Zdalne zarządzanie Hyper-V

Print Friendly, PDF & Email

Instalacja Hyper-V jest dość łatwa, ponieważ idą główne komponenty infrastruktury. Miejsce, w którym zaczynasz wpadać w kłopoty, jest w obszarze zarządzania. Jeśli zainstalujesz Hyper-V jako składnik kompletnej instalacji systemu Windows opartej na graficznym interfejsie użytkownika, wszystkie narzędzia są lokalne i działają bez żadnych problemów. Jeśli chcesz zdalnie zarządzać Hyper-V, zgodnie z przeznaczeniem, sprawy stają się trudniejsze i będziesz potrzebować menedżera Hyper-V. Ten artykuł pomoże Ci podłączyć się zdalnie do serwera.

Podłączenie do zdalnego serwera Hyper-V

We wstępie wspomniałem o najłatwiejszej opcji: praca lokalna z narzędziami do zarządzania Hyper-V. Ponieważ, jak każdy serwer, najlepszą praktyką jest unikanie pracy bezpośrednio z konsoli fizycznej (lokalnie), najprawdopodobniej podłączenie wykonasz za pomocą sesji pulpitu zdalnego. To dobrze, jeśli masz tylko jednego hosta Hyper-V i nie robi on wiele. Gdy jest wiele takich wystąpień, szybko staje się to męczące. Ponadto każda aktywna sesja wymaga zasobów, a jedynym miejscem, z którego można je zabrać, są goście. Aby było to jeszcze mniej pożądane, sesje pulpitu zdalnego stanowią zagrożenie bezpieczeństwa, ponieważ są łatwiejsze do przejęcia niż system zarządzany przez PowerShell Remoting lub tradycyjne narzędzia oparte na RPC, takie jak Hyper-V Manager.

Lepszą opcją jest zainstalowanie narzędzi do zarządzania w systemie zdalnym i umożliwienie im łączenia się z hostami Hyper-V i zarządzanie nimi. Trochę więcej kłopotów z konfiguracją, ale później wygodniejsza codzienna praca. Jeśli wszystkie systemy znajdują się w tej samej domenie lub domenach z odpowiednio skonfigurowaną relacją zaufania, wszystko jest stosunkowo proste do przygotowania.

Możliwe jest pozostawienie hosta w trybie grupy roboczej i połączenie się z nim zdalnie. Konfiguracja ta nie jest zalecana. Pomimo powszechnych i uporczywych mitów, host Hyper-V przyłączony do domeny może się uruchomić, nawet jeśli nie może połączyć się z kontrolerem domeny, a pozostawienie hosta Hyper-V w konfiguracji grupy roboczej jest znacznie mniej bezpieczne niż przyłączenie go do domeny. Naruszenie lokalnych kont zabezpieczeń jest znacznie łatwiejsze niż złamanie konta domeny.

Za każdym razem, gdy łączysz się zdalnie przy użyciu lokalnych poświadczeń, muszą one być przesyłane przez sieć, co naraża je na przechwycenie i złamanie zabezpieczeń. Poświadczenia domeny nigdy nie przechodzą przez sieć. Należy również ominąć uwierzytelnianie host-to-host lub przejść przez dość skomplikowany proces udostępniania certyfikatów dla środowiska grupy roboczej. Dlatego też w prawie wszystkich przypadkach jest połączenie hosta Hyper-V z domeną.

Jak włączyć zdalne zarządzanie Hyper-V

W przypadku hostów Hyper-V w tej samej lub zaufanej domenie niewiele jest do skonfigurowania w systemie Windows, chociaż mogą istnieć zapory sprzętowe, które należy skonfigurować. Wszystkie te same kroki będą musiały zostać wykonane, jeśli zamierzasz pozostawić hosta w trybie grupy roboczej.

Porty firewall

Jeśli używasz tylko wbudowanej zapory systemu Windows, nie ma nic więcej do zrobienia dla komputerów przyłączonych do domeny. W przypadku komputerów przyłączonych do grupy roboczej najlepszym rozwiązaniem jest zlokalizowanie reguł zapory w narzędziu Zapora systemu Windows z zabezpieczeniami zaawansowanymi, które pasują do narzędzi zdalnego zarządzania, których chcesz użyć, i selektywne otwarcie ich na niezbędne zdalne adresy IP. Jeśli używasz zapór sprzętowych, firma Microsoft nie publikuje wszystkich niezbędnych portów do otwarcia. Znajdują się one zwykle w pierwszych kilku portach w zakresie dynamicznym (49152 i wyższym), ale się zmieniają.

Najbardziej krytyczne porty do otwarcia to 135 (mapowanie punktów końcowych RPC) i 5985 (WSMan). Jeśli wykonasz dodatkowy krok polegający na wysyłaniu ruchu WSMan przez szyfrowane połączenie, zostanie ono przeniesione przez port 5986. Pamiętaj, że zapewnia to niewielkie dodatkowe bezpieczeństwo. Jedyną częścią standardowego ruchu WSMan, która nie jest szyfrowana, jest początkowa negocjacja.

Użycie usługi PowerShell Remoting do zarządzania Hyper-V

Wiele funkcji jest dostępnych tylko za pośrednictwem programu PowerShell, wymaga tego wiele procedur automatyzacji, a wiele typowych zadań można dzięki niemu łatwiej wykonać. Aby PowerShell działał z systemami zdalnymi, najłatwiejszym sposobem jest wydanie następującego polecenia w wierszu PowerShell (z uprawnieniami Administratora):


Spowoduje to zmodyfikowanie wszystkich niezbędnych ustawień, aby zezwolić zdalnym sesjom PowerShell na łączenie się z komputerem, na którym go uruchamiasz. Oznacza to, że musi być uruchomiony na wszystkich zaangażowanych komputerach. Jedną z rzeczy, które robi, jest tworzenie niezaszyfrowanego punktu końcowego dla sesji PowerShell, który wykorzystuje standardowy protokół HTTP. Jak wspomniałem powyżej, sama komunikacja WSMan jest szyfrowana, ale negocjacje nie. Możliwe jest ustawienie używania szyfrowanego kanału HTTPS dla dodatkowej ochrony, chociaż do jego włączenia potrzebny jest certyfikat. W tym wpisie taką konfigurację pominę, ponieważ jest to dość zaawansowane i nieco niepotrzebne: cały ruch WSMan jest szyfrowany, nawet jeśli jest przesyłany przez HTTP.

PowerShell Remoting obejmuje weryfikację użytkowników i weryfikację komputera, co może utrudnić pracę w grupie roboczej. Do wyboru jest zastosowanie certyfikatów SSL lub całkowite ominięcie uwierzytelniania komputera poprzez dodanie wpisów do listy „TrustedHosts” zarówno na komputerze źródłowym, jak i docelowym. Certyfikaty są zdecydowanie najbardziej niezawodną metodą. Lista TrustedHosts to system „na cześć”, który akceptuje każdy komputer, który przedstawia nazwę z listy.

Używanie konsoli MMC do zarządzania Hyper-V

Istnieje wiele konsol MMC, których można używać do zdalnego łączenia się z funkcją Hyper-V i systemem operacyjnym zarządzania oraz sterowania nimi. Sposób ich włączenia i możliwości, które będą ujawniać, zależą od używanego systemu operacyjnego.

Zakładając, że system docelowy to Windows Server 2012 R2 lub nowszy:

  • Windows 8 Professional lub Enterprise będzie mógł przeglądać i kontrolować funkcje, które były dostępne w momencie wydania tej wersji systemu. Konsola Hyper-V i podstawowe konsole zarządzania komputerem są wbudowane. Wszystkie inne konsole, takie jak Menedżer klastra pracy awaryjnej, są częścią dostępnego do pobrania pakietu narzędzi administracji zdalnej serwera (RSAT).
  • Windows Server 2012 lub nowszy będzie mógł przeglądać i kontrolować funkcje. Wszystkie konsole są wbudowane.
  • Windows 8.1 Professional lub Enterprise będzie mógł przeglądać i kontrolować wszystkie funkcje. Wbudowana jest konsola Hyper-V i podstawowe konsole zarządzania komputerem. Wszystkie inne konsole, takie jak Failover Cluster Manager, są częścią oddzielnego pakietu RSAT.
  • Windows Server 2012 R2 lub nowszy będzie mógł wyświetlać i kontrolować wszystkie funkcje. Wszystkie konsole są wbudowane.
  • Seria produktów Windows 10 powinna być w stanie wyświetlać i kontrolować wszystkie funkcje dostępne w Windows Server 2012 R2 lub nowszym.

Jak pobrać zdalne konsole dla stacjonarnych systemów operacyjnych?

Jeśli chcesz mieć więcej konsol zarządzania na swoim komputerze niż tylko Hyper-V, musisz je pobrać. Aby zlokalizować zestaw narzędzi dla komputerowych wersji systemu Windows, wejdź na stronę Narzędzia administracji zdalnej serwera. Po zakończeniu pobierania uruchom je. Instalator nie podaje żadnych szczegółów; przebiega to jak instalacja poprawki. Po zakończeniu będą dostępne nowe składniki systemu Windows.

Jak włączyć zdalne konsole w stacjonarnych systemach operacyjnych?

Istnieje kilka sposobów uzyskania dostępu do niezbędnej lokalizacji, aby włączyć konsole. Najszybszym sposobem jest uzyskanie dostępu do menu Start i wpisanie „Włącz lub wyłącz funkcje systemu Windows”. Podczas pisania system Windows powinien szukać sugestii i prawdopodobnie udostępni skrót przed wprowadzeniem całej frazy. Możesz również znaleźć ten link, jeśli uzyskasz dostęp do węzła „Programy i funkcje” w Panelu sterowania.

Na ekranie rozwiń węzeł Hyper-V i zaznacz pole Narzędzia do zarządzania Hyper-V. Jeśli pobrałeś RSAT, pojawi się węzeł drzewa dla narzędzi administracji zdalnej serwera. Rozwiń to i włącz dowolne konsole, których potrzebujesz.

Instalacja konsoli Hyper-V

Jak włączyć zdalne konsole w serwerowych systemach operacyjnych?

W systemach operacyjnych serwera funkcje systemu Windows są obsługiwane w Menedżerze serwera, a nie w Panelu sterowania. Uruchom „Menedżera serwera”. Na głównym ekranie możesz kliknąć „Dodaj role i funkcje„. Na pasku menu w prawym górnym rogu znajduje się element „Dodaj role i funkcje” w menu rozwijanym „Zarządzaj„, który przeniesie Cię w to samo miejsce.

To miejsce to kreator „Dodaj role i funkcje„. Kliknij „Dalej” na pierwszych dwóch ekranach, a dojdziesz do strony „Wybór serwera docelowego„. Zaznacz serwery, do których chcesz dodać funkcje, i przejdź przez stronę „Role serwera” do strony „Funkcje„. W przeciwieństwie do komputerowych systemów operacyjnych wszystko, co potrzebne do zdalnego zarządzania, znajduje się pod węzłem Narzędzia administracji zdalnej serwera. W szczególności narzędzia zarządzania Hyper-V znajdują się w węźle Narzędzia administracji ról:

Hyper-V systemy serwerowe

Zaznacz tę opcję wraz z innymi, które chcesz mieć w systemie. Kontynuuj pracę kreatora, aby zakończyć instalację.

Jak uzyskać dostęp do konsoli MMC po instalacji?

Po zainstalowaniu konsol pojawią się one w sekcji Narzędzia administracyjne w menu Start i w Panelu sterowania. Oczywiście możesz również uzyskać do nich dostęp według nazwy na ekranie Start (Windows 8.1) lub menu Start (Windows 10). Po prostu kliknij przycisk Start i zacznij pisać, na przykład „Hyper-V”, a zasugeruje to „Menedżer Hyper-V”. Dla wygody możesz przypiąć tę konsolę do głównego menu Start lub do paska zadań, tak jak każdą inną aplikację.

Jak kontrolować komputery zdalne za pomocą konsol MMC w domenie?

Jeśli pracujesz w domenie, a komputer źródłowy i docelowy znajdują się w tej samej domenie, niewiele więcej możesz zrobić. Musisz tylko upewnić się, że uruchamiasz konsole przy użyciu poświadczeń konta, które ma uprawnienia administracyjne w systemie docelowym.

Jak sterować komputerami zdalnymi za pomocą konsol MMC w grupie roboczej?

Jeśli masz systemy połączone z grupą roboczą w dowolnym miejscu w miksie, jest to trochę trudniejsze. Pierwszą, najlepszą opcją jest prawie zawsze przyłączenie wszystkich systemów do tej samej lub zaufanej domeny. Kerberos zapewnia poziom bezpieczeństwa i wygody, którego nie można dorównać trybowi grupy roboczej.

Jeśli z jakiegoś powodu musisz użyć trybu grupy roboczej, musisz wprowadzić kilka ustawień. Należy pamiętać, że nawet po wprowadzeniu wszystkich tych zmian niektórzy ludzie nadal nie są w stanie zdalnie kontrolować swoich systemów działających na Hyper-V.

  • Dopasuj konta administracyjne. Konto, za pomocą którego uruchamiasz konsolę w systemie zdalnym, musi dokładnie odpowiadać kontu administracyjnemu w systemie docelowym. Oznacza to, że zarówno nazwa użytkownika, jak i hasło muszą być identyczne w obu lokalizacjach, a jeśli kiedykolwiek zmienisz jedną, musisz również zmienić drugą. Jeśli pracujesz z wieloma systemami, te pasujące konta muszą być utrzymywane w każdym systemie. Należy pamiętać, że podczas korzystania z jakichkolwiek narzędzi na tym koncie poświadczenia są przekazywane przez sieć i mogą zostać przechwycone, chociaż są szyfrowane.
  • Włącz WinRM. We wszystkich zaangażowanych systemach uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień: winrm /qc
  • Włącz konto LOGOWANIE ANONIMOWE (ANONYMOUS LOGON), aby wykonać zdalne zarządzanie. W systemie zdalnym (tym, na którym będziesz uruchamiać konsolę):
  • Kliknij Start i wpisz dcomcnfg.exe, a gdy plik wykonywalny zostanie odnaleziony przez wyszukiwanie, naciśnij [Enter].
  • Rozwiń Usługi składowe.
  • Rozwiń Komputery.
  • Kliknij prawym przyciskiem myszy Mój komputer i kliknij Właściwości.
  • Przejdź na kartę Zabezpieczenia COM i kliknij przycisk Edytuj limity w sekcji Uprawnienia dostępu.
  • Zaznacz wpis LOGOWANIE ANONIMOWE. Zaznacz Zezwól w wierszu Dostęp zdalny:
Dodanie uprawnień Anonymous Logon

Potwierdzamy dodanie tego konta. To wystarczy, aby umożliwić Hyper-V Manager i kilka innych konsol. W przypadku innych musisz zmodyfikować reguły zapory. Dostępnych jest wiele przewodników dotyczących zarządzania zaporą systemu Windows.

Operacje na wielu maszynach

Do tej pory to, co widziałeś, obejmuje łączenie się z jednej maszyny źródłowej do jednej maszyny docelowej. Niektóre operacje wymagają tak zwanego „podwójnego przeskoku”, w którym zdalnie instruujesz jedną maszynę, aby wysłała instrukcje do maszyny trzeciej. Jest to z natury niebezpieczna operacja, więc jest domyślnie blokowana, nawet w domenie. Czasami jego użycie jest tylko kwestią wygody; na przykład za pomocą jednej zdalnej sesji PowerShell, aby przejść do innego komputera. Innym razem jest to prawie nieuniknione; przykładem jest Shared Nothing Live Migration.

CredSSP

CredSSP to skrót od „Dostawca obsługi zabezpieczeń poświadczeń” (Credential Security Support Provider). Ten fantazyjny termin oznacza, że istnieje dostawca, który może przekazywać zaszyfrowane poświadczenia z jednego komputera na drugi. Jest to najczęściej używane w programie PowerShell, ale niektóre funkcje konsoli wykorzystują go, gdy systemy są przyłączone do domeny. CredSSP ma bardzo poważną wadę, a mianowicie to, że poświadczenia są przechowywane na zdalnym komputerze pierwszego przeskoku i są przekazywane za pomocą metody, która może zostać przechwycona. Drugi problem z CredSSP polega na tym, że działa tylko raz; komputer odbiorcy nie może przekazać tych poświadczeń do systemu trzeciego. W przeciwieństwie do tego Kerberos może kontynuować przekazywanie tokenów w nieskończoność.

Aby włączyć CredSSP w końcowym systemie końcowym (komputerze, który zaakceptuje zapisane poświadczenia z innego komputera), uruchom następujące polecenie w wierszu programu PowerShell z podwyższonym poziomem uprawnień:

W systemie, który będzie przechowywać poświadczenia i przekazywać je do poprzedniego systemu, uruchom następujące polecenie w wierszu programu PowerShell z podwyższonym poziomem uprawnień:

Umożliwi to określonemu komputerowi połączenie, a następnie przekazanie poświadczeń do trzeciego komputera. Możesz użyć gwiazdki, aby zezwolić wszystkim członkom domeny, chociaż jest to jeszcze większe zagrożenie bezpieczeństwa.

Korzystając z programu PowerShell do łączenia się z systemem obsługującym CredSSP, upewnij się, że używasz parametru –Authentication i podaj poświadczenia:

Będziesz musiał zrobić to samo podczas łączenia się z trzecim komputerem.

Chociaż technicznie możliwe jest włączenie CredSSP dla systemów przyłączonych do grup roboczych, wymaga to dostępu do lokalnych zasad grupy. Może być to wyzwaniem w przypadku systemu Hyper-V połączonego z grupą roboczą. Nie jest również obsługiwany w przypadku funkcji takich jak Shared Nothing Live Migration.

Certyfikaty SSL

Kilka operacji host-to-host, takich jak Hyper-V Replica, jest ułatwianych dzięki użyciu certyfikatów SSL. W większości przypadków nie jest obsługiwane używanie certyfikatów z podpisem własnym (certyfikatów, które urząd nie wystawiający samemu sobie certyfikatu), ponieważ nie można ich zweryfikować. Obsługiwane jest używanie własnych certyfikatów wygenerowanych przez urząd certyfikacji pod Twoją kontrolą, na przykład certyfikat zbudowany na systemie Windows Server 2012 R2 lub nowszym z usługami certyfikatów firmy Microsoft.

Jeśli nie masz takiego systemu (nazywanego Infrastrukturą Klucza Publicznego lub PKI), konfiguracja nie jest zbyt trudna. Nie wymaga domeny do działania, więc jeśli pracujesz w trybie grupy roboczej, możesz go użyć w kilku przypadkach, aby ominąć ograniczenia, które w przeciwnym razie wymagałyby domeny. Więcej informacji w dokumentacji Microsoft.

Masz również możliwość korzystania z certyfikatów od zewnętrznego dostawcy komercyjnego, takiego jak VeriSign lub InCommon. O ile nie zamierzasz udostępniać swoich hostów Hyper-V klientom zewnętrznym, jest to zwykle niepotrzebny wydatek.

Jak używać SSL z WSMan i PowerShell?

Konfigurowanie WSMan do używania certyfikatów SSL jest dość skomplikowanym zadaniem i, jak wspomniałem wcześniej, nie wnosi wiele do bezpieczeństwa.

Podsumowanie

Praca w Hyper-V nie wymaga logowania poprzez RDP do każdej z maszyn (hostów) Hyper-V. Wygodniejsze oraz bezpieczeniejsze będzie uzycie Managera Hyper-V, który potrafi w łatwy sposób spiąć wiele maszyn w jednym miejscu.

Print Friendly, PDF & Email

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

3 komentarze do “Zdalne zarządzanie Hyper-V”

    • Przez VPN jest ok, połączenie jest szyfrowane (przynajmniej powinno). W sieci lokalnej warto również szyfrować ruch, nie wiadomo kto patrzy z pracowników z ciekawskim zacięciem,

      Odpowiedz

Dodaj komentarz

beitadmin.pl - Droga Administratora IT