Távoli konzol a System Center 2012 R2 rendszerben

Közzétéve: 2016. július

Hatókör: System Center 2012 R2 Virtual Machine Manager

A Távoli konzol funkció a System Center 2012 R2 verzióban jelent meg. A Távoli konzol használatával a bérlők elérhetik virtuális gépeik konzolját akkor is, amikor egyéb távoli hozzáférést biztosító eszközök (például a Távoli asztal) nem érhetők el. A bérlők a Távoli konzol használatával elkülönített és nem megbízható hálózatokon lévő virtuális gépeket is elérhetnek, illetve az interneten keresztül is hozzáférhetnek virtuális gépeikhez.

A Távoli konzolnak a következőket kell futtatnia:

• Microsoft® Hyper-V® Server 2012 R2

• System Center 2012 R2 Virtual Machine Manager

• System Center 2012 R2 Service Provider Foundation

• Windows Azure Pack for Windows Server

Megjegyzés
A bérlőknek az RDP protokoll 8.1-es verzióját támogató ügyfélszámítógépet kell használniuk. Azoknak a felhasználóknak például, akik Windows 8 ügyfélprogramot futtatnak, frissíteniük kell a Windows 8.1 programra. A Windows 7 SP1-t használó ügyfeleknek ezen kívül telepíteniük kell a következő frissítést: KB2830477.

Ebben a kiadásban a Távoli konzol csak korlátozott funkcionalitású. A vágólap használata, a hang, a nyomtató átirányítása és a meghajtók hozzárendelése nem támogatott. A Távoli konzol a fizikai számítógépek esetében alkalmazott, billentyűzetet, kijelzőt és egeret átirányító KVM-kapcsolókhoz hasonlóan működik.

A Windows Server 2012 R2 rendszeren futó Hyper-V támogatja a tanúsítványalapú hitelesítést, amely biztosítja, hogy a bérlők csak a hozzájuk rendelt virtuális gépeket érjék el. A Windows Azure Pack for Windows Server webportál, a Service Provider Foundation és a Virtual Machine Manager (VMM) hitelesíti és engedélyezi a hozzáférést a virtuális gépekhez, és olyan jogkivonatot biztosít, amelynek használatával a Hyper-V-gazdagép engedélyezi a hozzáférést egy virtuális géphez.

A következő diagram a Távoli konzol eléréséhez szükséges összetevőket ábrázolja, amikor a bérlők egy nem megbízható hálózaton, például az interneten keresztül férnek hozzá egy virtuális géphez. A Távoli asztali átjáró (RD átjáró) kimarad, ha ezt a környezetet vállalati hálózatba telepítik.

A tanúsítványok nyilvános és titkos kulcsai használatával hoz létre a rendszer megbízhatósági kapcsolatot. Az alábbi szakaszok ismertetik a szükséges tanúsítványok elkészítésének módját.

Tanúsítvány létrehozása a távoli hozzáféréshez

A rendszer tanúsítvány használatával épít ki megbízhatósági kapcsolatot az RD átjárókiszolgáló, a Hyper-V-gazdagépek és a VMM között. A tanúsítvány teszi lehetővé, hogy a Hyper-V-gazdagépek és az RD átjárókiszolgáló elfogadják a VMM RD átjárókiszolgálója által kiállított jogcímkivonatokat. Az RD átjárón és a Hyper-V-gazdagépeken az érvényesítéshez használható egyező vagy eltérő tanúsítvány is. Az érvényes tanúsítványoknak az alábbi követelményeknek kell megfelelniük:

1. A tanúsítványnak érvényesnek kell lennie (nem lehet lejárt).

2. A Kulcshasználat mezőben digitális aláírásnak kell szerepelnie.

3. A Kibővített kulcshasználat mezőnek a következő ügyfél-hitelesítési objektumazonosítót kell tartalmaznia: (1.3.6.1.5.5.7.3.2)

4. A tanúsítványt kiállító hitelesítésszolgáltató főtanúsítványát a Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolóba kell telepíteni.

5. A tanúsítvány kriptográfiai szolgáltatójának támogatnia kell az SHA256 titkosítást.

Érvényes tanúsítványt kereskedelmi hitelesítésszolgáltatótól vagy vállalati hitelesítésszolgáltatótól szerezhet be, illetve használhat önaláírt tanúsítványt is.

Megjegyzés
Érvényes tanúsítványt kereskedelmi hitelesítésszolgáltatótól vagy vállalati hitelesítésszolgáltatótól szerezhet be, illetve használhat önaláírt tanúsítványt is. Önaláírt tanúsítvány használatakor a tanúsítvány nyilvános kulcsát az RD átjáró és a Hyper-V-gazdagépek Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójában kell elhelyeznie.

Teszttanúsítvány létrehozása a MakeCert eszköz használatával

Tesztelési célokra a MakeCert eszköz használatával hozhat létre önaláírt tanúsítványokat. A MakeCert a Windows SDK része.

• Az SDK letöltéséhez látogasson el a Windows SDK for Windows 7 (Windows SDK a Windows 7 rendszerhez) oldalra.

• További információkért tekintse meg a MakeCert leírását a Windows fejlesztői központban.

Az alábbi kód az önaláírt tanúsítványok létrehozását szemlélteti:

makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"  

ahol:

Hitelesítésszolgáltató használata

Ha hitelesítésszolgáltatótól igényel tanúsítványt, akkor a Certreq eszközzel a következőhöz hasonló .inf tanúsítványsablon-fájl használható. További információ: Certreq.

[Version]  
Signature="$Windows NT$"  
[NewRequest]  
; Change to your,country code, company name and common name  
Subject = "C=US, O=Contoso, CN=wap-rdg.contoso.com"  
; Indicates both encryption and signing  
KeySpec = 1   
; Length of the public and private key, use 2048 or higher  
KeyLength = 2048  
; Certificate will be put into the local computer store  
MachineKeySet = TRUE   
PrivateKeyArchive = FALSE  
RequestType = PKCS10  
UserProtected = FALSE  
; Allow the key to be shared between multiple computers  
Exportable = TRUE  
SMIME = False  
UseExistingKeySet = FALSE   
; ProviderName and ProviderType must be for a CSP that supports SHA256  
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"  
ProviderType = 24  
; KeyUsage must include DigitalSignature. 0xA0 also includes Key Encipherment  
KeyUsage = 0xa0  
[EnhancedKeyUsageExtension]  
OID=1.3.6.1.5.5.7.3.2  
  

A következő Windows PowerShell-parancsprogram használatával ellenőrizheti, hogy a .pfx-fájlban található tanúsítvány megfelel-e az algoritmusra és kibővített kulcshasználatra vonatkozó követelményeknek:

$cert = Get-PfxCertificate <cert.pfx>  
if ($cert.PrivateKey.CspKeyContainerInfo.ProviderName -ne "Microsoft Enhanced RSA and AES Cryptographic Provider")  
{  
       Write-Warning "CSP may not support SHA256"  
}  
if (! (Test-Certificate $cert -EKU "1.3.6.1.5.5.7.3.2") )  
{  
       Write-Warning "Certificate is not valid"  
}  
  

A tanúsítvány telepítése

Miután a tanúsítvány létrejött, telepítenie kell azt, és konfigurálnia kell a Virtual Machine Manager programot, hogy a tanúsítványt használja a jogcímkivonatok kibocsátásához. A tanúsítványt titkos kulcsát ezután a rendszer a Virtual Machine Manager adatbázisba importálja. Ezt a Set-SCVMMServer Windows PowerShell-parancsmaggal végezheti el, például a következőképpen:

PS C:\> $mypwd = ConvertTo-SecureString "password" -AsPlainText -Force  
PS C:\> $cert = Get-ChildItem .\RemoteConsoleConnect.pfx   
PS C:\> $VMMServer = VMMServer01.Contoso.com  
PS C:\> Set-SCVMMServer -VMConnectGatewayCertificatePassword $mypwd -VMConnectGatewayCertificatePath $cert -VMConnectHostIdentificationMode FQDN -VMConnectHyperVCertificatePassword $mypwd -VMConnectHyperVCertificatePath $cert -VMConnectTimeToLiveInMinutes 2 -VMMServer $VMMServer  
  

Ebben a példában ugyanazt a tanúsítványt használják a Hyper-V gazdagépei és az RD átjáró, a kivonatok élettartama pedig két perc. A jogkivonatok-élettartamot 1 és 60 perc között adhatja meg.

A gazdakiszolgáló a teljes tartományneve (FQDN) alapján azonosítható. Ennek alternatívájaként a gazdagépek azonosíthatók IPv4- és IPv6-címmel, illetve állomásnévvel is. A gazdagép identitását a bérlőknek elküldött RDP-fájl tartalmazza.

Megjegyzés
A például szolgáló gazdakiszolgáló neve VMMServer01.Contoso.com. Módosítsa ezt a tényleges kiszolgáló nevére.

A PFX-fájl importálása a RemoteConsoleConnect.pfx használatával történik, és a tanúsítvány kulcsait a VMM-adatbázis tárolja. ‎

Amikor frissülnek a gazdagépek a Virtual Machine Manager alkalmazásban, az telepíti a tanúsítványt a Hyper-V gazdagép személyes tanúsítványtárolójába, és úgy konfigurálja a Hyper-V gazdagépet, hogy az a kivonatokat a tanúsítvány segítségével érvényesítse. A következő Windows PowerShell-parancsmag használatával kényszerítheti az összes Hyper-V-gazdagép frissítését:

PS C:\> Get-SCVMHost -VMMServer "VMMServer01.Contoso.com" | Read-SCVMHost  

Hyper-V-gazdagépek

A jogkivonatok hitelesítésekor a Hyper-V csak adott tanúsítványokkal és kivonatoló algoritmussal aláírt jogkivonatokat fogad el. A Virtual Machine Manager elvégzi a Hyper-V-gazdagépek szükséges konfigurálását. Csak a Windows Server 2012 R2 rendszer részét képező Hyper-V támogatja a Távoli konzol funkciót.

Önaláírt tanúsítvány használatakor a tanúsítvány nyilvános kulcsát importálnia kell a Hyper-V gazdagép Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójába. Az alábbi parancsprogram szemlélteti, hogy hogyan importálható a nyilvános kulcs a Windows PowerShell használatával:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"  

Ha a Virtual Machine Manager konfigurálása után telepít tanúsítványt, újra kell indítania a Hyper-V virtuálisgép-kezelő szolgáltatást.

A következőképpen bizonyosodhat meg róla, hogy a Hyper-V helyesen van-e konfigurálva a Távoli konzol használatához:

1. Ellenőrizze, hogy a tanúsítvány a Hyper-V gazdagép személyes tanúsítványtárolójában van-e, és megbízhatónak számít-e.

2. Ellenőrizze a megbízható kibocsátói tanúsítvány kivonatkonfigurációját.

Az alábbi parancsprogram azt szemlélteti, hogyan lehet ellenőrizni a Windows PowerShell segítségével, hogy a tanúsítvány a Hyper-V gazdagép személyes tanúsítványtárolójában van-e:

PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }  

A következő parancsprogram mutatja be, hogy hogyan ellenőrizhető a Windows PowerShell használatával a megbízható kibocsátói tanúsítvány kivonatkonfigurációja:

PS C:\> $TSData = Get-WmiObject -computername $Server -NameSpace "root\virtualization\v2" -Class "Msvm_TerminalServiceSettingData"  

A TrustedIssuerCertificateHashes tömbnek tartalmaznia kell a tanúsítvány Távoli konzolhoz való csatlakozáshoz használt ujjlenyomatát. Az AllowedHashAlgorithms tömbnek üresnek kell lennie, vagy az SHA256 algoritmust kell tartalmaznia. Ha a tömb üres, alapértelmezés szerint az SHA256 vagy SHA512 algoritmushoz tér vissza.

Megjegyzés
A Virtual Machine Manager SHA256-jogkivonatokat állít elő.

Távoli asztali átjáró

A Távoli asztali átjáró (RD átjáró) csak konzolhozzáférést biztosít a virtuális gépekhez. Az RD átjáró konfigurálásakor konfigurációmódosítás történik, amelynek következtében az átjáró más célra nem lesz használható. Az RD átjáró konfigurálása a következő műveleteket foglalja magába:

1. Az RD átjáró központi telepítését, valamint a hitelesítési beépülő modul telepítését.

2. A tanúsítvány telepítését.

3. A megbízható kibocsátói tanúsítvány konfigurálását (WMI használatával).

4. Tanúsítvány létrehozását az RD átjáró számára.

Az összevont hitelesítés támogatásához telepíteni kell a Microsoft System Center Virtual Machine Manager Console Connect Gateway összetevőt az RD átjárókiszolgálóra. Először hozzon létre egy virtuális gépet, majd engedélyezze a Távoli asztali szolgáltatásokat.

Ezután telepítse a System Center Virtual Machine Manager Console Connect Gateway összetevőt. Az összetevő futtatható telepítőfájljai a Virtual Machine Manager telepítési adathordozójának következő könyvtárában találhatók: CDLayout.EVAL\amd64\Setup\msi\RDGatewayFedAuth. Magas rendelkezésre állású konfiguráció létrehozásához telepítsen több, Console Connect Gateway összetevővel kiegészített RD átjárót egy terheléselosztó mögé.

Ezután importálja a tanúsítvány nyilvános kulcsát a személyes tanúsítványtárolóba minden egyes RD átjárókiszolgálón. Ezt a következő példában szereplő Windows PowerShell-parancsprogram használatával végezheti el:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\My -Filepath "<certificate path>.cer"  

Önaláírt tanúsítvány használatakor a tanúsítvány nyilvános kulcsát importálnia kell a számítógépfiók Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójába. Ezt a következő példában szereplő Windows PowerShell-parancsprogram használatával végezheti el:

PS C:\> Import-Certificate -CertStoreLocation cert:\LocalMachine\Root -Filepath "<certificate path>.cer"  

A jogkivonatok hitelesítésekor az RD átjáró csak adott tanúsítványokkal és kivonatoló algoritmussal aláírt jogkivonatokat fogad el. A konfiguráció megadásához a TrustedIssuerCertificateHashes és az AllowedHashAlgorithms tulajdonságokat kell beállítani a WMI FedAuthSettings osztályában. A tulajdonságok megadásához rendszergazdai hitelesítő adatokra van szükség.

A TrustedIssuerCertificateHashes tulajdonság az RD átjárókiszolgálón tárolt tanúsítvány-ujjlenyomatok tömbje. A TrustedIssuerCertificateHashes tulajdonság beállításához a következő Windows PowerShell-parancs használható:

$Server = "rdgw.contoso.com"  
$Thumbprint = "95442A6B58EB5E443313C1B4AFD2665991D354CA"  
$TSData = Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"  
$TSData.TrustedIssuerCertificates = $Thumbprint  
$TSData.Put()  

Utolsó lépésként létre kell hoznia egy önaláírt tanúsítványt az RD átjáró számára. Ehhez nyissa meg az RD átjárókezelőt, a jobb gombbal kattintson a Távoli asztali átjáró lehetőségre, végül válassza a Tulajdonságok menüpontot. A Tulajdonságok párbeszédpanelen kattintson az SSL-tanúsítvány fülre.

Ezt a tanúsítványt a bérlői ügyfélszámítógépek használják az RD átjárókiszolgáló identitásának ellenőrzéséhez. A tanúsítványban szereplő CN-névnek meg kell egyeznie az RD átjárókiszolgáló teljes tartománynevével. Nyissa meg az RD átjárókezelőt, és rendeljen hozzá vagy hozzon létre önaláírt tanúsítványt.

Megjegyzés
Önaláírt tanúsítványokat csak teszteléshez használjon. Soha ne használjon önaláírt tanúsítványt élő rendszerbe végzett telepítéshez. Önaláírt tanúsítvány használata esetén a tanúsítványt az RD átjárón keresztül csatlakozó összes bérlői számítógépre is telepíteni kell.

A következő lépéseket elvégezve ellenőrizheti az RD átjáró konfigurációját:

1. Győződjön meg róla, hogy az RD átjáró a Console Connect Gateway összetevőt használja-e a hitelesítéshez és az engedélyezéshez. Ezt a következő példában szereplő Windows PowerShell-parancsprogram használatával végezheti el:

   PS C:\> Get-WmiObject -Namespace root\CIMV2\TerminalServices -Class Win32_TSGatewayServerSettings  
   

   Ellenőrizze, hogy az AuthenticationPlugin és az AuthorizationPlugin tulajdonság FedAuthorizationPlugin beállítású-e.

2. Győződjön meg róla, hogy a tanúsítvány telepítve van-e a számítógépfiók személyes tanúsítványtárolójába. Ezt a következő példában szereplő Windows PowerShell-parancsprogram használatával végezheti el:

   PS C:\> dir cert:\localmachine\My\ | Where-Object { $_.subject -eq "CN=Remote Console Connect" }  
   

3. Ellenőrizze a Console Connect Gateway konfigurációját. Ezt a következő példában szereplő Windows PowerShell-parancsprogram használatával végezheti el:

   PS C:\> Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"  
   

   A TrustedIssuerCertificates tömbnek tartalmaznia kell a Console Connect Gateway tanúsítvány-ujjlenyomatát.

Windows Azure-csomag a Windows Server Távoli konzolhoz

A Windows Server rendszeren futó Windows Azure-csomag Virtual Machine Clouds szolgáltatásán keresztül a Távoli konzolhoz való hozzáférést tervszinten engedélyezheti. A terv irányítópultján válassza a Virtual Machine Clouds lehetőséget a tervszolgáltatások közül, majd válassza a Csatlakozás a virtuális gépek konzoljához lehetőséget a további beállítások közül.

Ha telepítette a Távoli asztali átjárót, olvassa át a következő helyen található eljárásokat: A Windows Azure-csomag konfigurálása a Távoli asztali átjáró használatára.

A biztonság növelése érdekében ajánlott elvégezni a következő feladatokat:

A Windows Azure-csomag konfigurálása a Távoli asztali átjáró használatára