Vzdálená konzola v produktu System Center 2012 R2
Publikováno: březen 2016
Platí pro: System Center 2012 R2 Virtual Machine Manager
Vzdálená konzola je funkce, která byla zavedena v nástroji System Center 2012 R2. Vzdálená konzola poskytuje klientům možnost přístupu ke konzole jejich virtuálních počítačů v situacích, kdy nejsou k dispozici jiné nástroje pro vzdálenou správu (nástroje Vzdálené plochy). Klienti mohou využívat vzdálenou konzolu pro přístup k virtuálním počítačům, když je virtuální počítač v izolované či nedůvěryhodné síti nebo když se používá prostřednictvím internetu.
Používání Vzdálené konzoly vyžaduje:
Microsoft® Hyper-V® Server 2012 R2
System Center 2012 R2 Virtual Machine Manager
System Center 2012 R2Service Provider Foundation
Windows Azure Pack pro Windows Server
Poznámka
Klienti potřebují klientský počítač podporující protokol RDP (Remote Desktop Protocol) 8.1. Například uživatelé, kteří používají Windows 8, musí upgradovat na Windows 8.1. Klienti používající systém Windows 7 SP1 si musí nainstalovat aktualizaci KB2830477.
V této verzi Vzdálená konzola podporuje jen omezené funkce. Funkce, jako je schránka, zvuk, přesměrování tiskárny a mapování jednotek, nejsou podporovány. Vzdálená konzola funguje způsobem, který je podobný připojení KVM (klávesnice, video a myš) používanému u fyzických počítačů.
Ověření uživatele
Technologie Hyper-V v systému Windows Server 2012 R2 podporuje ověřování na základě certifikátu, které se používá k zajištění toho, aby klienti mohli používat pouze virtuální počítače, které jsou jim přiřazeny. Webový portál Windows Azure Pack pro Windows Server, Service Provider Foundation, a nástroj Virtual Machine Manager (VMM) ověřují a autorizují přístup k virtuálním počítačům a poskytují token, který hostitel Hyper-V používá k udělení přístupu k jednomu virtuálnímu počítači.
Následující diagram znázorňuje komponenty, které jsou potřebné pro přístup ke Vzdálené konzole, pokud klienti získávají přístup k virtuálnímu počítači prostřednictvím nedůvěryhodné sítě, jako je internet. Brána vzdálené plochy (Brána VP) je vynechána, pokud je toto prostředí nasazeno v podnikové síti.
.jpeg "Ověřování vzdálené konzoly na základě certifikátu")
Privátní a veřejné klíče pro certifikát se používají k vytvoření vztahu důvěryhodnosti. Následující části popisují, jak vytvořit požadované certifikáty.
Vytvoření certifikátu pro vzdálený přístup
Certifikát se používá k vytvoření vztahu důvěryhodnosti mezi serverem Brány VP, hostiteli Hyper-V a nástrojem VMM. Tento certifikát umožňuje Bráně VP a hostitelům Hyper-V přijímat tokeny deklarací identity, které jsou vystavované Bránou VP nástroje VMM. Na Bráně VP a hostitelích Hyper-V je možné používat stejné nebo různé certifikáty pro ověřování. Platné certifikáty musí splňovat následující požadavky:
Certifikát nesmí mít vypršenou platnost.
Pole Použití klíče musí obsahovat digitální podpis.
Pole Použití rozšířeného klíče musí obsahovat následující identifikátor objektu ověřování klienta: (1.3.6.1.5.5.7.3.2)
Kořenové certifikáty pro certifikační autoritu (CA), která certifikát vystavila, musí být nainstalovány v úložišti certifikátů důvěryhodných kořenových certifikačních autorit.
Zprostředkovatel kryptografických služeb pro certifikát musí podporovat algoritmus SHA256.
Platný certifikát můžete získat od komerční certifikační autority (CA), certifikační autority rozlehlé sítě nebo pomocí certifikátu podepsaného svým držitelem.
Poznámka
Platný certifikát můžete získat od komerční certifikační autority, certifikační autority rozlehlé sítě nebo pomocí certifikátu podepsaného svým držitelem. Pokud použijete certifikát podepsaný svým držitelem, je nutné umístit veřejný klíč certifikátu v úložišti certifikátů důvěryhodných kořenových certifikačních autorit na Bráně VP a v rámci hostitelů Hyper-V.
Vytvoření testovacího certifikátu pomocí nástroje MakeCert
Pro účely testování můžete vytvořit certifikát podepsaný svým držitelem pomocí nástroje MakeCert. MakeCert je součástí sady Windows SDK.
Chcete-li stáhnout sadu SDK, naleznete další informace v tématu Sada Windows SDK pro systém Windows 7.
Další informace naleznete v tématu MakeCert na webu Windows Dev Center.
Následující kód představuje příklad, jak vytvořit certifikát podepsaný svým držitelem:
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
kde:
| -sky signature | Použít pro podepsání |
| -r | Vytvořit certifikát podepsaný svým držitelem |
| -n “CN=Remote Console Connect” | Název subjektu (Remote Console Connect) |
| -pe | Privátní klíč lze vyexportovat |
| -a sha256 | algoritmus |
| -len 2048 | Délka klíče |
| -e <mm/dd/rrrr> | Datum vypršení platnosti |
| -eku 1.3.6.1.5.5.7.3.2 | Použití rozšířeného klíče (identifikátor objektu ověřování klienta) |
| -ss My | Uložit privátní klíč do úložiště certifikátů My |
| -sy 24 | Typ zprostředkovatele kryptografických služeb (podporuje algoritmus SHA256) |
| “<NázevCertifikátu>.cer” | Název veřejného klíče |
Použití certifikační autority
Pokud budete požadovat certifikát od certifikační autority, lze s nástrojem Certreq použít soubor INF šablony certifikátu podobný následujícímu. Další informace naleznete v tématu Certreq.
[Version]
Signature="$Windows NT$"
[NewRequest]
; Change to your,country code, company name and common name
Subject = "C=US, O=Contoso, CN=wap-rdg.contoso.com"
; Indicates both encryption and signing
KeySpec = 1
; Length of the public and private key, use 2048 or higher
KeyLength = 2048
; Certificate will be put into the local computer store
MachineKeySet = TRUE
PrivateKeyArchive = FALSE
RequestType = PKCS10
UserProtected = FALSE
; Allow the key to be shared between multiple computers
Exportable = TRUE
SMIME = False
UseExistingKeySet = FALSE
; ProviderName and ProviderType must be for a CSP that supports SHA256
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"
ProviderType = 24
; KeyUsage must include DigitalSignature. 0xA0 also includes Key Encipherment
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.2
To, že certifikát v souboru PFX splňuje požadavky na algoritmus a použití rozšířeného klíče, je nutné ověřit spuštěním následujícího skriptu prostředí Windows PowerShell:
$cert = Get-PfxCertificate <cert.pfx>
if ($cert.PrivateKey.CspKeyContainerInfo.ProviderName -ne "Microsoft Enhanced RSA and AES Cryptographic Provider")
{
Write-Warning "CSP may not support SHA256"
}
if (! (Test-Certificate $cert -EKU "1.3.6.1.5.5.7.3.2") )
{
Write-Warning "Certificate is not valid"
}
Instalace certifikátu
Po vytvoření certifikátu je nutné jej nainstalovat a nakonfigurovat nástroj Virtual Machine Manager tak, aby pomocí tohoto certifikátu vystavoval tokeny deklarací identity. Potom se privátní klíč pro certifikát naimportuje do databáze nástroje Virtual Machine Manager. K tomu použijte rutinu Set-SCVMMServer prostředí Windows PowerShell, například:
PS C:\> $mypwd = ConvertTo-SecureString "password" -AsPlainText -Force
PS C:\> $cert = Get-ChildItem .\RemoteConsoleConnect.pfx
PS C:\> $VMMServer = VMMServer01.Contoso.com
PS C:\> Set-SCVMMServer -VMConnectGatewayCertificatePassword $mypwd -VMConnectGatewayCertificatePath $cert -VMConnectHostIdentificationMode FQDN -VMConnectHyperVCertificatePassword $mypwd -VMConnectHyperVCertificatePath $cert -VMConnectTimeToLiveInMinutes 2 -VMMServer $VMMServer
V tomto příkladu se pro Bránu VP a pro hostitele Hyper-V používá stejný certifikát a tokeny mají životnost dvě minuty. Pro tokeny je možné vybrat životnost 1 až 60 minut.
K určení hostitelského serveru se používá plně kvalifikovaný název domény (FQDN). Hostitele lze také identifikovat podle IPv4 adresy, IPv6 adresy a názvu hostitele. Identita hostitel je součástí souboru RDP (Remote Desktop Protocol), který je odeslán klientům.
Poznámka
VMMServer01.Contoso.com se používá jako ukázkový název hostitelského serveru. Změňte ho na skutečný název serveru.
RemoteConsoleConnect.pfx se používá k importu souboru PFX při uložení klíčů certifikátu do databáze VMM.
Když jsou jednotliví hostitelé v nástroji Virtual Machine Manager aktualizovaní, nainstalují certifikát v osobním úložišti certifikátů hostitele Hyper-V a nakonfigurují hostitele Hyper-V tak, aby ověřoval tokeny pomocí certifikátu. Pomocí následujícího příkazu prostředí Windows PowerShell můžete vynutit aktualizaci všech hostitelů Hyper-V:
PS C:\> Get-SCVMHost -VMMServer "VMMServer01.Contoso.com" | Read-SCVMHost
Hostitelé technologie Hyper-V
Při ověřování tokenů přijímá technologie Hyper-V pouze tokeny, které jsou podepsány pomocí specifických certifikátů a algoritmů hash. Nástroj Virtual Machine Manager provádí požadovanou konfiguraci pro hostitele Hyper-V. Pouze technologie Hyper-V v systému Windows Server 2012 R2 podporuje funkci Vzdálená konzola.
Pokud použijete certifikát podepsaný svým držitelem, je nutné naimportovat veřejný klíč certifikátu do úložiště certifikátů důvěryhodných kořenových certifikačních autorit pro hostitele Hyper-V. Následující skript představuje příklad, jak pomocí prostředí Windows PowerShell importovat veřejné klíče:
PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"
Pokud nainstalujete certifikát po konfiguraci nástroje Virtual Machine Manager, je nutné restartovat službu Hyper-V Virtual Machine Management.
To, zda je hostitel Hyper-V správně nakonfigurován pro Vzdálenou konzolu, si můžete ověřit takto:
Zkontrolujte, jestli je certifikát v osobním úložišti certifikátů hostitele Hyper-V a jestli je důvěryhodný.
Zkontrolujte konfiguraci algoritmu hash pro certifikát důvěryhodného vystavitele.
Následující skript představuje příklad, jak pomocí prostředí Windows PowerShell zkontrolovat, jestli je certifikát nainstalovaný v osobním úložišti certifikátů hostitele Hyper-V:
PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }
Následující skript představuje příklad, jak pomocí prostředí Windows PowerShell zkontrolovat konfiguraci algoritmu hash pro certifikát důvěryhodného vystavitele:
PS C:\> $TSData = Get-WmiObject -computername $Server -NameSpace "root\virtualization\v2" -Class "Msvm_TerminalServiceSettingData"
Pole TrustedIssuerCertificateHashes musí obsahovat kryptografický otisk certifikátu, který se používá k připojení ke Vzdálené konzole. Pole AllowedHashAlgorithms musí být prázdné nebo musí obsahovat algoritmus SHA256. Pokud je pole prázdné, použije se pro něj výchozí hodnota SHA256 nebo SHA512.
Poznámka
Nástroj Virtual Machine Manager generuje tokeny SHA256.
Brána vzdálené plochy
Bránu vzdálené plochy (Brána VP) lze použít pouze pro přístup k virtuálním počítačům pomocí konzoly. Při konfiguraci služby Brána VP dojde ke změně konfigurace, v důsledku níž bude brána nepoužitelná pro jiné účely. Při konfiguraci Brány VP jsou prováděny následující úlohy:
Nasazení Brány VP a instalace ověřovacího modulu plug-in
Instalace certifikátu
Konfigurace certifikátů důvěryhodných vystavitelů (pomocí rozhraní WMI)
Vytvoření certifikátu pro Bránu VP
Pro zajištění podpory federovaného ověřování je nutné na server Brány VP nainstalovat součást Microsoft System Center Virtual Machine Manager Console Connect Gateway. Začněte tím, že vytvoříte virtuální počítač, a pak povolte službu Vzdálená plocha.
Potom nainstalujte součást System Center Virtual Machine Manager Console Connect Gateway. Instalační binární soubory pro tuto součást naleznete v následující složce instalačního média nástroje Virtual Machine Manager: CDLayout.EVAL\amd64\Setup\msi\RDGatewayFedAuth. V případě konfigurace vysoké dostupnosti nainstaluje více bran VP se součástí Console Connect Gateway umístěnou za nástrojem pro vyrovnávání zatížení.
Dále naimportujte veřejný klíč certifikátu do osobního úložiště certifikátů na každém serveru Brány VP. Můžete to provést pomocí prostředí Windows PowerShell, jak je znázorněno v následujícím příkladu:
PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\My -Filepath "<certificate path>.cer"
Pokud používáte certifikát podepsaný svým držitelem, je nutné naimportovat veřejný klíč certifikátu do úložiště certifikátů důvěryhodných kořenových certifikačních autorit pro účet počítače. Můžete to provést pomocí prostředí Windows PowerShell, jak je znázorněno v následujícím příkladu:
PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"
Při ověřování tokenů přijímá Brána VP pouze tokeny, které jsou podepsány pomocí specifických certifikátů a algoritmů hash. Tato konfigurace se provádí nastavením vlastností TrustedIssuerCertificateHashes a AllowedHashAlgorithms ve třídě FedAuthSettings rozhraní WMI. Abyste mohli nastavovat tyto vlastnosti, musíte mít přihlašovací údaje správce.
Vlastnost TrustedIssuerCertificateHashes představuje matici kryptografických otisků prstů certifikátů, které jsou uloženy na serveru služby Brána VP. K nastavení vlastnosti TrustedIssuerCertificateHashes můžete použít následující příkaz prostředí Windows PowerShell:
$Server = "rdgw.contoso.com"
$Thumbprint = "95442A6B58EB5E443313C1B4AFD2665991D354CA"
$TSData = Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"
$TSData.TrustedIssuerCertificates = $Thumbprint
$TSData.Put()
Posledním krokem je vybrat nebo vytvořit certifikát podepsaný svým držitelem pro Bránu VP. Provedete to tak, že spustíte Správce brány VP, kliknete pravým tlačítkem myši na možnost Brána vzdálené plochy a kliknete na příkaz Vlastnosti. V dialogovém okně Vlastnosti klikněte na kartu Certifikát SSL.
Tento certifikát je používán klientskými počítači klientů k ověření identity serveru služby Brána VP. Název CN certifikátu musí odpovídat plně kvalifikovanému názvu domény (FQDN) serveru služby Brána VP. Spusťte Správce brány VP a přiřaďte nebo vytvořte certifikát podepsaným svým držitelem.
Poznámka
Certifikát podepsaný svým držitelem používejte pouze pro testování. Certifikát podepsaným svým držitelem by se nikdy neměl používat v produkčním nasazení. Použití certifikátu podepsaného svým držitelem rovněž vyžaduje, aby byl certifikát nainstalován v každém počítači klienta, který se připojuje prostřednictvím Brány VP.
Konfiguraci služby Brána VP můžete ověřit provedením následujících kroků:
Zkontrolujte, že je Brána VP nakonfigurována tak, aby pro ověřování a autorizaci používala součást Console Connect Gateway. Můžete to provést pomocí prostředí Windows PowerShell, jak je znázorněno v následujícím příkladu:
PS C:\> Get-WmiObject -Namespace root\CIMV2\TerminalServices -Class Win32_TSGatewayServerSettingsOvěřte, že jsou vlastnosti AuthenticationPlugin a AuthorizationPlugin nastaveny na hodnotu FedAuthorizationPlugin.
Ujistěte se, že byl certifikát nainstalován v osobním úložišti certifikátů pro účet počítače. Můžete to provést pomocí prostředí Windows PowerShell, jak je znázorněno v následujícím příkladu:
PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }Zkontrolujte konfiguraci součásti Console Connect Gateway. Můžete to provést pomocí prostředí Windows PowerShell, jak je znázorněno v následujícím příkladu:
PS C:\> Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"Pole TrustedIssuerCertificates musí obsahovat kryptografický otisk certifikátu pro součást Console Connect Gateway.
Balíček Windows Azure Pack pro systém Windows Server pro Vzdálenou konzolu
Přístup ke Vzdálené konzole můžete povolit na základě plánu prostřednictvím služby Virtual Machine Clouds v balíčku Windows Azure Pack pro systém Windows Server. V řídicím panelu plánu vyberte v seznamu služeb plánů službu Virtual Machine Clouds a z dalších nastavení vyberte možnost Connect to the console of virtual machines (Připojit se ke konzole virtuálních počítačů).
Pokud jste nainstalovali službu Brána vzdálené plochy, přečtěte si postup Postup při konfiguraci sady Windows Azure Pack pro používání služby Brána vzdálené plochy.
Bezpečnostní doporučení
Doporučujeme provést následující akce za účelem zvýšení úrovně zabezpečení:
| Název | Hrozba | Doporučení |
|---|---|---|
| Přístup pomocí tokenu | Přístup do úložiště certifikátů My lze použít ke generování přístupových tokenů pro jakýkoli virtuální počítač. | Pomocí skupin zabezpečení služby Active Directory lze omezit přístup k serveru Virtual Machine Manager generujícímu tokeny. |
| Životnost tokenu | Soubor RDP (Remote Desktop Protocol) obsahuje token EndpointFedAuth a vlastnictví souboru RDP umožňuje přístup ke konzole konkrétního virtuálního počítače. | Nakonfigurujte krátkou dobu vypršení platnosti tokenu. Doporučená doba platnosti tokenu je jedna minuta. Dobu životnosti tokenu lze nastavit pomocí rutiny SetSCVMMServer prostředí Windows PowerShell. |
| Sdílený přístup | Žádosti o přístup a přístup jiných uživatelů k relaci konzoly ukončí existující relaci. To zahrnuje hostitele přistupujícího ke konzole uživatele, který je přihlášen a pak získá přístup k prostředkům klienta. Relace konzoly jsou podobné relacím KVM pro fyzické hostitele. Relace virtuálního počítače je k dispozici všem uživatelům, jimž byla udělena oprávnění ke čtení či ke čtení a zápisu pro konzolu v rámci zásad autorizace. Ve výchozím nastavení mají tato oprávnění všichni správci. |
Uživatelé klienta: Nezůstávejte přihlášeni k relaci konzoly, pokud aktivně nepracujete. Zajistěte, aby se operační systém po krátké době nečinnosti uzamknul. Poskytovatelé hostingových služeb: Pomocí zásad ověřování omezte přístupová oprávnění ke čtení a zápisu. |
| Uživatelé se zlými úmysly | Uživatelé se zlými úmysly se mohou pokusit připojit k portům přes Bránu VP, pokud nejsou autorizováni. Uživatel se zlými úmysly se může například pokusit připojit k portu RDP na hostiteli Hyper-V, aby mohl zkoušet různé kombinace uživatelského jména a hesla. | Nakonfigurujte zásady autorizace prostředků Vzdálené plochy na serveru Brány VP, aby se uživatelé nemohli připojovat přímo k portu 3389 na serveru Hyper-V. Připojení jsou potřeba pouze na portu 2179. Další informace naleznete v tématu Správa zásad Vzdálené plochy pro autorizaci prostředků. |
| Útok prostředníkem | Technologie Hyper-V byla navržena tak, aby dokázala zajistit lepší ochranu proti útokům prostředníkem (také se používá označení MITM – man-in-the-middle). Před útoky MITM může pomoci chránit používání důvěryhodných certifikátů pro identifikaci hostitele Hyper-V. Technologie Hyper-V využívá naslouchací proces s jedním portem, který pro ověření serveru využívá důvěryhodné certifikáty. Za určitých okolností vystavuje technologie Hyper-V certifikát podepsaný svým držitelem (self-signed certificate), který je pak použit pro ověření serveru. Alternativa k tomuto přístupu: Můžete technologii Hyper-V nakonfigurovat tak, aby se používal jiný certifikát, například certifikát vystavený certifikační autoritou (CA). | Používejte certifikát hostitele Hyper-V s platným řetězem certifikátů, který je připojen k důvěryhodnému kořenovému certifikátu. Tím se zabrání zobrazení chybové zprávy s informacemi o tom, že nelze ověřit identitu vzdáleného počítače. Další informace naleznete v tématu Konfigurace certifikátů pro připojení virtuálních počítačů. |
| Sledování relací | Je-li připojení konzoly aktivní, mohou si pracovníci na straně hostitele pořídit snímek virtuálního počítače a vyexportovat virtuální počítač na jiný server, případně shromažďovat obrázky miniatur konzoly. | Pomocí zásad ověřování omezte přístupová oprávnění ke čtení a zápisu. Sdělte klientům, za jakých okolností by mohli vaši zaměstnanci přistupovat k relacím konzol. |
| Konfigurace sítě | Uživatel se zlými úmysly může pomocí vlastností v souboru RDP získat přehled o konfiguraci sítě. | Určete, zda má být pro připojení k serveru, na kterém běží technologie Hyper-V, použit název hostitele nebo IP adresa. Tato informace je obsažena v souboru RDP, který je odeslán uživateli služby. Je také v certifikátu, který je předkládán serverem, na kterém běží technologie Hyper-V, když je zahájeno připojení ke konzole. Nastavením konfigurace sítě zajistěte, aby servery, na kterých se používá technologie Hyper-V, nebyly přímo přístupné z internetu nebo z virtuálního počítače uživatele. IP adresa (zejména adresa IPv6) snižuje množství informací, které jsou zveřejňovány. |
Viz také
Postup při konfiguraci sady Windows Azure Pack pro používání služby Brána vzdálené plochy