Freigeben über

Blockierung von eingehendem Datenverkehr durch die Firewall des Azure-VM-Gastbetriebssystem

  • Artikel

Gilt für: ✔️ Windows-VMs

In diesem Artikel wird erläutert, wie Sie das im Remote Desktop Portal (RDP) auftretende Problem beheben, dass die Firewall des Gastbetriebssystems eingehenden Datenverkehr blockiert.

Symptome

Sie können keine RDP-Verbindung mit einem virtuellen Azure-Computer (VM) herstellen. Startdiagnose -> Screenshot zeigt, dass das Betriebssystem auf der Willkommensseite vollständig geladen ist (Strg+Alt+Entf).

Ursache

Ursache 1

Die RDP-Regel ist nicht zum Zulassen des RDP-Datenverkehrs eingerichtet.

Ursache 2

Die Firewallprofile des Gastbetriebssystems wurden zum Blockieren aller eingehenden Verbindungen eingerichtet. Dazu zählt auch RDP-Datenverkehr.

Screenshot der Option „Alle eingehenden Verbindungen blockieren“ auf der Registerkarte „Domänenprofil“ des Fensters mit den Firewall-Einstellungen.

Lösung

Erstellen Sie eine Momentaufnahme des Systemdatenträgers des betroffenen virtuellen Computers als Sicherung, bevor Sie die unten angegebenen Schritte ausführen. Weitere Informationen finden Sie unter Erstellen einer Momentaufnahme eines Datenträgers.

Um das Problem zu beheben, verwenden Sie eine der Methoden in Verwenden von Remotetools zur Behandlung von Azure-VM-Problemen zum Herstellen einer Remoteverbindung mit dem virtuellen Computer, und bearbeiten Sie die Firewallregeln des Gastbetriebssystems so, dass sie RDP-Datenverkehr zulassen.

Onlineproblembehandlung

Stellen Sie eine Verbindung mit der seriellen Konsole her, und öffnen Sie eine PowerShell-Instanz. Ist die serielle Konsole auf Ihrem virtuellen Computer nicht aktiviert, gehen Sie zu Reparieren des virtuellen Computers im Offlinestatus.

Vorbeugende Maßnahme 1

  1. Wenn der Azure-Agent installiert ist und auf dem virtuellen Computer ordnungsgemäß funktioniert, können Sie die Option „Nur Konfiguration zurücksetzen“ unter Hilfe>Kennwort zurücksetzen im VM-Menü verwenden.

  2. Diese Wiederherstellungsoption bewirkt Folgendes:

    • Aktiviert eine RDP-Komponente, wenn sie deaktiviert ist.

    • Aktiviert alle Windows-Firewallprofile.

    • Stellen Sie sicher, dass die RDP-Regel in der Windows-Firewall aktiviert ist.

    • Wenn die vorherigen Schritte nicht funktionieren, setzen Sie die Firewallregel manuell zurück. Fragen Sie zu diesem Zweck alle Regeln ab, die den Namen „Remote Desktop“ enthalten, indem Sie den folgenden Befehl ausführen:

      netsh advfirewall firewall show rule dir=in name=all | select-string -pattern "(Name.*Remote Desktop)" -context 9,4 | more

      Wenn der RDP-Port auf einen anderen Port als 3389 festgelegt wurde, müssen Sie eine möglicherweise erstellte benutzerdefinierte Regel finden, die auf diesen Port festgelegt wurde. Um alle eingehenden Regeln mit benutzerdefiniertem Port abzufragen, führen Sie den folgenden Befehl aus:

      netsh advfirewall firewall show rule dir=in name=all | select-string -pattern "(LocalPort.*<CUSTOM PORT>)" -context 9,4 | more

  3. Wenn Sie sehen, dass die Regel deaktiviert ist, aktivieren Sie sie. Führen Sie den folgenden Befehl aus, um eine gesamte Gruppe zu öffnen, z.B. die integrierte Gruppe „Remotedesktop“:

    netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes

    Führen Sie andernfalls den folgenden Befehl aus, um die spezielle Remotedesktopregel (TCP eingehend) zu öffnen:

    netsh advfirewall firewall set rule name="<CUSTOM RULE NAME>" new enable=yes

  4. Zur Problembehandlung können Sie die Firewallprofile auf OFF setzen:

    netsh advfirewall set allprofiles state off

    Nach Abschluss der Problembehandlung und zum ordnungsgemäßen Einrichten der Firewall sollten Sie die Firewall erneut aktivieren.

    Notiz

    Sie müssen den virtuellen Computer nicht neu starten, um diese Änderungen zu übernehmen.

  5. Versuchen Sie, eine RDP-Verbindung herzustellen, um auf den virtuellen Computer zuzugreifen.

Risikominderung 2

  1. Fragen Sie die Firewallprofile ab, um zu ermitteln, ob die Firewallrichtlinie für eingehende Verbindungen auf BlockInboundAlways festgelegt ist:

    netsh advfirewall show allprofiles | more

    Screenshot des Abfrageergebnisses der eingehenden Firewall-Profile, die „BlockInboundAlways“ enthalten.

    Notiz

    Die folgenden Richtlinien gelten für die Firewallrichtlinie, je nachdem, wie sie eingerichtet ist:

    • BlockInbound: Der gesamte eingehende Datenverkehr wird blockiert, sofern keine Regel in Kraft ist, die diesen Datenverkehr ermöglicht.
    • BlockInboundAlways: Alle Firewallregeln werden ignoriert und sämtlicher Datenverkehr blockiert.

  2. Legen Sie DefaultInboundAction auf nicht stetig blockierten Datenverkehr fest. Führen Sie zu diesem Zweck den folgenden Befehl aus:

    netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

  3. Fragen Sie die Profile erneut ab, um sicherzustellen, dass die Änderung erfolgreich vorgenommen wurde. Führen Sie zu diesem Zweck den folgenden Befehl aus:

    netsh advfirewall show allprofiles | more

    Notiz

    Sie müssen den virtuellen Computer nicht neu starten, um diese Änderungen zu übernehmen.

  4. Stellen Sie sicher, dass Sie die eingehende Regel für die RDP-Verbindung hinzufügen.

  5. Versuchen Sie erneut, über RDP auf Ihren virtuellen Computer zuzugreifen.

Vorbeugende Maßnahmen offline

  1. Fügen Sie den Systemdatenträger an einen virtuellen Wiederherstellungscomputer an.

  2. Stellen Sie eine Remotedesktopverbindung mit dem virtuellen Wiederherstellungscomputer her.

  3. Stellen Sie sicher, dass der Datenträger in der Datenträgerverwaltungskonsole als Online gekennzeichnet ist. Achten Sie auf den Laufwerkbuchstaben, der dem angefügten Systemdatenträger zugewiesen ist.

Vorbeugende Maßnahme 1

Siehe Aktivieren/Deaktivieren einer Firewallregel unter einem Gastbetriebssystem.

Risikominderung 2

  1. Fügen Sie den Systemdatenträger an einen virtuellen Wiederherstellungscomputer an.

  2. Stellen Sie eine Remotedesktopverbindung mit dem virtuellen Wiederherstellungscomputer her.

  3. Stellen Sie nach dem Anfügen des Systemdatenträgers an den virtuellen Wiederherstellungscomputer sicher, dass der Datenträger in der Datenträgerverwaltungskonsole als Online gekennzeichnet ist. Beachten Sie den Laufwerkbuchstaben, der dem angefügten Betriebssystemdatenträger zugewiesen ist.

  4. Öffnen Sie eine PowerShell-Instanz mit erhöhten Rechten, und führen Sie dann die folgenden Befehle aus:

    REM Backup the registry prior doing any change
robocopy f:\windows\system32\config f:\windows\system32\config.BACK /MT

REM Mount the hive
reg load HKLM\BROKENSYSTEM f:\windows\system32\config\SYSTEM

REM Delete the keys to block all inbound connection scenario
REG DELETE "HKLM\BROKENSYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v DoNotAllowExceptions

REM Unmount the hive
reg unload HKLM\BROKENSYSTEM

  5. Trennen des Betriebssystemdatenträgers und erneutes Erstellen des virtuellen Computers.

  6. Überprüfen Sie, ob das Problem behoben ist.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.