• Artikel

Remote Console in System Center 2012 R2

 

Veröffentlicht: März 2016

Gilt für: System Center 2012 R2 Virtual Machine Manager

Remote Console ist eine Funktion, die in System Center 2012 R2 eingeführt wurde. Mit Remote Console können Mandanten auf die Konsole ihrer virtuellen Maschinen zugreifen, wenn andere Remotetools (oder Remotedesktop) nicht verfügbar sind. Die Mandanten können mit Remote Console auf virtuelle Maschinen zugreifen, die sich in isolierten oder als nicht vertrauenswürdig eingestuften Netzwerken oder im Internet befinden.

Remote Console benötigt zum Ausführen Folgenden:

  • Microsoft® Hyper-V® Server 2012 R2

  • System Center 2012 R2 Virtual Machine Manager

  • System Center 2012 R2 Service Provider Foundation

  • Microsoft Azure Pack für Windows Server

System_CAPS_ICON_note.jpg Hinweis

Mandanten benötigen Clientcomputer, von denen das Remotedesktopprotokoll 8.1 unterstützt wird. Beispielsweise müssen Benutzer mit Windows 8 ein Upgrade auf Windows 8.1 ausführen. Darüber hinaus müssen Clients mit Windows 7 SP1 KB2830477 installieren.

In dieser Version werden von Remote Console eingeschränkte Funktionalitäten unterstützt. Funktionen wie Zwischenablage, akustische Signale, Druckerumleitung und Laufwerkzuordnung werden nicht unterstützt. Die Funktionsweise von Remote Console ist vergleichbar mit der KVM-Verbindung (Tastatur, Video, Maus), die von physischen Computern verwendet wird.

Benutzerauthentifizierung

In Hyper-V in Windows Server 2012 R2 wird zertifikatbasierte Authentifizierung unterstützt. Dadurch wird sichergestellt, dass Mandanten nur auf virtuelle Maschinen zugreifen, die ihnen zugewiesen wurden. Vom Microsoft Azure Pack für Windows Server-Webportal, von Service Provider Foundation und Virtual Machine Manager (VMM) wird der Zugriff auf virtuelle Maschinen authentifiziert und autorisiert, und es wird ein Token bereitgestellt, das vom Hyper-V-Host zum Gewähren von Zugriff auf einzelne virtuelle Maschinen verwendet wird.

Im folgenden Diagramm sind die Komponenten dargestellt, die für den Remote Console-Zugriff erforderlich sind, wenn Mandanten über ein als nicht vertrauenswürdig eingestuftes Netzwerk (z. B. das Internet) auf virtuelle Maschinen zugreifen. Das RD-Gateway (Remotedesktopgateway) wird weggelassen, wenn diese Umgebung in einem Firmennetzwerk bereitgestellt wird.

Fernauthentifizierung auf Konsolenzertifikat-Basis

Zum Herstellen einer Vertrauensstellung werden die privaten und öffentlichen Schlüssel für ein Zertifikat verwendet. In den folgenden Abschnitten wird beschrieben, wie die erforderlichen Zertifikate erstellt werden.

Erstellen eines Zertifikats für den Remotezugriff

Zum Herstellen einer Vertrauensstellung zwischen dem RD-Gatewayserver, den Hyper-V-Hosts und VMM wird ein Zertifikat verwendet. Mit diesem Zertifikat wird dem RD-Gateway und den Hyper-V-Hosts ermöglicht, vom VMM-RD-Gateway ausgestellte Forderungstoken zu akzeptieren. Es ist möglich, das gleiche Zertifikat oder verschiedene Zertifikate für die Überprüfung auf dem RD-Gateway und den Hyper-V-Hosts zu verwenden. Gültige Zertifikate müssen die folgenden Anforderungen erfüllen:

  1. Das Zertifikat darf nicht abgelaufen sein.

  2. Das Feld „Schlüsselverwendung“ muss eine digitale Signatur enthalten.

  3. Das Feld „Erweiterte Schlüsselverwendung“ muss den folgenden Objektbezeichner zur Clientauthentifizierung enthalten: (1.3.6.1.5.5.7.3.2)

  4. Die Stammzertifikate für die Zertifizierungsstelle, von der das Zertifikat ausgestellt wurde, müssen im Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen installiert sein.

  5. Vom Kryptografiedienstanbieter für das Zertifikat muss SHA256 unterstützt werden.

Ein gültiges Zertifikat können Sie von einer gewerblichen Zertifizierungsstelle oder einer Unternehmenszertifizierungsstelle beziehen. Sie können auch ein selbstsigniertes Zertifikat verwenden.

System_CAPS_ICON_note.jpg Hinweis

Ein gültiges Zertifikat können Sie von einer gewerblichen Zertifizierungsstelle oder einer Unternehmenszertifizierungsstelle beziehen. Sie können auch ein selbstsigniertes Zertifikat verwenden. Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie den öffentlichen Schlüssel des Zertifikats im Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen des RD-Gateways sowie des Hyper-V-Hosts platzieren.

Erstellen eines Testzertifikats mithilfe des MakeCert-Tools

Zu Testzwecken können Sie ein selbstsigniertes Zertifikat mit dem MakeCert-Tool erstellen. MakeCert ist Bestandteil des Windows SDKs.

  • Sie können das SDK unter Windows SDK herunterladen.

  • Weitere Informationen finden Sie im Windows Dev Center unter MakeCert.

Der folgende Code dient als Beispiel für das Erstellen eines selbstsignierten Zertifikats.

makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"

Dabei gilt Folgendes:

-sky signature Zum Signieren
-r Zum Erstellen eines selbstsignierten Zertifikats
-n “CN=Remote Console Connect” Name des Antragstellers (Remote Console-Verbindung)
-pe Privater Schlüssel ist exportierbar
-a sha256 Algorithmus
-len 2048 Schlüssellänge
-e <mm/tt/jjjj> Ablaufdatum
-eku 1.3.6.1.5.5.7.3.2 Erweiterte Schlüsselverwendung (Objektbezeichner zur Clientauthentifizierung)
-ss My Privaten Schlüssel im Zertifikatspeicher „My“ speichern
-sy 24 Typ des Kryptografieanbieters (SHA256 wird unterstützt)
„<Zertifikatname>.cer“ Name des öffentlichen Schlüssels

Verwenden einer Zertifizierungsstelle

Wenn Sie ein Zertifikat von einer Zertifizierungsstelle anfordern, können Sie mit dem Certreq-Tool eine INF-Datei als Zertifikatvorlage ähnlich der folgenden verwenden. Weitere Informationen finden Sie unter Certreq

[Version]  
Signature="$Windows NT$"  
[NewRequest]  
; Change to your,country code, company name and common name  
Subject = "C=US, O=Contoso, CN=wap-rdg.contoso.com"  
; Indicates both encryption and signing  
KeySpec = 1   
; Length of the public and private key, use 2048 or higher  
KeyLength = 2048  
; Certificate will be put into the local computer store  
MachineKeySet = TRUE   
PrivateKeyArchive = FALSE  
RequestType = PKCS10  
UserProtected = FALSE  
; Allow the key to be shared between multiple computers  
Exportable = TRUE  
SMIME = False  
UseExistingKeySet = FALSE   
; ProviderName and ProviderType must be for a CSP that supports SHA256  
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"  
ProviderType = 24  
; KeyUsage must include DigitalSignature. 0xA0 also includes Key Encipherment  
KeyUsage = 0xa0  
[EnhancedKeyUsageExtension]  
OID=1.3.6.1.5.5.7.3.2

Sie können überprüfen, ob ein Zertifikat in einer PFX-Datei dem Algorithmus und den Anforderungen der erweiterten Schlüsselverwendung entspricht, indem Sie das folgende Windows PowerShell-Skript ausführen:

$cert = Get-PfxCertificate <cert.pfx>  
if ($cert.PrivateKey.CspKeyContainerInfo.ProviderName -ne "Microsoft Enhanced RSA and AES Cryptographic Provider")  
{  
       Write-Warning "CSP may not support SHA256"  
}  
if (! (Test-Certificate $cert -EKU "1.3.6.1.5.5.7.3.2") )  
{  
       Write-Warning "Certificate is not valid"  
}

Installieren des Zertifikats

Sobald das Zertifikat erstellt wurde, müssen Sie es installieren und Virtual Machine Manager konfigurieren, sodass das Zertifikat zur Ausgabe von Forderungstoken verwendet wird. Der private Schlüssel des Zertifikats wird dann in die Virtual Machine Manager-Datenbank importiert. Verwenden Sie dazu das Windows PowerShell-Cmdlet Set-SCVMMServer, beispielsweise:

PS C:\> $mypwd = ConvertTo-SecureString "password" -AsPlainText -Force  
PS C:\> $cert = Get-ChildItem .\RemoteConsoleConnect.pfx   
PS C:\> $VMMServer = VMMServer01.Contoso.com  
PS C:\> Set-SCVMMServer -VMConnectGatewayCertificatePassword $mypwd -VMConnectGatewayCertificatePath $cert -VMConnectHostIdentificationMode FQDN -VMConnectHyperVCertificatePassword $mypwd -VMConnectHyperVCertificatePath $cert -VMConnectTimeToLiveInMinutes 2 -VMMServer $VMMServer

In diesem Beispiel wird für das RD-Gateway und für die Hyper-V-Hosts das gleiche Zertifikat verwendet, und die Token haben eine Lebensdauer von zwei Minuten. Sie können für die Token eine Lebensdauer von 1 bis 60 Minuten auswählen.

Sie identifizieren den Hostserver durch den vollständig qualifizierten Domänennamen (FQDN). Alternativ können Hosts von IPv4-Adressen, IPv6-Adressen und Hostnamen identifiziert werden. Die Hostidentität ist in der RDP-Datei (Remotedesktopprotokoll) enthalten, die an Mandanten gesendet wird.

System_CAPS_ICON_note.jpg Hinweis

VMMServer01.Contoso.com dient als Hostservernamen-Beispiel. Ändern Sie ihn in den tatsächlichen Servernamen.

‎%%78%%% ‎

Wenn die Hosts in Virtual Machine Manager aktualisiert werden, wird das Zertifikat im persönlichen Zertifikatspeicher des Hyper-V-Hosts installiert, und der Hyper-V-Host wird zum Überprüfen von Token mithilfe des Zertifikats konfiguriert. Mithilfe des Windows PowerShell-Befehls können Sie ein Aktualisieren aller Hyper-V-Hosts erzwingen:

PS C:\> Get-SCVMHost -VMMServer "VMMServer01.Contoso.com" | Read-SCVMHost

Hyper-V-Hosts

Beim Authentifizieren von Token werden von Hyper-V nur Token akzeptiert, die mithilfe bestimmter Zertifikate und Hashalgorithmen signiert sind. Die erforderliche Konfiguration der Hyper-V-Hosts wird von Virtual Machine Manager vorgenommen. Die Remote Console-Funktionalität wird nur von Hyper-V in Windows Server 2012 R2 unterstützt.

Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie den öffentlichen Schlüssel des Zertifikats in den Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen des Hyper-V-Hosts importieren. Im folgenden Skript wird veranschaulicht, wie Windows PowerShell zum Importieren des öffentlichen Schlüssels verwendet wird:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"

Sie müssen den Hyper-V Virtual Machine Management-Dienst neu starten, wenn Sie ein Zertifikat installieren, nachdem Sie Virtual Machine Manager konfiguriert haben.

Sie können folgendermaßen überprüfen, ob der Hyper-V-Host korrekt für Remote Console konfiguriert ist:

  1. Überprüfen Sie, dass das Zertifikat sich im persönlichen Zertifikatspeicher des Hyper-V-Hosts befindet und als vertrauenswürdig eingestuft wird.

  2. Überprüfen Sie die Hashkonfiguration des Zertifikats des vertrauenswürdigen Ausstellers.

Im folgenden Skript finden Sie ein Beispiel für die Verwendung von Windows Power Shell zum Überprüfen, ob das Zertifikat im persönlichen Zertifikatspeicher des Hyper-V-Hosts installiert ist:

PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }

Im folgenden Skript finden Sie ein Beispiel für die Verwendung von Windows PowerShell zum Überprüfen der Hashkonfiguration des Zertifikats des vertrauenswürdigen Ausstellers.

PS C:\> $TSData = Get-WmiObject -computername $Server -NameSpace "root\virtualization\v2" -Class "Msvm_TerminalServiceSettingData"

Das Array TrustedIssuerCertificateHashes muss den Fingerabdruck des Zertifikats enthalten, welches zum Herstellen einer Verbindung mit Remote Console verwendet wird. Das Array AllowedHashAlgorithms muss leer sein oder den Algorithmus „SHA256“ enthalten. Wenn das Array leer ist, wird standardmäßig „SHA256“ oder „SHA512“ verwendet.

System_CAPS_ICON_note.jpg Hinweis

Von Virtual Machine Manager werden SHA256-Token generiert.

Remotedesktopgateway

Das RD-Gateway (Remotedesktopgateway) kann nur für den Konsolenzugriff auf virtuelle Maschinen verwendet werden. Wenn Sie das RD-Gateway konfigurieren, tritt eine Konfigurationsänderung auf, durch die das Gateway für andere Zwecke nicht mehr verwendbar ist. Beim Konfigurieren des RD-Gateways werden die folgenden Aufgaben ausgeführt:

  1. Bereitstellen des RD-Gateways und Installieren des Authentifizierungs-Plug-Ins

  2. Installieren des Zertifikats

  3. Konfigurieren von Zertifikaten vertrauenswürdiger Aussteller (mithilfe von WMI)

  4. Erstellen eines Zertifikats für das RD-Gateway

Zum Unterstützen von Verbundauthentifizierung muss das Verbindungsgateway der Konsole von Microsoft System Center – Virtual Machine Manager auf dem RD-Gatewayserver installiert werden. Beginnen Sie mit dem Erstellen einer virtuellen Maschine, und aktivieren Sie dann die Remotedesktopdienste.

Installieren Sie dann die Verbindungsgatewaykomponente der System Center – Virtual Machine Manager-Konsole. Die Installationsbinärdaten für diese Komponente finden Sie im folgenden Ordner für Virtual Machine Manager-Installationsmedien: CDLayout.EVAL\amd64\Setup\msi\RDGatewayFedAuth. Bei hoch verfügbaren Konfigurationen installieren Sie mehrere RD-Gateways mit der Verbindungsgatewaykomponente für die Konsole hinter einem Lastenausgleichsmodul.

Importieren Sie dann den öffentlichen Schlüssel des Zertifikats in den persönlichen Zertifikatspeicher jedes RD-Gatewayservers. Dies können Sie mithilfe von Windows PowerShell vornehmen wie im folgenden Beispiel gezeigt:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\My -Filepath "<certificate path>.cer"

Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie den öffentlichen Schlüssel des Zertifikats in den Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen des Computerkontos importieren. Dies können Sie mithilfe von Windows PowerShell vornehmen wie im folgenden Beispiel gezeigt:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"

Beim Authentifizieren von Token werden vom RD-Gateway nur Token akzeptiert, die mithilfe bestimmter Zertifikate und Hashalgorithmen signiert sind. Diese Konfiguration wird ausgeführt, indem in der WMI-Klasse FedAuthSettings die Eigenschaften TrustedIssuerCertificateHashes und AllowedHashAlgorithms festgelegt werden. Sie benötigen Administratoranmeldeinformationen, um diese Eigenschaften festzulegen.

Die Eigenschaft TrustedIssuerCertificateHashes ist ein Array von Zertifikatfingerabdrücken, die im RD-Gatewayserver gespeichert sind. Zum Festlegen der Eigenschaft TrustedIssuerCertificateHashes können Sie den folgenden Windows PowerShell-Befehl verwenden:

$Server = "rdgw.contoso.com"  
$Thumbprint = "95442A6B58EB5E443313C1B4AFD2665991D354CA"  
$TSData = Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"  
$TSData.TrustedIssuerCertificates = $Thumbprint  
$TSData.Put()

Der letzte Schritt besteht im Auswählen oder Erstellen eines selbstsignierten Zertifikats für das RD-Gateway. Öffnen Sie dazu den RD-Gateway-Manager, klicken Sie mit der rechten Maustaste auf Remotedesktopgateway, und klicken Sie dann auf Eigenschaften. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte SSL-Zertifikat.

Dieses Zertifikat wird von Mandantenclientcomputern zum Überprüfen der Identität des RD-Gatewayservers verwendet. Der CN-Name des Zertifikats muss mit dem vollqualifizierten Domänennamen (FQDN) des RD-Gatewayservers übereinstimmen. Öffnen Sie den RD-Gateway-Manager, und weisen Sie ein selbstsigniertes Zertifikat zu bzw. erstellen Sie eins.

System_CAPS_ICON_note.jpg Hinweis

Verwenden Sie selbstsignierte Zertifikate nur zu Testzwecken. Selbstsignierte Zertifikate dürfen niemals in Produktionsumgebungen verwendet werden. Außerdem muss bei Verwendung eines selbstsignierten Zertifikats das Zertifikat auf jedem Mandantencomputer installiert sein, von dem Verbindungen über das RD-Gateway hergestellt werden.

Sie können die Konfiguration des RD-Gateways überprüfen, indem Sie folgende Schritte ausführen:

  1. Stellen Sie sicher, dass RD-Gateway zum Verwenden des Verbindungsgateways der Konsole zu Authentifizierungs- und Autorisierungszwecken konfiguriert ist. Dies können Sie mithilfe von Windows PowerShell vornehmen wie im folgenden Beispiel gezeigt:

    PS C:\> Get-WmiObject -Namespace root\CIMV2\TerminalServices -Class Win32_TSGatewayServerSettings

    Überprüfen Sie, ob für die Eigenschaften AuthenticationPlugin und AuthorizationPlugin der Wert FedAuthorizationPlugin festgelegt ist.

  2. Stellen sie sicher, dass im persönlichen Zertifikatspeicher des Computerkontos ein Zertifikat installiert ist. Dies können Sie mithilfe von Windows PowerShell vornehmen wie im folgenden Beispiel gezeigt:

    PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }

  3. Überprüfen Sie die Konfiguration des Konsolenverbindungsgateways. Dies können Sie mithilfe von Windows PowerShell vornehmen wie im folgenden Beispiel gezeigt:

    PS C:\> Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"

    Das Array TrustedIssuerCertificates muss den Zertifikatfingerabdruck für das Konsolenverbindungsgateway enthalten.

Microsoft Azure-Paket für Windows Server für Remote Console

Sie können den Zugriff auf Remote Console nach Plan über den Clouddienst für virtuelle Maschinen im Windows Azure-Pack für Windows Server aktivieren. Wählen Sie im Dashboard des Plans unter Plandienste die Option Clouds für virtuelle Maschinen und dann unter Zusätzliche Einstellungen die Option Mit der Konsole von virtuellen Maschinen verbinden aus.

Wenn Sie ein Remotedesktop-Gateway installiert haben, lesen Sie das Verfahren Konfigurieren von Microsoft Azure Pack für das Remotedesktopgateway.

Empfehlungen zur Sicherheit

Es wird empfohlen, dass Sie zum Erhöhen der Sicherheit die folgenden Aufgaben ausführen:

Name Bedrohung Empfehlung
Tokenzugriff Der Zugriff auf den Zertifikatspeicher „My“ kann zum Generieren von Zugriffstoken auf beliebige virtuelle Maschinen verwendet werden. Verwenden Sie Active Directory-Sicherheitsgruppen, um den Zugriff auf den Virtual Machine Manager-Server einzuschränken, von dem Token generiert werden.
Lebensdauer von Token Die RDP-Datei (Remotedesktopprotokoll) enthält das Token EndpointFedAuth, und der Besitz der RDP-Datei gestattet den Zugriff auf die Konsole einer bestimmten virtuellen Maschine. Konfigurieren Sie eine kurze Ablaufzeit für das Token. Die empfohlene Ablaufzeit ist eine Minute. Verwenden Sie das Windows PowerShell-Cmdlet SetSCVMMServer, um die Lebensdauer des Tokens festzulegen.
Gemeinsamer Zugriff Ein anderer Benutzer fordert die Konsolensitzung an und greift auf sie zu. Dadurch wird die vorhandene Sitzung beendet. Dies schließt einen Host ein, von dem auf die Konsole eines angemeldeten Benutzers zugegriffen wird und der dadurch Zugriff auf Mandantenressourcen erhält.

Konsolensitzungen sind KVM-Sitzungen für physische Hosts ähnlich. Eine Sitzung mit der virtuellen Maschine ist für alle Benutzer verfügbar, denen in der Autorisierungsrichtlinie Lese- oder Lese- und Schreibberechtigungen für die Konsole erteilt wurden. Standardmäßig verfügt jeder Administrator über diese Berechtigungen.		 Mandantenbenutzer:

Bleiben Sie bei Konsolensitzungen nur dann angemeldet, wenn Sie aktiv damit arbeiten.

Stellen Sie sicher, dass das Betriebssystem nach einem kurzen Zeitraum der Inaktivität gesperrt wird.

Hostinganbieter:

Verwenden Sie Autorisierungsrichtlinien, um den Lese- und Schreibzugriff zu beschränken.
Böswillige Benutzer Böswillige Benutzer können unbefugterweise versuchen, eine Verbindung zu den Ports über das RD-Gateway herzustellen. Beispielsweise kann versucht werden, eine Verbindung mit dem RDP-Port auf einem Hyper-V-Host herzustellen, um Kombinationen aus Benutzernamen und Kennwörtern auszuprobieren. Konfigurieren Sie Remotedesktop-Ressourcenautorisierungsrichtlinien auf dem RD-Gatewayserver, um eine direkte Verbindung mit Port 3389 auf dem Hyper-V-Server zu unterbinden. Es werden nur Verbindungen mit Port 2179 benötigt. Weitere Informationen finden Sie unter Verwalten von Remotedesktop-Ressourcenautorisierungsrichtlinien.
Man-in–the-middle-Angriffe Man-in–the-middle-Angriffe (MITM-Angriffe) sind eines der Sicherheitsprobleme, gegen die Hyper-V per Design einen besseren Schutz bietet. Die Verwendung vertrauenswürdiger Zertifikate zur Identifizierung des Hyper-V-Hosts können zum Schutz gegen MITM-Angriffe beitragen. Bei Hyper-V werden von einem Einzelportlistener vertrauenswürdige Zertifikate für die Serverauthentifizierung verwendet. Unter bestimmten Umständen wird von Hyper-V ein selbstsigniertes Zertifikat ausgegeben und für die Serverauthentifizierung genutzt. Alternativ dazu können Sie Hyper-V zur Verwendung eines anderen Zertifikats, etwa dessen einer Zertifizierungsstelle, konfigurieren. Verwenden Sie ein Hyper-V-Hostzertifikat mit einer gültigen Zertifikatkette, das mit einem vertrauenswürdigen Stammzertifikat verbunden ist. Dadurch wird die Anzeige einer Fehlermeldung, dass die Identität des Remotecomputers nicht überprüft werden kann, vermieden. Weitere Informationen finden Sie unter Configuring Certificates for Virtual Machine Connection (Konfigurieren von Zertifikaten für die Verbindung mit virtuellen Maschinen).
Sitzungssnooping Bei aktiver Konsolenverbindung kann Personal des Hostingunternehmens eine Momentaufnahme der virtuellen Maschine erstellen und diese zu einem anderen Server exportieren bzw. Miniaturansichten der Konsole sammeln. Verwenden Sie Autorisierungsrichtlinien, um den Lese- und Schreibzugriff zu beschränken. Legen Sie den Mandanten die Situationen offen, in denen Ihr Personal auf Konsolensitzungen zugreifen könnte.
Netzwerkkonfiguration Ein böswilliger Benutzer kann sich über die Eigenschaften in der RDP-Datei Kenntnisse über eine Netzwerkkonfiguration verschaffen. Legen Sie fest, ob der Hostname oder die IP-Adresse für Verbindungen mit einem Server mit Hyper-V verwendet werden soll. Diese Information ist Teil der an den Kunden gesendeten RDP-Datei. Sie ist auch in dem Zertifikat enthalten, das bei Aufbau einer Konsolenverbindung vom Hyper-V-Server vorgelegt wird.

Legen Sie die Netzwerkkonfiguration so fest, dass auf Server mit Hyper-V nicht direkt vom Internet oder der virtuellen Maschine eines Benutzers aus zugegriffen werden kann. Durch die Verwendung einer IP-Adresse (vor allem einer IPv6-Adresse) wird das Ausmaß der offen gelegten Informationen verringert.

Siehe auch

Konfigurieren von Microsoft Azure Pack für das Remotedesktopgateway