虛擬化 無代理程式 Agentless 遠端管理 Windows Admin Center WAC

比Server Core更精簡有效率 迅速納管主機落實現代化管理

動手實作Hyper-V Server 體驗WAC遠端輕鬆掌握

2019-07-01
Windows Hyper-V Server是比Server Core更精簡的版本,非常適合擔任Hyper-V虛擬化平台,本文將使用目前主流的Hyper-V Server 2016來建構高效能的Hyper-V虛擬化平台,並透過微軟最新的WAC(Windows Admin Center)管理平台,進行遠端管理Hyper-V Server 2016虛擬化平台的工作任務。

 

微軟最新的雲端作業系統Windows Server 2019,已經在2018年10月正式推出。然而,卻因為「已知資料夾重新導向」(Knows Folder Redirection,KFR)臭蟲問題,有可能導致使用者帳號中「Document」資料夾內的文件全數被誤刪的情況。

雖然Windows Server 2019已經順利修復問題,但是Hyper-V Server 2019虛擬化平台的部分,仍在持續進行修復中。目前,不管在Windows Evaluation Center或MSDN訂閱,如圖1所示,都無法找到Hyper-V Server 2019映像檔。

圖1  新世代Hyper-V Server 2019映像檔仍持續修復中。(圖片來源:Microsoft官方網站 - Windows Server Evaluations Center)

本文將以目前主流的Hyper-V Server 2016實作演練,示範如何建構虛擬化平台並透過微軟最新WAC(Windows Admin Center)管理平台,遠端管理Hyper-V Server 2016虛擬化平台的工作任務。

安裝設定Hyper-V Server 2016

經常有許多IT管理人員詢問,啟用Hyper-V角色的Windows Server,與Windows Hyper-V Server之間有何不同?簡單來說,Windows Server支援許多特色功能和伺服器角色,然而Windows Hyper-V Server僅專注於Hyper-V。

熟悉Windows Server平台的管理人員皆知,希望Windows Server能夠進一步提升運作效能時,可以採用Server Core版本的Windows Server。事實上,拿掉GUI圖形介面的Server Core,除了運作效能提升之外,主機的整體安全性也同時增加,後續安裝的安全性更新數量也更少。

Windows Hyper-V Server是比Server Core更精簡的版本,因為在Windows Hyper-V Server當中,「僅」支援Hyper-V伺服器角色,無法安裝其他常用伺服器角色,例如DNS、DHCP等等,所以非常適合用來擔任Hyper-V虛擬化平台。

管理人員可能會擔心過於精簡的Windows Hyper-V Server在硬體裝置支援方面是否較少或不足。簡單來說,Windows Hyper-V Server已經內含Windows Server Driver Model,所以只要能安裝Windows Server的硬體伺服器,安裝Windows Hyper-V Server也能正確識別所有硬體裝置。

此外,雖然Windows Hyper-V Server虛擬化平台為免費使用的Hypervisor虛擬化平台,但是在虛擬化功能方面,則與啟用Hyper-V角色的Windows Server完全相同,因此完全支援容錯移轉叢集(Failover Clustering)、快速遷移(Quick Migration)、即時遷移(Live Migration)等等虛擬化功能,如圖2所示。

圖2  Windows Hyper-V Server完全支援所有虛擬化特色功能。(圖片來源:Microsoft Docs - Hyper-V Network I/O Performance)

 

安裝Hyper-V Server 2016

原則上,Windows Hyper-V Server 2016的安裝方式,與管理人員安裝Windows Server 2016的方式相同。管理人員只要下載Windows Hyper-V Server 2016映像檔後,將ISO映像檔燒錄成安裝光碟片,或者製作成開機USB隨身碟,或是透過硬體伺服器IPMI Virtual Media功能將ISO映像檔掛載成為遠端硬體伺服器光碟機,皆可以進行Hyper-V Server 2016的安裝作業。

當Hyper-V Server 2016安裝完畢,第一次登入Hyper-V Server時,系統會要求設定管理者密碼(須符合複雜性密碼原則),順利登入Hyper-V Server後,將會看到自動開啟的兩個視窗,分別是命令提示字元和Server Configuration Tool,如圖3所示。

圖3  Windows Hyper-V 2016登入畫面。

查詢Hyper-V Server軟體授權狀態

倘若管理人員仍然擔心Hyper-V Server軟體授權是否為免費使用,那麼可以在登入後,切換到命令提示字元視窗中,鍵入「slmgr.vbs -dlv」指令即可查詢。如圖4所示,就會看到Hyper-V Server主機在「軟體授權狀態」(License Status)欄位值為「已授權」(Licensed)。

圖4  查詢Hyper-V Server軟體授權狀態。

Hyper-V Server預設開啟連接埠號

如前所述,Hyper-V Server專注於Hyper-V虛擬化平台的部分,所以預設情況下開啟的連接埠號非常少,這表示Hyper-V Server除了耗用的硬體資源更少外,在主機安全性方面,更能夠縮小被攻擊範圍。

首先,管理人員切換到命令提示字元視窗,鍵入「netstat -nao」指令,如圖5所示,配合工作管理員查詢相對應的PID程序,即可得知Hyper-V Server啟用的執行程序非常精簡:

圖5  查詢Hyper-V Server預設開啟連接埠號。

‧TCP 135、49665、49666,UDP 123、5353、5355:svchost.exe(Windows Services主機處理程序)

‧TCP 139、445、5985、47001,UDP 137、138:System(NT Kernel & System)

‧TCP 2179:vmms.exe(VM虛擬主機管理服務)

‧TCP 49664:wininit.exe(Windows啟動應用程式)

‧TCP 49668:lsass.exe(本機安全性認證處理程序)

‧TCP 49667:services.exe (服務及控制站應用程式)

組態設定網路環境

預設情況下,當Hyper-V Server啟動完成後,便會啟動DHCP Client網路功能,嘗試尋找同一個區域網路中是否有DHCP Server可取得IP位址和其他網路組態。

管理人員可以透過內建的Server Configuration Tool,以互動方式設定Hyper-V Server網路組態。在本文實作環境中,將設定Hyper-V Server主機,採用「10.10.75.16」固定IP位址:

STEP 1:鍵入數字「8」選擇「Network Settings」項目,進入文字互動式設定頁面後,系統會列出偵測到的網路卡,倘若Hyper-V Server安裝多張網路卡時,透過網路卡的「Index ID」,選擇希望組態設定的實體網路卡。

STEP 2:設定固定IP位址,依序鍵入「1 > S > 10.10.75.16 > 255.255.255.0 > 10.10.75.254」,將會組態設定固定IP位址、子網路遮罩以及預設閘道。

STEP 3:依序鍵入設定「2 > 168.95.1.1 > 8.8.8.8」,組態設定使用的DNS伺服器位址。

STEP 4:最後鍵入數字「4」,即可離開網路設定選單,如圖6所示。

圖6  設定Hyper-V Server主機網路組態。

新增其他管理者帳號

倘若屆時Hyper-V Server主機並未加入Windows網域環境的話,那麼建議管理人員應該養成良好的管理習慣,避免使用預設的Administrator管理帳號,進行Hyper-V Server的日常維運事務,而是新增其他管理者帳號,並將預設的Administrator管理帳號停用,以降低暴力密碼猜測工具攻擊的機會。

STEP 1:在Server Configuration Tool視窗中鍵入數字「3」,選擇「Add Local Administrator」項目。

STEP 2:鍵入新增管理者帳號名稱,本文實作環境為「Weithenn」,當新增管理者帳號名稱輸入完畢,系統將彈出管理密碼設定視窗,鍵入二次管理者密碼(系統會自動將此使用者帳號,加入至Administrators管理者群組內)。

STEP 3:切換至命令提示字元視窗,鍵入「net user Weithenn」指令,查詢剛才新增的Weithenn管理帳號是否為Administrators管理者群組的成員,如圖7所示。

圖7  新增Hyper-V Server管理者帳號。

此時登出或重新啟動Hyper-V Server,改為採用剛才新增的管理者帳號登入。確認新增管理者帳號能夠順利登入並管理Hyper-V Server後,便可以將預設的Administrator帳號進行「停用」(Disable)的動作。

在命令提示字元視窗中,鍵入「net user Administrator /ACTIVE:NO」指令,然後查詢Administrator帳號資訊,便會看到「Account active」欄位值為「No」,代表預設的Administrator管理者帳號已經停用,如圖8所示。

圖8  停用預設的Administrator管理者帳號。

變更電腦名稱

預設情況下,在Hyper-V Server的安裝過程中,系統會自動採用「WIN-亂數」的命名規則來給予Hyper-V Server電腦名稱(本文實作環境中,預設電腦名稱為WIN-ESJ7UF3J6KC)。然而,預設亂數的電腦名稱,通常不具識別性也不符合企業的主機命名規則。

管理人員在變更電腦名稱前,應先了解Windows主機命名規則,首先,儘量不要超過「15個字元」,使用RFC-1123文件定義的標準支援字元,如下所示:

大寫字母A到Z

小寫字母a到z

數字0到9

連字號「-」

了解電腦名稱的命名規則後,依下列操作步驟變更Hyper-V Server主機的電腦名稱:

STEP 1:在Server Configuration Tool視窗中,鍵入數字「2」,選擇「Computer Name」項目。

STEP 2:鍵入「Weithenn-HV2016」新電腦名稱,此時系統必須重新啟動主機才能套用生效,按下〔Yes〕按鈕,便會立即重新啟動主機。

當Hyper-V Server順利重新啟動後,登入後即可發現剛才所設定的電腦名稱已經套用生效,如圖9所示。

圖9  變更Hyper-V Server主機電腦名稱。

加入Windows網域或變更工作群組名稱

當管理人員希望採用Hyper-V Server建構Hyper-V高可用性容錯移轉叢集,並實作如Live Migration即時遷移等的進階功能時,必須將Hyper-V Server主機加入至Windows AD網域內才行,本文實作環境將加入「weithenn.org」網域。倘若Hyper-V Server主機只是單純運作VM虛擬主機,並不需要相關進階特色功能,就無須一定要加入Windows AD網域內。

STEP 1:在Server Configuration Tool視窗中,鍵入數字「1」,選擇「Domain/Workgroup」項目。

STEP 2:管理人員視運作環境需求,鍵入「D > 網域名稱 > 網域管理者帳號 > 網域管理者密碼」,即可加入Windows AD網域環境,如圖10所示,或者鍵入「W > 工作群組名稱」。

圖10  Hyper-V Server主機順利加入weithenn.org網域。

設定防火牆組態

預設情況下,Hyper-V Server主機會自動啟用網卡防火牆功能。預設防火牆的規則為「阻擋進入」的封包(Block Inbound),「允許出去」的封包(Allow Outbound),因此預設情況下其他主機並無法ping到Hyper-V Server主機。

管理人員可透過「Set-NetFirewallProfile」的PowerShell指令,或透過Server Configuration Tool互動式設定,開啟Hyper-V Server主機允許被ping的防火牆規則。

STEP 1:首先鍵入數字「4」,然後再選擇「Configure Remote Management」項目。

STEP 2:接著鍵入數字「3」,選擇「Configure Server Response to Ping」項目,並於彈出視窗中按下〔Yes〕按鈕即可。

其他功能選項

在Server Configuration Tool組態設定中,其他選項因為功能較為直覺且容易設定,因此便不再逐一示範操作。下列便是其他組態設定選項功能概述:

5) Windows Update Settings:組態設定Windows安全性更新

6) Download and Install Update:立即下載Windows安全性更新

7) Remote Desktop:啟用遠端桌面連線功能

9) Date and Time:組態設定系統日期和時間

10) Telemetry settings:組態設定遙測機制等級

11) Log Off User:執行系統登出的動作

12) Restart Server:執行主機重新啟動的動作

13) Shut Down Server:執行關機的動作

14) Exit to Command Line:離開Server Configuration Tool模式,回到命令提示字元。

調整電源設定

如圖11所示,預設情況下,Hyper-V Server主機的電源設定為「平衡」(Balanced),管理人員可以透過「powercfg /setactive」指令,搭配取得的「Power Scheme GUID」,將Hyper-V Server主機的電源設定,調整為「高效能」(High Performance)。

圖11  將Hyper-V Server主機的電源設定調整為高效能。

移除SMB 1.0伺服器功能

從Windows 10 (1709)版本和Windows Server 2016 (1709)版本開始,預設已經移除SMB v1伺服器功能,以避免遭受惡意程式攻擊的機會。

管理人員可以使用「Get-ComputerInfo」的PowerShell指令,查詢目前採用的Windows Server版本,或者直接使用「Get-WindowsFeature -Name FS-SMB1」的PowerShell指令,查詢是否安裝此伺服器功能。

在本文實作環境中,安裝好的Hyper-V Server 2016主機,預設已經有SMB v1伺服器功能。使用「Remove-WindowsFeature -Name FS-SMB1」的PowerShell指令,如圖12所示,即可移除SMB v1伺服器功能,但必須重新啟動Hyper-V Server主機,才能夠套用生效。

圖12  透過PowerShell指令移除有安全性疑慮的SMB v1伺服器功能。

當所有視窗都關閉時

倘若管理人員不小心將Hyper-V Server內的命令提示字元,和Server Configuration Tool設定視窗都關閉時,只要依下列步驟操作,即可再次開啟相關組態設定視窗:

STEP 1:按下〔Ctrl〕+〔Alt〕+〔Delete〕組合鍵,選擇「Task Manager」項目開啟工作管理員。

STEP 2:在工作管理員視窗中,點選「File > Run new task」後鍵入「cmd」,即可開啟命令提示字元,執行「powershell」就能夠開啟PowerShell指令視窗,而輸入「sconfig」便可開啟Server Configuration Tool設定視窗。

遠端管理Hyper-V Server 2016

在過去,想要遠端管理Hyper-V Server主機,必須先在Hyper-V Server主機端處理「遠端存取權限」、「信任主機清單」、「開啟遠端管理」等等,才能夠在遠端主機上透過Hyper-V管理員或RSAT管理工具來遠端管理Hyper-V Server主機。

而現在,透過WAC(Windows Admin Center)管理工具,即能以內建的Remote PowerShell,和WMI over WinRM(Port 5985)運作機制,快速地納管Windows Server主機,並且受管理的Windows Server無須安裝任何代理程式,達到現代化管理機制「無代理程式」(Agentless)運作架構。

在WAC管理工具中,依序點選「All Connections > Add > Servers」項目,鍵入Hyper-V Server主機電腦名稱,本文實作環境為「weithenn-hv2016」,此時WAC管理工具便立即透過WMI over WinRM(Port 5985)機制,探索及發現遠端Hyper-V Server主機,如圖13所示。

圖13  透過WAC管理工具遠端管理Hyper-V Server。

基礎設定管理

過去透過Hyper-V管理員遠端管理Hyper-V Server,雖然可以管理Hyper-V虛擬化平台的部分,但是Hyper-V Server其他基礎設定的管理部分,則必須視管理的項目額外開啟相關權限和防火牆規則。

現在透過WAC管理工具,除了無須額外組態設定即可立即管理之外,還將管理人員常用的管理項目集中,並且把管理人員在意的運作效能圖表化。舉例來說,順利納管Hyper-V Server主機後,點選左邊的「Overview」項目,除了會顯示電腦名稱、網域、作業系統版本等等資訊外,還提供了目前CPU處理器、記憶體工作負載、網路卡進出流量等資訊,如圖14所示。

圖14  透過WAC管理工具遠端管理Hyper-V Server主機。

除此之外,管理人員日常維運經常使用到的工具,例如事件檢視器、調整防火牆規則、管理使用者或群組、管理執行程序、安裝或移除伺服器功能和角色等等,也都集中於WAC管理介面中左方的Tools部分,甚至希望直接使用PowerShell指令進行管理時,只要點選「PowerShell」項目,即可透過Remote PowerShell的方式來執行相關管理指令,如圖15所示。

圖15  透過WAC管理工具,遠端執行PowerShell指令管理Hyper-V Server。

建立Hyper-V vSwitch虛擬交換器

透過WAC管理工具快速且直覺的HTML5管理介面,管理人員就可以很容易地管理遠端的Hyper-V Server。舉例而言,在WAC管理工具中依序點選「Virtual Switches > New」項目後,填入Hyper-V vSwitch虛擬交換器名稱、虛擬交換類型、實體網路卡等等資訊即可,如圖16所示。

圖16  透過WAC管理工具,建立Hyper-V vSwitch虛擬交換器。

管理VM虛擬主機

透過WAC管理Hyper-V Server主機,也能夠提供過往Hyper-V管理員工具許多不足之處。首先,進入Virtual Machines項目,在「Summary」頁籤項目內,可以看到Hyper-V Server主機的整體運作狀態,包括運作幾台VM虛擬主機、近期發生的系統事件、CPU使用率、記憶體工作負載等等資訊,甚至會顯示前幾名使用最多CPU和記憶體的VM虛擬主機。若點選「Inventory」選項,則會條列出所有VM虛擬主機,包括每台VM虛擬主機的概要資訊,例如運作狀態、CPU使用率、指派的記憶體空間、運作時間、心跳偵測狀態等等。此外,可針對「單台或多台」VM虛擬主機進行維運管理,例如重新啟動、關機、建立檢查點等等。

管理人員可以點選VM虛擬主機,進入更詳細的單台VM虛擬主機管理畫面,同樣地除了VM虛擬主機詳細的組態設定資訊外,在效能圖表方面,除了傳統的CPU、記憶體、網路頻寬,還顯示了IOPS和Throughput儲存效能的部分。

另外,當管理人員希望登入VM虛擬主機Console畫面時,只要點選「More > Connect」項目,即可在WAC管理工具中直接開啟VM虛擬主機Console畫面進行管理,如圖17所示。

圖17  在WAC管理工具中,直接開啟VM虛擬主機Console畫面進行管理。

調整Hyper-V進階設定

最後,當管理人員希望調整Hyper-V進階設定時,可以點選「Settings」項目進行調整,舉例來說,希望調整Storage Migration儲存即時遷移組態設定值的時候,即可點選「Settings > Storage Migration」項目進行調整,如圖18所示。

圖18  調整Hyper-V Server Storage Migration儲存即時遷移組態設定值。

結語

透過本文的深入剖析和實戰演練,相信讀者已經了解,如何透過免費的Hyper-V Server,建構高效能的Hyper-V虛擬化平台,並且透過新世代WAC管理工具來輕鬆地管理遠端的Hyper-V Server了。

<本文作者:王偉任,Microsoft MVP及VMware vExpert。早期主要研究Linux/FreeBSD各項整合應用,目前則專注於Microsoft及VMware虛擬化技術及混合雲運作架構,部落格weithenn.org。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!