Mengonfirmasi host yang dijaga dapat membuktikan

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Administrator fabric perlu mengonfirmasi bahwa host Hyper-V dapat berjalan sebagai host yang dijaga. Selesaikan langkah-langkah berikut pada setidaknya satu host yang dijaga:

1. Jika Anda belum menginstal peran Hyper-V dan fitur Dukungan Hyper-V Host Guardian, instal dengan perintah berikut:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

2. Pastikan host Hyper-V dapat menyelesaikan nama DNS HGS dan memiliki konektivitas jaringan untuk mencapai port 80 (atau 443 jika Anda menyiapkan HTTPS) di server HGS.

3. Konfigurasikan URL Perlindungan Kunci dan Pengesahan host:

   • Melalui Windows PowerShell: Anda dapat mengonfigurasi URL Perlindungan Kunci dan Pengesahan dengan menjalankan perintah berikut di konsol Windows PowerShell yang ditingkatkan. Untuk <FQDN>, gunakan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dari kluster HGS Anda (misalnya, hgs.bastion.local, atau minta administrator HGS untuk menjalankan cmdlet Get-HgsServer di server HGS untuk mengambil URL).

     Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
     

     Untuk mengonfigurasi server HGS fallback, ulangi perintah ini dan tentukan URL fallback untuk layanan Perlindungan Kunci dan Pengesahan. Untuk informasi selengkapnya, lihat Konfigurasi fallback.

   • Melalui VMM: Jika Anda menggunakan System Center Virtual Machine Manager (VMM), Anda dapat mengonfigurasi URL Pengesahan dan Perlindungan Kunci di VMM. Untuk detailnya, lihat Mengonfigurasi pengaturan HGS global di Memprovisikan host yang dijaga di VMM.

   Catatan

   • Jika administrator HGS mengaktifkan HTTPS di server HGS, mulai URL dengan https://.
   • Jika administrator HGS mengaktifkan HTTPS di server HGS dan menggunakan sertifikat yang ditandatangani sendiri, Anda harus mengimpor sertifikat ke penyimpanan Otoritas Sertifikat Akar Tepercaya di setiap host. Untuk melakukan ini, jalankan perintah berikut pada setiap host: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
   • Jika Anda telah mengonfigurasi Klien HGS untuk menggunakan HTTPS dan telah menonaktifkan TLS 1.0 di seluruh sistem, lihat panduan TLS modern kami

4. Untuk memulai upaya pengesahan pada host dan melihat status pengesahan, jalankan perintah berikut:

   Get-HgsClientConfiguration
   

   Output perintah menunjukkan apakah host melewati pengesahan dan sekarang dijaga. Jika IsHostGuarded tidak mengembalikan True, Anda dapat menjalankan alat diagnostik HGS, Get-HgsTrace, untuk menyelidikinya. Untuk menjalankan diagnostik, masukkan perintah berikut dalam prompt Windows PowerShell yang ditingkatkan pada host:

   Get-HgsTrace -RunDiagnostics -Detailed
   

   Penting

   Jika Anda menggunakan Windows Server 2019 atau Windows 10, versi 1809 atau yang lebih baru, dan menggunakan kebijakan integritas kode, Get-HgsTrace kembalikan kegagalan untuk diagnostik Aktif Kebijakan Integritas Kode. Anda dapat dengan aman mengabaikan hasil ini ketika itu adalah satu-satunya diagnostik yang gagal.

Langkah selanjutnya

Menyebarkan VM terlindungi

Referensi Tambahan

• Menyebarkan Layanan Wali Host (HGS)
• Menyebarkan VM terlindungi