Dela via

Bekräfta att skyddade värdar kan intyga

En infrastrukturadministratör måste bekräfta att Hyper-V värdar kan köras som skyddade värdar. Slutför följande steg på minst en skyddad värd:

  1. Om du inte redan har installerat Hyper-V-rollen och funktionen Host Guardian Hyper-V Support installerar du dem med följande kommando:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart

  2. Kontrollera att Hyper-V-värden kan matcha HGS DNS-namnet och har nätverksanslutning för att nå port 80 (eller 443 om du konfigurerar HTTPS) på HGS-servern.

  3. Konfigurera värdens URL:er för nyckelskydd och för att intyga.

    • Via Windows PowerShell: Du kan konfigurera URL:er för nyckelskydd och attestering genom att köra följande kommando i en upphöjd Windows PowerShell-konsol. För <FQDN> använder du det fullständigt kvalificerade domännamnet (FQDN) för ditt HGS-kluster (till exempel hgs.bastion.local eller ber HGS-administratören att köra cmdleten Get-HgsServer på HGS-servern för att hämta URL:erna).

      Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'

      Om du vill konfigurera en återställning till HGS-servern upprepar du det här kommandot och anger återställnings-URL:er för nyckelskydds- och attesteringstjänster. Mer information finns i Återställningskonfiguration.

    • Via VMM: Om du använder System Center Virtual Machine Manager (VMM) kan du konfigurera attesterings- och nyckelskydds-URL:er i VMM. Mer information finns i Konfigurera globala HGS-inställningar i Etablera skyddade värdar i VMM.

    Anteckningar

    • Om HGS-administratören har aktiverat HTTPS på HGS-servern börjar du URL:erna med https://.
    • Om HGS-administratören har aktiverat HTTPS på HGS-servern och använt ett självsignerat certifikat måste du importera certifikatet till arkivet Betrodda rotcertifikatutfärdare på varje värd. Det gör du genom att köra följande kommando på varje värd: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
    • Om du har konfigurerat HGS-klienten att använda HTTPS och har inaktiverat TLS 1.0 systemomfattande kan du läsa vår moderna TLS-vägledning

  4. Kör följande kommando för att initiera ett attesteringsförsök på värddatorn och visa attesteringsstatusen.

    Get-HgsClientConfiguration

    Resultatet av kommandot anger om värden har klarat attesteringen och nu är övervakad. Om IsHostGuarded inte returnerar True kan du köra HGS-diagnostikverktyget Get-HgsTrace för att undersöka saken. Om du vill köra diagnostik anger du följande kommando i en Windows PowerShell-prompt med administrativa behörigheter på värddatorn.

    Get-HgsTrace -RunDiagnostics -Detailed

    Viktigt!

    Om du använder Windows Server 2019 eller Windows 10 version 1809 eller senare och använder kodintegritetsprinciper, returnerar Get-HgsTrace ett fel för diagnostiken Aktiv kodintegritetspolicy. Du kan ignorera det här resultatet på ett säkert sätt när det är den enda misslyckade diagnostiken.

Nästa steg

Distribuera Skärmade VM:ar

Ytterligare referenser