確認受防護主機可以證明

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016

網狀架構系統管理員必須確認 Hyper-V 主機可以以受防護主機身分執行。 在至少一個受防護主機上完成下列步驟：

1. 如果您尚未安裝 Hyper-V 角色和主機守護者 Hyper-V 支援功能，請使用下列命令加以安裝：

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

2. 請確定 Hyper-V 主機可以解析 HGS DNS 名稱，並具有網路連線能力，以連線到 HGS 伺服器上的連接埠 80 (如果您設定 HTTPS，則為 443)。

3. 設定主機的金鑰保護和證明 URL：

   • 透過 Windows PowerShell：您可以在提升權限的 Windows PowerShell 主控台中執行下列命令，以設定金鑰保護和證明 URL。 針對 <FQDN>，請使用 HGS 叢集的完整網域名稱 (FQDN) (例如 hgs.bastion.local，或要求 HGS 系統管理員在 HGS 伺服器上執行 Get-HgsServer Cmdlet 以擷取 URL)。

     Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
     

     若要設定後援 HGS 伺服器，請重複此命令，並指定金鑰保護和證明服務的後援 URL。 如需詳細資訊，請參閱後援設定。

   • 透過 VMM：如果您使用 System Center Virtual Machine Manager (VMM)，您可以在 VMM 中設定證明和金鑰保護 URL。 如需詳細資訊，請參閱在 VMM 中佈建受防護主機中的設定全域 HGS 設定。

   注意事項

   • 如果 HGS 系統管理員在 HGS 伺服器上啟用 HTTPS，則使用 https:// 來開始 URL。
   • 如果 HGS 系統管理員在 HGS 伺服器上啟用 HTTPS，並使用自我簽署憑證，您必須將憑證匯入每個主機上的受信任根憑證授權單位存放區。 若要這樣做，請在每個主機上執行下列命令： PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
   • 如果您已將 HGS 用戶端設定為使用 HTTPS 並在全系統停用 TLS 1.0，請參閱新式 TLS 指導

4. 若要在主機上起始證明嘗試並檢視證明狀態，請執行下列命令：

   Get-HgsClientConfiguration
   

   命令的輸出會指出主機是否已通過證明，而且現在受到防護。 如果 IsHostGuarded 沒有傳回 True，您可以執行 HGS 診斷工具 Get-HgsTrace 來調查。 若要執行診斷，請在主機上提升權限的 Windows PowerShell 提示字元中輸入下列命令：

   Get-HgsTrace -RunDiagnostics -Detailed
   

   重要

   如果您使用的是 Windows Server 2019 或 Windows 10 版本 1809 或更新版本，且使用程式碼完整性原則，則 Get-HgsTrace 會針對程式碼完整性原則作用中診斷傳回失敗。 當這是唯一失敗的診斷時，您就可以放心地忽略此結果。

後續步驟

部署受防護的 VM

其他參考

• 部署主機守護者服務 (HGS)
• 部署受防護的 VM