ファブリック管理者は、Hyper-V ホストを保護されたホストとして実行できることを確認する必要があります。 少なくとも 1 つの保護されたホストで、次の手順を実行します。
Hyper-V のロールとホスト ガーディアンの Hyper-V サポート機能をまだインストールしていない場合は、次のコマンドを使用してインストールします。
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -RestartHyper-V ホストが HGS の DNS 名を解決できること、HGS サーバーのポート 80 (または HTTPS を設定した場合は 443) に到達するためのネットワーク接続を持っていることを確認してください。
ホストのキー保護と構成証明の URL を構成します。
Windows PowerShell を使用する場合: 管理者特権の Windows PowerShell コンソールで次のコマンドを実行すると、キーの保護と構成証明の URL を構成できます。 <FQDN>では、HGS クラスターの完全修飾ドメイン名 (FQDN) を使用するか (たとえば、hgs.bastion.local)、HGS サーバーで Get-HgsServer コマンドレットを実行して URL を取得するように HGS 管理者に依頼します。
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'フォールバック HGS サーバーを構成するには、このコマンドを繰り返し、キー保護と構成証明の各サービスのフォールバック URL を指定します。 詳細については、 フォールバック構成を参照してください。
VMM を使用: System Center Virtual Machine Manager (VMM) を使用している場合は、VMM で構成証明 URL とキー保護 URL を構成できます。 詳細については、「VMM で保護されたホストをプロビジョニングする」の「グローバル HGS 設定を構成する」を参照してください。
Notes
- HGS 管理者が HGS サーバーで HTTPS を有効にした場合は、
https://で始まる URL になります。 - HGS 管理者が HGS サーバーで HTTPS を有効にし、自己署名証明書を使用している場合は、すべてのホストの信頼されたルート証明機関ストアに証明書をインポートする必要があります。 これを行うには、各ホストで次のコマンドを実行します。
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - HTTPS を使用するように HGS クライアントを構成し、システム全体で TLS 1.0 を無効にしている場合は、最新の TLS ガイダンスを参照してください
ホストで構成証明の試行を開始し、構成証明の状態を表示するには、次のコマンドを実行します。
Get-HgsClientConfigurationコマンドの出力は、ホストが構成証明に合格し、保護されているかどうかを示します。
IsHostGuardedTrue が返されない場合は、HGS 診断ツール Get-HgsTrace を実行して調査できます。 診断を実行するには、管理者特権の Windows PowerShell プロンプトで次のコマンドを入力します。Get-HgsTrace -RunDiagnostics -DetailedImportant
Windows Server 2019 または Windows 10 バージョン 1809 以降を使用していて、コードの整合性ポリシーを使用している場合は、
Get-HgsTrace診断でエラーが返されます。 これが唯一の失敗した診断である場合、この結果を無視しても問題ありません。