保護されたホストが構成証明できることを確認する
ファブリック管理者は、Hyper-V ホストを保護されたホストとして実行できることを確認する必要があります。 少なくとも 1 つの保護されたホストで、次の手順を実行します。
Hyper-V のロールとホスト ガーディアンの Hyper-V サポート機能をまだインストールしていない場合は、次のコマンドを使用してインストールします。
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -RestartHyper-V ホストが HGS の DNS 名を解決できること、HGS サーバーのポート 80 (または HTTPS を設定した場合は 443) に到達するためのネットワーク接続を持っていることを確認してください。
ホストのキー保護と構成証明の URL を構成します。
Windows PowerShell を使用する場合: 管理者特権の Windows PowerShell コンソールで次のコマンドを実行すると、キーの保護と構成証明の URL を構成できます。 <FQDN> の場合は、HGS クラスターの完全修飾ドメイン名 (FQDN) を使用します (たとえば、hgs.bastion.local を使用するか、HGS サーバーで Get-HgsServer コマンドレットを実行して URL を取得するよう HGS 管理者に依頼してください)。
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'フォールバック HGS サーバーを構成するには、このコマンドを繰り返し、キー保護と構成証明の各サービスのフォールバック URL を指定します。 詳細については、フォールバック構成を参照してください。
VMM を使用する場合: System Center Virtual Machine Manager (VMM) を使用している場合は、VMM で構成証明とキー保護の URL を構成できます。 詳細については、「VMM で保護されたホストをプロビジョニングする」の「グローバル HGS 設定を構成する」を参照してください。
ノート
- HGS 管理者が HGS サーバーで HTTPS を有効にした場合は、
https://で始まる URL になります。 - HGS 管理者が HGS サーバーで HTTPS を有効にし、自己署名証明書を使用している場合は、すべてのホストの信頼されたルート証明機関ストアに証明書をインポートする必要があります。 これを行うには、各ホストで次のコマンドを実行します。
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - HTTPS を使用するように HGS クライアントを構成し、システム全体で TLS 1.0 を無効にしている場合は、最新の TLS ガイダンスを参照してください
ホストで構成証明の試行を開始し、構成証明の状態を表示するには、次のコマンドを実行します。
Get-HgsClientConfigurationコマンドの出力は、ホストが構成証明に合格し、保護されているかどうかを示します。
IsHostGuardedから True が返されない場合は、HGS 診断ツール Get-HgsTrace を実行して調査できます。 診断を実行するには、管理者特権の Windows PowerShell プロンプトで次のコマンドを入力します。Get-HgsTrace -RunDiagnostics -Detailed重要
Windows Server 2019 または Windows 10 バージョン 1809 以降を使用していて、コードの整合性ポリシーを使用している場合は、コードの整合性ポリシーのアクティブな
Get-HgsTrace診断でエラーが返されます。 この結果は、診断結果が唯一の失敗である場合は、無視しても大丈夫です。