Quản trị từ xa các máy chủ Hyper-V (Remotely Manage Hyper-V Hosts) theo tài liệu kỹ thuật của Microsoft, giúp hình dung rõ cách thiết lập kênh giao tiếp an toàn giữa máy trạm quản trị và hệ thống máy chủ ảo hóa.
Mục tiêu bài Lab (Lab Objectives)
Sau khi hoàn thành bài Lab này, các bạn sẽ có khả năng:
Cài đặt bộ công cụ Hyper-V Management Tools trên máy Client độc lập mà không cần phải cài đặt toàn bộ nền tảng ảo hóa (Hyper-V Platform).
Kết nối và quản lý máy chủ Hyper-V cục bộ (Local).
Cấu hình kết nối từ xa (Remote Connection) đến các máy chủ Hyper-V nằm trong cùng hệ thống Domain hoặc khác Domain/Workgroup.
Thực hành (Lab Scenarios)
Chuẩn bị công cụ quản trị (Install Hyper-V Manager)
Tình huống doanh nghiệp: Máy tính làm việc của bạn đang chạy Windows 11 và bạn cần công cụ giao diện (Hyper-V Manager UI) hoặc dòng lệnh để điều khiển máy chủ. Cấu hình máy tính của bạn không đủ mạnh hoặc không cần thiết phải chạy các máy ảo trực tiếp trên đó.
Triển khai Lab:
Trên Windows Server: Vào Server Manager > Add roles and features > Features. Mở rộng Remote server administration tools (RSAT) > Role administration tools > Hyper-V management tools.
Trên Windows 10/11: Mở Turn Windows features on or off, tìm thư mục Hyper-V và chỉ check vào Hyper-V Management Tools (bỏ qua Hyper-V Platform).
- Thực thi bằng PowerShell (Run as Administrator):
Add-WindowsFeature rsat-hyper-v-tools
Quản lý máy chủ Hyper-V trong Active Directory Domain
Tình huống doanh nghiệp: Đây là chuẩn mực bảo mật thông thường. Cả máy trạm của bạn và máy chủ Hyper-V đều đã join vào chung một Domain của công ty.
Triển khai Lab:
Kích hoạt Remote Management: Đảm bảo máy chủ cho phép kết nối. Mở Server Manager > Local Server > kiểm tra Remote management đang là Enabled. Nhanh hơn, hãy chạy lệnh PowerShell trên Server: Enable-PSRemotin
- Trên máy Client, mở Hyper-V Manager, click chuột phải vào biểu tượng gốc ở cột bên trái > Chọn Connect to Server > Nhập Hostname hoặc FQDN (Fully Qualified Domain Name) của máy chủ.
Quản trị ngoài Domain (Workgroup) hoặc qua IP
Tình huống doanh nghiệp: Bạn được giao quản lý một máy chủ Hyper-V vừa mới được triển khai tại một chi nhánh mới, chưa kịp join Domain, hoặc đang nằm ở một vùng mạng cách ly độc lập (Workgroup).
Bản chất kỹ thuật: Mặc định, nền tảng Windows sẽ chặn các kết nối quản trị từ xa không được xác thực an toàn qua môi trường Domain (giao thức Kerberos). Để sinh viên có thể giải quyết bài toán này, chúng ta phải cấu hình xác thực CredSSP và WinRM để cấp phép tín nhiệm.
Triển khai Lab:
- Tại máy chủ Hyper-V (Target target): Bật PowerShell (Quyền Admin) và chạy:
Enable-PSRemoting
Enable-WSManCredSSP -Role server
- Tại máy tính quản trị (Client): Bật PowerShell (Quyền Admin) để đưa Server vào danh sách tin cậy:
Set-Item WSMan:\localhost\Client\TrustedHosts -Value “<IP_hoặc_FQDN_của_Server>”
Enable-WSManCredSSP -Role client -DelegateComputer “<IP_hoặc_FQDN_của_Server>”
- Ủy quyền thông qua Group Policy (Trên Client):Mở gpedit.msc.
Chọn theo đường dẫn: Computer Configuration > Administrative Templates > System > Credentials Delegation > Allow delegating fresh credentials with NTLM-only server authentication
Thực hiện cấu hình chọn: Enabled
Nhấp vào [Show] và thêm giá trị: wsman/<IP_hoặc_FQDN_của_Server>
Quay lại Hyper-V Manager, chọn: Connect to Server. Nhập thông tin kết quả.
