Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Администратор структуры должен подтвердить, что узлы Hyper-V могут запускаться как защищенные узлы. Выполните следующие действия по крайней мере на одном защищенном узле:
Если вы еще не установили роль Hyper-V и компонент поддержки Host Guardian Hyper-V, установите их с помощью следующей команды:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -RestartУбедитесь, что узел Hyper-V может разрешить DNS-имя HGS и имеет сетевое подключение для достижения порта 80 (или 443 при настройке HTTPS) на сервере HGS.
Настройте URL-адреса защиты ключей и аттестации хоста (узла):
С помощью Windows PowerShell можно настроить URL-адреса защиты ключей и аттестации, выполнив следующую команду в консоли Windows PowerShell с повышенными привилегиями. Для <полного> доменного имени используйте полное доменное имя кластера HGS (например, hgs.bastion.local) или попросите администратора HGS запустить командлет Get-HgsServer на сервере HGS, чтобы получить URL-адреса.
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'Чтобы настроить резервный сервер HGS, повторите эту команду и укажите резервные URL-адреса для служб защиты ключей и аттестации. Дополнительные сведения см. в статье "Резервная конфигурация".
С помощью VMM: если вы используете System Center Virtual Machine Manager (VMM), вы можете настроить URL-адреса аттестации и защиты ключей в VMM. Дополнительные сведения см. в разделе "Настройка глобальных параметров HGS " в узлах, защищенных в VMM.
Notes
- Если администратор HGS включил HTTPS на сервере HGS, начните URL-адреса с
https://. - Если администратор HGS включил HTTPS на сервере HGS и использовал самозаверяющий сертификат, необходимо импортировать сертификат в хранилище доверенных корневых центров сертификации на каждом узле. Для этого выполните следующую команду на каждом узле:
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - Если вы настроили клиент HGS для использования HTTPS и отключили протокол TLS 1.0 по всей системе, ознакомьтесь с нашими современными рекомендациями по TLS.
Чтобы инициировать попытку аттестации на узле и просмотреть состояние аттестации, выполните следующую команду:
Get-HgsClientConfigurationВыходные данные команды указывают, передается ли узел аттестации и теперь охраняется. Если
IsHostGuardedзначение true не возвращается, можно запустить средство диагностики HGS , Get-HgsTrace, чтобы изучить. Чтобы запустить диагностика, введите следующую команду в командной строке Windows PowerShell с повышенными привилегиями на узле:Get-HgsTrace -RunDiagnostics -DetailedImportant
Если вы используете Windows Server 2019 или Windows 10 версии 1809 или более поздней версии и используете политики целостности кода,
Get-HgsTraceвозвращают ошибку для диагностики Активные политики целостности кода. Этот результат можно игнорировать, если это единственный сбой диагностики.