Risolvere i problemi degli host sorvegliati
Questo articolo descrive le soluzioni ai problemi comuni riscontrati durante la distribuzione o il funzionamento di un host Hyper-V sorvegliato nell'infrastruttura sorvegliata.
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Se non si è certi della natura del problema, provare prima di tutto a eseguire la diagnostica dell'infrastruttura sorvegliata negli host Hyper-V per limitare le potenziali cause.
Funzionalità host sorvegliato
Se si verificano problemi con l'host Hyper-V, assicurarsi prima di tutto che sia installata la funzionalità di supporto Hyper-V di Host Guardian . Senza questa funzionalità, all'host Hyper-V mancano alcune impostazioni di configurazione e software critici che consentono di passare l'attestazione e il provisioning di macchine virtuali schermate.
Per verificare se la funzionalità è installata, usare Server Manager o eseguire il cmdlet seguente in una finestra di PowerShell con privilegi elevati:
Get-WindowsFeature HostGuardian
Se la funzionalità non è installata, installarla con il cmdlet di PowerShell seguente:
Install-WindowsFeature HostGuardian -Restart
Errori di attestazione
Se un host non supera l'attestazione con il servizio Sorveglianza host, non è in grado di eseguire macchine virtuali schermate. L'output di Get-HgsClientConfiguration in tale host mostrerà informazioni sul motivo per cui l'host non è riuscito.
La tabella seguente illustra i valori che possono essere visualizzati nel campo AttestationStatus e i potenziali passaggi successivi, se appropriato.
| AttestationStatus | Spiegazione |
|---|---|
| Scaduto | L'host ha superato l'attestazione in precedenza, ma il certificato di integrità emesso è scaduto. Assicurarsi che l'host e l'ora HGS siano sincronizzati. |
| InsecureHostConfiguration | L'host non ha superato l'attestazione perché non era conforme ai criteri di attestazione configurati in HGS. Per altre informazioni, vedere la tabella AttestationSubStatus. |
| NotConfigured | L'host non è configurato per l'uso di un HGS per l'attestazione e la protezione delle chiavi. È invece configurato per la modalità locale. Se l'host si trova in un'infrastruttura protetta, usare Set-HgsClientConfiguration per fornire gli URL per il server HGS. |
| Passato | L'host ha superato l'attestazione. |
| TransientError | L'ultimo tentativo di attestazione non è riuscito a causa di un errore di rete, di servizio o di altro tipo. Ripetere l'ultima operazione. |
| TpmError | L'host non è riuscito a completare l'ultimo tentativo di attestazione a causa di un errore con il TPM. Per altre informazioni, vedere i log TPM. |
| UnauthorizedHost | L'host non ha superato l'attestazione perché non era autorizzato a eseguire macchine virtuali schermate. Assicurarsi che l'host appartenga a un gruppo di sicurezza considerato attendibile da HGS per l'esecuzione di macchine virtuali schermate. |
| Unknown | L'host non ha ancora tentato di attestare con HGS. |
Quando AttestationStatus viene segnalato come InsecureHostConfiguration, uno o più motivi vengono popolati nel campo AttestationSubStatus . La tabella seguente illustra i valori possibili per AttestationSubStatus e suggerimenti su come risolvere il problema.
| AttestationSubStatus | Cosa significa e cosa fare |
|---|---|
| BitLocker | Il volume del sistema operativo dell'host non è crittografato da BitLocker. Per risolvere questo aspetto, abilitare BitLocker nel volume del sistema operativo o disabilitare i criteri di BitLocker in HGS. |
| CodeIntegrityPolicy | L'host non è configurato per l'uso di criteri di integrità del codice o non usa un criterio attendibile dal server HGS. Verificare che siano stati configurati criteri di integrità del codice, che l'host sia stato riavviato e che i criteri siano registrati con il server HGS. Per altre informazioni, vedere Creare e applicare criteri di integrità del codice. |
| DumpsEnabled | L'host è configurato per consentire dump di arresto anomalo o dump di memoria attiva, che non sono consentiti dai criteri HGS. Per risolvere il caso, disabilitare i dump nell'host. |
| DumpEncryption | L'host è configurato per consentire dump di arresto anomalo o dump di memoria attiva, ma non crittografa tali dump. Disabilitare i dump nell'host o configurare la crittografia del dump. |
| DumpEncryptionKey | L'host è configurato per consentire e crittografare i dump, ma non usa un certificato noto a HGS per crittografarli. Per risolvere il caso, aggiornare la chiave di crittografia del dump nell'host o registrare la chiave con HGS. |
| Avvio completo | L'host è ripreso da uno stato di sospensione o di ibernazione. Riavviare l'host per consentire un avvio completo pulito. |
| HibernationEnabled | L'host è configurato per consentire l'ibernazione senza crittografare il file di ibernazione, che non è consentito dai criteri HGS. Disabilitare l'ibernazione e riavviare l'host o configurare la crittografia del dump. |
| HypervisorEnforcedCodeIntegrityPolicy | L'host non è configurato per l'uso di criteri di integrità del codice applicati dall'hypervisor. Verificare che l'integrità del codice sia abilitata, configurata e applicata dall'hypervisor. Per altre informazioni, vedere Guida alla distribuzione di Device Guard. |
| Iommu | Le funzionalità di sicurezza basata sulla virtualizzazione dell'host non sono configurate per richiedere un dispositivo IOMMU per la protezione dagli attacchi di accesso diretto alla memoria, come richiesto dai criteri HGS. Verificare che l'host abbia un IOMMU, che sia abilitato e che Device Guard sia configurato per richiedere protezioni DMA durante l'avvio di VBS. |
| PagefileEncryption | La crittografia dei file di pagina non è abilitata nell'host. Per risolvere il caso, eseguire fsutil behavior set encryptpagingfile 1 per abilitare la crittografia dei file di pagina. Per altre informazioni, vedere comportamento fsutil. |
| SecureBoot | L'avvio protetto non è abilitato in questo host o non usa il modello di avvio protetto Microsoft. Abilitare l'avvio protetto con il modello di avvio protetto Microsoft per risolvere questo problema. |
| SecureBootSettings | La baseline TPM in questo host non corrisponde a nessuno di quelli considerati attendibili da HGS. Ciò può verificarsi quando le autorità di avvio UEFI, la variabile DBX, il flag di debug o i criteri di avvio protetto personalizzati vengono modificati installando nuovo hardware o software. Se si considera attendibile la configurazione hardware, firmware e software corrente di questo computer, è possibile acquisire una nuova baseline TPM e registrarla con HGS. |
| TcgLogVerification | Impossibile ottenere o verificare il log TCG (baseline TPM). Questo può indicare un problema con il firmware dell'host, il TPM o altri componenti hardware. Se l'host è configurato per tentare l'avvio PXE prima dell'avvio di Windows, anche un programma net boot obsoleto (NBP) può causare questo errore. Assicurarsi che tutti i BNB siano aggiornati quando l'avvio PXE è abilitato. |
| VirtualSecureMode | Le funzionalità di sicurezza basata sulla virtualizzazione non sono in esecuzione nell'host. Verificare che VBS sia abilitato e che il sistema soddisfi le funzionalità di sicurezza della piattaforma configurate. Per altre informazioni sui requisiti vbs, vedere la documentazione di Device Guard. |
TLS moderno
Se è stato distribuito un criterio di gruppo o è stato configurato in altro modo l'host Hyper-V per impedire l'uso di TLS 1.0, è possibile che si verifichino errori "Il client del servizio Sorveglianza host non è riuscito a annullare il wrapping di una protezione chiave per conto di un processo chiamante" durante il tentativo di avviare una macchina virtuale schermata. Ciò è dovuto a un comportamento predefinito in .NET 4.6 in cui la versione TLS predefinita del sistema non viene considerata durante la negoziazione delle versioni TLS supportate con il server HGS.
Per risolvere questo comportamento, eseguire i due comandi seguenti per configurare .NET per usare le versioni TLS predefinite del sistema per tutte le app .NET.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Avviso
L'impostazione delle versioni TLS predefinite del sistema influirà su tutte le app .NET nel computer. Assicurarsi di testare le chiavi del Registro di sistema in un ambiente isolato prima di distribuirle nei computer di produzione.
Per altre informazioni su .NET 4.6 e TLS 1.0, vedere Risoluzione del problema di TLS 1.0, 2nd Edition.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per