網狀架構系統管理員必須確認 Hyper-V 主機可以以受防護主機身分執行。 在至少一個受防護主機上完成下列步驟:
如果您尚未安裝 Hyper-V 角色和主機守護者 Hyper-V 支援功能,請使用下列命令加以安裝:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart請確定 Hyper-V 主機可以解析 HGS DNS 名稱,並具有網路連線能力,以連線到 HGS 伺服器上的連接埠 80 (如果您設定 HTTPS,則為 443)。
設定主機的金鑰保護和證明 URL:
透過 Windows PowerShell:您可以在提升許可權的 Windows PowerShell 控制台中執行下列命令,以設定密鑰保護和證明 URL。 針對 <FQDN>,請使用 HGS 叢集的完整網域名稱 (FQDN) (例如 hgs.bastion.local,或要求 HGS 系統管理員在 HGS 伺服器上執行 Get-HgsServer Cmdlet 以擷取 URL) 。
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'若要設定後援 HGS 伺服器,請重複此命令,並指定金鑰保護和證明服務的後援 URL。 如需詳細資訊,請參閱 後援組態。
透過 VMM:如果您使用 System Center Virtual Machine Manager (VMM),您可以在 VMM 中設定證明和金鑰保護 URL。 如需詳細資訊,請參閱設定全域 HGS 設定 在在 VMM 中布建受防護主機。
Notes
- 如果 HGS 系統管理員在 HGS 伺服器上啟用了 HTTPS,請以
https://開始 URL。 - 如果 HGS 系統管理員在 HGS 伺服器上啟用 HTTPS,並使用自我簽署憑證,您必須將憑證匯入每個主機上的受信任根憑證授權單位存放區。 若要這樣做,請在每個主機上執行下列命令:
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - 如果您已將 HGS 用戶端設定為使用 HTTPS 並已停用全系統 TLS 1.0,請參閱我們的 新式 TLS 指引
若要在主機上起始證明嘗試並檢視證明狀態,請執行下列命令:
Get-HgsClientConfiguration命令的輸出會指出主機是否已通過證明,而且現在受到防護。 如果未傳回 True,您可以
IsHostGuarded執行 HGS 診斷工具 Get-HgsTrace 來調查。 若要執行診斷,請在主機上提升權限的 Windows PowerShell 提示字元中輸入下列命令:Get-HgsTrace -RunDiagnostics -DetailedImportant
如果您使用 Windows Server 2019 或 Windows 10 版本 1809 或更新版本,且使用程式碼完整性原則,則
Get-HgsTrace會傳回 代碼完整性原則使用中 診斷失敗。 當這是唯一失敗的診斷時,您就可以放心地忽略此結果。