보호된 호스트가 증명할 수 있는 확인
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
패브릭 관리자는 Hyper-V 호스트가 보호된 호스트로 실행될 수 있음을 확인해야 합니다. 하나 이상의 보호된 호스트에서 다음 단계를 완료합니다.
Hyper-V 역할 및 호스트 보호 Hyper-V 지원 기능을 아직 설치하지 않은 경우 다음 명령을 사용하여 설치합니다.
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
Hyper-V 호스트가 HGS DNS 이름을 확인할 수 있고 HGS 서버에서 포트 80(또는 HTTPS를 설정한 경우 443)에 도달하기 위한 네트워크 연결이 있는지 확인합니다.
호스트의 키 보호 및 증명 URL을 구성합니다.
Windows PowerShell을 통해: 관리자 권한 Windows PowerShell 콘솔에서 다음 명령을 실행하여 키 보호 및 증명 URL을 구성할 수 있습니다. FQDN>의 경우 <HGS 클러스터의 FQDN(정규화된 Do기본 Name)을 사용하거나 HGS 관리자에게 HGS 서버에서 Get-HgsServer cmdlet을 실행하여 URL을 검색하도록 요청합니다.
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
대체 HGS 서버를 구성하려면 이 명령을 반복하고 키 보호 및 증명 서비스에 대한 대체 URL을 지정합니다. 자세한 내용은 대체 구성을 참조 하세요.
VMM을 통해: System Center VMM(Virtual Machine Manager)을 사용하는 경우 VMM에서 증명 및 키 보호 URL을 구성할 수 있습니다. 자세한 내용은 VMM에서 보호된 호스트 프로비전에서 전역 HGS 설정 구성을 참조하세요.
참고
- HGS 관리자가 HGS 서버
https://
에서 HTTPS를 사용하도록 설정한 경우 . - HGS 관리자가 HGS 서버에서 HTTPS를 사용하도록 설정하고 자체 서명된 인증서를 사용한 경우 인증서를 모든 호스트의 신뢰할 수 있는 루트 인증 기관 저장소로 가져와야 합니다. 이렇게 하려면 각 호스트에서 다음 명령을 실행합니다.
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
- HTTPS를 사용하도록 HGS 클라이언트를 구성하고 TLS 1.0 시스템을 사용하지 않도록 설정한 경우 최신 TLS 지침을 참조 하세요.
호스트에서 증명 시도를 시작하고 증명 상태 보려면 다음 명령을 실행합니다.
Get-HgsClientConfiguration
명령의 출력은 호스트가 증명을 통과하고 이제 보호되는지 여부를 나타냅니다.
IsHostGuarded
True를 반환하지 않으면 HGS 진단 도구인 Get-HgsTrace를 실행하여 조사할 수 있습니다. 진단 실행하려면 호스트의 관리자 권한 Windows PowerShell 프롬프트에 다음 명령을 입력합니다.Get-HgsTrace -RunDiagnostics -Detailed
Important
Windows Server 2019 또는 Windows 10 버전 1809 이상을 사용하고 코드 무결성 정책을
Get-HgsTrace
사용하는 경우 코드 무결성 정책 활성 진단에 대한 오류를 반환합니다. 유일하게 실패한 진단인 경우 이 결과를 무시해도 됩니다.