Подтверждение того, что защищенные узлы могут проверить
Администратор структуры должен подтвердить, что узлы Hyper-V могут запускаться как защищенные узлы. Выполните следующие действия по крайней мере на одном защищенном узле:
Если вы еще не установили роль Hyper-V и компонент поддержки Host Guardian Hyper-V, установите их с помощью следующей команды:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
Убедитесь, что узел Hyper-V может разрешить DNS-имя HGS и имеет сетевое подключение для достижения порта 80 (или 443 при настройке HTTPS) на сервере HGS.
Настройте URL-адреса защиты ключей и аттестации узла:
С помощью Windows PowerShell можно настроить URL-адреса защиты ключей и аттестации, выполнив следующую команду в консоли Windows PowerShell с повышенными привилегиями. Для <полного> доменного имени используйте полное доменное имя кластера HGS (например, hgs.bastion.local) или попросите администратора HGS запустить командлет Get-HgsServer на сервере HGS, чтобы получить URL-адреса.
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
Чтобы настроить резервный сервер HGS, повторите эту команду и укажите резервные URL-адреса для служб защиты ключей и аттестации. Дополнительные сведения см. в статье "Резервная конфигурация".
С помощью VMM: если вы используете System Center диспетчер виртуальных машин (VMM), вы можете настроить URL-адреса аттестации и защиты ключей в VMM. Дополнительные сведения см. в разделе "Настройка глобальных параметров HGS" в узлах, защищенных в VMM.
Примечания
- Если администратор HGS включил HTTPS на сервере HGS, начните URL-адреса с
https://
. - Если администратор HGS включил HTTPS на сервере HGS и использовал самозаверяющий сертификат, необходимо импортировать сертификат в хранилище доверенных корневых центров сертификации на каждом узле. Для этого выполните следующую команду на каждом узле:
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
- Если вы настроили клиент HGS для использования HTTPS и отключили протокол TLS 1.0 по всей системе, ознакомьтесь с нашими современными рекомендациями по TLS.
Чтобы инициировать попытку аттестации на узле и просмотреть состояние аттестации, выполните следующую команду:
Get-HgsClientConfiguration
Выходные данные команды указывают, передается ли узел аттестации и теперь охраняется. Если
IsHostGuarded
значение true не возвращается, можно запустить средство HGS диагностика Get-HgsTrace для изучения. Чтобы запустить диагностика, введите следующую команду в командной строке Windows PowerShell с повышенными привилегиями на узле:Get-HgsTrace -RunDiagnostics -Detailed
Внимание
Если вы используете Windows Server 2019 или Windows 10 версии 1809 или более поздней версии и используете политики целостности кода,
Get-HgsTrace
верните ошибку для активной диагностики политики целостности кода. Этот результат можно игнорировать, если это единственный сбой диагностики.