Related Posts Plugin for WordPress, Blogger...


網管人雜誌

本文刊載於 網管人雜誌第 162 期 - 2019 年 7 月 1 日出刊,NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它,或透過城邦出版人讀者服務網進行訂閱。






文章目錄

前言
Hyper-V Server 2016
          安裝 Hyper-V Server 2016
          查詢 Hyper-V Server 軟體授權狀態
          Hyper-V Server 預設開啟連接埠號
          組態設定網路環境
          新增其它管理者帳號
          變更電腦名稱
          加入 Windows 網域或變更工作群組名稱
          防火牆組態設定
          其它功能選項
          調整電源設定
          移除 SMB 1.0 伺服器功能
          所有視窗都關閉時
遠端管理 Hyper-V Server 2016
          基礎設定管理
          建立 Hyper-V vSwitch 虛擬交換器
          管理 VM 虛擬主機
          調整 Hyper-V 進階設定
結語





前言

微軟最新雲端作業系統 Windows Server 2019,已經在 2018 年 10 月正式推出。然而,卻因為「已知資料夾重新導向」(Knows Folder Redirection,KFR)臭蟲問題,有可能導致使用者帳號內,Document 資料夾內文件被全數誤刪的情況。

雖然,Windows Server 2019 已經順利修復問題,但是 Hyper-V Server 2019 虛擬化平台的部份,仍在持續進行修復中。直至 2019 年 6 月中旬為止,不管在 Windows Evaluation Center 或 MSDN 訂閱(如圖 1 所示),都無法找到 Hyper-V Server 2019 映像檔。 ( 2019/07 更新,現在已經可以下載 Hyper-V Server 2019 ISO 映像檔了)

圖 1、2019 年 6 月之前,新世代 Hyper-V Server 2019 映像檔仍持續修復中


本文,將以目前主流的 Hyper-V Server 2016 實作演練,如何建構虛擬化平台並透過微軟最新 WAC(Windows Admin Center)管理平台,遠端管理 Hyper-V Server 2016 虛擬化平台的工作任務。





Hyper-V Server 2016

經常有許多 IT 管理人員詢問,啟用 Hyper-V 角色的 Windows Server,和 Windows Hyper-V Server 之間有何不同 ?簡單來說,Windows Server 支援許多特色功能和伺服器角色,然而 Windows Hyper-V Server 僅專注於 Hyper-V 。

熟悉 Windows Server 平台的管理人員皆知,希望 Windows Server 能夠進一步提升運作效能時,可以採用 Server Core 版本的 Windows Server 。事實上,拿掉 GUI 圖形介面的 Server Core,除了運作效能提升之外,主機的整體安全性也同時增加,後續安裝的安全性更新數量也更少。
Server Core 與圖形介面的 Windows Server,在安全性更新數量方面大約可以減少 40% - 60%,而 Windows Hyper-V Server 則比 Server Core 更為精簡,可知安全性更新數量將更少。

Windows Hyper-V Server,是比 Server Core 更精簡的版本,因為在 Windows Hyper-V Server 當中,「僅」支援 Hyper-V 伺服器角色,無法安裝其它常用伺服器角色,例如,DNS、DHCP…… 等,所以非常適合用來擔任 Hyper-V 虛擬化平台。

管理人員可能會擔心,過於精簡的 Windows Hyper-V Server,在硬體裝置支援方面是否較少或不足。簡單來說,Windows Hyper-V Server 已經內含 Windows Server Driver Model,所以只要能安裝 Windows Server 的硬體伺服器,安裝 Windows Hyper-V Server 也能正確識別所有硬體裝置。

此外,雖然 Windows Hyper-V Server 虛擬化平台,為免費使用的 Hypervisor 虛擬化平台,但是在虛擬化功能方面,則與啟用 Hyper-V 角色的 Windows Server 完全相同,因此完全支援容錯移轉叢集(Failover Clustering)、快速遷移(Quick Migration)、即時遷移(Live Migration)…… 等虛擬化功能(如圖 2 所示)。
請注意,可「免費」使用 Windows Hyper-V Server,是指 Hypervisor 虛擬化平台的部份,其上運作的 VM 虛擬主機客體作業系統,倘若為 Windows Server 或其它需要軟體授權的 Linux 作業系統,仍需要購買作業系統軟體授權。
圖 2、Windows Hyper-V Server 完全支援所有虛擬化特色功能



安裝 Hyper-V Server 2016

原則上,Windows Hyper-V Server 2016 的安裝方式,和管理人員安裝 Windows Server 2016 的方式相同。管理人員只要下載 Windows Hyper-V Server 2016 映像檔後,將 ISO 映像檔燒錄成安裝光碟片,或者製作成開機 USB 隨身碟,或是透過硬體伺服器 IPMI Virtual Media 功能,將 ISO 映像檔掛載成為遠端硬體伺服器光碟機,皆可以進行 Hyper-V Server 2016 的安裝作業。

當 Hyper-V Server 2016 安裝完畢後,第一次登入 Hyper-V Server 時,系統將會要求設定管理者密碼(需符合複雜性密碼原則),順利登入 Hyper-V Server 後,將會看到自動開啟的二個視窗,分別是命令提示字元和 Server Configuration Tool(如圖 3 所示)。
Windows Hyper-V Server 2016 和 Server Core 版本相同,不支援 GUI 圖形介面僅支援文字管理介面。
圖 3、Windows Hyper-V 2016 登入畫面



查詢 Hyper-V Server 軟體授權狀態

倘若管理人員,仍然擔心 Hyper-V Server 軟體授權是否為免費使用,那麼可以在登入後,切換到命令提示字元視窗中,鍵入「slmgr.vbs -dlv」指令即可查詢。如圖 4 所示,可以看到 Hyper-V Server 主機,在「軟體授權狀態」(License Status)欄位值為「已授權」(Licensed)

圖 4、查詢 Hyper-V Server 軟體授權狀態



Hyper-V Server 預設開啟連接埠號

如前所述,Hyper-V Server 專注於 Hyper-V 虛擬化平台的部份,所以預設情況下開啟的連接埠號非常少,這表示 Hyper-V Server 除了耗用的硬體資源更少外,在主機安全性方面更能縮小被攻擊範圍。

請管理人員切換到命令提示字元視窗,鍵入「netstat -nao」指令(如圖 5 所示),配合工作管理員查詢相對應的 PID 程序,即可得知 Hyper-V Server 啟用的執行程序非常精簡。

  • TCP 135、49665、49666,UDP 123、5353、5355 :svchost.exe(Windows Services 主機處理程序)
  • TCP 139、445、5985、47001,UDP 137、138 :System(NT Kernel & System)
  • TCP 2179 :vmms.exe(VM 虛擬主機管理服務)
  • TCP 49664 :wininit.exe(Windows 啟動應用程式)
  • TCP 49668 :lsass.exe(本機安全性認證處理程序)
  • TCP 49667 :services.exe(服務及控制站應用程式)

圖 5、查詢 Hyper-V Server 預設開啟連接埠號



組態設定網路環境

預設情況下,當 Hyper-V Server 啟動完成後,便會啟動 DHCP Client 網路功能,嘗試尋找同個區域網路中,是否有 DHCP Server 可以取得 IP 位址和其它網路組態。

管理人員可以透過內建的 Server Configuration Tool,透過互動方式設定 Hyper-V Server 網路組態。在本文實作環境中,將設定 Hyper-V Server 主機,採用「10.10.75.16」固定 IP 位址:

1. 請鍵入數字「8」選擇「Network Settings」項目,進入文字互動式設定頁面後,系統會列出偵測到的網路卡,倘若 Hyper-V Server 安裝多張網路卡時,請透過網路卡的「Index ID」,選擇希望組態設定的實體網路卡。
2. 設定固定 IP 位址,請依序鍵入「1 > S > 10.10.75.16 > 255.255.255.0 > 10.10.75.254」,將會組態設定固定 IP 位址、子網路遮罩、預設閘道。
3. 請依序鍵入設定「2 > 168.95.1.1 > 8.8.8.8」,組態設定使用的 DNS 伺服器位址。
4. 最後鍵入數字「4」,即可離開網路設定選單(如圖 6 所示)。

圖 6、設定 Hyper-V Server 主機網路組態



新增其它管理者帳號

倘若,屆時 Hyper-V Server 主機,並未加入 Windows 網域環境的話。那麼,建議管理人員應該養成良好的管理習慣,避免使用預設的 Administrator 管理帳號,進行 Hyper-V Server 的日常維運事務,而是新增其它管理者帳號,並將預設的 Administrator 管理帳號停用,以降低暴力密碼猜測工具攻擊的機會。

1. 請在 Server Configuration Tool 視窗中,鍵入數字「3」,選擇「Add Local Administrator」項目。
2. 鍵入新增管理者帳號名稱,本文實作環境為「Weithenn」,當新增管理者帳號名稱輸入完畢後,系統將彈出管理密碼設定視窗,請鍵入二次管理者密碼。(系統會自動將此使用者帳號,加入至 Administrators 管理者群組內)
3. 切換至命令提示字元視窗,鍵入「net user Weithenn」指令,查詢剛才新增的 Weithenn 管理帳號,是否為 Administrators 管理者群組的成員(如圖 7 所示)。

圖 7、新增 Hyper-V Server 管理者帳號

此時,請登出或重新啟動 Hyper-V Server,改為採用剛才新增的管理者帳號登入。確認新增管理者帳號,能夠順利登入並管理 Hyper-V Server 後,便可以將預設的 Administrator 帳號,進行「停用」(Disable)的動作。

請在命令提示字元視窗中,鍵入「net user Administrator /ACTIVE:NO」指令,然後查詢 Administrator 帳號資訊,便可以看到「Account active」欄位值為「No」,表示預設的 Administrator 管理者帳號已經停用(如圖 8 所示)。

圖 8、停用預設的 Administrator 管理者帳號



變更電腦名稱

預設情況下,在 Hyper-V Server 的安裝過程當中,系統會自動採用「WIN- 亂數」的命名規則,給予 Hyper-V Server 電腦名稱(本文實作環境中,預設電腦名稱為 WIN-ESJ7UF3J6KC)。然而,預設亂數的電腦名稱,通常不具識別性也不符合企業的主機命名規則。

管理人員在變更電腦名稱前,應先了解 Windows 主機命名規則,首先,儘量不要超過「15 個字元」,請使用 RFC-1123 文件定義的標準支援字元,如下所示:

  • 大寫字母 A 到 Z
  • 小寫字母 a 到 z
  • 數字 0 到 9
  • 連字號「-」


了解電腦名稱的命名規則後,請依下列操作步驟變更 Hyper-V Server 主機的電腦名稱:

1. 請在 Server Configuration Tool 視窗中,鍵入數字「2」選擇「Computer Name」項目。
2. 鍵入「Weithenn-HV2016」新電腦名稱,此時系統提必須重新啟動主機才能套用生效,按下「Yes」鈕便立即重新啟動主機。

當 Hyper-V Server 順利重新啟動後,登入後即可發現剛才所設定的電腦名稱已經套用生效了(如圖 9 所示)。

圖 9、變更 Hyper-V Server 主機電腦名稱



加入 Windows 網域或變更工作群組名稱

當管理人員,希望採用 Hyper-V Server 建構 Hyper-V 高可用性容錯移轉叢集,並實作進階功能如 Live Migration 即時遷移時,那麼必須要將 Hyper-V Server 主機,加入至 Windows AD 網域內才行,本文實作環境將加入「weithenn.org」網域。倘若,Hyper-V Server 主機只是單純運作 VM 虛擬主機,不需要相關進階特色功能時,便無須一定要加入 Windows AD 網域內。

1. 請在 Server Configuration Tool 視窗中,鍵入數字「1」選擇「Domain/Workgroup」項目。
2. 管理人員視運作環境需求,鍵入「D > 網域名稱 > 網域管理者帳號 > 網域管理者密碼」,即可加入 Windows AD 網域環境(如圖 10 所示),或鍵入「W > 工作群組名稱」即可。

圖 10、Hyper-V Server 主機順利加入 weithenn.org 網域



防火牆組態設定

預設情況下,Hyper-V Server 主機將自動啟用網卡防火牆功能,預設防火牆的規則為「阻擋進入」的封包(Block Inbound),「允許出去」的封包(Allow Outbound),因此預設情況下其它主機,並無法 ping 到 Hyper-V Server 主機,管理人員可以透過「Set-NetFirewallProfile」的 PowerShell 指令,或透過 Server Configuration Tool 互動式設定,開啟 Hyper-V Server 主機允許被 ping 的防火牆規則。

1. 請鍵入數字「4」,選擇「Configure Remote Management」項目。
2. 接著鍵入數字「3」,選擇「Configure Server Response to Ping」項目,並於彈出視窗按下「Yes」鈕即可。



其它功能選項

在 Server Configuration Tool 組態設定中,其它選項因為功能較為直覺且容易設定,因此便不再帶著讀者逐一操作。下列,便是其它組態設定選項功能概述:

  • 5)Windows Update Settings : 組態設定 Windows 安全性更新。
  • 6)Download and Install Update : 立即下載 Windows 安全性更新。
  • 7)Remote Desktop : 啟用遠端桌面連線功能。
  • 9)Date and Time : 組態設定系統日期和時間。
  • 10)Telemetry settings : 組態設定遙測機制等級。
  • 11)Log Off User : 執行系統登出的動作。
  • 12)Restart Server : 執行主機重新啟動的動作。
  • 13)Shut Down Server : 執行關機的動作。
  • 14)Exit to Command Line : 離開 Server Configuration Tool 模式,回到命令提示字元。




調整電源設定

如圖 11 所示,預設情況下,Hyper-V Server 主機的電源設定為「平衡」(Balanced),管理人員可以透過「powercfg /setactive」指令,搭配取得的「Power Scheme GUID」,將 Hyper-V Server 主機的電源設定,調整為「高效能」(High Performance)
管理人員應檢查 Hyper-V Server 的 BIOS/UEFI 設定,在 BIOS/UEFI 的電源管理項目中,也應調整為 Max Performance 選項,才能讓 Hyper-V Server 主機,在硬體 / 軟體相互搭配的情況下發揮最大運作效能。
圖 11、將 Hyper-V Server 主機的電源設定調整為高效能



移除 SMB 1.0 伺服器功能

Windows 10(1709)版本,和 Windows Server 2016(1709)版本開始,預設已經移除 SMB v1 伺服器功能,以避免遭受惡意程式攻擊的機會。
有關 SMB v1 伺服器功能的安全性問題詳細資訊,請參考  Microsoft KB 4034314KB 2696547 知識庫文章。

管理人員,可以使用「Get-ComputerInfo」的 PowerShell 指令,查詢目前採用的 Windows Server 版本,或者直接使用「Get-WindowsFeature -Name FS-SMB1」的 PowerShell 指令,查詢是否安裝此伺服器功能。

在本文實作環境中,安裝好的 Hyper-V Server 2016 主機,預設已經有 SMB v1 伺服器功能,請使用「Remove-WindowsFeature -Name FS-SMB1」的 PowerShell 指令(如圖 12 所示),即可移除 SMB v1 伺服器功能,但必須重新啟動 Hyper-V Server 主機才能套用生效。

圖 12、透過 PowerShell 指令,移除有安全性疑慮的 SMB v1 伺服器功能



所有視窗都關閉時

倘若,管理人員不小心,將 Hyper-V Server 內命令提示字元,和 Server Configuration Tool 設定視窗都關閉時,只要依下列操作步驟即可再次開啟相關組態設定視窗:

1. 請按下「Ctrl + Alt + Delete」組合鍵,選擇「Task Manager」項目開啟工作管理員。
2. 在工作管理員視窗中,點選「File > Run new task」後,鍵入「cmd」即可開啟命令提示字元,鍵入「powershell」即可開啟 PowerShell 指令視窗,鍵入「sconfig」即可開啟 Server Configuration Tool 設定視窗。





遠端管理 Hyper-V Server 2016

過去,要遠端管理 Hyper-V Server 主機時,必須先在 Hyper-V Server 主機端處理「遠端存取權限」、「信任主機清單」、「開啟遠端管理」…… 等後,才能夠在遠端主機透過 Hyper-V 管理員或 RSAT 管理工具,遠端管理 Hyper-V Server 主機。

現在,透過 WAC(Windows Admin Center)管理工具,即能以內建的 Remote PowerShell,和 WMI over WinRM(Port 5985)運作機制,快速納管 Windows Server 主機,並且受管理的 Windows Server 無須安裝任何代理程式,達到現代化管理機制「無代理程式」(Agentless)運作架構。

請在 WAC 管理工具中,依序點選「All Connections > Add > Servers」項目,鍵入 Hyper-V Server 主機電腦名稱,本文實作環境為「weithenn-hv2016」,此時 WAC 管理工具便立即透過 WMI over WinRM(Port 5985)機制,探索及發現遠端 Hyper-V Server 主機(如圖 13 所示)。
有關 WAC 管理工具的詳細資訊,請參考本刊《 第 153 期、新版 WAC 免費易用,輕鬆管理主機 / 容錯移轉叢集 》文章內容。
圖 13、透過 WAC 管理工具遠端管理 Hyper-V Server



基礎設定管理

過去,透過 Hyper-V 管理員遠端管理 Hyper-V Server,雖然可以管理 Hyper-V 虛擬化平台的部份,但是 Hyper-V Server 其它基礎設定的管理部份,則必須視管理的項目額外開啟相關權限和防火牆規則。

現在,透過 WAC 管理工具,除了無須額外組態設定即可立即管理之外,還將管理人員常用的管理項目集中,並且將管理人員在意的運作效能圖表化。舉例來說,順利納管 Hyper-V Server 主機後,點選左邊的「Overview」項目,除了顯示電腦名稱、網域、作業系統版本……等資訊外,還顯示目前 CPU 處理器、記憶體工作負載、網路卡進出流量等資訊(如圖 14 所示)。

圖 14、透過 WAC 管理工具遠端管理 Hyper-V Server 主機

此外,管理人員日常維運經常使用到的工具,例如,事件檢視器、調整防火牆規則、管理使用者或群組、管理執行程序、安裝或移除伺服器功能和角色 …… 等,也都集中於 WAC 管理介面中左方的 Tools 部份,甚至希望直接使用 PowerShell 指令進行管理時,只要點選「PowerShell」項目,即可透過 Remote PowerShell 的方式,執行相關管理指令(如圖 15 所示)。
當管理人員執行完 PowerShell 指令後,在點選其它管理項目之前,記得點選上方「Disconnect」鈕,以中斷遠端 PowerShell 執行程序。
圖 15、透過 WAC 管理工具,遠端執行 PowerShell 指令管理 Hyper-V Server



建立 Hyper-V vSwitch 虛擬交換器

透過 WAC 管理工具,快速且直覺的 HTML5 管理介面,管理人員可以很容易管理遠端 Hyper-V Server,舉例來說,在 WAC 管理工具中依序點選「Virtual Switches > New」項目後,填入 Hyper-V vSwitch 虛擬交換器名稱、虛擬交換類型、實體網路卡……等資訊即可(如圖 16 所示)。

圖 16、透過 WAC 管理工具,建立 Hyper-V vSwitch 虛擬交換器



管理 VM 虛擬主機

當然,透過 WAC 管理 Hyper-V Server 主機,也能夠提供過往 Hyper-V 管理員工具許多不足之處。首先,進入 Virtual Machines 項目後,在「Summary」頁籤項目中,可以看到 Hyper-V Server 主機,整體運作狀態,包括,運作幾台 VM 虛擬主機、近期發生的系統事件、CPU 使用率、記憶體工作負載 …… 等資訊,甚至會顯示前幾名使用最多 CPU 和記憶體的 VM 虛擬主機。

點選「Inventory」選項,則會條列出所有 VM 虛擬主機,包括每台 VM 虛擬主機的概要資訊,例如,運作狀態、CPU 使用率、指派的記憶體空間、運作時間、心跳偵測狀態 …… 等。此外,可針對「單台或多台」VM 虛擬主機進行維運管理,例如,重新啟動、關機、建立檢查點 …… 等。

管理人員可以點選 VM 虛擬主機,進入更詳細的單台 VM 虛擬主機管理畫面,同樣的除了 VM 虛擬主機詳細的組態設定資訊外,在效能圖表方面除了傳統的 CPU、記憶體、網路頻寬之外,還顯示 IOPS 和 Throughput 儲存效能的部份。

此外,當管理人員希望登入 VM 虛擬主機 Console 畫面時,只要點選「More > Connect」項目,即可在 WAC 管理工具中,直接開啟 VM 虛擬主機 Console 畫面進行管理(如圖 17 所示)。

圖 17、在 WAC 管理工具中,直接開啟 VM 虛擬主機 Console 畫面進行管理



調整 Hyper-V 進階設定

最後,當管理人員希望調整 Hyper-V 進階設定時,可以點選「Settings」項目進行調整,舉例來說,希望調整 Storage Migration 儲存即時遷移組態設定值時,即可點選「Settings > Storage Migration」項目進行調整(如圖 18 所示)。

圖 18、調整 Hyper-V Server Storage Migration 儲存即時遷移組態設定值





結語

透過本文的深入剖析和實戰演練,相信讀者已經了解,如何透過免費的 Hyper-V Server,建構高效能的 Hyper-V 虛擬化平台,並且透過新世代 WAC 管理工具,即可輕鬆管理遠端 Hyper-V Server 。後續,當最新 Hyper-V Server 2019 正式推出後,也將撰文與各位讀者分享深入剖析和實作演練的部份。