Console remoto no System Center 2012 R2

Os locatários precisam de um computador cliente com suporte ao Remote Desktop Protocol 8.1. Por exemplo, os usuários que executam o Windows 8 podem atualizar para o Windows 8.1. Além disso, os clientes que usam o Windows 7 SP1 devem instalar o KB2830477.

Você pode obter um certificado válido de uma autoridade de certificação comercial, uma autoridade de certificação corporativa ou usar um certificado autoassinado. Ao usar um certificado autoassinado, você deve colocar a chave pública do certificado no repositório de certificados de Autoridades de Certificação Raiz Confiáveis no Gateway RD e nos hosts do Hyper-V.

Uso de uma autoridade de certificação

Ao solicitar um certificado de uma autoridade de certificação, um arquivo .inf de modelo de certificado semelhante ao seguinte pode ser usado com a ferramenta Certreq. Para obter mais informações, consulte Certreq.

[Version]  
Signature="$Windows NT$"  
[NewRequest]  
; Change to your,country code, company name and common name  
Subject = "C=US, O=Contoso, CN=wap-rdg.contoso.com"  
; Indicates both encryption and signing  
KeySpec = 1   
; Length of the public and private key, use 2048 or higher  
KeyLength = 2048  
; Certificate will be put into the local computer store  
MachineKeySet = TRUE   
PrivateKeyArchive = FALSE  
RequestType = PKCS10  
UserProtected = FALSE  
; Allow the key to be shared between multiple computers  
Exportable = TRUE  
SMIME = False  
UseExistingKeySet = FALSE   
; ProviderName and ProviderType must be for a CSP that supports SHA256  
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"  
ProviderType = 24  
; KeyUsage must include DigitalSignature. 0xA0 also includes Key Encipherment  
KeyUsage = 0xa0  
[EnhancedKeyUsageExtension]  
OID=1.3.6.1.5.5.7.3.2  
  

Você pode validar se um certificado em um arquivo .pfx atende aos requisitos de algoritmo e Uso Avançado de Chave executando o seguinte script do Windows PowerShell:

$cert = Get-PfxCertificate <cert.pfx>  
if ($cert.PrivateKey.CspKeyContainerInfo.ProviderName -ne "Microsoft Enhanced RSA and AES Cryptographic Provider")  
{  
       Write-Warning "CSP may not support SHA256"  
}  
if (! (Test-Certificate $cert -EKU "1.3.6.1.5.5.7.3.2") )  
{  
       Write-Warning "Certificate is not valid"  
}  
  

Instalando o certificado

Quando o certificado tiver sido criado, você deve instalá-lo e configurar o Virtual Machine Manager para usar o certificado para emitir tokens de declarações. A chave privada do certificado deve ser importada para o banco de dados do Virtual Machine Manager. Para isso, use o cmdlet Set-SCVMMServer do Windows PowerShell, por exemplo:

PS C:\> $mypwd = ConvertTo-SecureString "password" -AsPlainText -Force  
PS C:\> $cert = Get-ChildItem .\RemoteConsoleConnect.pfx   
PS C:\> $VMMServer = VMMServer01.Contoso.com  
PS C:\> Set-SCVMMServer -VMConnectGatewayCertificatePassword $mypwd -VMConnectGatewayCertificatePath $cert -VMConnectHostIdentificationMode FQDN -VMConnectHyperVCertificatePassword $mypwd -VMConnectHyperVCertificatePath $cert -VMConnectTimeToLiveInMinutes 2 -VMMServer $VMMServer  
  

Neste exemplo, o mesmo certificado é usado para o Gateway de Área de Trabalho Remota e para os hosts do Hyper-V, e os tokens têm um tempo de vida de dois minutos. Você pode selecionar um tempo de vida para tokens de 1 a 60 minutos.

Identifique o servidor host pelo seu domínio nome FQDN (totalmente qualificado). Como alternativa, os hosts podem ser identificados pelo endereço IPv4, pelo endereço IPv6 e pelo nome do host. A identidade do host está incluída no arquivo de protocolo RDP enviado aos locatários.

Observação
O VMMServer01.Contoso.com é usado como nome de servidor de host de exemplo. Altere para o nome real do servidor.

‎%%78%%% ‎

Quando cada host é atualizado no Virtual Machine Manager, ele instala o certificado no repositório de certificados pessoais do Hyper-V e configura o host do Hyper-V para validar tokens usando o certificado. Você pode usar o seguinte comando do Windows PowerShell para forçar uma atualização de todos os hosts do Hyper-V:

PS C:\> Get-SCVMHost -VMMServer "VMMServer01.Contoso.com" | Read-SCVMHost  

Hosts do Hyper-V

Na autenticação de tokens, o Hyper-V aceita apenas tokens assinados com certificados específicos e algoritmos de hash. O Virtual Machine Manager executa a configuração necessária para os hosts do Hyper-V. Somente o Hyper-V no Windows Server 2012 R2 oferece suporte à funcionalidade do Console remoto.

Ao usar um certificado autoassinado, você deve importar a chave pública do certificado para o repositório de certificados de Autoridades de Certificação Confiáveis da máquina do host do Hyper-V. O script a seguir fornece um exemplo de como usar o Windows PowerShell para importar a chave pública:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"  

É necessário reiniciar o serviço Gerenciamento de Máquinas Virtuais do Hyper-V se você for instalar um certificado após a configuração do Virtual Machine Manager.

Você pode verificar se o host do Hyper-V está configurado corretamente para o Console remoto da seguinte maneira:

1. Verifique se o certificado está no repositório de certificados Pessoal do host do Hyper-V e se ele é confiável.

2. Verifique a configuração de hash para o certificado do emissor confiável.

O script a seguir fornece um exemplo de como usar o Windows PowerShell para verificar se o certificado foi instalado no repositório de certificados Pessoal do host do Hyper-V:

PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }  

O script a seguir fornece um exemplo de como usar o Windows PowerShell para verificar a configuração de hash do certificado do emissor confiável:

PS C:\> $TSData = Get-WmiObject -computername $Server -NameSpace "root\virtualization\v2" -Class "Msvm_TerminalServiceSettingData"  

A matriz TrustedIssuerCertificateHashes deve conter a impressão digital do certificado usada para conectar o Console remoto. A matriz AllowedHashAlgorithms deve estar vazia ou conter o algoritmo SHA256. Quando a matriz está vazia, o padrão é SHA256 ou SHA512.

Observação
O Virtual Machine Manager gera tokens de SHA256.

Gateway de Área de Trabalho Remota

O Gateway de Área de Trabalho Remota (Gateway RD) pode ser usado somente para acesso do console às máquinas virtuais. Ao configurar o Gateway RD, ocorre uma alteração na configuração que inutiliza o gateway para outros fins. As seguintes tarefas são concluídas quando você configura o Gateway RD:

1. Implantar Gateway RD e instalar o plug-in de autenticação.

2. Instalar o certificado.

3. Configurar certificados de emissor confiável (usando WMI).

4. Criar um certificado para o Gateway RD.

Para oferecer suporte à autenticação federada, é necessário instalar o Microsoft System Center Virtual Machine Manager Console Connect Gateway no servidor do Gateway RD. Comece criando uma máquina virtual e, depois, habilite os Serviços de Área de Trabalho Remota.

Em seguida, instale o componente System Center Virtual Machine Manager Console Connect Gateway. Você encontrará os binários de instalação para este componente na pasta de mídia de instalação do Virtual Machine Manager a seguir: CDLayout.EVAL\amd64\Setup\msi\RDGatewayFedAuth. Para uma configuração de alta disponibilidade, instale várias instâncias do Gateway de Área de Trabalho Remota com o componente Console Connect Gateway por trás de um balanceador de carga.

Em seguida, importe a chave pública do certificado para o repositório de certificados Pessoal em cada servidor do Gateway RD. Você pode fazer isso usando o Windows PowerShell como mostrado no seguinte exemplo:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\My -Filepath "<certificate path>.cer"  

Se estiver usando um certificado autoassinado, você deve importar a chave pública do certificado para o repositório de certificados de Autoridades de Certificação Raiz Confiáveis da conta da máquina. Você pode fazer isso usando o Windows PowerShell como mostrado no seguinte exemplo:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"  

Na autenticação de tokens, o Gateway RD aceita apenas tokens assinados com certificados específicos e algoritmos de hash. Essa configuração e executada ao definir as propriedades TrustedIssuerCertificateHashes e AllowedHashAlgorithms na classe FedAuthSettings do WMI. É necessário ter credenciais administrativas para definir essas propriedades.

A propriedade TrustedIssuerCertificateHashes é uma matriz de impressões digitais de certificado armazenada no servidor do Gateway RD. Você pode usar o seguinte comando do Windows PowerShell para definir a propriedade TrustedIssuerCertificateHashes:

$Server = "rdgw.contoso.com"  
$Thumbprint = "95442A6B58EB5E443313C1B4AFD2665991D354CA"  
$TSData = Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"  
$TSData.TrustedIssuerCertificates = $Thumbprint  
$TSData.Put()  

A última etapa é selecionar ou criar um certificado autoassinado para o Gateway de Área de Trabalho Remota. Para fazer isso, abra o Gerenciador de Gateway de Área de Trabalho Remota, clique com o botão direito do mouse no Gateway de Área de Trabalho Remota e clique em Propriedades. Na caixa de diálogo Propriedades, clique na guia Certificado SSL.

Esse certificado é usado pelos computadores cliente do locatário para verificar a identidade do servidor de Gateway de Área de Trabalho Remota. O nome CN do certificado deve corresponder ao FQND do servidor Gateway RD. Abra o Gerenciador de Gateway da Área de Trabalho Remota e atribua ou crie um certificado autoassinado.

Observação
Use um certificado autoassinado somente para teste. Um certificado autoassinado nunca deve ser usado em uma implantação de produção. O uso de um certificado autoassinado também requer que o certificado seja instalado em cada computador do locatário que está se conectando por meio do Gateway de Área de Trabalho Remota.

Você pode verificar a configuração do Gateway de Área de Trabalho Remota executando as seguintes etapas:

1. Certifique-se de que o Gateway de Área de Trabalho Remota está configurado para usar o Console Connect Gateway para autenticação e autorização. Você pode fazer isso usando o Windows PowerShell como mostrado no seguinte exemplo:

   PS C:\> Get-WmiObject -Namespace root\CIMV2\TerminalServices -Class Win32_TSGatewayServerSettings  
   

   Verifique se as propriedades AuthenticationPlugin e AuthorizationPlugin estão definidas como FedAuthorizationPlugin.

2. Certifique-se de que um certificado foi instalado no repositório de certificados Pessoal da conta da máquina. Você pode fazer isso usando o Windows PowerShell como mostrado no seguinte exemplo:

   PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }  
   

3. Verifique a configuração do Console Connect Gateway. Você pode fazer isso usando o Windows PowerShell como mostrado no seguinte exemplo:

   PS C:\> Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"  
   

   A matriz TrustedIssuerCertificates deve conter a impressão digital do certificado para o Console Connect Gateway.

Pacote do Windows Azure para o Windows Server para Console Remoto

Você pode permitir acesso ao Console Remoto de modo planejado por meio do serviço Nuvens da Máquina Virtual no Windows Azure Pack para Windows Server. No painel do planejamento, selecione Nuvens da Máquina Virtual nos serviços planejados e Conectar ao console de máquinas virtuais em configurações adicionais.

Se você instalou um Gateway de Área de Trabalho Remota, leia o procedimento Como configurar o Windows Azure Pack para usar o Gateway de Área de Trabalho Remota.

É recomendável executar as seguintes tarefas para aprimorar a segurança:

Como configurar o Windows Azure Pack para usar o Gateway de Área de Trabalho Remota