Problembehandlung für überwachte Hosts
In diesem Artikel werden Lösungen für häufige Probleme beschrieben, die beim Bereitstellen oder Betreiben eines überwachten Hyper-V-Hosts in Ihrem geschützten Fabric auftreten.
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Wenn Sie sich über die Art des Problems nicht sicher sind, versuchen Sie zunächst, das geschützte Fabric Diagnose auf Ihren Hyper-V-Hosts auszuführen, um die potenziellen Ursachen einzugrenzen.
Feature "Geschützter Host"
Wenn Probleme mit Ihrem Hyper-V-Host auftreten, stellen Sie zunächst sicher, dass das Feature Host Guardian Hyper-V-Support installiert ist. Ohne dieses Feature fehlen auf dem Hyper-V-Host einige wichtige Konfigurationseinstellungen und Software, die es dem Host ermöglichen, den Nachweis zu bestehen und abgeschirmte VMs bereitzustellen.
Um zu überprüfen, ob das Feature installiert ist, verwenden Sie Server-Manager, oder führen Sie das folgende Cmdlet in einem PowerShell-Fenster mit erhöhten Rechten aus:
Get-WindowsFeature HostGuardian
Wenn das Feature nicht installiert ist, installieren Sie es mit dem folgenden PowerShell-Cmdlet:
Install-WindowsFeature HostGuardian -Restart
Nachweisfehler
Wenn ein Host den Nachweis mit dem Host-Überwachungsdienst nicht übergibt, kann er keine abgeschirmten VMs ausführen. Die Ausgabe von Get-HgsClientConfiguration auf diesem Host enthält Informationen dazu, warum der Nachweis für diesen Host fehlgeschlagen ist.
In der folgenden Tabelle werden die Werte, die möglicherweise im Feld AttestationStatus angezeigt werden, sowie ggf. mögliche nächste Schritte erläutert.
| AttestationStatus | Erklärung |
|---|---|
| Abgelaufen | Der Host hat den Nachweis zuvor bestanden, aber das ausgestellte Integritätszertifikat ist abgelaufen. Stellen Sie sicher, dass host- und HGS-Zeit synchron sind. |
| InsecureHostConfiguration | Der Host hat den Nachweis nicht bestanden, da er nicht den nachweisrichtlinien entsprach, die für HGS konfiguriert wurden. Weitere Informationen finden Sie in der Tabelle AttestationSubStatus. |
| NotConfigured | Der Host ist nicht für die Verwendung eines HGS für nachweis- und Schlüsselschutz konfiguriert. Sie ist stattdessen für den lokalen Modus konfiguriert. Wenn sich dieser Host in einem geschützten Fabric befindet, verwenden Sie Set-HgsClientConfiguration , um die URLs für Ihren HGS-Server bereitzustellen. |
| Übergeben | Der Host hat den Nachweis übergeben. |
| TransientError | Der letzte Nachweisversuch ist aufgrund eines Netzwerk-, Dienst- oder anderen temporären Fehlers fehlgeschlagen. Wiederholen Sie den letzten Vorgang. |
| TpmError | Der Host konnte seinen letzten Nachweisversuch aufgrund eines Fehlers mit Ihrem TPM nicht abschließen. Weitere Informationen finden Sie in Ihren TPM-Protokollen. |
| UnauthorizedHost | Der Host hat den Nachweis nicht bestanden, da er nicht zum Ausführen von abgeschirmten VMs autorisiert war. Stellen Sie sicher, dass der Host zu einer Sicherheitsgruppe gehört, die vom HGS als vertrauenswürdig eingestuft wird, um abgeschirmte VMs auszuführen. |
| Unbekannt | Der Host hat noch nicht versucht, einen Nachweis mit HGS durchzuführen. |
Wenn AttestationStatus als InsecureHostConfiguration gemeldet wird, wird mindestens ein Grund im Feld AttestationSubStatus aufgefüllt. In der folgenden Tabelle werden die möglichen Werte für AttestationSubStatus sowie Tipps zum Beheben des Problems erläutert.
| AttestationSubStatus | Was es bedeutet und was zu tun ist |
|---|---|
| BitLocker | Das Betriebssystemvolume des Hosts wird nicht von BitLocker verschlüsselt. Um dieses Problem zu beheben, aktivieren Sie BitLocker auf dem Betriebssystemvolume, oder deaktivieren Sie die BitLocker-Richtlinie für HGS. |
| CodeIntegrityPolicy | Der Host ist nicht für die Verwendung einer Codeintegritätsrichtlinie konfiguriert oder verwendet keine Richtlinie, die vom HGS-Server als vertrauenswürdig eingestuft wird. Stellen Sie sicher, dass eine Codeintegritätsrichtlinie konfiguriert wurde, dass der Host neu gestartet und die Richtlinie beim HGS-Server registriert ist. Weitere Informationen finden Sie unter Erstellen und Anwenden einer Codeintegritätsrichtlinie. |
| DumpsEnabled | Der Host ist so konfiguriert, dass Absturzabbilder oder Livespeicherabbilder zugelassen werden, was von Ihren HGS-Richtlinien nicht zulässig ist. Deaktivieren Sie die Speicherabbilder auf dem Host, um dies zu beheben. |
| DumpEncryption | Der Host ist so konfiguriert, dass Absturzabbilder oder Livespeicherabbilder zugelassen werden, aber diese Speicherabbilder werden nicht verschlüsselt. Deaktivieren Sie Entweder Dumps auf dem Host, oder konfigurieren Sie die Speicherabbildverschlüsselung. |
| DumpEncryptionKey | Der Host ist so konfiguriert, dass er Speicherabbilder zulässt und verschlüsselt, verwendet aber kein Zertifikat, das dem HGS bekannt ist, um sie zu verschlüsseln. Um dies zu beheben, aktualisieren Sie den Sicherungsverschlüsselungsschlüssel auf dem Host, oder registrieren Sie den Schlüssel beim HGS. |
| FullBoot | Der Host wurde aus einem Ruhezustand oder Ruhezustand fortgesetzt. Starten Sie den Host neu, um einen sauber vollständigen Start zu ermöglichen. |
| HibernationEnabled | Der Host ist so konfiguriert, dass er den Ruhezustand zulässt, ohne die Ruhezustandsdatei zu verschlüsseln, was von Ihren HGS-Richtlinien nicht zulässig ist. Deaktivieren Sie den Ruhezustand, und starten Sie den Host neu, oder konfigurieren Sie die Speicherabbildverschlüsselung. |
| HypervisorEnforcedCodeIntegrityPolicy | Der Host ist nicht für die Verwendung einer vom Hypervisor erzwungenen Codeintegritätsrichtlinie konfiguriert. Vergewissern Sie sich, dass die Codeintegrität vom Hypervisor aktiviert, konfiguriert und erzwungen wird. Weitere Informationen finden Sie im Device Guard-Bereitstellungshandbuch. |
| Iommu | Die virtualisierungsbasierten Sicherheitsfeatures des Hosts sind nicht so konfiguriert, dass ein IOMMU-Gerät für den Schutz vor Angriffen auf direkten Speicherzugriff erforderlich ist, wie dies in Ihren HGS-Richtlinien erforderlich ist. Vergewissern Sie sich, dass der Host über eine IOMMU verfügt, dass er aktiviert ist und dass Device Guard so konfiguriert ist, dass beim Starten von VBS DMA-Schutz erforderlich ist. |
| PagefileEncryption | Die Verschlüsselung von Seitendateien ist auf dem Host nicht aktiviert. Führen fsutil behavior set encryptpagingfile 1 Sie aus, um die Verschlüsselung von Seitendateien zu aktivieren, um dieses Problem zu beheben. Weitere Informationen finden Sie unter fsutil behavior.for more information, see fsutil behavior. |
| SecureBoot | Der sichere Start ist entweder auf diesem Host nicht aktiviert oder verwendet nicht die Vorlage Für den sicheren Start von Microsoft. Aktivieren Sie den sicheren Start mit der Vorlage Für den sicheren Start von Microsoft, um dieses Problem zu beheben. |
| SecureBootSettings | Die TPM-Baseline auf diesem Host stimmt nicht mit denen überein, die vom HGS als vertrauenswürdig eingestuft werden. Dies kann auftreten, wenn Ihre UEFI-Startautoritäten, DBX-Variablen, Debugflags oder benutzerdefinierten Richtlinien für den sicheren Start durch die Installation neuer Hardware oder Software geändert werden. Wenn Sie der aktuellen Hardware-, Firmware- und Softwarekonfiguration dieses Computers vertrauen, können Sie eine neue TPM-Baseline erfassen und bei HGS registrieren. |
| TcgLogVerification | Das TCG-Protokoll (TPM-Baseline) kann nicht abgerufen oder überprüft werden. Dies kann auf ein Problem mit der Firmware des Hosts, dem TPM oder anderen Hardwarekomponenten hinweisen. Wenn Ihr Host für den PXE-Start vor dem Starten von Windows konfiguriert ist, kann auch ein veraltetes Net Boot Program (NBP) diesen Fehler verursachen. Stellen Sie sicher, dass alle NBPs auf dem neuesten Stand sind, wenn der PXE-Start aktiviert ist. |
| VirtualSecureMode | Virtualisierungsbasierte Sicherheitsfeatures werden nicht auf dem Host ausgeführt. Stellen Sie sicher, dass VBS aktiviert ist und dass Ihr System die konfigurierten Plattformsicherheitsfeatures erfüllt. Weitere Informationen zu VBS-Anforderungen finden Sie in der Device Guard-Dokumentation. |
Modernes TLS
Wenn Sie eine Gruppenrichtlinie bereitgestellt oder Ihren Hyper-V-Host anderweitig konfiguriert haben, um die Verwendung von TLS 1.0 zu verhindern, treten beim Versuch, eine abgeschirmte VM zu starten, möglicherweise fehler beim Entpacken einer Schlüsselschutzvorrichtung für einen aufrufenden Prozess auf. Dies ist auf ein Standardverhalten in .NET 4.6 zurückzuführen, bei dem die TLS-Standardversion des Systems beim Aushandeln unterstützter TLS-Versionen mit dem HGS-Server nicht berücksichtigt wird.
Um dieses Verhalten zu umgehen, führen Sie die folgenden beiden Befehle aus, um .NET für die Verwendung der TLS-Standardversionen des Systems für alle .NET-Apps zu konfigurieren.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Warnung
Die Einstellung der TLS-Standardversionen des Systems wirkt sich auf alle .NET-Apps auf Ihrem Computer aus. Testen Sie unbedingt die Registrierungsschlüssel in einer isolierten Umgebung, bevor Sie sie auf Ihren Produktionscomputern bereitstellen.
Weitere Informationen zu .NET 4.6 und TLS 1.0 finden Sie unter Solving the TLS 1.0 Problem, 2nd Edition.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für