Nach dem Einrichten eines Windows Servers mit einem vTPM (siehehttps://cloud.google.com/blog/products/gcp/security-in-plaintext-use-shielded-vms-to-harden-your-gcp-workloads) in der Google Cloud VM und beim Zugriff darauf über Remote Desktop Services (RDS), wenn versucht wird, die virtuelle TPM-Smartcard mit einem Befehl wie dem folgenden zu initialisieren:
Tpmvscmgr.exe create /name "TestVirtualSC" /pin prompt /adminkey default /generate
Der folgende Fehler wird erzeugt:
Creating TPM Smart Card...
TPM Virtual Smart Card management cannot be used within a Terminal Services session.
(0x800704d3) The request was aborted.
Gibt es also eine Möglichkeit, die virtuelle TPM-Smartcard über eine Remote-RDS-Sitzung zu initialisieren? Oder gibt es alternativ eine andere Möglichkeit, sie in einer Google Cloud-VM mit Windows Server zu initialisieren?
Antwort1
Du kannst den ... benutzenKonsole für Notfallmanagementdienste (EMS)Sobald die Verbindung hergestellt ist, wird Ihnen eine Eingabeaufforderung angezeigt.
- Aktivieren Sie von Ihrem Terminal oder in Cloud Shell aus Verbindungen zu den seriellen Ports Ihrer VM:
gcloud compute instances add-metadata <VM-NAME> --metadata=serial-port-enable=1
Ersetzen Sie es <VM-NAME>durch den Namen der VM, auf der die seriellen Ports aktiviert werden sollen.
2Stellen Sie über den seriellen Port Ihrer VM eine Verbindung zur EMS-Konsole her :
gcloud compute connect-to-serial-port <VM-NAME> --port 2
Ersetzen Sie <VM-NAME>den Namen der VM durch den seriellen Port, mit dem eine Verbindung hergestellt werden soll.
- Stellen Sie sicher, dass eine Ausgabe ähnlich der folgenden angezeigt wird:
Computer is booting, SAC started and initialized.
Use the "ch -?" command for information about using channels.
Use the "?" command for general help.
SAC>
EVENT: The CMD command is now available.
SAC>
- Erstellen Sie mithilfe des Befehls eine neue Eingabeaufforderungssitzung
cmdund überprüfen Sie, ob eine Ausgabe ähnlich der folgenden ausgegeben wird:
The Command Prompt session was successfully launched.
SAC>
EVENT: A new channel has been created. Use "ch -?" for channel help.
Channel: Cmd0001
SAC>
- Stellen Sie mithilfe des Befehls eine Verbindung zur neuen Eingabeaufforderungssitzung her
ch -si 1und überprüfen Sie, ob eine Ausgabe ähnlich der folgenden ausgegeben wird:
Name: Cmd0001
Description: Command
Type: VT-UTF8
Channel GUID: 28de7392-5413-11ea-bb03-c9656a2ed613
Application Type GUID: 63d02271-8aa4-11d5-bccf-00b0d014a2d0
Press <esc><tab> for next channel.
Press <esc><tab>0 to return to the SAC channel.
Use any other key to view this channel.
Drücken Sie
Enter, um eine Verbindung zur Sitzung herzustellen.Melden Sie sich bei der Sitzung an, indem Sie Ihre Anmeldeinformationen für diese VM eingeben. Anschließend wird die EMS-Konsole im
C:\Windows\system32Verzeichnis geöffnet. Geben Sie ein,helpum eine Liste der verfügbaren Befehle in der EMS-Konsole anzuzeigen.
Links:
- https://cloud.google.com/compute/docs/troubleshooting/troubleshooting-windows#ems-console
- https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc736319(v=ws.10)(Hinweis: Es heißt, es gilt für WS 2003, es gilt jedoch für alle Windows-Versionen seit 2003.