为受保护的主机创建安全组,并将该组注册到 HGS
重要
从 Windows Server 2019 开始,不建议使用 AD 模式。 对于无法进行 TPM 证明的环境,请配置主机密钥证明。 主机密钥证明提供与 AD 模式类似的保证,并且更易于设置。
本主题介绍使用管理员信任的证明(AD 模式)准备 Hyper-V 主机成为受保护主机的中间步骤。 在执行这些步骤之前,请完成为将成为受保护主机的主机配置构造 DNS 中的步骤。
创建安全组并添加主机
在构造域中创建新的全局安全组,并添加将运行受防护的 VM 的 Hyper-V 主机。 重启主机以更新其组成员身份。
使用 Get-ADGroup 获取安全组的安全标识符 (SID),并将其提供给 HGS 管理员。
Get-ADGroup "Guarded Hosts"
将安全组的 SID 注册到 HGS
在 HGS 服务器上,运行以下命令,将安全组注册到 HGS。 如果需要,请对其他组重新运行命令。 为组提供一个易记名称。 该名称不需要与 Active Directory 安全组名称匹配。
Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"若要验证是否已添加组,请运行 Get-HgsAttestationHostGroup。