После настройки Windows Server с vTPM (см.https://cloud.google.com/blog/products/gcp/security-in-plaintext-use-shielded-vms-to-harden-your-gcp-workloads) в Google Cloud VM и доступ к ней через службы удаленных рабочих столов (RDS) при попытке инициализировать виртуальную смарт-карту TPM с помощью команды, подобной следующей:
Tpmvscmgr.exe create /name "TestVirtualSC" /pin prompt /adminkey default /generate
Возникает следующая ошибка:
Creating TPM Smart Card...
TPM Virtual Smart Card management cannot be used within a Terminal Services session.
(0x800704d3) The request was aborted.
Итак, есть ли способ инициализировать виртуальную смарт-карту TPM через удаленный сеанс RDS? Или, в качестве альтернативы, есть ли другой способ инициализировать ее в виртуальной машине Google Cloud под управлением Windows Server?
решение1
Вы можете использоватьКонсоль Службы управления чрезвычайными ситуациями (EMS)после подключения вам будет предоставлена командная строка.
- В терминале или в Cloud Shell включите подключения к последовательным портам на вашей виртуальной машине:
gcloud compute instances add-metadata <VM-NAME> --metadata=serial-port-enable=1
Замените <VM-NAME>на имя виртуальной машины, на которой следует включить последовательные порты.
- Подключитесь к консоли EMS через последовательный порт
2вашей виртуальной машины:
gcloud compute connect-to-serial-port <VM-NAME> --port 2
Замените <VM-NAME>на имя виртуальной машины последовательный порт для подключения.
- Убедитесь, что вы видите вывод, аналогичный следующему:
Computer is booting, SAC started and initialized.
Use the "ch -?" command for information about using channels.
Use the "?" command for general help.
SAC>
EVENT: The CMD command is now available.
SAC>
- Создайте новый сеанс командной строки с помощью
cmdкоманды и проверьте вывод, аналогичный следующему:
The Command Prompt session was successfully launched.
SAC>
EVENT: A new channel has been created. Use "ch -?" for channel help.
Channel: Cmd0001
SAC>
- Подключитесь к новому сеансу командной строки с помощью
ch -si 1команды и проверьте вывод, аналогичный следующему:
Name: Cmd0001
Description: Command
Type: VT-UTF8
Channel GUID: 28de7392-5413-11ea-bb03-c9656a2ed613
Application Type GUID: 63d02271-8aa4-11d5-bccf-00b0d014a2d0
Press <esc><tab> for next channel.
Press <esc><tab>0 to return to the SAC channel.
Use any other key to view this channel.
Нажмите
Enter, чтобы подключиться к сеансу.Войдите в сеанс, введя свои учетные данные для входа в эту виртуальную машину, после чего в каталоге откроется консоль EMS
C:\Windows\system32. Введитеhelpдля получения списка доступных команд в консоли EMS.
Ссылки:
- https://cloud.google.com/compute/docs/troubleshooting/troubleshooting-windows#ems-console
- https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc736319(v=ws.10)(Примечание: говорится, что это применимо к WS 2003, однако это применимо ко всем версиям Windows с 2003 года.