호스트에 VM을 바인딩할 수 있습니다. 이는 호스트 간에 마이그레이션해야 하는 일반 데이터 센터 워크로드가 아닌 권한 있는 액세스 워크스테이션 및 지사에 가장 적합합니다.

호환성 매트릭스

보호된 패브릭을 Windows Server 2019로 업그레이드하기 전에 다음 호환성 매트릭스를 검토하여 구성이 지원되는지 확인합니다.

WS2016 HGS WS2019 HGS
WS2016 Hyper-V 호스트 지원 여부 지원됨1
WS2019 Hyper-V 호스트 지원되지 않음2 지원 여부

1 Windows Server 2016 호스트는 v1 증명 프로토콜을 사용하여 Windows Server 2019 HGS 서버에 대해서만 증명할 수 있습니다. 호스트 키 증명을 포함하여 v2 증명 프로토콜에서만 사용할 수 있는 새로운 기능은 Windows Server 2016 호스트에서 지원되지 않습니다.

2 Microsoft는 TPM 증명을 사용하는 Windows Server 2019 호스트가 Windows Server 2016 HGS 서버에 대해 성공적으로 증명하지 못하는 문제를 알고 있습니다. 이 제한 사항은 Windows Server 2016의 향후 업데이트에서 해결될 예정입니다.

Windows Server 2019로 HGS 업그레이드

Hyper-V 호스트를 업그레이드하기 전에 HGS 클러스터를 Windows Server 2019로 업그레이드하여 Windows Server 2016 또는 2019를 실행하는 모든 호스트가 계속 성공적으로 인증되도록 하는 것이 좋습니다.

HGS 클러스터를 업그레이드하려면 업그레이드하는 동안 클러스터에서 한 번에 하나의 노드를 일시적으로 제거해야 합니다. 이렇게 하면 Hyper-V 호스트의 요청에 응답하는 클러스터의 용량이 줄어들고 테넌트에 대한 응답 시간 또는 서비스 중단이 느려질 수 있습니다. HGS 서버를 업그레이드하기 전에 증명 및 키 릴리스 요청을 처리할 수 있는 충분한 용량이 있는지 확인합니다.

HGS 클러스터를 업그레이드하려면 클러스터의 각 노드에서 한 번에 하나의 노드에서 다음 단계를 수행합니다.

  1. 관리자 권한 PowerShell 프롬프트에서 Clear-HgsServer를 실행하여 클러스터에서 HGS 서버를 제거합니다. 이 cmdlet은 장애 조치(failover) 클러스터에서 HGS 복제 저장소, HGS 웹 사이트 및 노드를 제거합니다.
  2. HGS 서버가 도메인 컨트롤러(기본 구성)인 경우 OS 업그레이드를 위해 도메인을 준비하려면 첫 번째 노드에서 adprep /forestprepadprep /domainprep를 실행해야 합니다. 자세한 내용은 Active Directory Domain Services 업그레이드 설명서를 참조하세요.
  3. Windows Server 2019로 현재 위치 업그레이드를 수행합니다.
  4. Initialize-HgsServer를 실행하여 노드를 클러스터에 다시 조인합니다.

모든 노드가 Windows Server 2019로 업그레이드되면 필요에 따라 HGS 버전을 v2로 업그레이드하여 호스트 키 증명과 같은 새로운 기능을 지원할 수 있습니다.

Set-HgsServerVersion  v2

Windows Server 2019로 Hyper-V 호스트 업그레이드

Hyper-V 호스트를 Windows Server 2019로 업그레이드하기 전에 HGS 클러스터가 이미 Windows Server 2019로 업그레이드되었으며 Hyper-V 서버에서 모든 VM을 이동했는지 확인합니다.

  1. 서버에서 Windows Defender 애플리케이션 제어 코드 무결성 정책(항상 TPM 증명을 사용하는 경우)을 사용하는 경우 서버 업그레이드를 시도하기 전에 정책이 감사 모드에 있거나 사용하지 않도록 설정되어 있는지 확인합니다. WDAC 정책을 사용하지 않도록 설정하는 방법 알아보기
  2. Windows Server 업그레이드 콘텐츠의 지침에 따라 호스트를 Windows Server 2019로 업그레이드합니다. Hyper-V 호스트가 장애 조치(failover) 클러스터의 일부인 경우 클러스터 운영 체제 롤링 업그레이드를 사용하는 것이 좋습니다.
  3. 업그레이드 전에 사용하도록 설정한 경우 Windows Defender 애플리케이션 제어 정책을 테스트하고 다시 사용하도록 설정합니다.
  4. Get-HgsClientConfiguration을 실행하여 IsHostGuarded = True인지 확인합니다. 즉, 호스트가 HGS 서버로 증명을 성공적으로 전달합니다.
  5. TPM 증명을 사용하는 경우 업그레이드 후 TPM 기준 또는 코드 무결성 정책을 다시 캡처하여 증명을 통과해야 할 수 있습니다.
  6. 호스트에서 보호된 VM 실행을 다시 시작합니다.

호스트 키 증명으로 전환

현재 Active Directory 기반 증명을 실행하고 호스트 키 증명으로 업그레이드하려는 경우 아래 단계를 따릅니다. Active Directory 기반 증명은 Windows Server 2019에서 더 이상 사용되지 않으며 향후 릴리스에서 제거될 수 있습니다.

  1. 다음 명령을 실행하여 HGS 서버가 v2 증명 모드에서 작동하고 있는지 확인합니다. 기존 v1 호스트는 HGS 서버가 v2로 업그레이드된 경우에도 계속 확인됩니다.

    Set-HgsServerVersion v2

  2. 각 Hyper-V 호스트에서 호스트 키를 생성하여 HGS에 등록합니다. HGS는 여전히 Active Directory 모드에서 작동하므로 새 호스트 키가 즉시 적용되지 않는다는 경고가 표시됩니다. 모든 호스트가 호스트 키를 성공적으로 증명할 수 있기 전까지는 호스트 키 모드로 변경하지 않으려는 의도적인 작업입니다.

  3. 모든 호스트에 대해 호스트 키가 등록되면 호스트 키 증명 모드를 사용하도록 HGS를 구성할 수 있습니다.

    Set-HgsServer -TrustHostKey

    호스트 키 모드에 문제가 발생하며 Active Directory 기반 증명으로 되돌려야 하는 경우 HGS에서는 다음 명령을 실행합니다.

    Set-HgsServer -TrustActiveDirectory