Problembehandlung bei geschützten Hosts
In diesem Artikel werden Lösungen für häufige Probleme beschrieben, die beim Bereitstellen oder Ausführen eines geschützten Hyper-V-Hosts in Ihrem geschützten Fabric auftreten.
Gilt für: Alle unterstützten Versionen von Windows Server
Wenn Sie sich nicht sicher sind, wie das Problem vorliegt, versuchen Sie zunächst, die geschützte Fabric-Diagnose auf Ihren Hyper-V-Hosts auszuführen, um die potenziellen Ursachen einzugrenzen.
Geschützte Hostfunktion
Wenn Probleme mit Ihrem Hyper-V-Host auftreten, stellen Sie zunächst sicher, dass das Hyper-V-Supportfeature des Host guardian installiert ist. Ohne dieses Feature fehlt der Hyper-V-Host einige wichtige Konfigurationseinstellungen und Software, die es ermöglichen, Nachweise zu bestehen und abgeschirmte VMs bereitzustellen.
Um zu überprüfen, ob das Feature installiert ist, verwenden Sie Server-Manager oder führen Sie das folgende Cmdlet in einem PowerShell-Fenster mit erhöhten Rechten aus:
Get-WindowsFeature HostGuardian
Wenn das Feature nicht installiert ist, installieren Sie es mit dem folgenden PowerShell-Cmdlet:
Install-WindowsFeature HostGuardian -Restart
Nachweisfehler
Wenn ein Host keinen Nachweis mit dem Host-Guardian-Dienst übergibt, kann er abgeschirmte VMs nicht ausführen. Die Ausgabe von Get-HgsClientConfiguration gibt Aufschluss darüber, warum der Nachweis für diesen Host nicht bestanden wurde.
In der folgenden Tabelle werden die möglichen Werte des Felds AttestationStatus sowie ggf. die möglichen nächsten Schritte erläutert:
| AttestationStatus | Erklärung |
|---|---|
| Abgelaufen | Der Host wurde zuvor erfolgreich beglaubigt, das ausgestellte Integritätszertifikat ist jedoch abgelaufen. Stellen Sie sicher, dass die Systemzeit von Host und HGS synchron sind. |
| InsecureHostConfiguration | Der Host hat den Nachweis nicht bestanden, da er nicht den auf HGS konfigurierten Nachweisrichtlinien entspricht. Weitere Informationen finden Sie in der Tabelle "AttestationSubStatus". |
| NotConfigured | Der Host ist nicht für die Verwendung eines HGS für den Nachweis und den Schlüsselschutz konfiguriert. Sie ist stattdessen für den lokalen Modus konfiguriert. Wenn sich dieser Host in einem geschützten Fabric befindet, verwenden Sie Set-HgsClientConfiguration, um ihn mit den URLs für Ihren Host-Überwachungsdienstserver bereitzustellen. |
| Erfolgreich | Der Host hat den Nachweis bestanden. |
| TransientError | Der letzte Nachweisversuch war aufgrund eines Netzwerkfehlers, eines Dienstfehlers oder eines anderen temporären Fehlers nicht erfolgreich. Wiederholen Sie den letzten Vorgang. |
| TpmError | Der Host konnte den letzten Nachweisversuch aufgrund eines Fehlers mit Ihrem TPM nicht abschließen. Weitere Informationen finden Sie in Ihren TPM-Protokollen. |
| UnauthorizedHost | Der Host hat den Nachweis nicht bestanden, da er nicht zum Ausführen abgeschirmter VMs autorisiert war. Stellen Sie sicher, dass der Host zu einer Sicherheitsgruppe gehört, der der Host-Überwachungsdienst hinsichtlich der Ausführung abgeschirmter virtueller Computer vertraut. |
| Unbekannt | Der Host hat noch nicht versucht, HGS zu bestätigen. |
Wenn "AttestationStatus" als "InsecureHostConfiguration" gemeldet wird, wird mindestens ein Grund im Feld "AttestationSubStatus" aufgefüllt. Die folgende Tabelle enthält die möglichen Werte für AttestationSubStatus sowie Tipps zur Behebung des Problems:
| AttestationSubStatus | Bedeutung und Vorgehensweise |
|---|---|
| BitLocker | Das Betriebssystemvolume des Hosts wird von BitLocker nicht verschlüsselt. Aktivieren Sie BitLocker auf dem Betriebssystemvolume, oder deaktivieren Sie die BitLocker-Richtlinie im Host-Überwachungsdienst, um dieses Problem zu beheben. |
| CodeIntegrityPolicy | Der Host ist nicht für die Verwendung einer Codeintegritätsrichtlinie konfiguriert oder verwendet keine vom HGS-Server vertrauenswürdige Richtlinie. Stellen Sie sicher, dass eine Codeintegritätsrichtlinie konfiguriert, der Host neu gestartet und die Richtlinie beim Host-Überwachungsdienstserver registriert wurde. Weitere Informationen finden Sie unter Erstellen und Anwenden einer Codeintegritätsrichtlinie. |
| DumpsEnabled | Der Host ist so konfiguriert, dass Absturzabbilder oder Livespeicherabbilder zugelassen werden, die von Ihren HGS-Richtlinien nicht zulässig sind. Deaktivieren Sie zur Behebung dieses Problems Abbilder auf dem Host. |
| DumpEncryption | Der Host ist so konfiguriert, dass Absturzabbilder oder Livespeicherabbilder zulässig sind, diese Dumps jedoch nicht verschlüsselt werden. Deaktivieren Sie entweder Abbilder auf dem Host, oder konfigurieren Sie die Speicherabbildverschlüsselung. |
| DumpEncryptionKey | Der Host ist für das Zulassen und Verschlüsseln von Dumps konfiguriert, verwendet jedoch kein Zertifikat, das für HGS bekannt ist, um sie zu verschlüsseln. Aktualisieren Sie den Schlüssel der Speicherabbildverschlüsselung auf dem Host, oder registrieren Sie den Schlüssel beim Host-Überwachungsdienst, um dieses Problem zu beheben. |
| FullBoot | Der Host befand sich in einem Standby- oder Ruhezustand und wurde reaktiviert. Starten Sie den Host neu, um einen sauberen, vollständigen Start zu ermöglichen. |
| HibernationEnabled | Der Host ist so konfiguriert, dass der Ruhezustand ohne Verschlüsselung der Ruhezustandsdatei zulässig ist, was von Ihren HGS-Richtlinien nicht zulässig ist. Deaktivieren Sie den Ruhezustand, und starten Sie den Host neu, oder konfigurieren Sie die Speicherabbildverschlüsselung. |
| HypervisorEnforcedCodeIntegrityPolicy | Der Host ist nicht für die Verwendung einer hypervisorbasierten Codeintegritätsrichtlinie konfiguriert. Vergewissern Sie sich, dass die Codeintegrität aktiviert und konfiguriert ist und vom Hypervisor erzwungen wird. Weitere Informationen finden Sie im Device Guard-Bereitstellungshandbuch. |
| Iommu | Die virtualisierungsbasierten Sicherheitsfeatures des Hosts sind nicht so konfiguriert, dass ein IOMMU-Gerät zum Schutz vor Direct Memory Access-Angriffen erforderlich ist, wie dies durch Ihre HGS-Richtlinien erforderlich ist. Vergewissern Sie sich, dass der Host über eine IOMMU verfügt, dass er aktiviert ist und dass Device Guard so konfiguriert ist, dass beim Starten von VBS DMA-Schutz erforderlich ist. |
| PagefileEncryption | Die Seitendateiverschlüsselung ist auf dem Host nicht aktiviert. Führen Sie zur Behebung dieses Problems fsutil behavior set encryptpagingfile 1 aus, um die Verschlüsselung der Auslagerungsdatei zu aktivieren. Weitere Informationen finden Sie unter Fsutil behavior (fsutil-Verhalten). |
| SecureBoot | Der sichere Start ist auf diesem Host nicht aktiviert oder verwendet nicht die Microsoft-Vorlage für sicheren Start. Aktivieren Sie den sicheren Start mit der Microsoft-Vorlage für sicheren Start, um dieses Problem zu beheben. |
| SecureBootSettings | Die TPM-Basislinie auf diesem Host stimmt nicht mit denen überein, die von HGS vertrauenswürdig sind. Dieser Fall kann eintreten, wenn Ihre UEFI-Startautoritäten, die DBX-Variable, das Debugflag oder benutzerdefinierte Richtlinien für den sicheren Start durch die Installation neuer Hardware oder Software geändert werden. Wenn Sie der aktuellen Konfiguration der Hardware, Firmware und Software dieses Computers vertrauen, können Sie eine neue TPM-Baseline erfassen und sie beim Host-Überwachungsdienst registrieren. |
| TcgLogVerification | Das TCG-Protokoll (TPM-Baseline) kann nicht abgerufen oder überprüft werden. Dies kann auf ein Problem mit der Firmware des Hosts, mit dem TPM oder mit anderen Hardwarekomponenten hindeuten. Wenn Ihr Host so konfiguriert ist, dass vor dem Starten von Windows versucht wird, einen PXE-Start durchzuführen, kann dieser Fehler auch auf ein veraltetes Netzwerkstartprogramm (Network Boot Program, NBP) zurückzuführen sein. Stellen Sie sicher, dass alle Netzwerkstartprogramme auf dem neuesten Stand sind, wenn PXE-Start aktiviert ist. |
| VirtualSecureMode | Virtualisierungsbasierte Sicherheitsfeatures werden nicht auf dem Host ausgeführt. Stellen Sie sicher, dass virtualisierungsbasierte Sicherheit aktiviert ist und Ihr System über die konfigurierten Plattformsicherheitsfeatures verfügt. Weitere Informationen zu VBS-Anforderungen finden Sie in der Device Guard-Dokumentation. |
Moderne TLS
Wenn Sie eine Gruppenrichtlinie bereitgestellt oder Ihren Hyper-V-Host anderweitig konfiguriert haben, um die Verwendung von TLS 1.0 zu verhindern, treten beim Starten eines abgeschirmten virtuellen Computers möglicherweise Fehler mit dem Hinweis auf, dass der Host-Überwachungsdienstclient nicht in der Lage war, eine Schlüsselschutzvorrichtung im Auftrag eines aufrufenden Prozesses zu entpacken. Dies liegt an einem Standardverhalten in .NET 4.6, bei dem die STANDARDMÄßIGe TLS-Version des Systems beim Aushandeln unterstützter TLS-Versionen mit dem HGS-Server nicht berücksichtigt wird.
Führen Sie zur Umgehung dieses Problems die beiden folgenden Befehle aus, um .NET so zu konfigurieren, dass für alle .NET-Apps die TLS-Standardversionen des Systems verwendet werden.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Warnung
Die Einstellung für die TLS-Standardversionen des Systems wirkt sich auf alle .NET-Apps auf Ihrem Computer aus. Testen Sie die Registrierungsschlüssel unbedingt in einer isolierten Umgebung, bevor Sie sie auf Ihren Produktionscomputern bereitstellen.
Weitere Informationen zu .NET 4.6 und TLS 1.0 finden Sie unter Beheben des Problems mit TLS 1.0, zweite Ausgabe.