Korunan konaklarda sorun giderme
Bu makalede, korunan dokunuzda korumalı bir Hyper-V konağı dağıtırken veya çalıştırırken karşılaşılan yaygın sorunların çözümleri açıklanmaktadır.
Şunlar için geçerlidir: Windows Server'ın desteklenen tüm sürümleri
Sorununuzun doğasından emin değilseniz, olası nedenleri daraltmak için önce Hyper-V konaklarınızda korumalı doku tanılamasını çalıştırmayı deneyin.
Korunan konak özelliği
Hyper-V konağınızla ilgili sorunlar yaşıyorsanız, önce Konak Koruyucusu Hyper-V Desteği özelliğinin yüklü olduğundan emin olun. Bu özellik olmadan, Hyper-V ana bilgisayarında kanıtlamayı geçirmesine ve korumalı VM'ler sağlamasına olanak sağlayan bazı kritik yapılandırma ayarları ve yazılımları eksiktir.
Özelliğin yüklü olup olmadığını denetlemek için Sunucu Yöneticisi kullanın veya yükseltilmiş bir PowerShell penceresinde aşağıdaki cmdlet'i çalıştırın:
Get-WindowsFeature HostGuardian
Özellik yüklü değilse, aşağıdaki PowerShell cmdlet'iyle yükleyin:
Install-WindowsFeature HostGuardian -Restart
Kanıtlama hataları
Konak, Konak Koruyucu Hizmeti ile kanıtlamayı geçmezse korumalı VM'leri çalıştıramaz. Bu konakta Get-HgsClientConfiguration çıktısı, bu konağın neden kanıtlama başarısız olduğu hakkında bilgi gösterir.
Aşağıdaki tabloda, AttestationStatus alanında görünebilecek değerler ve uygunsa olası sonraki adımlar açıklanmaktadır.
| AttestationStatus | Açıklama |
|---|---|
| Süresi doldu | Konak daha önce kanıtlamayı geçti, ancak verildiği sistem durumu sertifikasının süresi doldu. Konak ve HGS süresinin eşitlenmiş olduğundan emin olun. |
| InsecureHostConfiguration | Konak, HGS'de yapılandırılan kanıtlama ilkeleriyle uyumlu olmadığından kanıtlamayı geçirmedi. Daha fazla bilgi için AttestationSubStatus tablosuna bakın. |
| NotConfigured | Konak, kanıtlama ve anahtar koruması için HGS kullanacak şekilde yapılandırılmamış. Bunun yerine yerel mod için yapılandırılır. Bu konak korunan bir yapıdaysa, Set-HgsClientConfiguration kullanarak HGS sunucunuzun URL'lerini sağlayın. |
| Başarılı | Konak kanıtlamayı geçti. |
| TransientError | Son kanıtlama girişimi ağ, hizmet veya başka bir geçici hata nedeniyle başarısız oldu. Son işleminizi yeniden deneyin. |
| TpmError | Konak, TPM'nizdeki bir hata nedeniyle son kanıtlama girişimini tamamlayamadı. Daha fazla bilgi için bkz. TPM günlükleriniz. |
| UnauthorizedHost | Konak, korumalı VM'leri çalıştırma yetkisi olmadığından kanıtlamayı geçemedi. Konağın korumalı VM'leri çalıştırmak için HGS tarafından güvenilen bir güvenlik grubuna ait olduğundan emin olun. |
| Bilinmiyor | Ana bilgisayar henüz HGS ile test girişiminde bulunmadı. |
AttestationStatus InsecureHostConfiguration olarak bildirildiğinde, AttestationSubStatus alanında bir veya daha fazla neden doldurulur. Aşağıdaki tabloda, AttestationSubStatus için olası değerler ve sorunun nasıl çözüleceğini gösteren ipuçları açıklanmaktadır.
| AttestationSubStatus | Ne anlama gelir ve ne yapmalı? |
|---|---|
| BitLocker | Konağın işletim sistemi birimi BitLocker tarafından şifrelenmez. Bu sorunu çözmek için işletim sistemi biriminde BitLocker'ı etkinleştirin veya HGS'de BitLocker ilkesini devre dışı bırakın. |
| CodeIntegrityPolicy | Konak, bir kod bütünlüğü ilkesi kullanacak şekilde yapılandırılmamış veya HGS sunucusu tarafından güvenilen bir ilke kullanmıyor. Bir kod bütünlüğü ilkesinin yapılandırıldığından, konağın yeniden başlatıldığından ve ilkenin HGS sunucusuna kaydedildiğinden emin olun. Daha fazla bilgi için bkz . Kod bütünlüğü ilkesi oluşturma ve uygulama. |
| DumpsEnabled | Konak, HGS ilkeleriniz tarafından izin verilmeyen kilitlenme bilgi dökümlerine veya canlı bellek dökümlerine izin verecek şekilde yapılandırılmıştır. Bu sorunu çözmek için konakta dökümleri devre dışı bırakın. |
| DumpEncryption | Konak kilitlenme bilgi dökümlerine veya canlı bellek dökümlerine izin verecek şekilde yapılandırılmıştır ancak bu dökümleri şifrelemez. Ana bilgisayarda dökümleri devre dışı bırakın veya döküm şifrelemesini yapılandırın. |
| DumpEncryptionKey | Konak, dökümlere izin verecek ve bunları şifrelemek için yapılandırılmıştır, ancak bunları şifrelemek için HGS tarafından bilinen bir sertifika kullanmıyor. Bu sorunu çözmek için konakta döküm şifreleme anahtarını güncelleştirin veya anahtarı HGS'ye kaydedin. |
| FullBoot | Konak bir uyku durumundan veya hazırda bekleme durumundan devam etti. Temiz ve tam önyüklemeye izin vermek için konağı yeniden başlatın. |
| Hazırda BekletmeEnabled | Konak, HGS ilkelerinizin izin vermediği hazırda bekleme dosyasını şifrelemeden hazırda beklemeye izin verecek şekilde yapılandırılmıştır. Hazırda beklemeyi devre dışı bırakın ve konağı yeniden başlatın veya döküm şifrelemesini yapılandırın. |
| HypervisorEnforcedCodeIntegrityPolicy | Konak, hiper yönetici tarafından zorlanan bir kod bütünlüğü ilkesi kullanacak şekilde yapılandırılmamış. Kod bütünlüğünün hiper yönetici tarafından etkinleştirildiğini, yapılandırıldığını ve uygulandığını doğrulayın. Daha fazla bilgi için bkz . Device Guard dağıtım kılavuzu. |
| Iommu | Konağın Sanallaştırma Tabanlı Güvenlik özellikleri, HGS ilkelerinizin gerektirdiği şekilde Doğrudan Bellek Erişimi saldırılarına karşı koruma için bir IOMMU cihazı gerektirecek şekilde yapılandırılmamış. Konağın bir IOMMU'ya sahip olduğunu, etkinleştirildiğini ve Device Guard'ın VBS başlatılırken DMA korumaları gerektirecek şekilde yapılandırıldığını doğrulayın. |
| PagefileEncryption | Ana bilgisayarda sayfa dosyası şifrelemesi etkinleştirilmedi. Bu sorunu çözmek için komutunu çalıştırarak fsutil behavior set encryptpagingfile 1 sayfa dosyası şifrelemesini etkinleştirin. Daha fazla bilgi için bkz . fsutil davranışı. |
| SecureBoot | Güvenli Önyükleme bu konakta etkin değil veya Microsoft Güvenli Önyükleme şablonunu kullanmıyor. Bu sorunu çözmek için Microsoft Güvenli Önyükleme şablonuyla Güvenli Önyükleme'yi etkinleştirin. |
| SecureBootSettings | Bu konak üzerindeki TPM temeli, HGS tarafından güvenilenlerle eşleşmiyor. Bu durum UEFI başlatma yetkilileriniz, DBX değişkeniniz, hata ayıklama bayrağınız veya özel Güvenli Önyükleme ilkeleriniz yeni donanım veya yazılım yüklenerek değiştirildiğinde oluşabilir. Bu makinenin geçerli donanım, üretici yazılımı ve yazılım yapılandırmasına güveniyorsanız, yeni bir TPM temeli yakalayabilir ve HGS'ye kaydedebilirsiniz. |
| TcgLogVerification | TCG günlüğü (TPM temeli) alınamaz veya doğrulanamaz. Bu, konağın üretici yazılımı, TPM veya diğer donanım bileşenleriyle ilgili bir sorunu gösterebilir. Konağınız Windows'u önyüklemeden önce PXE önyüklemesini deneyecek şekilde yapılandırılmışsa, bu hataya eski bir Net Boot Programı (NBP) da neden olabilir. PXE önyüklemesi etkinleştirildiğinde tüm NBP'lerin güncel olduğundan emin olun. |
| VirtualSecureMode | Sanallaştırma Tabanlı Güvenlik özellikleri konakta çalışmıyor. VBS'nin etkinleştirildiğinden ve sisteminizin yapılandırılmış platform güvenlik özelliklerine uydığından emin olun. VBS gereksinimleri hakkında daha fazla bilgi için Device Guard belgelerine bakın. |
Modern TLS
TlS 1.0 kullanımını önlemek için bir grup ilkesi dağıttıysanız veya Hyper-V konağınızı başka bir şekilde yapılandırdıysanız, korumalı bir VM'yi başlatmaya çalışırken "Konak Koruyucu Hizmeti İstemcisi arama işlemi adına Anahtar Koruyucusunu açamadı" hatalarıyla karşılaşabilirsiniz. Bunun nedeni. .NET 4.6'da, desteklenen TLS sürümleri HGS sunucusuyla görüşülürken sistem varsayılan TLS sürümünün dikkate alınmadığı varsayılan davranıştır.
Bu davranışa geçici bir çözüm olarak, .NET'i tüm .NET uygulamaları için sistem varsayılan TLS sürümlerini kullanacak şekilde yapılandırmak üzere aşağıdaki iki komutu çalıştırın.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Uyarı
Sistem varsayılan TLS sürümleri ayarı makinenizdeki tüm .NET uygulamalarını etkiler. Kayıt defteri anahtarlarını üretim makinelerinize dağıtmadan önce yalıtılmış bir ortamda test edin.
.NET 4.6 ve TLS 1.0 hakkında daha fazla bilgi için bkz . TLS 1.0 Sorununu Çözme, 2. Sürüm.