Bestätigen, dass überwachte Hosts Nachweise erbringen können
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Ein Fabricadministrator muss bestätigen, dass Hyper-V-Hosts als überwachte Hosts ausgeführt werden können. Führen Sie die folgenden Schritte auf mindestens einem überwachten Host aus:
Wenn Sie die Hyper-V-Rolle und das Feature für die Hyper-V-Unterstützung für die Host-Überwachung noch nicht installiert haben, installieren Sie sie mit dem folgenden Befehl:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -RestartStellen Sie sicher, dass der Hyper-V-Host den HGS-DNS-Namen auflösen kann und über Netzwerkkonnektivität verfügt, um Port 80 (oder 443 bei Einrichtung von HTTPS) auf dem HGS-Server zu erreichen.
Konfigurieren Sie die Schlüsselschutz- und Nachweis-URLs des Hosts:
Über Windows PowerShell: Sie können die Schlüsselschutz- und Nachweis-URLs konfigurieren, indem Sie den folgenden Befehl in einer Windows PowerShell-Konsole mit erhöhten Rechten ausführen. Verwenden Sie für <FQDN> den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) Ihres HGS-Clusters (z. B. „hgs.bastion.local“, oder bitten Sie den HGS-Administrator, das Cmdlet Get-HgsServer auf dem HGS-Server auszuführen, um die URLs abzurufen).
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'Um einen Fallback-HGS-Server zu konfigurieren, wiederholen Sie diesen Befehl und geben Sie die Fallback-URLs für die Schlüsselschutz- und Nachweisdienste an. Weitere Informationen finden Sie unter Fallback-Konfiguration.
Über VMM: Wenn Sie System Center Virtual Machine Manager (VMM) verwenden, können Sie Nachweis- und Schlüsselschutz-URLs in VMM konfigurieren. Ausführliche Informationen finden Sie unter Konfigurieren globaler HGS-Einstellungen unter Bereitstellen überwachter Hosts in VMM.
Hinweise
- Wenn der HGS-Administrator HTTPS auf dem HGS-Server aktiviert hat, beginnen Sie die URLs mit
https://. - Wenn der HGS-Administrator HTTPS auf dem HGS-Server aktiviert und ein selbstsigniertes Zertifikat verwendet hat, müssen Sie das Zertifikat auf jedem Host in den Speicher vertrauenswürdiger Stammzertifizierungsstellen importieren. Führen Sie zu diesem Zweck den folgenden Befehl auf jedem Host aus:
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - Wenn Sie den HGS-Client für die Verwendung von HTTPS konfiguriert und TLS 1.0 systemweit deaktiviert haben, lesen Sie unseren Leitfaden zu modernem TLS
Führen Sie den folgenden Befehl aus, um einen Nachweisversuch auf dem Host zu initiieren und den Nachweisstatus anzuzeigen:
Get-HgsClientConfigurationDie Ausgabe des Befehls gibt an, ob der Host den Nachweis bestanden hat und jetzt überwacht ist. Wenn
IsHostGuardednicht true zurückgibt, können Sie das HGS-Diagnosetool Get-HgsTrace ausführen, um dies zu untersuchen. Geben Sie zum Ausführen der Diagnose den folgenden Befehl in eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten auf dem Host ein:Get-HgsTrace -RunDiagnostics -DetailedWichtig
Wenn Sie Windows Server 2019 oder Windows 10, Version 1809 oder höher, mit Codeintegritätsrichtlinien verwenden, gibt
Get-HgsTraceeinen Fehler für die Diagnose Aktive Codeintegritätsrichtlinie zurück. Sie können dieses Ergebnis ruhig ignorieren, wenn es sich um den einzigen Fehler in der Diagnose handelt.