Aracılığıyla paylaş

Korumalı Doku Tanılama Aracı'nı kullanarak sorun giderme

  • Makale

Bu makalede korunan doku altyapısının dağıtımı, yapılandırması ve devam eden çalışmasında sık karşılaşılan hataları belirlemek ve düzeltmek için Korunan Doku Tanılama Aracı'nın kullanımı açıklanmaktadır. Buna Konak Koruyucu Hizmeti (HGS), tüm korunan konaklar ve DNS ve Active Directory gibi destekleyici hizmetler dahildir.

Şunlar için geçerlidir: Windows Server 2022, Windows Server 2019, Windows Server 2016

Tanılama aracı, yöneticilere kesintileri çözmek ve yanlış yapılandırılmış varlıkları tanımlamak için bir başlangıç noktası sağlayarak, başarısız korunan bir yapıyı önceliklendirmede ilk geçiş gerçekleştirmek için kullanılabilir. Araç, korunan bir dokuyu çalıştırmaya yönelik ses kavramanın yerine geçemez ve yalnızca günlük işlemlerde karşılaşılan en yaygın sorunları hızla doğrulamaya hizmet eder.

Bu makalede kullanılan cmdlet'lerin tam belgeleri HgsDiagnostics modülü başvurusunda bulunabilir.

Not

Korumalı Doku tanılama aracı (Get-HgsTrace -RunDiagnostics) çalıştırılırken, ASLıNDA bozuk veya kullanılmadığında HTTPS yapılandırmasının bozuk olduğunu iddia eden yanlış durum döndürülebilir. Bu hata, HGS'nin kanıtlama modundan bağımsız olarak döndürülebilir. Olası kök nedenler şunlardır:

  • HTTPS gerçekten yanlış yapılandırılmış/bozuk
  • Yönetici tarafından güvenilen kanıtlama kullanıyorsunuz ve güven ilişkisi bozuk. Bu, HTTPS'nin düzgün, yanlış yapılandırılıp yapılandırılmadığından veya hiç kullanılmadığından bağımsızdır. Tanılamanın yalnızca bir Hyper-V konağı hedeflenirken bu yanlış durumu döndüreceğini unutmayın. Tanılama, Konak Koruyucu Hizmeti'ni hedeflediyse, döndürülen durum doğru olacaktır.

Hızlı başlangıç

Yerel yönetici ayrıcalıklarına sahip bir Windows PowerShell oturumundan aşağıdakileri çağırarak korumalı konak veya HGS düğümünü tanılayabilirsiniz:

Get-HgsTrace -RunDiagnostics -Detailed

Bu, geçerli konağın rolünü otomatik olarak algılar ve otomatik olarak algılanabilecek ilgili sorunları tanılar. Bu işlem sırasında oluşturulan tüm sonuçlar, anahtarın -Detailed varlığından dolayı görüntülenir.

Bu konunun geri kalanında, aynı anda birden çok ana bilgisayarı tanılama ve karmaşık düğümler arası yanlış yapılandırmayı algılama gibi işlemlerin gelişmiş kullanımı Get-HgsTrace hakkında ayrıntılı bir kılavuz sağlanacaktır.

Tanılamaya genel bakış

Korumalı doku tanılamaları, Sunucu Çekirdeği çalıştıran konaklar da dahil olmak üzere, korumalı sanal makineyle ilgili araçlar ve özellikler yüklü olan tüm konaklarda kullanılabilir. Şu anda tanılamalar aşağıdaki özelliklere/paketlere eklenmiştir:

  • Konak Koruyucu Hizmeti Rolü
  • Konak Koruyucusu Hyper-V Desteği
  • Doku Yönetimi için VM Koruma Araçları
  • Uzak Sunucu Yönetim Araçları (RSAT)

Bu, tanılama araçlarının tüm korunan konaklarda, HGS düğümlerinde, belirli doku yönetim sunucularında ve RSAT yüklü tüm Windows 10 iş istasyonlarında kullanılabilir olacağı anlamına gelir. Yukarıdaki makinelerden herhangi birinden korunan bir yapıdaki korunan konak veya HGS düğümlerini tanılamak amacıyla tanılama çağrılabilir; tanılama, uzaktan izleme hedeflerini kullanarak tanılamayı çalıştıran makine dışındaki konakları bulabilir ve bunlara bağlanabilir.

Tanılama tarafından hedeflenen her konak "izleme hedefi" olarak adlandırılır. İzleme hedefleri, konak adları ve rolleri tarafından tanımlanır. Roller, belirli bir izleme hedefinin korunan bir yapıda gerçekleştirdiği işlevi açıklar. Şu anda izleme hedefleri desteği HostGuardianService ve GuardedHost rolleri. Bir konağın aynı anda birden çok rol üstlenmesi mümkündür ve bu tanılama tarafından da desteklenir, ancak bunun üretim ortamlarında yapılmaması gerekir. HGS ve Hyper-V konakları her zaman ayrı ve ayrı tutulmalıdır.

Yöneticiler, komutunu çalıştırarak Get-HgsTracetüm tanılama görevlerini başlatabilir. Bu cmdlet çalışma zamanında sağlanan anahtarlara göre iki farklı işlev gerçekleştirir: izleme toplama ve tanılama. Bu ikisi birlikte Korunan Doku Tanılama Aracı'nın tamamını oluşturur. Açıkça gerekli olmasa da, en kullanışlı tanılamalar yalnızca izleme hedefinde yönetici kimlik bilgileriyle toplanabilir izlemeler gerektirir. İzleme koleksiyonunu yürüten kullanıcı tarafından yetersiz ayrıcalıklar tutulursa, diğer tüm kullanıcılar geçerken yükseltme gerektiren izlemeler başarısız olur. Bu, ayrıcalıklı olmayan bir işlecin önceliklendirme gerçekleştirmesi durumunda kısmi tanılamaya olanak tanır.

İzleme koleksiyonu

Varsayılan olarak, Get-HgsTrace yalnızca izlemeleri toplar ve bunları geçici bir klasöre kaydeder. İzlemeler, hedeflenen konağın adını taşıyan ve konağın nasıl yapılandırıldığını açıklayan özel olarak biçimlendirilmiş dosyalarla dolu bir klasör biçimindedir. İzlemeler ayrıca, izlemeleri toplamak için tanılamaların nasıl çağrıldığı açıklayan meta veriler içerir. Bu veriler, el ile tanılama gerçekleştirirken konak hakkındaki bilgileri yeniden doldurma amacıyla tanılama tarafından kullanılır.

Gerekirse izlemeler el ile gözden geçirilebilir. Tüm biçimler insan tarafından okunabilir (XML) veya standart araçlar (örneğin, X509 sertifikaları ve Windows Crypto Shell Uzantıları) kullanılarak kolayca incelenebilir. Bununla birlikte, izlerin el ile tanılama için tasarlanmamış olduğunu ve izlerin tanı tesisleriyle Get-HgsTraceişlenmesinin her zaman daha etkili olduğunu unutmayın.

İzleme koleksiyonunu çalıştırmanın sonuçları, belirli bir konağın durumuyla ilgili herhangi bir gösterge yapmaz. Bunlar yalnızca izlemelerin başarıyla toplandığını gösterir. İzlerin Get-HgsTrace başarısız bir ortamı gösterip göstermediğini belirlemek için tanılama tesislerini kullanmak gerekir.

parametresini -Diagnostic kullanarak, izleme koleksiyonunu yalnızca belirtilen tanılamayı çalıştırmak için gereken izlemelerle kısıtlayabilirsiniz. Bu, hem toplanan veri miktarını hem de tanılamayı çağırmak için gereken izinleri azaltır.

Tanılama

Toplanan izlemeler, parametre üzerinden -Path izlemelerin konumu ve anahtarı belirtilerek -RunDiagnostics tanılanabilirGet-HgsTrace. Ayrıca, Get-HgsTrace anahtar ve izleme hedeflerinin listesini sağlayarak tek bir geçişte -RunDiagnostics toplama ve tanılama gerçekleştirebilir. hiçbir izleme hedefi sağlanmazsa, geçerli makine örtük hedef olarak kullanılır ve rolü, yüklü Windows PowerShell modüllerini inceleyerek çıkarılır.

Tanılama, belirli bir hatadan hangi izleme hedeflerinin, tanılama kümelerinin ve tek tek tanılamaların sorumlu olduğunu gösteren hiyerarşik bir biçimde sonuçlar sağlar. Bundan sonra hangi eylemin yapılacağına ilişkin bir belirleme yapılabilmesi durumunda hatalar düzeltme ve çözüm önerilerini içerir. Varsayılan olarak, geçirme ve ilgisiz sonuçlar gizlenir. Tanılama tarafından test edilen her şeyi görmek için anahtarı belirtin -Detailed . Bu, durumlarından bağımsız olarak tüm sonuçların görünmesine neden olur.

parametresi kullanılarak çalıştırılacak tanılama kümesini kısıtlamak -Diagnostic mümkündür. Bu, izleme hedeflerine karşı hangi tanılama sınıflarının çalıştırılması gerektiğini belirtmenize ve diğer tüm sınıfları gizlemenize olanak tanır. Kullanılabilir tanılama sınıflarının örnekleri arasında ağ, en iyi yöntemler ve istemci donanımı sayılabilir. Kullanılabilir tanılamaların güncel listesini bulmak için cmdlet belgelerine bakın.

Uyarı

Tanılama, güçlü bir izleme ve olay yanıtı işlem hattının yerine geçemez. Korunan dokuları izlemek için kullanılabilen bir System Center Operations Manager paketi ve sorunları erken algılamak için izlenebilecek çeşitli olay günlüğü kanalları vardır. Daha sonra tanılama, bu hataları hızla önceliklendirmek ve bir eylem seyri oluşturmak için kullanılabilir.

Tanılamayı hedefleme

Get-HgsTrace izleme hedeflerine karşı çalışır. İzleme hedefi, korunan bir doku içindeki bir HGS düğümüne veya korunan bir konağa karşılık gelen bir nesnedir. Yalnızca dokudaki konağın rolü gibi tanılamalar için gerekli bilgileri içeren bir PSSessionuzantısı olarak düşünülebilir. Hedefler örtük olarak (örneğin, yerel veya el ile tanılama) veya cmdlet ile New-HgsTraceTarget açıkça oluşturulabilir.

Yerel tanılama

Varsayılan olarak, Get-HgsTrace localhost'ı (yani cmdlet'in çağrıldığı yeri) hedefler. Bu örtük yerel hedef olarak adlandırılır. Örtük yerel hedef yalnızca parametresinde hiçbir hedef sağlanmayan -Target ve içinde önceden var olan hiçbir izleme bulunmadığında -Pathkullanılır.

Örtük yerel hedef, geçerli konağın korunan yapıda hangi rolü oynadığını belirlemek için rol çıkarımı kullanır. Bu, sistemde yüklü olan özelliklere kabaca karşılık gelen yüklü Windows PowerShell modüllerini temel alır. Modülün HgsServer varlığı izleme hedefinin rolü HostGuardianService almasına neden olur ve modülün HgsClient varlığı izleme hedefinin rolünü GuardedHostalmasına neden olur. Belirli bir konağın her iki modüle de sahip olması mümkündür. Bu durumda hem hem HostGuardianService GuardedHosthem de olarak değerlendirilir.

Bu nedenle, izlemeleri yerel olarak toplamak için varsayılan tanılama çağrısı:

Get-HgsTrace

Bu, aşağıdakine eşdeğerdir:

New-HgsTraceTarget -Local | Get-HgsTrace

İpucu

Get-HgsTrace işlem hattı veya doğrudan parametresi aracılığıyla -Target hedefleri kabul edebilir. operasyonel olarak ikisi arasında bir fark yoktur.

İzleme hedeflerini kullanarak uzaktan tanılama

Uzak bağlantı bilgileriyle izleme hedefleri oluşturarak bir konağı uzaktan tanılamak mümkündür. Gereken tek şey ana bilgisayar adı ve Windows PowerShell uzaktan iletişimini kullanarak bağlanabilen bir kimlik bilgileri kümesidir.

$server = New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Role HostGuardianService -Credential (Enter-Credential)
Get-HgsTrace -RunDiagnostics -Target $server

Bu örnek, uzak kullanıcı kimlik bilgilerini toplamak için bir istem oluşturur ve ardından izleme koleksiyonunu tamamlamak için konumundaki uzak ana bilgisayar hgs-01.secure.contoso.com kullanılarak tanılamalar çalıştırılır. Sonuçta elde edilen izlemeler localhost'a indirilir ve ardından tanılanır. Tanı sonuçları, yerel tanı uygulama ile aynı şekilde sunulur. Benzer şekilde, uzak sistemde yüklü Windows PowerShell modüllerine göre çıkarılabildiği için bir rol belirtmek gerekmez.

Uzaktan tanılama, uzak ana bilgisayara tüm erişimler için Windows PowerShell uzaktan iletişimini kullanır. Bu nedenle, izleme hedefinde Windows PowerShell uzaktan iletişiminin etkinleştirilmesi (bkz . PSRemoting'i etkinleştirme) ve localhost'un hedefe bağlantıları başlatmak için düzgün yapılandırılması önkoşuldur.

Not

Çoğu durumda, localhost'un yalnızca aynı Active Directory ormanının bir parçası olması ve geçerli bir DNS ana bilgisayar adının kullanılması gerekir. Ortamınız daha karmaşık bir federasyon modeli kullanıyorsa veya bağlantı için doğrudan IP adresleri kullanmak istiyorsanız, WinRM güvenilen konaklarını ayarlama gibi ek yapılandırmalar gerçekleştirmeniz gerekebilir.

Cmdlet'ini kullanarak Test-HgsTraceTarget bir izleme hedefinin düzgün bir şekilde başlatıldığını ve bağlantıları kabul etmek için yapılandırıldığını doğrulayabilirsiniz:

$server = New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Role HostGuardianService -Credential (Enter-Credential)
$server | Test-HgsTraceTarget

Bu cmdlet, izleme hedefiyle bir uzak tanılama oturumu oluşturup oluşturamayacağını ve yalnızca if Get-HgsTrace döndürür$True. Hata durumunda, bu cmdlet Windows PowerShell uzaktan iletişim bağlantısının daha fazla sorun gidermesi için ilgili durum bilgilerini döndürür.

Örtük kimlik bilgileri

İzleme hedefine uzaktan bağlanmak için yeterli ayrıcalıklara sahip bir kullanıcıdan uzaktan tanılama gerçekleştirirken, öğesine kimlik bilgileri New-HgsTraceTargetsağlamak gerekli değildir. Cmdlet, Get-HgsTrace bağlantı açılırken cmdlet'ini çağıran kullanıcının kimlik bilgilerini otomatik olarak yeniden kullanacaktır.

Uyarı

Özellikle "ikinci atlama" olarak bilinen işlemi gerçekleştirirken kimlik bilgilerinin yeniden kullanımına bazı kısıtlamalar uygulanır. Bu, uzak oturumun içindeki kimlik bilgilerini başka bir makinede yeniden kullanma girişiminde bulunur. Bu senaryoyu desteklemek için CredSSP'nin ayarlanması gerekir, ancak bu, korunan doku yönetimi ve sorun giderme kapsamı dışındadır.

Windows PowerShell Yeterli Yönetim (JEA) ve tanılama kullanma

Uzaktan tanılama, JEA kısıtlanmış Windows PowerShell uç noktalarının kullanımını destekler. Varsayılan olarak, uzak izleme hedefleri varsayılan microsoft.powershell uç noktayı kullanarak bağlanır. İzleme hedefi rolüne HostGuardianService sahipse, HGS yüklendiğinde yapılandırılan uç noktayı da kullanmayı microsoft.windows.hgs dener.

Özel uç nokta kullanmak istiyorsanız, aşağıdaki gibi parametresini kullanarak izleme hedefini -PSSessionConfigurationName oluştururken oturum yapılandırma adını belirtmeniz gerekir:

New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Role HostGuardianService -Credential (Enter-Credential) -PSSessionConfigurationName "microsoft.windows.hgs"

Birden çok ana bilgisayarı tanılama

Aynı anda birden çok izleme hedefine Get-HgsTrace geçirebilirsiniz. Bu, yerel ve uzak hedeflerin bir karışımını içerir. Her hedef sırayla izlenir ve ardından her hedeften gelen izlemeler aynı anda tanılanır. Tanılama aracı, aksi takdirde algılanamayan karmaşık düğümler arası yanlış yapılandırmaları belirlemek için dağıtımınız hakkında daha fazla bilgi kullanabilir. Bu özelliğin kullanılması için yalnızca aynı anda birden çok konaktan izleme sağlanması (el ile tanılama durumunda) veya arama Get-HgsTrace sırasında birden çok kona hedeflenerek (uzaktan tanılama söz konusu olduğunda) izleme sağlanması gerekir.

Aşağıda, iki HGS düğümünden ve iki korumalı konaklardan oluşan bir dokuyu önceliklendirmek için uzaktan tanılama kullanma örneği verilmiştir. Burada, korunan konaklardan biri başlatılırken Get-HgsTracekullanılır.

$hgs01 = New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Credential (Enter-Credential)
$hgs02 = New-HgsTraceTarget -HostName "hgs-02.secure.contoso.com" -Credential (Enter-Credential)
$gh01 = New-HgsTraceTarget -Local
$gh02 = New-HgsTraceTarget -HostName "guardedhost-02.contoso.com"
Get-HgsTrace -Target $hgs01,$hgs02,$gh01,$gh02 -RunDiagnostics

Not

Birden çok düğümü tanılarken korunan dokunuzun tamamını tanılamanız gerekmez. Çoğu durumda, belirli bir hata koşuluna dahil olabilecek tüm düğümleri dahil etmek yeterlidir. Bu genellikle korunan konakların bir alt kümesi ve HGS kümesindeki bazı düğüm sayısıdır.

Kaydedilmiş izlemeleri kullanarak el ile tanılama

Bazen, izlemeleri yeniden toplamadan tanılamayı yeniden çalıştırmak isteyebilirsiniz veya dokunuzdaki tüm konakları aynı anda uzaktan tanılamak için gerekli kimlik bilgileriniz olmayabilir. El ile tanılama, kullanarak ancak uzaktan izleme toplama kullanmadan tam doku önceliklendirmesi Get-HgsTracegerçekleştirebileceğiniz bir mekanizmadır.

El ile tanılama gerçekleştirmeden önce, yapıda önceliklendirilecek her konağın yöneticilerinin sizin adınıza komutları yürütmeye hazır ve istekli olduğundan emin olmanız gerekir. Tanılama izleme çıkışı genellikle hassas olarak görüntülenen hiçbir bilgiyi kullanıma sunmaz, ancak bu bilgileri başkalarına sunmanın güvenli olup olmadığını belirlemek kullanıcıda etkindir.

Not

İzlemeler anonim değildir ve ağ yapılandırması, PKI ayarları ve bazen özel bilgiler olarak kabul edilen diğer yapılandırmaları gösterir. Bu nedenle izlemeler yalnızca kuruluş içindeki güvenilir varlıklara iletilmelidir ve hiçbir zaman genel kullanıma açık olarak gönderilmemelidir.

El ile tanılama gerçekleştirme adımları aşağıdaki gibidir:

  1. Her konak yöneticisinin, sonuçta elde edilen izlemelerde çalıştırmak istediğiniz bilinen -Path ve tanılama listesini belirterek çalışmasını Get-HgsTrace isteyin. Örneğin:

    Get-HgsTrace -Path C:\Traces -Diagnostic Networking,BestPractices

  2. Her konak yöneticisinin sonuçta elde edilen izlemeler klasörünü paketlemesini ve size göndermesini isteyin. Bu işlem, e-posta üzerinden, dosya paylaşımları aracılığıyla veya kuruluşunuz tarafından oluşturulan işletim ilkelerine ve yordamlarına göre başka bir mekanizma aracılığıyla yönlendirilebilir.

  3. Alınan tüm izlemeleri, başka içerik veya klasör olmadan tek bir klasörde birleştirin.

    Örneğin, yöneticilerinizin size HGS-01, HGS-02, RR1N2608-12 ve RR1N2608-13 adlı dört makineden toplanan izlemeleri göndermesini istediğinizi varsayalım. Her yönetici size aynı ada sahip bir klasör gönderirdi. Aşağıdaki gibi görünen bir dizin yapısını bir araya getirebilirsiniz:

    FabricTraces
|- HGS-01
|  |- TargetMetadata.xml
|  |- Metadata.xml
|  |- [any other trace files for this host]
|- HGS-02
|  |- [...]
|- RR1N2608-12
|  |- [...]
|- RR1N2608-13
   |- [..]

  4. Parametredeki -Path birleştirilmiş izleme klasörünün yolunu sağlayarak ve anahtarı ve yöneticilerinizden izlemeleri toplamasını istediğiniz tanılamaları belirterek -RunDiagnostics tanılamayı yürütebilirsiniz. Tanılama, yolun içinde bulunan konaklara erişemezseniz ve bu nedenle yalnızca önceden derlenmiş izlemeleri kullanmayı dener. Herhangi bir izleme eksik veya zarar görmüşse, tanılama yalnızca etkilenen testlerde başarısız olur ve normal şekilde devam eder. Örneğin:

    Get-HgsTrace -RunDiagnostics -Diagnostic Networking,BestPractices -Path ".\FabricTraces"

Kaydedilen izlemeleri ek hedeflerle karıştırma

Bazı durumlarda, ek konak izlemeleriyle artırmak istediğiniz önceden oluşturulmuş bir dizi izlemeniz olabilir. Önceden derlenmiş izlemeleri, tek bir tanılama çağrısında izlenecek ve tanılanacak ek hedeflerle karıştırmak mümkündür.

Yukarıda belirtilen bir izleme klasörünü toplama ve derleme yönergelerini izleyerek, önceden toplanmış izleme klasöründe bulunmayan ek izleme hedefleri ile çağrısı Get-HgsTrace yapın:

$hgs03 = New-HgsTraceTarget -HostName "hgs-03.secure.contoso.com" -Credential (Enter-Credential)
Get-HgsTrace -RunDiagnostics -Target $hgs03 -Path .\FabricTraces

Tanılama cmdlet'i önceden alınmış tüm konakları ve hala izlenmesi gereken ek bir konağı belirler ve gerekli izlemeyi gerçekleştirir. Daha sonra önceden toplanmış ve yeni toplanan tüm izlemelerin toplamı tanılanır. Sonuçta elde edilen izleme klasörü hem eski hem de yeni izlemeleri içerir.

Bilinen sorunlar

Korunan doku tanılama modülü, Windows Server 2019 veya Windows 10, sürüm 1809 ve daha yeni işletim sistemi sürümlerinde çalıştırıldığında bilinen sınırlamalara sahiptir. Aşağıdaki özelliklerin kullanılması hatalı sonuçlara neden olabilir:

  • Konak anahtarı kanıtlama
  • Yalnızca kanıtlama HGS yapılandırması (SQL Server Always Encrypted senaryoları için)
  • Kanıtlama ilkesi varsayılanının v2 olduğu bir HGS sunucusunda v1 ilke yapıtlarının kullanımı

Bu özellikleri kullanırken hata Get-HgsTrace olması HGS sunucusunun veya korunan konağın yanlış yapılandırıldığından söz konusu olmayabilir. Bir konağın kanıtlamayı geçip geçmediğini test etmek için korunan konakta olduğu gibi Get-HgsClientConfiguration diğer tanılama araçlarını kullanın.