Häufig gestellte Fragen zu Azure Bastion
Häufig gestellte Fragen zur Bastion
Welche Browser werden unterstützt?
Der Browser muss HTML 5 unterstützen. Verwenden Sie unter Windows den Microsoft Edge-Browser oder Google Chrome. Verwenden Sie unter macOS Google Chrome. Microsoft Edge Chromium wird auch für Windows und Mac unterstützt.
Wie ist das Preismodell aufgebaut?
Die Preise für Azure Bastion setzen sich aus einer Kombination der Stundenpreise basierend auf der SKU und den Instanzen (Skalierungseinheiten) sowie den Datenübertragungsraten zusammen. Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Aktuelle Preisinformationen finden Sie auf der Seite Azure Bastion –Preise.
Wird IPv6 unterstützt?
Zurzeit wird IPv6 nicht unterstützt. Azure Bastion unterstützt nur IPv4. Dies bedeutet, dass Sie Ihrer Bastion-Ressource nur eine öffentliche IPv4-Adresse zuweisen können und dass Sie Bastion verwenden können, um eine Verbindung mit IPv4-Ziel-VMs herzustellen. Sie können Bastion auch verwenden, um eine Verbindung mit Dual Stack-Ziel-VMs herzustellen, aber Sie können über Azure Bastion nur IPv4-Datenverkehr senden.
Wo speichert Azure Bastion Kundendaten?
Azure Bastion speichert Kundendaten in der Region, in der sie bereitgestellt werden, und verschiebt sie nicht aus dieser Region.
Bietet Azure Bastion Unterstützung für Virtual WAN?
Ja, Sie können Azure Bastion für Virtual WAN-Bereitstellungen verwenden. Die Bereitstellung von Azure Bastion innerhalb eines Virtual WAN-Hubs wird jedoch nicht unterstützt. Sie können Azure Bastion in einem Spoke-VNet bereitstellen und das IP-basierte Verbindungsfeature nutzen, um eine Verbindung mit virtuellen Computern herzustellen, die über den Virtual WAN-Hub in einem anderen VNet bereitgestellt werden. Wenn der Azure Virtual WAN-Hub als geschützter virtueller Hub in Azure Firewall integriert wird, darf die Standardroute 0.0.0.0/0 nicht überschrieben werden.
Kann ich Azure Bastion mit privaten Azure DNS-Zonen verwenden?
Azure Bastion muss mit bestimmten internen Endpunkten kommunizieren können, um erfolgreich eine Verbindung mit Zielressourcen herzustellen. Daher können Sie Azure Bastion mit Azure Privates DNS-Zonen verwenden, solange sich der ausgewählte Zonenname nicht mit der Benennung dieser internen Endpunkte überschneidet. Stellen Sie vor der Bereitstellung Ihrer Azure Bastion-Ressource sicher, dass das virtuelle Hostnetzwerk nicht mit einer privaten DNS-Zone mit den folgenden Bezeichnungen verknüpft ist:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Sie können eine private DNS-Zone verwenden, die auf einen der oben aufgeführten Namen endet (z. B. „privatelink.blob.core.windows.net“).
Azure Bastion wird nicht mit privaten Azure DNS-Zonen in nationalen Clouds unterstützt.
Unterstützt Azure Bastion Private Link?
Nein, Azure Bastion unterstützt Private Link derzeit nicht.
Kann ich über ein Azure Bastion subnet der Größe /27 oder kleiner (/28, /29 usw.) verfügen?
Für Azure Bastion, die am oder nach dem 2. November 2021 bereitgestellt wurden, beträgt die Mindestgröße von AzureBastionSubnet /26 oder höher (/25, /24 usw.). Alle vor diesem Datum in Subnetzen der Größe /27 bereitgestellten Azure Bastion-Ressourcen sind von dieser Änderung nicht betroffen und funktionieren weiterhin. Wir empfehlen jedoch dringend, die Größe aller vorhandenen AzureBastionSubnets auf /26 heraufzusetzen, falls Sie in Zukunft Hostskalierung nutzen möchten.
Kann ich mehrere Azure-Ressourcen in meinem Azure Bastion Subnetz bereitstellen?
Nein. Das Azure Bastion Subnetz (AzureBastionSubnet) ist nur für die Bereitstellung Ihrer Azure Bastion-Ressource reserviert.
Wird benutzerdefiniertes Routing (User-Defined Routing, UDR) in einem Azure Bastion-Subnetz unterstützt?
Nein. UDR wird in einem Azure Bastion-Subnetz nicht unterstützt.
In Szenarien, bei denen Azure Bastion und Azure Firewall bzw. ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) im gleichen virtuellen Netzwerk vorhanden sind, müssen Sie den Datenverkehr zwischen einem Azure Bastion-Subnetz und Azure Firewall nicht erzwingen, da die Kommunikation zwischen Azure Bastion und Ihren VMs privat ist. Weitere Informationen finden Sie unter Zugreifen auf virtuelle Computer hinter Azure Firewall mit Bastion.
Kann ich ein Upgrade von einer Basic-SKU auf eine Standard-SKU durchführen?
Ja. Die Schritte finden Sie unter Upgraden einer SKU. Weitere Informationen finden Sie im Artikel zu den Konfigurationseinstellungen.
Kann ich eine Herabstufung von einer Standard-SKU auf eine Basic-SKU durchführen?
Nein. Das Herabstufen von einer Standard-SKU zu einer Basic-SKU wird nicht unterstützt. Weitere Informationen finden Sie im Artikel zu den Konfigurationseinstellungen.
Unterstützt Bastion die Konnektivität mit Azure Virtual Desktop?
Nein, die Bastion-Konnektivität mit Azure Virtual Desktop wird nicht unterstützt.
Warum erhalte ich vor Beginn der Bastion-Sitzung die Fehlermeldung „Ihre Sitzung ist abgelaufen.“?
Eine Sitzung darf nur über das Azure-Portal initiiert werden. Melden Sie sich beim Azure-Portal an, und starten Sie Ihre Sitzung erneut. Dieser Fehler ist zu erwarten, wenn Sie direkt von einer anderen Browsersitzung oder -registerkarte aus zu der URL navigieren. Er trägt zum Schutz Ihrer Sitzung bei und sorgt dafür, dass nur über das Azure-Portal auf die Sitzung zugegriffen werden kann.
Behandeln von Bereitstellungsfehlern
Überprüfen Sie die Fehlermeldungen, und stellen Sie bei Bedarf eine Supportanfrage im Azure-Portal. Bereitstellungsfehler können durch Einschränkungen für Azure-Abonnements, Kontingente und sonstige Einschränkungen verursacht werden. Insbesondere können Kunden eine Beschränkung der Anzahl von zulässigen öffentlichen IP-Adressen pro Abonnement feststellen, die zu einem Fehler bei der Azure Bastion-Bereitstellung führen.
Wie integriere ich Azure Bastion in meinen Plan zur Notfallwiederherstellung?
Azure Bastion wird innerhalb von VNets oder VNets mit Peering bereitgestellt und ist einer Azure-Region zugeordnet. Sie sind für die Bereitstellung von Azure Bastion in einem VNet an einem Notfallwiederherstellungsstandort verantwortlich. Führen Sie im Falle eines Ausfalls der Azure-Region einen Failovervorgang für Ihre virtuellen Computer in die Notfallwiederherstellungsregion durch. Verwenden Sie dann den Azure-Bastion-Host, der in der Azure-Region bereitgestellt wird, um eine Verbindung mit den virtuellen Computern herzustellen, die dort jetzt bereitgestellt werden.
Unterstützt Bastion Zonenredundanzen?
Derzeit unterstützen neue Bastion-Bereitstellungen standardmäßig keine Zonenredundanzen. Zuvor bereitgestellte Bastion-Instanzen können zonenredundant sein oder auch nicht. Die Ausnahmen sind Bastion-Bereitstellungen in „Südkorea, Mitte“ und „Asien, Südosten“, die Zonenredundanzen unterstützen.
Unterstützt Bastion Azure AD-Gastkonten?
Ja, Azure AD-Gastkonten können Zugriff auf Bastion erhalten und eine Verbindung mit virtuellen Computern herstellen. Azure AD-Gastbenutzer können jedoch keine Verbindung mit virtuellen Azure-Computern über die Azure AD-Authentifizierung herstellen. Benutzer ohne Gaststatus werden über die Azure AD-Authentifizierung unterstützt. Weitere Informationen zur Azure AD-Authentifizierung für virtuelle Azure-Computer (für Benutzer ohne Gaststatus) finden Sie unter Anmelden bei einer Windows-VM in Azure mithilfe von Azure AD.
Häufig gestellte Fragen zu VM-Features und -Verbindungen
Sind für den Zugriff auf einen virtuellen Computer Rollen erforderlich?
Zum Herstellen einer Verbindung sind die folgenden Rollen erforderlich:
- Rolle „Leser“ für den virtuellen Computer
- Rolle „Leser“ für den Netzwerkadapter mit privater IP-Adresse des virtuellen Computers
- Rolle „Leser“ für die Azure Bastion-Ressource
- Rolle „Leser“ im virtuellen Netzwerk des virtuellen Zielcomputers (falls sich die Bastion-Bereitstellung in einem virtuellen Netzwerk mit Peering befindet).
Benötige ich eine öffentliche IP-Adresse auf meinem virtuellen Computer, um eine Verbindung über Azure Bastion herzustellen?
Nein. Wenn Sie mithilfe von Azure Bastion eine Verbindung mit einem virtuellen Computer herstellen, benötigen Sie auf diesem virtuellen Azure-Computer keine öffentliche IP-Adresse. Der Bastion-Dienst öffnet die RDP-/SSH-Sitzung oder -Verbindung mit Ihrem virtuellen Computer über die private IP des virtuellen Computers in Ihrem virtuellen Netzwerk.
Benötige ich einen RDP- oder SSH-Client?
Nein. Sie können mit Ihrem Browser über das Azure-Portal auf Ihren virtuellen Computer zugreifen. Informationen zu verfügbaren Verbindungen und Methoden finden Sie unter Informationen zu VM-Verbindungen und -Features.
Kann ich eine Verbindung mit meiner VM mithilfe eines nativen Clients herstellen?
Ja. Sie können eine Verbindung mit einer VM über Ihren lokalen Computer mithilfe eines nativen Clients herstellen. Informationen dazu finden Sie unter Herstellen einer Verbindung mit einer VM mithilfe des nativen Clients.
Muss auf dem virtuellen Azure-Computer ein Agent ausgeführt werden?
Nein. Sie müssen keinen Agent oder eine andere Software in Ihrem Browser oder auf Ihrem virtuellen Azure-Computer installieren. Für den Bastion-Dienst ist kein Agent und keine zusätzliche Software für RDP/SSH erforderlich.
Welche Features werden für VM-Sitzungen unterstützt?
Die unterstützten Features sind unter Informationen zu VM-Verbindungen und -Features aufgeführt.
Ist Remoteaudio für VMs verfügbar?
Ja. Weitere Informationen finden Sie unter Informationen zu VM-Verbindungen und -Features.
Unterstützt Azure Bastion die Dateiübertragung?
Azure Bastion bietet Unterstützung für die Dateiübertragung zwischen Ihrem virtuellen Zielcomputer und dem lokalen Computer mithilfe von Bastion und einem nativen RDP- oder SSH-Client. Zu diesem Zeitpunkt können Sie Dateien nicht mithilfe von PowerShell oder über das Azure-Portal hochladen oder herunterladen. Weitere Informationen finden Sie unter Hochladen und Herunterladen von Dateien mithilfe des nativen Clients.
Funktioniert die Bastion-Härtung bei virtuellen Computern, die mit der AADJ VM-Erweiterung verknüpft sind?
Dieses Feature funktioniert nicht bei Computern, die mit der AADJ VM-Erweiterung verknüpft sind, unter Verwendung von Azure AD-Benutzern. Weitere Informationen finden Sie unter Anmelden bei einer Windows-VM in Azure mithilfe von Azure AD.
Erfordert Azure Bastion auf virtuellen Computern, die von Azure gehostet werden, eine RDS-CAL für administrative Aufgaben?
Nein. Für den Zugriff auf virtuelle Windows Server-Computer durch Azure Bastion ist keine RDS-CAL erforderlich, wenn sich die Verwendung rein auf administrative Aufgaben beschränkt.
Welche Tastaturlayouts werden während der Bastion-Remotesitzung unterstützt?
Azure Bastion unterstützt derzeit die folgenden Tastaturlayouts auf dem virtuellen Computer:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Um die richtigen Tastenzuordnungen für Ihre Zielsprache festzulegen, müssen Sie das Tastaturlayout auf Ihrem lokalen Computer und das Tastaturlayout des virtuellen Zielcomputers auf Ihre Zielsprache festlegen. Beide Tastaturen müssen auf Ihre Zielsprache festgelegt werden, um die richtigen Tastenzuordnungen im virtuellen Zielcomputer einzurichten.
Zum Festlegen Ihrer Zielsprache als Tastaturlayout auf einer Windows-Arbeitsstation navigieren Sie zu „Einstellungen > Uhrzeit & Sprache > Sprache & Region“. Wählen Sie unter „Bevorzugte Sprachen“ die Option „Sprache hinzufügen“ aus, und fügen Sie dann Ihre Zielsprache hinzu. Anschließend können Sie Ihre Tastaturlayouts auf der Symbolleiste sehen. Wenn Sie Englisch (USA) als Tastaturlayout festlegen möchten, wählen Sie auf der Symbolleiste "ENG" aus, oder klicken Sie auf Windows + Leerzeichen, um die Tastaturlayouts zu öffnen.
Gibt es eine Tastaturlösung zum Umschalten des Fokus zwischen einem virtuellen Computer und einem Browser?
Benutzer können mithilfe von STRG+UMSCHALT+ALT den Fokus effektiv zwischen dem virtuellen Computer und dem Browser umschalten.
Wie hoch ist die maximale Bildschirmauflösung, die von Bastion unterstützt wird?
Derzeit ist 1920x1080 (1080p) die maximal unterstützte Auflösung.
Unterstützt Azure Bastion die Zeitzonenkonfiguration oder Zeitzonenumleitung für virtuelle Zielcomputer?
Azure Bastion unterstützt derzeit keine Zeitzonenumleitung und ist nicht zeitzonenkonfigurierbar. Zeitzoneneinstellungen für einen virtuellen Computer können manuell aktualisiert werden, nachdem erfolgreich eine Verbindung mit dem Gastbetriebssystem hergestellt wurde.
Wird eine vorhandene Sitzung während der Wartung auf dem Bastionhost getrennt?
Ja, vorhandene Sitzungen für die Bastion-Zielressource werden während der Wartung für die Bastion-Ressource getrennt.
Häufig gestellte Fragen zum VNet-Peering
Kann ich weiterhin mehrere Bastionhosts in mittels Peering verbundenen virtuellen Netzwerken bereitstellen?
Ja. Standardmäßig wird Benutzern der Bastionhost angezeigt, der im selben virtuellen Netzwerk bereitgestellt ist, in dem sich die VM befindet. Im Menü Verbinden können Benutzer jedoch mehrere Bastionhosts anzeigen, die in den mittels Peering verbundenen Netzwerken erkannt wurden. Sie können den gewünschten Bastionhost auswählen, über den sie eine Verbindung mit der im virtuellen Netzwerk bereitgestellten VM herstellen möchten.
Funktionieren Verbindungen über Bastion auch, wenn meine Peering-VNETs in unterschiedlichen Abonnements bereitgestellt wurden?
Ja, die Konnektivität über Bastion funktioniert weiterhin für mittels Peering verbundene VNETs in verschiedenen Abonnements für einen einzelnen Mandanten. Abonnements, die sich über zwei verschiedene Mandanten erstrecken, werden nicht unterstützt. Damit Bastion im Dropdownmenü Verbinden angezeigt wird, muss der Benutzer unter Abonnement > Globales Abonnement die Abonnements auswählen, auf die er Zugriff hat.
Ich habe Zugriff auf das Peering-VNET, sehe aber die dort bereitgestellte VM nicht.
Vergewissern Sie sich, dass der Benutzer über Lesezugriff auf die VM und das mittels Peering verbundene VNET verfügt. Überprüfen Sie außerdem unter IAM, ob der Benutzer Lesezugriff auf folgende Ressourcen hat:
- Rolle „Leser“ für den virtuellen Computer
- Rolle „Leser“ für den Netzwerkadapter mit privater IP-Adresse des virtuellen Computers
- Rolle „Leser“ für die Azure Bastion-Ressource
- Rolle „Leser“ im virtuellen Netzwerk (nicht erforderlich, wenn kein mittels Peering verbundenes virtuelles Netzwerk vorhanden ist)
| Berechtigungen | BESCHREIBUNG | Berechtigungstyp |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Ruft einen Bastionhost ab. | Aktion |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Ruft Bastionhost-Verweise in einem virtuellen Netzwerk ab. | Aktion |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Ruft Bastionhost-Verweise in einem virtuellen Netzwerk ab. | Aktion |
| Microsoft.Network/networkInterfaces/read | Ruft eine Netzwerkschnittstellendefinition ab. | Aktion |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Ruft eine IP-Konfigurationsdefinition für Netzwerkschnittstellen ab. | Aktion |
| Microsoft.Network/virtualNetworks/read | Dient zum Abrufen der Definition des virtuellen Netzwerks. | Aktion |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Ruft Verweise auf alle virtuellen Computer im Subnetz eines virtuellen Netzwerks ab. | Aktion |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Ruft Verweise auf alle virtuellen Computer in einem virtuellen Netzwerk ab. | Aktion |
Mein „privatelink.azure.com“ kann nicht in „management.privatelink.azure.com“ aufgelöst werden
Dies kann darauf zurückzuführen sein, dass die private DNS-Zone für „privatelink.azure.com“, die mit dem virtuellen Bastion-Netzwerk verknüpft ist, dazu führt, dass CNAME-Einträge für „management.azure.com“ im Hintergrund in „management.privatelink.azure.com“ aufgelöst werden. Erstellen Sie einen CNAME-Eintrag in der Zone „privatelink.azure.com“ für „management.privatelink.azure.com“ zu „arm-frontdoor-prod.trafficmanager.net“, um eine erfolgreiche DNS-Auflösung zu ermöglichen.
Nächste Schritte
Weitere Informationen finden Sie unter Was ist Azure Bastion.