Autorisieren von Hyper-V-Hosts unter Verwendung von Nachweisen, denen Administratoren vertrauen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Wichtig

Admin-basierter Nachweis (AD-Modus) ist ab Windows Server 2019 veraltet. Konfigurieren Sie für Umgebungen, in denen der TPM-Nachweis nicht möglich ist, den Hostschlüssel-Nachweis. Der Hostschlüsselnachweis bietet eine ähnliche Sicherheit wie im AD-Modus und ist einfacher einzurichten.

So autorisieren Sie einen überwachten Host im AD-Modus:

1. Fügen Sie in der Fabricdomäne die Hyper-V-Hosts einer Sicherheitsgruppe hinzu.
2. Registrieren Sie in der HGS-Domäne die SID der Sicherheitsgruppe bei HGS.

Hinzufügen des Hyper-V-Hosts zu einer Sicherheitsgruppe und Neustarten des Hosts

1. Erstellen Sie eine GLOBALE Sicherheitsgruppe in der Fabricdomäne, und fügen Sie Hyper-V-Hosts hinzu, die abgeschirmte VMs ausführen. Starten Sie die Hosts neu, um ihre Gruppenmitgliedschaft zu aktualisieren.

2. Verwenden Sie Get-ADGroup, um die Sicherheits-ID (SID) der Sicherheitsgruppe abzurufen und dem HGS-Administrator bereitzustellen.

   Get-ADGroup "Guarded Hosts"
   

   

Registrieren der SID der Sicherheitsgruppe bei HGS

1. Rufen Sie die SID der Sicherheitsgruppe für überwachte Hosts vom Fabricadministrator ab, und führen Sie den folgenden Befehl aus, um die Sicherheitsgruppe bei HGS zu registrieren. Führen Sie den Befehl bei Bedarf für weitere Gruppen erneut aus. Geben Sie einen Anzeigenamen für die Gruppe an. Er muss nicht mit dem Namen der Active Directory-Sicherheitsgruppe übereinstimmen.

   Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
   

2. Führen Sie Get-HgsAttestationHostGroup aus, um zu überprüfen, ob die Gruppe hinzugefügt wurde.