Fachartikel

Gängige Konfigurationsfehler in Hyper-V vermeiden

Hyper-V ist inzwischen ein gängiges Virtualisierungsprodukt. Wenngleich die Installation recht schnell erledigt ist, können im täglichen Betrieb Probleme auftreten. Leistungseinbußen, unzureichend abgesicherte Systeme oder nicht funktionierende Backups sind nur einige davon. In der Regel liegt dies daran, dass bei der Konfiguration unter Windows Server 2016 einige Punkte nicht ausreichend beachtet wurden. Der Artikel nennt die häufigsten Fehler und wie sich diese vermeiden lassen.
Wer die richtigen Punkte bei der Hyper-V-Konfiguration beachtet, spart sich später ständiges Drehen an den Stellschrauben.
Mit Hyper-V lassen sich virtualisierte Umgebungen relativ zügig aufsetzen. Nach der eigentlichen Installation von Windows Server 2016 und der erforderlichen Treiber, der Durchführung von Updates sowie einigen wenigen Grundkonfigurationen heißt es nur noch, Hyper-V im Server-Manager oder der Microsoft PowerShell als Serverrolle auszuwählen und zwei Neustarts durchzuführen. Durch die Aktivierung der Hyper-V-Rolle wandert der Hypervisor unter das laufende Betriebssystem, das in eine privilegierte als Root- oder Parent-Partition bezeichnete virtuelle Maschine (VM) verschoben wird.

Die auf diese Weise erzeugte Management-Instanz, für die manchmal synonym auch der Begriff Management-OS verwendet wird, dient ausschließlich der Steuerung des Hypervisors und beherbergt den Virtualisierungs-Stack. Dieser enthält alle für den Zugriff auf die physische Hardware nötigen Treiber, Dienste sowie Komponenten. Zudem hält er alle Funktionen für die Erstellung, die Konfiguration und den Betrieb der als eigene Instanzen parallel zur Parent Partition auf Hyper-V laufenden VMs – auch Child Partitions genannt – vor.

Regel 1: In der Parent Partition sollte nur die Hyper-V-Rolle laufen
Dem Management-OS, für das vereinfachend (wenngleich nicht ganz richtig) auch der Begriff "Host" verwendet wird, kommt somit eine Sonderstellung zu. Daraus ergeben sich verschiedene sowohl technische als auch lizenzrechtliche Implikationen. Zunächst mag die Hardwareausstattung des physischen Servers unter Einsparungsgesichtspunkten gesehen dazu verlocken, mehrere Dienste oder Anwendungen zu installieren. Und natürlich ist es möglich, diese in der Parent Partition einzurichten.

Doch das kostet Ressourcen und kann die Ausführung der laufenden VMs einschränken, da ja jeder Hardwarezugriff über die Managementinstanz verläuft. Hinzu kommt, dass hier der gesamte ein- und ausgehende Datenverkehr gesteuert wird. Laufen neben Hyper-V noch andere Anwendungen auf dem Host, kann dies zu Sicherheitsproblemen führen und die Stabilität des Systems beeinträchtigen.

Des Weiteren sieht das Lizensierungsmodell von Microsoft beim Einsatz der Windows Server 2016 Standard-Edition neben der für die Hyper-V-Rolle und zugehöriger Management-Werkzeuge reservierten VM lediglich den kostenfreien Betrieb von zwei virtuellen Windows-Instanzen vor. Werden in der Parent Partition neben der Software für die Verwaltung sowie den Betrieb des Hypervisors zusätzliche Dienste oder Anwendungen wie beispielsweise Active Directory, DNS, DHCP, Exchange, SQL Server oder SAP installiert, würde dies die Rechte auf nur noch eine Instanz schmälern. Daher sollten Sie diese in den Child Partitions bündeln.
Regel 2: Gruppenrichtlinien anwenden
Hyper-V-Systeme in eine Server oder Arbeitsplatzrechner global zusammenfassende Organisationseinheit (OU) aufzunehmen, kann Probleme aufwerfen. Dies zeigte ein Fall aus der Praxis, in der die Host-Rechner wahllos neustarteten. Die Ursache hierfür war, dass sie im Active Directory in einer für die Workstation-OU festgelegten Patch-Regel markiert waren. Aus diesem Grund wird empfohlen, Hyper-V-Systeme von allgemeingültigen Policies auszunehmen, die nicht auf Server ausgelegt sind. Anstelle dessen sollten Sie spezielle Gruppenrichtlinien konfigurieren, die sich an Betriebssystemumgebungs-Standards (Standard Operating Environment) orientieren.

Regel 3: Absicherungsmaßnahmen treffen
Für die Absicherung von Systemen, die unter Hyper-V laufen, müssen Sie verschiedene Punkte beachten und eine Reihe an Einstellungen vornehmen. Hierzu zählt, zunächst die für das Management-OS benötigten minimalen Windows-Server-Installationsoptionen anzuwenden und das Betriebssystem, die Firmware sowie die Gerätetreiber mit aktuellsten Sicherheitsupdates stets auf dem neuesten Stand zu halten. Gleichfalls sollten Sie das Aufspielen nicht erforderlicher Software vermeiden, der Host nicht als Workstation nutzen, wenn möglich fernverwalten und den Credential Guard und den Windows-Codeintegritätsdienst aktivieren.

Die Anbindung des physischen Hyper-V-Systems über einen für diesen Zweck fest zugewiesenen Adapter an ein separates Netzwerk bedeutet ebenso ein Plus an Sicherheit. Zudem bietet es sich an, eine private Infrastruktur für den Zugriff auf VM-Konfigurationen sowie VHD-Files zu verwenden. Über diese sollte auch der Datenverkehr bei Migrationen möglichst per IPSec verschlüsselt übertragen werden. Durch die Nutzung des integrierten SMB-Protokolls lassen sich Daten ferner vor Lauschangriffen in nicht vertrauenswürdigen Netzen schützen und Man-in-the-Middle-Angriffe bei der Übertragung über private Netze weitestgehend ausschließen. Der Einsatz von Shielded VMs, für die jedoch eine aus dem Host Guardian Host (HGS) und Guarded Hosts bestehende Guarded Fabric als Infrastruktur Voraussetzung ist, ermöglicht es, Daten im Gastsystem einer VM von den anderen Gastsystemen auf dem Hypervisor und dem Systemverwalter abzuschotten. Dazu muss aber ein TPM-2.0-Chip im Server verbaut sein. Der Einsatz von VMs der zweiten Generation sowie BitLocker zur Verschlüsslung der Daten in den VMs und der Festplatten ist ebenso erforderlich.

Seite 1: Gruppenrichtlinien anwenden, Absicherungsmaßnahmen treffen
Seite 2: Antiviren-Software richtig konfigurieren


Seite 1 von 2 Nächste Seite >>
29.11.2017/ln/Jörn Koch, Channel Sales Manager Central Europe bei Altaro

Nachrichten

Citrix kauft Traffic-Steuerung zu [15.02.2018]

Citrix ergänzt sein Netzwerkportfolio um eine intelligente Traffic-Steuerung für Applikationen in Multi-Cloud-Umgebungen: Das Unternehmen hat den datengetriebenen Echtzeit-Service Cedexis gekauft, der den Datenfluss über Public Clouds, Rechenzentren, Content Delivery Networks und Internetdienstleister hinweg dynamisch optimiert. [mehr]

Gib mir fünf! [23.01.2018]

Webhoster und Datacenter-Betreiber Hetzner Online erweitert sein Produktportfolio um insgesamt fünf neue Cloud-Server. Punkten sollen die Neuvorstellungen vor allem durch ihr Preis-Leistungs-Verhältnis sowie durch die intuitive Bedienbarkeit der Cloud-Infrastruktur in der Administrationsoberfläche 'Cloud Console'. [mehr]

Tipps & Tools

Download der Woche: Franz [13.02.2018]

Die Vielzahl an Kommunikationsdiensten bringt zwar ein Plus an Flexibilität, führt aber selten zu mehr Übersichtlichkeit. Zumindest auf dem Desktopcomputer vereint 'Franz' die gängigen Messenger nun unter einer Haube. Die Anwendung bündelt WhatsApp, den Facebook Messenger oder Skype in einem Tool, sodass sich vom PC aus bequem alle Kanäle bedienen lassen. Dabei können Sie pro Dienst auswählen, ob eingehenden Nachrichten durch eine Meldung in der Taskleiste oder Töne auf sich aufmerksam machen dürfen. [mehr]

E-Mail-Attachments in Outlook filtern [8.02.2018]

Oft sind Nutzer in Outlook auf der Suche nach einer ganz bestimmten E-Mail, von der Sie wissen, dass sie einen Dateianhang hat. In so einem Fall hilft der E-Mail-Client mit einer gezielten Suche, die sich bequem über das Ribbon-Menü steuern lässt und dann wie ein Filter nur Nachrichten mit einem Attachment anzeigt. Dabei sollten Sie allerdings ein paar Punkte beachten, besonders wenn Sie nach bestimmten Dateitypen suchen oder sogar den Inhalt der Anlagen durchstöbern wollen. [mehr]

Buchbesprechung

Software Defined Networking

von Konstantin Agouros

Anzeigen