Confermare che gli host sorvegliati possono fornire attestazioni

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Un amministratore dell'infrastruttura deve verificare che gli host Hyper-V possano essere eseguiti come host sorvegliati. Completare i passaggi seguenti in almeno un host sorvegliato:

1. Se non è già stato installato il ruolo Hyper-V e la funzionalità Supporto per Sorveglianza host per Hyper-V, installarlo con il comando seguente:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

2. Assicurarsi che l'host Hyper-V possa risolvere il nome DNS di HGS e disponga di connettività di rete per raggiungere la porta 80 (o 443 se si configura HTTPS) nel server HGS.

3. Configurare gli URL di attestazione e protezione delle chiavi dell'host:

   • Tramite Windows PowerShell: è possibile configurare gli URL di attestazione e protezione delle chiavi eseguendo il comando seguente in una console di Windows PowerShell con privilegi elevati. Per <FQDN> usare il nome di dominio completo (FQDN) del cluster HGS, ad esempio hgs.bastion.local o chiedere all'amministratore HGS di eseguire il cmdlet Get-HgsServer nel server HGS per recuperare gli URL.

     Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
     

     Per configurare un server HGS di fallback, ripetere questo comando e specificare gli URL di fallback per i servizi di attestazione e protezione delle chiavi. Per altre informazioni, vedere Configurazione del fallback.

   • Tramite VMM: se si usa System Center Virtual Machine Manager (VMM), è possibile configurare gli URL di attestazione e protezione delle chiavi in VMM. Per informazioni dettagliate, vedere Configurare le impostazioni globali di HGS in Effettuare il provisioning di host sorvegliati in VMM.

   Note

   • Se l'amministratore HGS ha abilitato HTTPS nel server HGS, iniziare gli URL con https://.
   • Se l'amministratore HGS ha abilitato HTTPS nel server HGS e ha usato un certificato autofirmato, sarà necessario importare il certificato nell'archivio Autorità di certificazione radice attendibili in ogni host. A tale scopo, eseguire il comando seguente in ogni host: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
   • Se il client HGS è stato configurato per l'uso di HTTPS e si è disabilitato TLS 1.0 a livello di sistema, vedere le indicazioni per TLS moderno

4. Per avviare un tentativo di attestazione nell'host e visualizzare lo stato di attestazione, eseguire il comando seguente:

   Get-HgsClientConfiguration
   

   L'output del comando indica se l'host ha superato l'attestazione ed è ora sorvegliato. Se IsHostGuarded non restituisce True, è possibile eseguire lo strumento di diagnostica di HGS, Get-HgsTrace, per analizzare il problema. Per eseguire la diagnostica, immettere il comando seguente in un prompt di Windows PowerShell con privilegi elevati nell'host:

   Get-HgsTrace -RunDiagnostics -Detailed
   

   Importante

   Se si usa Windows Server 2019 o Windows 10, versione 1809 o successive e si usano i criteri di integrità del codice, Get-HgsTrace restituisce un errore per la diagnostica attiva dei criteri di integrità del codice. Si può tranquillamente ignorare questo risultato quando è la sola diagnostica errata.

Passaggio successivo

Distribuire macchine virtuali schermate

Riferimenti aggiuntivi

• Distribuire il servizio Sorveglianza host (HGS)
• Distribuire macchine virtuali schermate