Problembehandlung bei der Verwendung des Guarded Fabric Diagnostic Tools

In diesem Artikel wird die Verwendung des Guarded Fabric Diagnostic Tools beschrieben, um häufige Fehler in der Bereitstellung, Konfiguration und laufenden Betrieb der geschützten Fabric-Infrastruktur zu identifizieren und zu beheben. Dies schließt den Host-Überwachungsdienst (Host Guardian Service, HGS) und alle überwachten Hosts sowie unterstützende Dienste wie DNS und Active Directory ein.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Das Diagnosetool kann verwendet werden, um einen ersten Durchlauf zur Selektierung eines fehlerhaften geschützten Fabrics durchzuführen und Administratoren einen Ausgangspunkt für die Behebung von Ausfällen und die Identifizierung falsch konfigurierter Ressourcen zu geben. Das Tool ist kein Ersatz für eine solide Bedienung eines geschützten Gewebes und dient nur dazu, die häufigsten Probleme, die während des täglichen Betriebs aufgetreten sind, schnell zu überprüfen.

Eine vollständige Dokumentation der in diesem Artikel verwendeten Cmdlets finden Sie in der Referenz zum HgsDiagnostics-Modul.

Hinweis

Beim Ausführen des Diagnosetools für geschützte Fabrics (Get-HgsTrace -RunDiagnostics) wird möglicherweise ein falscher Status zurückgegeben, der darauf hindeutet, dass die HTTPS-Konfiguration beschädigt ist, obwohl sie gar nicht beschädigt ist oder nicht verwendet wird. Dieser Fehler kann unabhängig vom Nachweismodus des Host-Überwachungsdiensts zurückgegeben werden. Mögliche Grundursachen:

• HTTPS ist tatsächlich falsch konfiguriert oder beschädigt.
• Sie verwenden den vertrauenswürdigen Administratornachweis, und die Vertrauensstellung ist unterbrochen. Dies ist unabhängig davon, ob HTTPS ordnungsgemäß, unsachgemäß oder gar nicht verwendet wird. Beachten Sie, dass die Diagnosen diesen falschen Status nur zurückgeben, wenn ein Hyper-V-Host als Ziel verwendet wird. Wenn das Ziel der Diagnosen der Host-Überwachungsdienst ist, ist der zurückgegebene Status korrekt.

Schnellstart

Sie können entweder eine Diagnose für einen überwachten Host oder eine Diagnose für einen HGS-Knoten durchführen. Rufen Sie dazu in einer Windows PowerShell-Sitzung mit lokalen Administratorrechten Folgendes auf:

Get-HgsTrace -RunDiagnostics -Detailed

Dadurch wird automatisch die Rolle des aktuellen Hosts erkannt, und es werden alle relevanten Probleme diagnostiziert, die automatisch erkannt werden können. Alle während dieses Prozesses generierten Ergebnisse werden angezeigt, da der Schalter -Detailed vorhanden ist.

Im weiteren Verlauf dieses Themas finden Sie eine ausführliche exemplarische Vorgehensweise zur erweiterten Verwendung von Get-HgsTrace für Aufgaben wie die gleichzeitige Durchführung von Diagnosen für mehrere Hosts und die Erkennung komplexer knotenübergreifender Fehlkonfigurationen.

Diagnoseübersicht

Die Diagnosen für geschützte Fabrics sind auf jedem Host verfügbar, auf dem Tools und Features für abgeschirmte virtuelle Computer installiert sind. Das gilt auch für Hosts mit Server Core. Derzeit sind Diagnosen in folgenden Features bzw. Paketen enthalten:

• HGS-Rolle (Host Guardian Service, Host-Überwachungsdienst)
• Host-Überwachungsunterstützung für Hyper-V
• VM-Abschirmungstools für Fabric-Verwaltung
• Remoteserver-Verwaltungstools (RSAT)

Das bedeutet, dass Diagnosetools auf allen überwachten Hosts und HGS-Knoten sowie auf bestimmten Fabricverwaltungsservern und auf allen Windows 10-Arbeitsstationen mit installierten Remoteserver-Verwaltungstools verfügbar sind. Die Diagnosen können von jedem der oben genannten Computer aus aufgerufen werden, um Diagnosen für jeden beliebigen geschützten Host oder HGS-Knoten in einem geschützten Fabric durchzuführen. Bei Verwendung von Remote-Ablaufverfolgungszielen können die Diagnosen andere Hosts als den Computer, auf dem die Diagnose ausgeführt wird, finden und eine Verbindung mit ihnen herstellen.

Hosts, für die die Diagnosen durchgeführt werden, werden als „Ablaufverfolgungsziele“ bezeichnet. Ablaufverfolgungsziele werden anhand ihres Hostnamens und ihrer Rolle identifiziert. Rollen beschreiben die Funktion, die ein bestimmtes Ablaufverfolgungsziel in einem geschützten Fabric erfüllt. Derzeit werden von Ablaufverfolgungszielen die Rollen HostGuardianService und GuardedHost unterstützt. Beachten Sie, dass ein Host mehrere Rollen gleichzeitig belegen kann und dies auch von der Diagnose unterstützt wird. Dies sollte jedoch nicht in Produktionsumgebungen erfolgen. Die HGS- und Hyper-V-Hosts müssen jederzeit voneinander getrennt und eigenständig sein.

Administratoren können Get-HgsTrace ausführen, um mit beliebigen Diagnoseaufgaben zu beginnen. Dieses Cmdlet führt zwei unterschiedliche Funktionen basierend auf den zur Laufzeit bereitgestellten Switches aus: Ablaufverfolgungssammlung und Diagnose. Das gesamte Diagnosetool für geschützte Fabrics ist eine Kombination aus diesen beiden Funktionen. Für die meisten nützlichen Diagnosen werden Ablaufverfolgungen benötigt, die nur mit Administratoranmeldeinformationen für das Ablaufverfolgungsziel erfasst werden können (auch wenn diese Ablaufverfolgungen nicht explizit erforderlich sind). Wenn der Benutzer, der die Überwachungssammlung ausführt, nicht über ausreichende Berechtigungen verfügt, sind Ablaufverfolgungen, die eine Rechteerweiterung erfordern, nicht erfolgreich. Alle anderen sind dagegen erfolgreich. Dadurch sind in Fällen, in denen die Selektierung von einem Operator mit wenig Berechtigungen durchgeführt wird, Teildiagnosen möglich.

Überwachungssammlung

Standardmäßig werden von Get-HgsTrace nur Ablaufverfolgungen gesammelt und in einem temporären Ordner gespeichert. Ablaufverfolgungen haben die Form eines nach dem Zielhost benannten Ordners. Dieser enthält speziell formatierte Dateien, die die Konfiguration des Hosts beschreiben. Die Ablaufverfolgungen enthalten auch Metadaten, die beschreiben, wie die Diagnosen zur Erfassung der Ablaufverfolgungen aufgerufen wurden. Diese Daten werden von Diagnosen verwendet, um bei der manuellen Diagnose Informationen zum Host zu aktivieren.

Bei Bedarf können Ablaufverfolgungen auch manuell überprüft werden. Alle Formate sind entweder lesbar (XML) oder können leicht mit Standardtools überprüft werden (z. B. X509-Zertifikate und die Windows Crypto Shell-Erweiterungen). Beachten Sie jedoch, dass Ablaufverfolgungen nicht für die manuelle Diagnose konzipiert sind und es immer effektiver ist, die Ablaufverfolgungen mit den Diagnoseeinrichtungen Get-HgsTracezu verarbeiten.

Die Ergebnisse der laufenden Ablaufverfolgungssammlung geben keinen Hinweis auf die Integrität eines bestimmten Hosts. Sie geben lediglich an, dass erfolgreich Ablaufverfolgungen gesammelt wurden. Es ist notwendig, die Diagnoseeinrichtungen Get-HgsTrace zu verwenden, um festzustellen, ob die Ablaufverfolgungen auf eine fehlerhafte Umgebung hinweisen.

Mit dem Parameter -Diagnostic können Sie die Überwachungssammlung auf die Ablaufverfolgungen beschränken, die für die angegebenen Diagnosen benötigt werden. Dadurch können Sie sowohl die Menge der gesammelten Daten als auch die Berechtigungen verringern, die zum Aufrufen der Diagnosen erforderlich sind.

Diagnosis

Gesammelte Ablaufverfolgungen können diagnostiziert werden, indem für Get-HgsTrace über den Parameter -Path der Speicherort der Ablaufverfolgungen sowie der Schalter -RunDiagnostics wird. Darüber hinaus kann Get-HgsTrace die Sammlung und Diagnose in einem einzelnen Durchlauf durchführen. Geben Sie hierzu den Schalter -RunDiagnostics und eine Liste der Ablaufverfolgungsziele an. Ohne Angabe von Ablaufverfolgungszielen wird der aktuelle Computer als implizites Ziel verwendet. Seine Rolle wird dabei durch Überprüfen der installierten Windows PowerShell-Module abgeleitet.

Die Diagnose liefert Ergebnisse in einem hierarchischen Format, das zeigt, welche Ablaufverfolgungsziele, Diagnosesätze und einzelnen Diagnosen für einen bestimmten Fehler verantwortlich sind. Sofern ermittelt werden kann, welche Maßnahme als Nächstes ergriffen werden sollte, enthalten die Fehler auch Behandlungs- und Lösungsempfehlungen. Positive und irrelevante Ergebnisse werden standardmäßig ausgeblendet. Wenn alles angezeigt werden soll, was von den Diagnosen getestet wurde, geben Sie den Schalter -Detailed an. Dies bewirkt, dass alle Ergebnisse unabhängig vom Status angezeigt werden.

Es ist möglich, den Satz der Diagnose einzuschränken, die mit dem -Diagnostic Parameter ausgeführt werden. Dadurch können Sie angeben, welche Diagnoseklassen für die Ablaufverfolgungsziele ausgeführt werden sollen, und alle anderen unterdrücken. Beispiele für verfügbare Diagnoseklassen sind Netzwerk, bewährte Methoden und Clienthardware. Eine aktuelle Liste der verfügbaren Diagnosen finden Sie in der Cmdlet-Dokumentation.

Warnung

Die Diagnose ist kein Ersatz für eine starke Überwachungs- und Vorfallreaktionspipeline. Es gibt ein System Center Operations Manager-Paket für die Überwachung geschützter Fabrics sowie verschiedene Ereignisprotokollkanäle, die überwacht werden können, um Probleme frühzeitig zu erkennen. Die Diagnosen können dann zur schnellen Selektierung dieser Fehler und zur Festlegung einer Vorgehensweise verwendet werden.

Zieldiagnose

Get-HgsTrace wird für Ablaufverfolgungsziele verwendet. Ein Ablaufverfolgungsziel ist ein Objekt, das einem HGS-Knoten oder einem überwachten Host in einem geschützten Fabric entspricht. Es kann als Erweiterung für eine PSSessionErweiterung betrachtet werden, die nur informationen enthält, die nur von diagnosen wie der Rolle des Hosts in der Fabric benötigt werden. Ziele können implizit (z. B. lokale oder manuelle Diagnose) oder explizit mit dem New-HgsTraceTarget Cmdlet generiert werden.

Lokale Diagnose

Standardmäßig wird von Get-HgsTrace der Localhost (der Ort, an dem das Cmdlet aufgerufen wird) als Ziel verwendet. Dies wird als implizites lokales Ziel bezeichnet. Das implizite lokale Ziel wird nur verwendet, wenn im Parameter -Target keine Ziele angegeben und am Pfad (-Path) keine bereits vorhandenen Ablaufverfolgungen gefunden werden.

Die Rolle, die der aktuelle Host im geschützten Fabric innehat, wird beim impliziten lokalen Ziel mittels Rollenrückschluss ermittelt. Dies basiert auf den installierten Windows PowerShell-Modulen, die ungefähr den auf dem System installierten Features entsprechen. Das Vorhandensein des HgsServer Moduls bewirkt, dass das Ablaufverfolgungsziel die Rolle HostGuardianService übernimmt und das Vorhandensein des HgsClient Moduls bewirkt, dass das Ablaufverfolgungsziel die Rolle GuardedHostübernimmt. Es ist möglich, dass ein bestimmter Host beide Module enthält, in diesem Fall wird es sowohl als ein HostGuardianService als auch als ein GuardedHost.

Hier sehen Sie den Standardaufruf von Diagnosen zum lokalen Sammeln von Ablaufverfolgungen:

Get-HgsTrace

Das entspricht folgendem:

New-HgsTraceTarget -Local | Get-HgsTrace

Tipp

Get-HgsTrace kann Ziele über die Pipeline oder direkt über den Parameter -Target akzeptieren. Es gibt keinen operativen Unterschied zwischen den beiden.

Remotediagnose mithilfe von Ablaufverfolgungszielen

Es ist möglich, einen Host remote zu diagnostizieren, indem Ablaufverfolgungsziele mit Remoteverbindungsinformationen generiert werden. Dazu werden lediglich der Hostname und ein Satz von Anmeldeinformationen benötigt, die eine Verbindungsherstellung über Windows PowerShell-Remoting ermöglichen.

$server = New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Role HostGuardianService -Credential (Enter-Credential)
Get-HgsTrace -RunDiagnostics -Target $server

In diesem Beispiel wird eine Eingabeaufforderung generiert, um die Anmeldeinformationen des Remotebenutzers zu sammeln, und anschließend wird die Diagnose mithilfe des Remotehosts hgs-01.secure.contoso.com ausgeführt, um die Ablaufverfolgungssammlung abzuschließen. Die resultierenden Ablaufverfolgungen werden auf den Localhost heruntergeladen und dann diagnostiziert. Die Diagnoseergebnisse werden genau wie bei der lokalen Diagnose präsentiert. Ebenso ist es nicht erforderlich, eine Rolle anzugeben, da sie basierend auf den auf dem Remotesystem installierten Windows PowerShell-Modulen abgeleitet werden kann.

Die Remotediagnose verwendet Windows PowerShell-Remoting für alle Zugriffe auf den Remotehost. Daher ist es eine Voraussetzung, dass das Ablaufverfolgungsziel Windows PowerShell-Remoting aktiviert hat (siehe Aktivieren von PSRemoting) und dass der localhost ordnungsgemäß für das Starten von Verbindungen mit dem Ziel konfiguriert ist.

Notiz

In den meisten Fällen ist es nur erforderlich, dass der Localhost Teil derselben Active Directory-Gesamtstruktur ist und dass ein gültiger DNS-Hostname verwendet wird. Wenn Ihre Umgebung ein komplizierteres Verbundmodell verwendet oder Sie für die Konnektivität direkte IP-Adressen verwenden möchten, sind möglicherweise zusätzliche Konfigurationsschritte wie etwa das Festlegen der vertrauenswürdigen Hosts von WinRM erforderlich.

Mithilfe des Cmdlets Test-HgsTraceTarget können Sie überprüfen, ob ein Ablaufverfolgungsziel ordnungsgemäß instanziiert und für das Akzeptieren von Verbindungen konfiguriert ist:

$server = New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Role HostGuardianService -Credential (Enter-Credential)
$server | Test-HgsTraceTarget

Dieses Cmdlet gibt nur $True dann zurück, wenn Get-HgsTrace eine Remotediagnosesitzung mit dem Ablaufverfolgungsziel hergestellt werden kann. Bei Einem Fehler gibt dieses Cmdlet relevante Statusinformationen zur weiteren Problembehandlung der Windows PowerShell-Remotingverbindung zurück.

Implizite Anmeldeinformationen

Bei der Remotediagnose von einem Benutzer mit ausreichenden Berechtigungen, um eine Remoteverbindung mit dem Ablaufverfolgungsziel herzustellen, ist es nicht erforderlich, Anmeldeinformationen anzugeben New-HgsTraceTarget. Das Cmdlet Get-HgsTrace verwendet bei der Verbindungsherstellung automatisch die Anmeldeinformationen des Benutzers, der das Cmdlet aufgerufen hat.

Warnung

Bei der Wiederverwendung von Anmeldeinformationen gelten gewisse Einschränkungen – insbesondere im Falle eines sogenannten zweiten Hops (also wenn versucht wird, Anmeldeinformationen aus einer Remotesitzung auf einem anderen Computer wiederzuverwenden). Es ist erforderlich , CredSSP einzurichten, um dieses Szenario zu unterstützen, dies liegt jedoch außerhalb des Bereichs der geschützten Fabric-Verwaltung und -Problembehandlung.

Verwenden von Windows PowerShell Just Enough Administration (JEA) und Diagnose

Die Remotediagnose unterstützt die Verwendung von durch JEA eingeschränkten Windows PowerShell-Endpunkten. Standardmäßig stellen Remoteüberwachungsziele eine Verbindung unter Verwendung des Standard-Endpunkts microsoft.powershell her. Wenn das Ablaufverfolgungsziel über die HostGuardianService Rolle verfügt, wird auch versucht, den Endpunkt zu verwenden, der bei der Installation von microsoft.windows.hgs HGS konfiguriert ist.

Wenn Sie einen benutzerdefinierten Endpunkt verwenden möchten, müssen Sie bei der Erstellung des Ablaufverfolgungsziels den Namen der Sitzungskonfiguration mithilfe des Parameters -PSSessionConfigurationName angeben. Beispiel:

New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Role HostGuardianService -Credential (Enter-Credential) -PSSessionConfigurationName "microsoft.windows.hgs"

Diagnostizieren mehrerer Hosts

Sie können mehrere Ablaufverfolgungsziele auf einmal Get-HgsTrace an übergeben. Dabei kann es sich um eine Mischung aus lokalen Zielen und Remotezielen handeln. Jedes Ziel wird wiederum nachverfolgt, und dann werden Ablaufverfolgungen von jedem Ziel gleichzeitig diagnostiziert. Das Diagnosetool kann das erweiterte Wissen Ihrer Bereitstellung verwenden, um komplexe Knotenübergreifende Fehlkonfigurationen zu identifizieren, die andernfalls nicht erkannt werden können. Zur Verwendung dieses Features müssen lediglich Ablaufverfolgungen von mehreren Hosts gleichzeitig bereitgestellt werden (manuelle Diagnose) oder beim Aufrufen von Get-HgsTrace mehrere Hosts als Ziel angegeben werden (Remotediagnose).

Im folgenden Beispiel wird die Remotediagnose verwendet, um ein Fabric zu selektieren, das aus zwei HGS-Knoten und zwei überwachten Hosts besteht, wobei einer der überwachten Hosts zum Starten von Get-HgsTrace verwendet wird:

$hgs01 = New-HgsTraceTarget -HostName "hgs-01.secure.contoso.com" -Credential (Enter-Credential)
$hgs02 = New-HgsTraceTarget -HostName "hgs-02.secure.contoso.com" -Credential (Enter-Credential)
$gh01 = New-HgsTraceTarget -Local
$gh02 = New-HgsTraceTarget -HostName "guardedhost-02.contoso.com"
Get-HgsTrace -Target $hgs01,$hgs02,$gh01,$gh02 -RunDiagnostics

Notiz

Sie müssen Ihr gesamtes geschütztes Fabric nicht diagnostizieren, wenn Sie mehrere Knoten diagnostizieren. In vielen Fällen reicht es aus, alle Knoten einzuschließen, die an einer bestimmten Fehlerbedingung beteiligt sein können. Hierbei handelt es sich in der Regel um eine Teilmenge der überwachten Hosts und um eine gewisse Anzahl von Knoten aus dem HGS-Cluster.

Manuelle Diagnose mithilfe gespeicherter Ablaufverfolgungen

Manchmal möchten Sie die Diagnose möglicherweise erneut ausführen, ohne Ablaufverfolgungen erneut zu sammeln, oder Sie verfügen möglicherweise nicht über die erforderlichen Anmeldeinformationen, um alle Hosts in Ihrem Fabric gleichzeitig zu diagnostizieren. Bei der manuellen Diagnose handelt es sich um einen Mechanismus, mit dem Sie weiterhin mithilfe von Get-HgsTrace eine Selektierung für das gesamte Fabric durchführen können, ohne jedoch die Remoteüberwachungssammlung zu verwenden.

Bevor Sie eine manuelle Diagnose ausführen, müssen Sie sicherstellen, dass die Administratoren jedes Hosts in der Fabric, die triaged sind, bereit und bereit sind, Befehle in Ihrem Auftrag auszuführen. Die Diagnoseablaufverfolgungsausgabe macht keine Informationen verfügbar, die in der Regel als vertraulich angesehen werden, aber es liegt am Benutzer, festzustellen, ob es sicher ist, diese Informationen anderen Personen zur Verfügung zu stellen.

Notiz

Ablaufverfolgungen werden nicht anonymisiert und zeigen die Netzwerkkonfiguration, PKI-Einstellungen und andere Konfigurationen an, die manchmal als private Informationen betrachtet werden. Daher dürfen Ablaufverfolgungen nur an vertrauenswürdige Entitäten innerhalb einer Organisation übertragen und niemals öffentlich zugänglich gemacht werden.

Im Anschluss finden Sie die Schritte zum Ausführen einer manuellen Diagnose:

1. Bitten Sie die einzelnen Hostadministratoren, Get-HgsTrace auszuführen und dabei einen bekannten Pfad (-Path) sowie die Liste der Diagnosen anzugeben, die Sie für die resultierenden Ablaufverfolgungen ausführen möchten. Zum Beispiel:

   Get-HgsTrace -Path C:\Traces -Diagnostic Networking,BestPractices
   

2. Bitten Sie die einzelnen Hostadministratoren, den resultierenden Ablaufverfolgungsordner zu packen und an Sie zu senden. Dies kann abhängig von den betrieblichen Richtlinien und Abläufen Ihrer Organisation per E-Mail, über Dateifreigaben oder mithilfe eines anderen Mechanismus abgewickelt werden.

3. Führen Sie alle erhaltenen Ablaufverfolgungen in einem einzelnen Ordner ohne andere Inhalte oder Ordner zusammen.

   Angenommen, Sie haben von Ihren Administratoren Ablaufverfolgungen von vier Computern (HGS-01, HGS-02, RR1N2608-12 und RR1N2608-13) angefordert. Die Administratoren haben Ihnen jeweils einen Ordner mit dem gleichen Namen gesendet. Daraufhin erstellen Sie eine Verzeichnisstruktur, die wie folgt aussieht:

   FabricTraces
   |- HGS-01
   |  |- TargetMetadata.xml
   |  |- Metadata.xml
   |  |- [any other trace files for this host]
   |- HGS-02
   |  |- [...]
   |- RR1N2608-12
   |  |- [...]
   |- RR1N2608-13
      |- [..]
   

4. Führen Sie die Diagnosen aus. Geben Sie dazu für den Parameter -Path den Pfad des zusammengestellten Ablaufverfolgungsordners sowie den Schalter -RunDiagnostics und die Diagnosen an, für die die Administratoren Ablaufverfolgungen gesammelt haben. Die Diagnose geht davon aus, dass sie nicht auf die Hosts zugreifen kann, die sich innerhalb des Pfads befinden, und versucht daher, nur die vordefinierten Ablaufverfolgungen zu verwenden. Wenn Ablaufverfolgungen fehlen oder beschädigt sind, sind die Diagnosen nur für die betroffenen Tests nicht erfolgreich und werden normal fortgesetzt. Zum Beispiel:

   Get-HgsTrace -RunDiagnostics -Diagnostic Networking,BestPractices -Path ".\FabricTraces"
   

Mischen gespeicherter Ablaufverfolgungen mit zusätzlichen Zielen

In einigen Fällen verfügen Sie möglicherweise über eine Reihe vordefinierter Ablaufverfolgungen, die Sie mit zusätzlichen Hostablaufverfolgungen erweitern möchten. Es ist möglich, vordefinierte Ablaufverfolgungen mit zusätzlichen Zielen zu kombinieren, die in einem einzigen Aufruf der Diagnose nachverfolgt und diagnostiziert werden.

Führen Sie die Anweisungen zum Sammeln und Zusammenstellen eines oben angegebenen Ablaufverfolgungsordners durch, und rufen Sie Get-HgsTrace mit zusätzlichen Ablaufverfolgungszielen auf, die im vorverkn. Ordner "Ablaufverfolgung" nicht gefunden wurden:

$hgs03 = New-HgsTraceTarget -HostName "hgs-03.secure.contoso.com" -Credential (Enter-Credential)
Get-HgsTrace -RunDiagnostics -Target $hgs03 -Path .\FabricTraces

Das Diagnose-Cmdlet identifiziert alle vordefinierten Hosts und den einen zusätzlichen Host, der noch nachverfolgt werden muss, und führt die erforderliche Ablaufverfolgung aus. Die Summe aller voreingesammelten und frisch gesammelten Spuren wird dann diagnostiziert. Der resultierende Ablaufverfolgungsordner enthält sowohl die alten als auch die neuen Ablaufverfolgungen.

Bekannte Probleme

Wenn das Diagnosemodul für geschützte Fabrics unter Windows Server 2019, unter Windows 10 (Version 1809) oder unter neueren Betriebssystemversionen ausgeführt wird, gibt es bekannte Einschränkungen. Die Verwendung der folgenden Features kann zu fehlerhaften Ergebnissen führen:

• Hostschlüsselnachweis
• Rein nachweisbasierte HGS-Konfiguration (für Always Encrypted-Szenarien mit SQL Server)
• Verwendung von v1-Richtlinienartefakten auf einem HGS-Server, auf dem die Standardeinstellung der Nachweisrichtlinie v2 ist

Ein Fehler bei Get-HgsTrace der Verwendung dieser Features weist nicht unbedingt darauf hin, dass der HGS-Server oder der geschützte Host falsch konfiguriert ist. Verwenden Sie andere Diagnosetools (z. B. Get-HgsClientConfiguration) auf einem überwachten Host, um zu testen, ob ein Host den Nachweis bestanden hat.