Bestätigen, dass geschützte Hosts bestätigen könnenConfirm guarded hosts can attest

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

Ein fabricadministrator muss bestätigen, dass Hyper-V-Hosts als geschützte Hosts ausgeführt werden können.A fabric administrator needs to confirm that Hyper-V hosts can run as guarded hosts. Führen Sie die folgenden Schritte auf mindestens einem überwachten Host aus:Complete the following steps on at least one guarded host:

  1. Wenn Sie die Hyper-v-Rolle und die Hyper-v-Unterstützung des Host-Überwachungs Diensts noch nicht installiert haben, installieren Sie diese mit dem folgenden Befehl:If you have not already installed the Hyper-V role and Host Guardian Hyper-V Support feature, install them with the following command:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  2. Stellen Sie sicher, dass der Hyper-V-Host den DNS-Namen des HGS auflösen kann und über die Netzwerk Konnektivität zum Erreichen von Port 80 (oder 443, wenn Sie HTTPS einrichten) auf dem HGS-Server verfügt.Make sure the Hyper-V host can resolve the HGS DNS name and has network connectivity to reach port 80 (or 443 if you set up HTTPS) on the HGS server.

  3. Konfigurieren Sie die Schlüsselschutz-und Nachweis-URLs des Hosts:Configure the host's Key Protection and Attestation URLs:

    • Über Windows PowerShell: Sie können die Schlüsselschutz-und Nachweis-URLs konfigurieren, indem Sie den folgenden Befehl in einer Windows PowerShell-Konsole mit erhöhten Rechten ausführen.Through Windows PowerShell: You can configure the Key Protection and Attestation URLs by executing the following command in an elevated Windows PowerShell console. Verwenden Sie für <FQDN>den voll qualifizierten Domänen Namen (Fully Qualified Domain Name, FQDN) Ihres HGS-Clusters (z. b. HGS. Bastion. local), oder bitten Sie den HGS-Administrator, das Cmdlet Get-hgsserver auf dem HGS-Server auszuführen, um die URLs abzurufen.For <FQDN>, use the Fully Qualified Domain Name (FQDN) of your HGS cluster (for example, hgs.bastion.local, or ask the HGS administrator to run the Get-HgsServer cmdlet on the HGS server to retrieve the URLs).

      Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
      

      Um einen Fall Back-HGS-Server zu konfigurieren, wiederholen Sie diesen Befehl, und geben Sie die Fall Back-URLs für die Schlüsselschutz-und Nachweis Dienste an.To configure a fallback HGS server, repeat this command and specify the fallback URLs for the Key Protection and Attestation services. Weitere Informationen finden Sie unter Fall Back Konfiguration.For more information, see Fallback configuration.

    • Über VMM: Wenn Sie System Center 2016-Virtual Machine Manager (VMM) verwenden, können Sie die URLs für den Nachweis und den Schlüsselschutz in VMM konfigurieren.Through VMM: If you are using System Center 2016 - Virtual Machine Manager (VMM), you can configure Attestation and Key Protection URLs in VMM. Weitere Informationen finden Sie unter Konfigurieren globaler HGS-Einstellungen in Bereitstellen von über wachten Hosts in VMM.For details, see Configure global HGS settings in Provision guarded hosts in VMM.

    HinweiseNotes

    • Wenn der HGS-Administrator https auf dem HGS-Server aktivierthat, starten Sie die URLs mit https://.If the HGS administrator enabled HTTPS on the HGS server, begin the URLs with https://.
    • Wenn der HGS-Administrator HTTPS auf dem HGS-Server aktiviert und ein selbst signiertes Zertifikat verwendet hat, müssen Sie das Zertifikat in den Speicher vertrauenswürdiger Stamm Zertifizierungsstellen auf jedem Host importieren.If the HGS administrator enabled HTTPS on the HGS server and used a self-signed certificate, you will need to import the certificate into the Trusted Root Certificate Authorities store on every host. Führen Sie hierzu den folgenden Befehl auf jedem Host aus:To do this, run the following command on each host: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
    • Wenn Sie den HGS-Client für die Verwendung von HTTPS konfiguriert und TLS 1,0 systemwide deaktiviert haben, finden Sie in unserem modernen TLS-Leitfaden Weitere Informationen.If you've configured HGS Client to use HTTPS and have disabled TLS 1.0 systemwide, see our modern TLS guidance
  4. Führen Sie den folgenden Befehl aus, um einen Nachweis Versuch auf dem Host zu initiieren und den Nachweis Status anzuzeigen:To initiate an attestation attempt on the host and view the attestation status, run the following command:

    Get-HgsClientConfiguration
    

    Die Ausgabe des Befehls gibt an, ob der Host den Nachweis überschritten hat und nun geschützt ist.The output of the command indicates whether the host passed attestation and is now guarded. Wenn IsHostGuarded nicht " true" zurückgibt, können Sie das HGS-Diagnosetool " Get-hgstrace" ausführen, um dies zu untersuchen.If IsHostGuarded does not return True, you can run the HGS diagnostics tool, Get-HgsTrace, to investigate. Um die Diagnose auszuführen, geben Sie den folgenden Befehl in einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten auf dem Host ein:To run diagnostics, enter the following command in an elevated Windows PowerShell prompt on the host:

    Get-HgsTrace -RunDiagnostics -Detailed
    

    Wichtig

    Wenn Sie Windows Server 2019 oder Windows 10, Version 1809, verwenden und Code Integritäts Richtlinien verwenden, wird Get-HgsTrace einen Fehler für die aktive Diagnose der Code Integritätsrichtlinie zurückgeben.If you're using Windows Server 2019 or Windows 10, version 1809 and are using code integrity policies, Get-HgsTrace return a failure for the Code Integrity Policy Active diagnostic. Sie können dieses Ergebnis gefahrlos ignorieren, wenn es die einzige Fehlerdiagnose ist.You can safely ignore this result when it is the only failing diagnostic.

Nächster SchrittNext step

Weitere InformationenSee also