보호된 호스트가 증명 가능함을 확인
패브릭 관리자는 Hyper-V 호스트가 보호되는 호스트로 실행될 수 있음을 확인해야 합니다. 하나 이상의 보호된 호스트에서 다음 단계를 완료합니다.
Hyper-V 역할 및 호스트 보호 Hyper-V 지원 기능을 아직 설치하지 않은 경우 다음 명령을 사용하여 설치합니다.
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -RestartHyper-V 호스트가 HGS DNS 이름을 확인할 수 있고 HGS 서버에서 포트 80(또는 HTTPS를 설정한 경우 443)에 도달하기 위한 네트워크 연결이 있는지 확인합니다.
다음과 같이 호스트의 키 보호 및 증명 URL을 구성합니다.
Windows PowerShell을 사용: 관리자 권한이 있는 Windows PowerShell 콘솔에서 다음 명령을 실행하여 키 보호 및 증명 URL을 구성할 수 있습니다. <FQDN>의 경우 HGS 클러스터의 정규화된 도메인 이름(FQDN)(예: hgs.bastion.local)을 사용하거나 HGS 관리자에게 HGS 서버에서 Get-HgsServer cmdlet를 실행하여 URL을 검색하도록 요청합니다.
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'대체 HGS 서버를 구성하려면 이 명령을 반복하고 키 보호 및 증명 서비스에 대한 대체 URL을 지정합니다. 자세한 내용은 대체 구성을 참조하세요.
VMM 사용: System Center Virtual Machine Manager(VMM)를 사용하는 경우 VMM에서 증명 및 키 보호 URL을 구성할 수 있습니다. 자세한 내용은 VMM에서 보호된 호스트 프로비전의 전역 HGS 설정 구성을 참조하세요.
참고
- HGS 관리자가 HGS 서버에서 HTTPS를 사용 설정한 경우,
https://의 내용을 참조하여 URL을 시작합니다. - HGS 관리자가 HGS 서버에서 HTTPS를 사용하도록 설정하고 자체 서명된 인증서를 사용한 경우 인증서를 모든 호스트의 신뢰할 수 있는 루트 인증 기관 저장소로 가져와야 합니다. 이렇게 하려면 각 호스트에서 다음 명령을 실행합니다.
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - HTTPS를 사용하도록 HGS 클라이언트를 구성하고 TLS 1.0 시스템을 사용하지 않도록 설정한 경우 최신 TLS 지침을 참조하세요.
호스트에서 증명 시도를 시작하고 증명 상태를 보려면 다음 명령을 실행합니다.
Get-HgsClientConfiguration명령의 출력은 호스트가 증명을 통과하고 현재 보호되는 상태인지 여부를 나타냅니다.
IsHostGuardedTrue를 반환하지 않는 경우, HGS 진단 도구인 Get-HgsTrace를 실행하여 조사할 수 있습니다. 진단을 실행하려면 호스트의 관리자 권한 Windows PowerShell 프롬프트에 다음 명령을 입력합니다.Get-HgsTrace -RunDiagnostics -DetailedImportant
Windows Server 2019 또는 Windows 10, 버전 1809 이상을 사용하고 코드 무결성 정책을 사용하는 경우
Get-HgsTrace에서는 코드 무결성 정책 활성 진단에 대한 오류를 반환할 수 있습니다. 유일하게 실패한 진단인 경우 이 결과는 무시해도 됩니다.