Compartilhar via


Fazer upgrade de uma malha protegida para o Windows Server 2019

Este artigo descreve as etapas necessárias para atualizar uma malha protegida existente do Windows Server 2016, Windows Server versão 1709 ou Windows Server versão 1803 para o Windows Server 2019.

Novidades no Windows Server 2019

Ao executar uma malha protegida no Windows Server 2019, você pode aproveitar vários recursos novos:

Oatestado de chave de host é nosso mais novo modo de atestado, criado para facilitar a execução de VMs blindadas quando os hosts Hyper-V não têm dispositivos TPM 2.0 disponíveis para atestado TPM. O atestado de chave de host usa pares de chaves para autenticar hosts com o HGS, removendo o requisito de que os hosts sejam ingressados em um domínio do Active Directory, eliminando a confiança do AD entre o HGS e a floresta corporativa e reduzindo o número de portas de firewall abertas. O atestado de chave de host substitui o atestado do Active Directory, que foi preterido no Windows Server 2019.

Versão do atestado V2 – para dar suporte ao atestado de chave de host e a novos recursos no futuro, apresentamos o controle de versão para o HGS. Uma nova instalação do HGS no Windows Server 2019 resultará no servidor usando o atestado v2, o que significa que ele pode dar suporte ao atestado de chave de host para hosts do Windows Server 2019 e ainda dar suporte a hosts v1 no Windows Server 2016. As atualizações no local para o 2019 permanecerão na versão v1 até que você habilite manualmente a v2. A maioria dos cmdlets agora tem um parâmetro -HgsVersion que permite especificar se você deseja trabalhar com políticas de atestado herdadas ou modernas.

Suporte para VMs blindadas do Linux – hosts Hyper-V que executam o Windows Server 2019 podem executar VMs blindadas do Linux. Embora as VMs blindadas do Linux já existam desde o Windows Server versão 1709, o Windows Server 2019 é a primeira versão do Canal de Manutenção em Longo Prazo a dar suporte a elas.

Melhorias nas filiais – facilitamos a execução de VMs blindadas em filiais com suporte para VMs blindadas offline e configurações de fallback em hosts Hyper-V.

Associação de host do TPM – para as cargas de trabalho mais seguras, nas quais você deseja que uma VM blindada seja executada exclusivamente no primeiro host em que ela foi criada, agora você pode associar a VM a esse host usando o TPM do host. O uso disso é mais adequado em estações de trabalho e filiais de acesso privilegiado, em vez de cargas de trabalho de datacenter gerais que precisam migrar entre hosts.

Matriz de compatibilidade

Antes de atualizar sua malha protegida para o Windows Server 2019, examine a matriz de compatibilidade a seguir para conferir se há suporte para a sua configuração.

WS2016 HGS WS2019 HGS
Host Hyper-V WS2016 Com suporte Com suporte 1
Host Hyper-V WS2019 Sem suporte 2 Com suporte

1 Hosts do Windows Server 2016 só podem atestar em servidores HGS do Windows Server 2019 usando o protocolo de atestado v1. Novos recursos que estão disponíveis exclusivamente no protocolo de atestado v2, incluindo o atestado de chave de host, não têm suporte em hosts do Windows Server 2016.

2 A Microsoft está ciente de um problema que impede que os hosts do Windows Server 2019 usando o atestado TPM atestem com êxito em um servidor HGS do Windows Server 2016. Essa limitação será resolvida em uma atualização futura para o Windows Server 2016.

Atualização do HGS para o Windows Server 2019

É recomendável atualizar seu cluster do HGS para o Windows Server 2019 antes de atualizar seus hosts Hyper-V para garantir que todos os hosts, sejam eles do Windows Server 2016 ou 2019, possam continuar a atestar com êxito.

A atualização do cluster do HGS necessitará que você remova temporariamente um nó do cluster de cada vez enquanto ele é atualizado. Isso reduzirá a capacidade do cluster de responder a solicitações de seus hosts Hyper-V e poderá resultar em tempos de resposta lentos ou interrupções de serviço para seus locatários. Verifique se você tem capacidade suficiente para lidar com suas solicitações de atestado e de versão de chave antes de atualizar um servidor HGS.

Para atualizar o cluster do HGS, execute as seguintes etapas em cada nó do cluster, um nó por vez:

  1. Remova o servidor HGS do cluster executando Clear-HgsServer em um prompt do PowerShell com privilégios elevados. Esse cmdlet removerá o repositório replicado do HGS, os sites do HGS e o nó do cluster de failover.
  2. Se seu servidor HGS for um controlador de domínio (configuração padrão), será necessário executar adprep /forestprep e adprep /domainprep no primeiro nó que está sendo atualizado para preparar o domínio para uma atualização do sistema operacional. Consulte a Documentação sobre atualização do Active Directory Domain Services para obter mais informações.
  3. Realizar uma atualização local no Windows Server 2019.
  4. Execute Initialize-HgsServer para adicionar o nó ao cluster novamente.

Depois que todos os nós forem atualizados para o Windows Server 2019, você poderá de forma opcional atualizar a versão do HGS para v2 a fim de dar suporte a novos recursos, como o atestado de chave de host.

Set-HgsServerVersion  v2

Atualizar hosts Hyper-V para o Windows Server 2019

Antes de atualizar seus hosts Hyper-V para o Windows Server 2019, verifique se o cluster do HGS já foi atualizado para o Windows Server 2019 e se todas as VMs foram retiradas do servidor Hyper-V.

  1. Se você estiver usando as políticas de integridade de código do Controle de Aplicativo do Windows Defender em seu servidor (sempre o caso ao usar o atestado do TPM), verifique se a política está no modo de auditoria ou desabilitada antes de tentar atualizar o servidor. Saiba como desabilitar uma política do WDAC
  2. Siga as diretrizes no conteúdo de atualização do Windows Server para atualizar seu host para o Windows Server 2019. Se seu host Hyper-V fizer parte de um cluster de failover, considere usar uma atualização sem interrupção do sistema operacional de cluster.
  3. Testar e habilitar novamente a política de Controle de Aplicativo do Windows Defender, se você já teve uma habilitada antes da atualização.
  4. Execute Get-HgsClientConfiguration para verificar se IsHostGuarded = True, o que significa que o host está passando o atestado com êxito com o servidor HGS.
  5. Se você estiver usando o atestado do TPM, é aconselhável capturar novamente a linha de base do TPM ou a política de integridade de código após a atualização para passar pelo atestado.
  6. Comece a executar VMs blindadas no host novamente!

Alternar para o atestado de chave de host

Siga as etapas abaixo se você estiver executando o atestado baseado no Active Directory e quiser atualizar para o atestado de chave de host. Observe que o atestado baseado no Active Directory foi preterido no Windows Server 2019 e pode ser removido em uma versão futura.

  1. Verifique se o servidor HGS está operando no modo de atestado v2 executando o comando a seguir. Os hosts v1 existentes continuarão a atestar mesmo quando o servidor HGS for atualizado para v2.

    Set-HgsServerVersion v2
    
  2. Gerar chaves de host de cada um dos hosts Hyper-V e registrá-las com o HGS. Como o HGS ainda está operando no modo Active Directory, você receberá um aviso de que as novas chaves de host não estão em vigor imediatamente. Isso é intencional, pois você não deseja alterar para o modo de chave de host até que todos os hosts possam atestar com chaves de host com êxito.

  3. Depois que as chaves de host forem registradas para cada host, será possível configurar o HGS para usar o modo de atestado de chave de host:

    Set-HgsServer -TrustHostKey
    

    Se você tiver problemas com o modo de chave de host e precisar voltar para o atestado baseado no Active Directory, execute o seguinte comando no HGS:

    Set-HgsServer -TrustActiveDirectory