Problembehandlung beim Host-ÜberwachungsdienstTroubleshooting the Host Guardian Service

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Artikel werden Lösungen für häufige Probleme beschrieben, die beim Bereitstellen oder betreiben eines HGS-Servers (Host-Überwachungsdienst) in einem geschützten Fabric auftreten.This article describes resolutions to common problems encountered when deploying or operating a Host Guardian Service (HGS) server in a guarded fabric. Wenn Sie sich nicht sicher sind, welche Art von Problem Sie haben, versuchen Sie zunächst, die geschützte Fabric-Diagnose auf Ihren HGS-Servern und Hyper-V-Hosts auszuführen, um die möglichen Gründe einzugrenzen.If you are unsure of the nature of your problem, first try running the guarded fabric diagnostics on your HGS servers and Hyper-V hosts to narrow down the potential causes.

ZertifikateCertificates

HGS erfordert für den Betrieb mehrere Zertifikate, einschließlich des vom Administrator konfigurierten Verschlüsselungs-und Signatur Zertifikats sowie eines von HGS selbstverwalteten Nachweis Zertifikats.HGS requires several certificates in order to operate, including the admin-configured encryption and signing certificate as well as an attestation certificate managed by HGS itself. Wenn diese Zertifikate nicht ordnungsgemäß konfiguriert sind, können von HGS keine Anforderungen von Hyper-V-Hosts bedient werden, die Schlüssel Schutzvorrichtungen für abgeschirmte VMS bestätigen oder entsperren möchten.If these certificates are incorrectly configured, HGS will be unable to serve requests from Hyper-V hosts wishing to attest or unlock key protectors for shielded VMs. In den folgenden Abschnitten werden allgemeine Probleme im Zusammenhang mit auf HGS konfigurierten Zertifikaten behandelt.The following sections cover common problems related to certificates configured on HGS.

Zertifikat BerechtigungenCertificate Permissions

HGS müssen in der Lage sein, auf die öffentlichen und privaten Schlüssel der Verschlüsselungs-und Signatur Zertifikate zuzugreifen, die durch den Zertifikat Fingerabdruck zu HGS hinzugefügt werden.HGS must be able to access both the public and private keys of the encryption and signing certificates added to HGS by the certificate thumbprint. Insbesondere das Gruppen verwaltete Dienst Konto (Group Managed Service Account, GMSA), das den HGS-Dienst ausführt, benötigt Zugriff auf die Schlüssel.Specifically, the group managed service account (gMSA) that runs the HGS service needs access to the keys. Führen Sie den folgenden Befehl in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten auf Ihrem HGS-Server aus, um den von HGS verwendeten GMSA zu finden:To find the gMSA used by HGS, run the following command in an elevated PowerShell prompt on your HGS server:

(Get-IISAppPool -Name KeyProtection).ProcessModel.UserName

Wie Sie dem GMSA-Konto den Zugriff auf den privaten Schlüssel gewähren, hängt davon ab, wo der Schlüssel gespeichert ist: auf dem Computer als lokale Zertifikat Datei, in einem Hardware Sicherheitsmodul (HSM) oder mithilfe eines benutzerdefinierten Schlüsselspeicher Anbieters von Drittanbietern.How you grant the gMSA account access to use the private key depends on where the key is stored: on the machine as a local certificate file, on a hardware security module (HSM), or using a custom third-party key storage provider.

Gewähren des Zugriffs auf softwaregestützte private SchlüsselGrant access to software-backed private keys

Wenn Sie ein selbst signiertes Zertifikat oder ein Zertifikat verwenden, das von einer Zertifizierungsstelle ausgestellt wurde, die nicht in einem Hardware Sicherheitsmodul oder einem benutzerdefinierten Schlüsselspeicher Anbieter gespeichert ist, können Sie die Berechtigungen für den privaten Schlüssel ändern, indem Sie die folgenden Schritte ausführen:If you are using a self-signed certificate or a certificate issued by a certificate authority that is not stored in a hardware security module or custom key storage provider, you can change the private key permissions by performing the following steps:

  1. Öffnen Sie den lokalen Zertifikat-Manager (certlm. msc).Open local certificate manager (certlm.msc)
  2. Erweitern Sie die Option persönliche > Zertifikate , und suchen Sie das Signatur-oder Verschlüsselungs Zertifikat, das Sie aktualisieren möchten.Expand Personal > Certificates and find the signing or encryption certificate that you want to update.
  3. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie Alle Tasks > private Schlüssel verwaltenRight-click the certificate and select All Tasks > Manage Private Keys.
  4. Wählen Sie Hinzufügen aus, um einem neuen Benutzer Zugriff auf den privaten Schlüssel des Zertifikats zu gewähren.Select Add to grant a new user access to the certificate's private key.
  5. Geben Sie in der Objektauswahl den Namen des GMSA-Kontos für die zuvor gefundenen HGS ein, und klicken Sie dann auf OK.In the object picker, enter the gMSA account name for HGS found earlier, then select OK.
  6. Stellen Sie sicher, dass GMSA über Lese Zugriff auf das Zertifikat verfügt.Ensure the gMSA has Read access to the certificate.
  7. Wählen Sie OK , um das Berechtigungs Fenster zu schließen.Select OK to close the permission window.

Wenn Sie HGS auf Server Core ausführen oder den Server remote verwalten, können Sie keine privaten Schlüssel mit dem lokalen Zertifikat-Manager verwalten.If you are running HGS on Server Core or are managing the server remotely, you will not be able to manage private keys using the local certificate manager. Stattdessen müssen Sie das PowerShell-Modul für geschützte Fabric-Tools herunterladen, mit dem Sie die Berechtigungen in PowerShell verwalten können.Instead, you will need to download the Guarded Fabric Tools PowerShell module which will allow you to manage the permissions in PowerShell.

  1. Öffnen Sie eine PowerShell-Konsole mit erhöhten Rechten auf dem Server Core-Computer, oder verwenden Sie PowerShell-Remoting mit einem Konto, das über lokale Administrator Berechtigungen für HGS verfügt.Open an elevated PowerShell console on the Server Core machine or use PowerShell Remoting with an account that has local administrator permissions on HGS.
  2. Führen Sie die folgenden Befehle aus, um das PowerShell-Modul für geschützte Fabric-Tools zu installieren und dem GMSA-Konto Zugriff auf den privaten Schlüssel zu gewähren.Run the following commands to install the Guarded Fabric Tools PowerShell module and grant the gMSA account access to the private key.
$certificateThumbprint = '<ENTER CERTIFICATE THUMBPRINT HERE>'

# Install the Guarded Fabric Tools module, if necessary
Install-Module -Name GuardedFabricTools -Repository PSGallery

# Import the module into the current session
Import-Module -Name GuardedFabricTools

# Get the certificate object
$cert = Get-Item "Cert:\LocalMachine\My\$certificateThumbprint"

# Get the gMSA account name
$gMSA = (Get-IISAppPool -Name KeyProtection).ProcessModel.UserName

# Grant the gMSA read access to the certificate
$cert.Acl = $cert.Acl | Add-AccessRule $gMSA Read Allow

Gewähren des Zugriffs auf HSM oder benutzerdefinierte private Schlüssel des AnbietersGrant access to HSM or custom provider-backed private keys

Wenn die privaten Schlüssel Ihres Zertifikats von einem Hardware Sicherheitsmodul (HSM) oder einem benutzerdefinierten Schlüsselspeicher Anbieter (KSP) unterstützt werden, hängt das Berechtigungs Modell von Ihrem spezifischen Softwareanbieter ab.If your certificate's private keys are backed by a hardware security module (HSM) or a custom key storage provider (KSP), the permission model will depend on your specific software vendor. Um die besten Ergebnisse zu erzielen, finden Sie auf der Dokumentation oder Support Website Ihres Herstellers Informationen dazu, wie die Berechtigungen für private Schlüssel für ihr bestimmtes Gerät bzw. Ihre Software behandelt werden.For the best results, consult your vendor's documentation or support site for information on how private key permissions are handled for your specific device/software. In jedem Fall benötigt das von HGS verwendete GMSA Lese Berechtigungen für die privaten Schlüssel für die Verschlüsselung, Signatur und den Kommunikations Zertifikat, damit Signierungs-und Verschlüsselungs Vorgänge durchgeführt werden können.In all cases, the gMSA used by HGS requires read permissions on the encryption, signing, and communications certificate private keys so that it can perform signing and encryption operations.

Einige Hardware Sicherheitsmodule unterstützen nicht das Gewähren von Zugriff auf einen privaten Schlüssel für bestimmte Benutzerkonten. Stattdessen wird dem Computer Konto der Zugriff auf alle Schlüssel in einem bestimmten Schlüsselsatz gestattet.Some hardware security modules do not support granting specific user accounts access to a private key; rather, they allow the computer account access to all keys in a specific key set. Bei solchen Geräten ist es in der Regel ausreichend, dem Computer den Zugriff auf Ihre Schlüssel zu gewähren, und HGS können diese Verbindung nutzen.For such devices, it is usually sufficient to give the computer access to your keys and HGS will be able to leverage that connection.

Tipps für HSMsTips for HSMs

Unten sind die empfohlenen Konfigurationsoptionen aufgeführt, die Sie bei der erfolgreichen Verwendung von HSM-gestützten Schlüsseln mit HGS basierend auf den Erfahrungen von Microsoft und den zugehörigen Partnern unterstützen.Below are suggested configuration options to help you successfully use HSM-backed keys with HGS based on Microsoft and its partners' experiences. Diese Tipps werden Ihnen zur Verfügung gestellt und sind nicht garantiert, dass Sie zum Zeitpunkt des Lesens korrekt sind. Sie werden auch nicht von den HSM-Herstellern unterstützt.These tips are provided for your convenience and are not guaranteed to be correct at the time of reading, nor are they endorsed by the HSM manufacturers. Wenn Sie weitere Fragen haben, wenden Sie sich an Ihren HSM-Hersteller, um genaue Informationen zu Ihrem speziellen Gerät zu erhalten.Contact your HSM manufacturer for accurate information pertaining to your specific device if you have further questions.

HSM-Marke/-ReiheHSM Brand/Series VorschlagSuggestion
Gemalto SafeNetGemalto SafeNet Stellen Sie sicher, dass die Eigenschaft Schlüssel Verwendung in der Zertifikat Anforderungs Datei auf 0xa0 festgelegt ist, sodass das Zertifikat zum Signieren und Verschlüsseln verwendet werden kann.Ensure the Key Usage Property in the certificate request file is set to 0xa0, allowing the certificate to be used for signing and encryption. Außerdem müssen Sie dem GMSA-Konto mit dem lokalen Zertifikat-Manager-Tool Lese Zugriff auf den privaten Schlüssel gewähren (siehe die obigen Schritte).Additionally, you must grant the gMSA account read access to the private key using the local certificate manager tool (see steps above).
"nCipher nShield"nCipher nShield Stellen Sie sicher, dass jeder HGS-Knoten Zugriff auf die Security World hat, die Signatur-und Verschlüsselungsschlüssel enthält.Ensure each HGS node has access to the security world containing the signing and encryption keys. Außerdem müssen Sie ggf. den GMSA Lese Zugriff auf den privaten Schlüssel mit dem lokalen Zertifikat-Manager gewähren (siehe die obigen Schritte).You may additionally need to grant the gMSA read access to the private key using the local certificate manager (see steps above).
Utimaco-kryptoserverUtimaco CryptoServers Stellen Sie sicher, dass die Eigenschaft Schlüssel Verwendung in der Zertifikat Anforderungs Datei auf 0x13 festgelegt ist, sodass das Zertifikat für die Verschlüsselung, Entschlüsselung und Signierung verwendet werden kann.Ensure the Key Usage Property in the certificate request file is set to 0x13, allowing the certificate to be used for encryption, decryption, and signing.

Zertifikat AnforderungenCertificate requests

Wenn Sie eine Zertifizierungsstelle zum Ausstellen Ihrer Zertifikate in einer Public Key-Infrastruktur (PKI)-Umgebung verwenden, müssen Sie sicherstellen, dass Ihre Zertifikat Anforderung die Mindestanforderungen für die Verwendung dieser Schlüssel durch die HGS enthält.If you are using a certificate authority to issue your certificates in a public key infrastructure (PKI) environment, you will need to ensure your certificate request includes the minimum requirements for HGS' usage of those keys.

Signieren von ZertifikatenSigning Certificates

CSR-EigenschaftCSR Property Erforderlicher WertRequired Value
AlgorithmusAlgorithm RSARSA
SchlüsselgrößeKey Size Mindestens 2048 BitsAt least 2048 bits
SchlüsselverwendungKey Usage Signatur/Vorzeichen/DigitalSignatureSignature/Sign/DigitalSignature

Verschlüsselungs ZertifikateEncryption Certificates

CSR-EigenschaftCSR Property Erforderlicher WertRequired Value
AlgorithmusAlgorithm RSARSA
SchlüsselgrößeKey Size Mindestens 2048 BitsAt least 2048 bits
SchlüsselverwendungKey Usage Verschlüsselung/Verschlüsselung/DataEnciphermentEncryption/Encrypt/DataEncipherment

Vorlagen für Active Directory Zertifikat DiensteActive Directory Certificate Services Templates

Wenn Sie zum Erstellen der Zertifikate Active Directory Certificate Services (ADCs)-Zertifikat Vorlagen verwenden, empfiehlt es sich, eine Vorlage mit den folgenden Einstellungen zu verwenden:If you are using Active Directory Certificate Services (ADCS) certificate templates to create the certificates, we recommended you use a template with the following settings:

ADCs-Vorlagen EigenschaftADCS Template Property Erforderlicher WertRequired Value
Anbieter KategorieProvider Category SchlüsselspeicheranbieterKey Storage Provider
AlgorithmusnameAlgorithm Name RSARSA
Minimale SchlüsselgrößeMinimum Key Size 20482048
ZweckPurpose Signatur und VerschlüsselungSignature and Encryption
Schlüssel Verwendungs ErweiterungKey Usage Extension Digitale Signatur, Schlüssel Verschlüsselung, Datenverschlüsselung ("Verschlüsselung von Benutzerdaten zulassen")Digital Signature, Key Encipherment, Data Encipherment ("Allow encryption of user data")

Zeit AbweichungTime Drift

Wenn die Zeit Ihres Servers maßgeblich von der von anderen HGS-Knoten oder Hyper-V-Hosts in Ihrem geschützten Fabric abweicht, treten möglicherweise Probleme mit der Gültigkeit des Nachweis Zertifikats des Nachweis Vorgangs auf.If your server's time has drifted significantly from that of other HGS nodes or Hyper-V hosts in your guarded fabric, you may encounter issues with the attestation signer certificate validity. Das Signatur Geber Zertifikat wird im Hintergrund auf HGS erstellt und erneuert und zum Signieren von Integritäts Zertifikaten verwendet, die vom Nachweis Dienst für überwachte Hosts ausgestellt wurden.The attestation signer certificate is created and renewed behind the scenes on HGS and is used to sign health certificates issued to guarded hosts by the Attestation Service.

Führen Sie den folgenden Befehl an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus, um das Signatur Geber Zertifikat zu aktualisieren.To refresh the attestation signer certificate, run the following command in an elevated PowerShell prompt.

Start-ScheduledTask -TaskPath \Microsoft\Windows\HGSServer -TaskName
AttestationSignerCertRenewalTask

Alternativ können Sie die geplante Aufgabe auch manuell ausführen, indem Sie Taskplaner (taskschd. msc) öffnen, zu Taskplaner Bibliothek > Microsoft > Windows > hgsserver navigieren und die Aufgabe mit dem Namen attestationsignercertrenewaltaskausführen.Alternatively, you can manually run the scheduled task by opening Task Scheduler (taskschd.msc), navigating to Task Scheduler Library > Microsoft > Windows > HGSServer and running the task named AttestationSignerCertRenewalTask.

Wechseln der Nachweis ModiSwitching Attestation Modes

Wenn Sie HGS vom TPM-Modus in den Active Directory Modus wechseln oder umgekehrt mithilfe des Cmdlets Set-hgsserver , kann es bis zu 10 Minuten dauern, bis jeder Knoten in Ihrem HGS-Cluster mit der Erzwingung des neuen Nachweis Modus beginnt.If you switch HGS from TPM mode to Active Directory mode or vice versa using the Set-HgsServer cmdlet, it may take up to 10 minutes for every node in your HGS cluster to start enforcing the new attestation mode. Dies ist das normale Verhalten.This is normal behavior. Es wird empfohlen, dass Sie keine Richtlinien entfernen, die Hosts aus dem vorherigen Nachweis Modus zulassen, bis Sie überprüft haben, ob alle Hosts erfolgreich mit dem neuen Nachweis Modus getestet wurden.It is advised that you do not remove any policies allowing hosts from the previous attestation mode until you have verified that all hosts are attesting successfully using the new attestation mode.

Bekanntes Problem beim Wechsel von TPM in den AD-ModusKnown issue when switching from TPM to AD mode

Wenn Sie Ihren HGS-Cluster im TPM-Modus initialisiert und später in den Active Directory Modus gewechselt haben, gibt es ein bekanntes Problem, das verhindert, dass andere Knoten in Ihrem HGS-Cluster in den neuen Nachweis Modus wechseln.If you initialized your HGS cluster in TPM mode and later switch to Active Directory mode, there is a known issue that prevents other nodes in your HGS cluster from switching to the new attestation mode. Um sicherzustellen, dass alle HGS-Server den richtigen Nachweis Modus erzwingen, führen Set-HgsServer -TrustActiveDirectory Sie auf jedem Knoten des HGS-Clusters aus.To ensure all HGS servers are enforcing the correct attestation mode, run Set-HgsServer -TrustActiveDirectory on each node of your HGS cluster. Dieses Problem tritt nicht auf, wenn Sie vom TPM-Modus in den AD - Modus wechseln und der Cluster ursprünglich im AD-Modus eingerichtet wurde.This issue does not apply if you are switching from TPM mode to AD mode and the cluster was originally set up in AD mode.

Sie können den Nachweis Modus Ihres HGS-Servers durch Ausführen von Get-hgsserverüberprüfen.You can verify the attestation mode of your HGS server by running Get-HgsServer.

Verschlüsselungsrichtlinien für den Speicher AbbildMemory dump encryption policies

Wenn Sie versuchen, die Verschlüsselungsrichtlinien für Speicher Abbilder zu konfigurieren und die standardmäßigen HGS-dumprichtlinien (HGS _ nodumps, HGS _ dumpencryption und HGS _ dumpverschlüsselungskey) oder das Cmdlet für die dumprichtlinie (Add-hgsattestationdumppolicy) nicht zu sehen, ist es wahrscheinlich, dass das neueste kumulative Update nicht installiert ist.If you are trying to configure memory dump encryption policies and do not see the default HGS dump policies (Hgs_NoDumps, Hgs_DumpEncryption and Hgs_DumpEncryptionKey) or the dump policy cmdlet (Add-HgsAttestationDumpPolicy), it is likely that you do not have the latest cumulative update installed. Aktualisieren Sie den HGS-Server auf das neueste kumulative Windows Update, und Aktivieren Sie die neuen Nachweis Richtlinien, um dies zu beheben.To fix this, update your HGS server to the latest cumulative Windows update and activate the new attestation policies. Stellen Sie sicher, dass Sie Ihre Hyper-V-Hosts auf das gleiche kumulative Update aktualisieren, bevor Sie die neuen Nachweis Richtlinien aktivieren, da Hosts, auf denen die neuen dumpverschlüsselungs Funktionen nicht installiert sind, möglicherweise nach dem Aktivieren der HGS-Richtlinie fehlschlagen.Ensure you update your Hyper-V hosts to the same cumulative update before activating the new attestation policies, as hosts that do not have the new dump encryption capabilities installed will likely fail attestation once the HGS policy is activated.

Fehlermeldungen für den Endorsement Key-ZertifikatEndorsement Key Certificate error messages

Beim Registrieren eines Hosts mithilfe des Cmdlets Add-hgsattestationtpmhost werden zwei TPM-IDs aus der bereitgestellten Plattform-bezeichnerdatei extrahiert: das Endorsement Key-Zertifikat (ekcert) und der Public Endorsement Key (ekpub).When registering a host using the Add-HgsAttestationTpmHost cmdlet, two TPM identifiers are extracted from the provided platform identifier file: the endorsement key certificate (EKcert) and the public endorsement key (EKpub). Das ekcert identifiziert den Hersteller des TPM und stellt sicher, dass das TPM authentisch ist und über die normale Lieferkette gefertigt wird.The EKcert identifies the manufacturer of the TPM, providing assurances that the TPM is authentic and manufactured through the normal supply chain. Das ekpub identifiziert dieses bestimmte TPM eindeutig und ist eines der Measures, die HGS verwendet, um einem Host Zugriff zum Ausführen von abgeschirmten VMS zu gewähren.The EKpub uniquely identifies that specific TPM, and is one of the measures HGS uses to grant a host access to run shielded VMs.

Beim Registrieren eines TPM-Hosts wird eine Fehlermeldung angezeigt, wenn eine der beiden Bedingungen erfüllt ist:You will receive an error when registering a TPM host if either of the two conditions are true:

  1. Die Plattform-bezeichnerdatei enthält kein Endorsement Key-Zertifikat.The platform identifier file does not contain an endorsement key certificate
  2. Die Plattform-bezeichnerdatei enthält ein Endorsement Key-Zertifikat, aber dieses Zertifikat ist auf dem System nicht vertrauenswürdig .The platform identifier file contains an endorsement key certificate, but that certificate is not trusted on your system

Bestimmte TPM-Hersteller enthalten keine ekcerts in ihren TPMs.Certain TPM manufacturers do not include EKcerts in their TPMs. Wenn Sie vermuten, dass dies bei Ihrem TPM der Fall ist, vergewissern Sie sich bei Ihrem OEM, dass Ihre TPMs kein ekcert aufweisen sollten, und verwenden Sie das -Force Flag, um den Host manuell bei HGS zu registrieren.If you suspect that this is the case with your TPM, confirm with your OEM that your TPMs should not have an EKcert and use the -Force flag to manually register the host with HGS. Wenn Ihr TPM über ein ekcert verfügen soll, aber in der Datei mit der Platt Form Kennung nicht gefunden wurde, stellen Sie sicher, dass Sie beim Ausführen von " Get-platformidentifier " auf dem Host eine Administrator-PowerShell-Konsole (erweitert) verwenden.If your TPM should have an EKcert but one was not found in the platform identifier file, ensure you are using an administrator (elevated) PowerShell console when running Get-PlatformIdentifier on the host.

Wenn Sie die Fehlermeldung erhalten, dass Ihr ekcert nicht vertrauenswürdig ist, stellen Sie sicher, dass Sie das vertrauenswürdige TPM -Stamm Zertifikat Paket auf jedem HGS-Server installiert haben und dass das Stamm Zertifikat für den TPM-Hersteller im Trust dtpm _ rootca -Speicher des lokalen Computers vorhanden ist.If you received the error that your EKcert is untrusted, ensure that you have installed the trusted TPM root certificates package on each HGS server and that the root certificate for your TPM vendor is present in the local machine's TrustedTPM_RootCA store. Alle anwendbaren zwischen Zertifikate müssen auch im Trust dtpm _ intermediateca -Speicher auf dem lokalen Computer installiert werden.Any applicable intermediate certificates also need to be installed in the TrustedTPM_IntermediateCA store on the local machine. Nachdem Sie die Stamm-und zwischen Zertifikate installiert haben, sollten Sie erfolgreich ausgeführt werden können Add-HgsAttestationTpmHost .After installing the root and intermediate certificates, you should be able to run Add-HgsAttestationTpmHost successfully.

Berechtigungen für Gruppen verwaltete Dienst Konten (GMSA)Group managed service account (gMSA) privileges

Für das HGS-Dienst Konto (GMSA, das für den Schlüsselschutz Dienst-Anwendungs Pool in IIS verwendet wird) müssen Berechtigungen zum Generieren von Sicherheits Überwachungen erteilt werden, auch bekannt als SeAuditPrivilege .HGS service account (gMSA used for Key Protection Service application pool in IIS) needs to be granted Generate security audits privilege, also known as SeAuditPrivilege. Wenn diese Berechtigung fehlt, ist die anfängliche HGS-Konfiguration erfolgreich, und IIS wird gestartet, aber der Schlüsselschutz Dienst ist nicht funktionsfähig und gibt den HTTP-Fehler 500 ("Server Fehler in/KeyProtection-Anwendung") zurück.If this privilege is missing, initial HGS configuration succeeds and IIS starts, however the Key Protection Service is non-functional and returns HTTP error 500 (“Server Error in /KeyProtection Application”). Möglicherweise beachten Sie auch die folgenden Warnmeldungen im Anwendungs Ereignisprotokoll.You may also observe the following warning messages in Application event log.

System.ComponentModel.Win32Exception (0x80004005): A required privilege is not held by the client
at Microsoft.Windows.KpsServer.Common.Diagnostics.Auditing.NativeUtility.RegisterAuditSource(String pszSourceName, SafeAuditProviderHandle& phAuditProvider)
at Microsoft.Windows.KpsServer.Common.Diagnostics.Auditing.SecurityLog.RegisterAuditSource(String sourceName)

oderor

Failed to register the security event source.
   at System.Web.HttpApplicationFactory.EnsureAppStartCalledForIntegratedMode(HttpContext context, HttpApplication app)
   at System.Web.HttpApplication.RegisterEventSubscriptionsWithIIS(IntPtr appContext, HttpContext context, MethodInfo[] handlers)
   at System.Web.HttpApplication.InitSpecial(HttpApplicationState state, MethodInfo[] handlers, IntPtr appContext, HttpContext context)
   at System.Web.HttpApplicationFactory.GetSpecialApplicationInstance(IntPtr appContext, HttpContext context)
   at System.Web.Hosting.PipelineRuntime.InitializeApplication(IntPtr appContext)

Failed to register the security event source.
   at Microsoft.Windows.KpsServer.Common.Diagnostics.Auditing.SecurityLog.RegisterAuditSource(String sourceName)
   at Microsoft.Windows.KpsServer.Common.Diagnostics.Auditing.SecurityLog.ReportAudit(EventLogEntryType eventType, UInt32 eventId, Object[] os)
   at Microsoft.Windows.KpsServer.KpsServerHttpApplication.Application_Start()

A required privilege is not held by the client
   at Microsoft.Windows.KpsServer.Common.Diagnostics.Auditing.NativeUtility.RegisterAuditSource(String pszSourceName, SafeAuditProviderHandle& phAuditProvider)
   at Microsoft.Windows.KpsServer.Common.Diagnostics.Auditing.SecurityLog.RegisterAuditSource(String sourceName)

Darüber hinaus können Sie feststellen, dass keine der Schlüsselschutz Dienst-Cmdlets (z. b. Get-hgskeyschutzcertificate) funktionieren und stattdessen Fehler zurückgeben.Additionally, you may notice that none of the Key Protection Service cmdlets (e.g. Get-HgsKeyProtectionCertificate) work and instead return errors.

Um dieses Problem zu beheben, müssen Sie GMSA das "Generieren von Sicherheits Überwachungen" (SeAuditPrivilege) gewähren.To resolve this issue, you need to grant gMSA the “Generate security audits” (SeAuditPrivilege). Zu diesem Zweck können Sie entweder lokale Sicherheitsrichtlinien SecPol.msc für jeden Knoten des HGS-Clusters oder Gruppenrichtlinie verwenden.To do that, you may use either Local security policy SecPol.msc on every node of the HGS cluster, or Group Policy. Alternativ können Sie mit SecEdit.exe Tool die aktuelle Sicherheitsrichtlinie exportieren, die erforderlichen Änderungen in der Konfigurationsdatei vornehmen (bei der es sich um einen nur-Text handelt) und Sie dann wieder importieren.Alternatively, you could use SecEdit.exe tool to export the current Security policy, make the necessary edits in the configuration file (which is a plain text) and then import it back.

Hinweis

Wenn Sie diese Einstellung konfigurieren, überschreibt die Liste der Sicherheitsprinzipien, die für ein-Privileg definiert sind, die Standardwerte (Sie werden nicht verkettet).When configuring this setting, the list of security principles defined for a privilege fully overrides the defaults (it does not concatenate). Wenn Sie diese Richtlinien Einstellung definieren, achten Sie darauf, dass zusätzlich zu dem von Ihnen hinzugefügten GMSA beide Standard Inhaber dieser Berechtigung (Netzwerkdienst und lokaler Dienst) enthalten sind.Hence, when defining this policy setting, be sure to include both default holders of this privilege (Network service and Local service) in addition to the gMSA that you are adding.