von Redaktion IT-A…
Lesezeit
2 Minuten
Gängige Konfigurationsfehler in Hyper-V vermeiden
Hyper-V ist inzwischen ein gängiges Virtualisierungsprodukt. Wenngleich die Installation recht schnell erledigt ist, können im täglichen Betrieb Probleme auftreten. Leistungseinbußen, unzureichend abgesicherte Systeme oder nicht funktionierende Backups sind nur einige davon. In der Regel liegt dies daran, dass bei der Konfiguration unter Windows Server 2016 einige Punkte nicht ausreichend beachtet wurden. Der Artikel nennt die häufigsten Fehler und wie sich diese vermeiden lassen.
Mit Hyper-V lassen sich virtualisierte Umgebungen relativ zügig aufsetzen. Nach der eigentlichen Installation von Windows Server 2016 und der erforderlichen Treiber, der Durchführung von Updates sowie einigen wenigen Grundkonfigurationen heißt es nur noch, Hyper-V im Server-Manager oder der Microsoft PowerShell als Serverrolle auszuwählen und zwei Neustarts durchzuführen. Durch die Aktivierung der Hyper-V-Rolle wandert der Hypervisor unter das laufende Betriebssystem, das in eine privilegierte als Root- oder Parent-Partition bezeichnete virtuelle Maschine (VM) verschoben wird.
Die auf diese Weise erzeugte Management-Instanz, für die manchmal synonym auch der Begriff Management-OS verwendet wird, dient ausschließlich der Steuerung des Hypervisors und beherbergt den Virtualisierungs-Stack. Dieser enthält alle für den Zugriff auf die physische Hardware nötigen Treiber, Dienste sowie Komponenten. Zudem hält er alle Funktionen für die Erstellung, die Konfiguration und den Betrieb der als eigene Instanzen parallel zur Parent Partition auf Hyper-V laufenden VMs – auch Child Partitions genannt – vor.
Regel 1: In der Parent Partition sollte nur die Hyper-V-Rolle laufen
Dem Management-OS, für das vereinfachend (wenngleich nicht ganz richtig) auch der Begriff "Host" verwendet wird, kommt somit eine Sonderstellung zu. Daraus ergeben sich verschiedene sowohl technische als auch lizenzrechtliche Implikationen. Zunächst mag die Hardwareausstattung des physischen Servers unter Einsparungsgesichtspunkten gesehen dazu verlocken, mehrere Dienste oder Anwendungen zu installieren. Und natürlich ist es möglich, diese in der Parent Partition einzurichten.
Doch das kostet Ressourcen und kann die Ausführung der laufenden VMs einschränken, da ja jeder Hardwarezugriff über die Managementinstanz verläuft. Hinzu kommt, dass hier der gesamte ein- und ausgehende Datenverkehr gesteuert wird. Laufen neben Hyper-V noch andere Anwendungen auf dem Host, kann dies zu Sicherheitsproblemen führen und die Stabilität des Systems beeinträchtigen.
Des Weiteren sieht das Lizensierungsmodell von Microsoft beim Einsatz der Windows Server 2016 Standard-Edition neben der für die Hyper-V-Rolle und zugehöriger Management-Werkzeuge reservierten VM lediglich den kostenfreien Betrieb von zwei virtuellen Windows-Instanzen vor. Werden in der Parent Partition neben der Software für die Verwaltung sowie den Betrieb des Hypervisors zusätzliche Dienste oder Anwendungen wie beispielsweise Active Directory, DNS, DHCP, Exchange, SQL Server oder SAP installiert, würde dies die Rechte auf nur noch eine Instanz schmälern. Daher sollten Sie diese in den Child Partitions bündeln.
Regel 2: Gruppenrichtlinien anwenden
Hyper-V-Systeme in eine Server oder Arbeitsplatzrechner global zusammenfassende Organisationseinheit (OU) aufzunehmen, kann Probleme aufwerfen. Dies zeigte ein Fall aus der Praxis, in der die Host-Rechner wahllos neustarteten. Die Ursache hierfür war, dass sie im Active Directory in einer für die Workstation-OU festgelegten Patch-Regel markiert waren. Aus diesem Grund wird empfohlen, Hyper-V-Systeme von allgemeingültigen Policies auszunehmen, die nicht auf Server ausgelegt sind. Anstelle dessen sollten Sie spezielle Gruppenrichtlinien konfigurieren, die sich an Betriebssystemumgebungs-Standards (Standard Operating Environment) orientieren.
Regel 3: Absicherungsmaßnahmen treffen
Für die Absicherung von Systemen, die unter Hyper-V laufen, müssen Sie verschiedene Punkte beachten und eine Reihe an Einstellungen vornehmen. Hierzu zählt, zunächst die für das Management-OS benötigten minimalen Windows-Server-Installationsoptionen anzuwenden und das Betriebssystem, die Firmware sowie die Gerätetreiber mit aktuellsten Sicherheitsupdates stets auf dem neuesten Stand zu halten. Gleichfalls sollten Sie das Aufspielen nicht erforderlicher Software vermeiden, der Host nicht als Workstation nutzen, wenn möglich fernverwalten und den Credential Guard und den Windows-Codeintegritätsdienst aktivieren.
Die Anbindung des physischen Hyper-V-Systems über einen für diesen Zweck fest zugewiesenen Adapter an ein separates Netzwerk bedeutet ebenso ein Plus an Sicherheit. Zudem bietet es sich an, eine private Infrastruktur für den Zugriff auf VM-Konfigurationen sowie VHD-Files zu verwenden. Über diese sollte auch der Datenverkehr bei Migrationen möglichst per IPSec verschlüsselt übertragen werden. Durch die Nutzung des integrierten SMB-Protokolls lassen sich Daten ferner vor Lauschangriffen in nicht vertrauenswürdigen Netzen schützen und Man-in-the-Middle-Angriffe bei der Übertragung über private Netze weitestgehend ausschließen. Der Einsatz von Shielded VMs, für die jedoch eine aus dem Host Guardian Host (HGS) und Guarded Hosts bestehende Guarded Fabric als Infrastruktur Voraussetzung ist, ermöglicht es, Daten im Gastsystem einer VM von den anderen Gastsystemen auf dem Hypervisor und dem Systemverwalter abzuschotten. Dazu muss aber ein TPM-2.0-Chip im Server verbaut sein. Der Einsatz von VMs der zweiten Generation sowie BitLocker zur Verschlüsslung der Daten in den VMs und der Festplatten ist ebenso erforderlich.
Seite 1: Gruppenrichtlinien anwenden, Absicherungsmaßnahmen treffen
Seite 2: Antiviren-Software richtig konfigurieren
ln/Jörn Koch, Channel Sales Manager Central Europe bei Altaro
Die auf diese Weise erzeugte Management-Instanz, für die manchmal synonym auch der Begriff Management-OS verwendet wird, dient ausschließlich der Steuerung des Hypervisors und beherbergt den Virtualisierungs-Stack. Dieser enthält alle für den Zugriff auf die physische Hardware nötigen Treiber, Dienste sowie Komponenten. Zudem hält er alle Funktionen für die Erstellung, die Konfiguration und den Betrieb der als eigene Instanzen parallel zur Parent Partition auf Hyper-V laufenden VMs – auch Child Partitions genannt – vor.
Regel 1: In der Parent Partition sollte nur die Hyper-V-Rolle laufen
Dem Management-OS, für das vereinfachend (wenngleich nicht ganz richtig) auch der Begriff "Host" verwendet wird, kommt somit eine Sonderstellung zu. Daraus ergeben sich verschiedene sowohl technische als auch lizenzrechtliche Implikationen. Zunächst mag die Hardwareausstattung des physischen Servers unter Einsparungsgesichtspunkten gesehen dazu verlocken, mehrere Dienste oder Anwendungen zu installieren. Und natürlich ist es möglich, diese in der Parent Partition einzurichten.
Doch das kostet Ressourcen und kann die Ausführung der laufenden VMs einschränken, da ja jeder Hardwarezugriff über die Managementinstanz verläuft. Hinzu kommt, dass hier der gesamte ein- und ausgehende Datenverkehr gesteuert wird. Laufen neben Hyper-V noch andere Anwendungen auf dem Host, kann dies zu Sicherheitsproblemen führen und die Stabilität des Systems beeinträchtigen.
Des Weiteren sieht das Lizensierungsmodell von Microsoft beim Einsatz der Windows Server 2016 Standard-Edition neben der für die Hyper-V-Rolle und zugehöriger Management-Werkzeuge reservierten VM lediglich den kostenfreien Betrieb von zwei virtuellen Windows-Instanzen vor. Werden in der Parent Partition neben der Software für die Verwaltung sowie den Betrieb des Hypervisors zusätzliche Dienste oder Anwendungen wie beispielsweise Active Directory, DNS, DHCP, Exchange, SQL Server oder SAP installiert, würde dies die Rechte auf nur noch eine Instanz schmälern. Daher sollten Sie diese in den Child Partitions bündeln.
Regel 2: Gruppenrichtlinien anwenden
Hyper-V-Systeme in eine Server oder Arbeitsplatzrechner global zusammenfassende Organisationseinheit (OU) aufzunehmen, kann Probleme aufwerfen. Dies zeigte ein Fall aus der Praxis, in der die Host-Rechner wahllos neustarteten. Die Ursache hierfür war, dass sie im Active Directory in einer für die Workstation-OU festgelegten Patch-Regel markiert waren. Aus diesem Grund wird empfohlen, Hyper-V-Systeme von allgemeingültigen Policies auszunehmen, die nicht auf Server ausgelegt sind. Anstelle dessen sollten Sie spezielle Gruppenrichtlinien konfigurieren, die sich an Betriebssystemumgebungs-Standards (Standard Operating Environment) orientieren.
Regel 3: Absicherungsmaßnahmen treffen
Für die Absicherung von Systemen, die unter Hyper-V laufen, müssen Sie verschiedene Punkte beachten und eine Reihe an Einstellungen vornehmen. Hierzu zählt, zunächst die für das Management-OS benötigten minimalen Windows-Server-Installationsoptionen anzuwenden und das Betriebssystem, die Firmware sowie die Gerätetreiber mit aktuellsten Sicherheitsupdates stets auf dem neuesten Stand zu halten. Gleichfalls sollten Sie das Aufspielen nicht erforderlicher Software vermeiden, der Host nicht als Workstation nutzen, wenn möglich fernverwalten und den Credential Guard und den Windows-Codeintegritätsdienst aktivieren.
Die Anbindung des physischen Hyper-V-Systems über einen für diesen Zweck fest zugewiesenen Adapter an ein separates Netzwerk bedeutet ebenso ein Plus an Sicherheit. Zudem bietet es sich an, eine private Infrastruktur für den Zugriff auf VM-Konfigurationen sowie VHD-Files zu verwenden. Über diese sollte auch der Datenverkehr bei Migrationen möglichst per IPSec verschlüsselt übertragen werden. Durch die Nutzung des integrierten SMB-Protokolls lassen sich Daten ferner vor Lauschangriffen in nicht vertrauenswürdigen Netzen schützen und Man-in-the-Middle-Angriffe bei der Übertragung über private Netze weitestgehend ausschließen. Der Einsatz von Shielded VMs, für die jedoch eine aus dem Host Guardian Host (HGS) und Guarded Hosts bestehende Guarded Fabric als Infrastruktur Voraussetzung ist, ermöglicht es, Daten im Gastsystem einer VM von den anderen Gastsystemen auf dem Hypervisor und dem Systemverwalter abzuschotten. Dazu muss aber ein TPM-2.0-Chip im Server verbaut sein. Der Einsatz von VMs der zweiten Generation sowie BitLocker zur Verschlüsslung der Daten in den VMs und der Festplatten ist ebenso erforderlich.
Seite 1: Gruppenrichtlinien anwenden, Absicherungsmaßnahmen treffen
Seite 2: Antiviren-Software richtig konfigurieren
| Seite 1 von 2 | Nächste Seite >> |
ln/Jörn Koch, Channel Sales Manager Central Europe bei Altaro
