Bestätigen sie, dass überwachte Hosts bestätigen können, dass sie bestätigen können.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Ein Fabric-Administrator muss bestätigen, dass Hyper-V-Hosts als überwachte Hosts ausgeführt werden können. Führen Sie die folgenden Schritte für mindestens einen überwachten Host aus:

  1. Wenn Sie die Hyper-V-Rolle und das Host Guardian Hyper-V-Supportfeature nicht bereits installiert haben, installieren Sie sie mit dem folgenden Befehl:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  2. Stellen Sie sicher, dass der Hyper-V-Host den HGS-DNS-Namen auflösen kann und netzwerkkonnektivität verfügt, um Port 80 (oder 443) zu erreichen, wenn Sie HTTPS auf dem HGS-Server einrichten.

  3. Konfigurieren Sie die Schlüsselschutz- und Nachweis-URLs des Hosts:

    • Durch Windows PowerShell: Sie können die URLs für den Schlüsselschutz und die Bestätigung konfigurieren, indem Sie den folgenden Befehl in einer Windows PowerShell-Konsole ausführen. Verwenden Sie für <FQDN> den Vollqualifizierten Domänennamen (FQDN) Ihres HGS-Clusters (z. B. hgs.bastion.local, oder bitten Sie den HGS-Administrator, das Cmdlet "Get-HgsServer " auf dem HGS-Server auszuführen, um die URLs abzurufen).

      Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
      

      Um einen Fallback-HGS-Server zu konfigurieren, wiederholen Sie diesen Befehl, und geben Sie die Fallback-URLs für die Key Protection- und Attestationsdienste an. Weitere Informationen finden Sie in der Fallbackkonfiguration.

    • Über VMM: Wenn Sie System Center Virtual Machine Manager (VMM) verwenden, können Sie Zertifizierungs- und Schlüsselschutz-URLs in VMM konfigurieren. Ausführliche Informationen finden Sie unter Konfigurieren der globalen HGS-Einstellungen in der Bereitstellung geschützter Hosts in VMM.

    Hinweise

    • Wenn der HGS-Administrator HTTPS auf dem HGS-Server aktiviert hat, beginnen Sie mit den URLs https://.
    • Wenn der HGS-Administrator HTTPS auf dem HGS-Server aktiviert und ein selbst signiertes Zertifikat verwendet hat, müssen Sie das Zertifikat in den Speicher für vertrauenswürdige Stammzertifikate auf jedem Host importieren. Führen Sie dazu den folgenden Befehl für jeden Host aus: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
    • Wenn Sie den HGS-Client für die Verwendung von HTTPS konfiguriert haben und TLS 1.0 systemweit deaktiviert haben, lesen Sie unsere modernen TLS-Anleitungen
  4. Führen Sie den folgenden Befehl aus, um einen Nachweisversuch auf dem Host zu initiieren und den Bestätigungsstatus anzuzeigen:

    Get-HgsClientConfiguration
    

    Die Ausgabe des Befehls gibt an, ob der Host die Bestätigung übergeben und jetzt geschützt wird. Wenn IsHostGuarded"True" nicht zurückgegeben wird, können Sie das HGS-Diagnosetool ausführen, get-HgsTrace, um zu untersuchen. Geben Sie zum Ausführen der Diagnose den folgenden Befehl in eine Eingabeaufforderung mit erhöhten Windows PowerShell auf dem Host ein:

    Get-HgsTrace -RunDiagnostics -Detailed
    

    Wichtig

    Wenn Sie Windows Server 2019 oder Windows 10, Version 1809 oder höher verwenden und Codeintegritätsrichtlinien verwenden, Get-HgsTrace geben Sie einen Fehler für die aktive Codeintegritätsrichtlinie zurück. Sie können dieses Ergebnis sicher ignorieren, wenn es sich um die einzige fehlgeschlagene Diagnose handelt.

Nächster Schritt

Weitere Verweise