Consola Remota no System Center 2012 R2
Publicado: março de 2016
Aplica-se A: System Center 2012 R2 Virtual Machine Manager
A Consola Remota é uma funcionalidade que foi introduzida no System Center 2012 R2. A Consola Remota dá aos inquilinos a capacidade de aceder à consola das suas máquinas virtuais em cenários onde outras ferramentas remotas (ou o Ambiente de Trabalho Remoto) não estão disponíveis. Os inquilinos podem utilizar a consola remota para aceder a máquinas virtuais, quando a máquina virtual está numa rede isolada, numa rede não fidedigna ou na Internet.
A Consola Remota precisa do seguinte para ser executada:
Microsoft® Hyper-V® Server 2012 R2
System Center 2012 R2 Virtual Machine Manager
System Center 2012 R2 Service Provider Foundation
Windows Azure Pack for Windows Server
Nota
Os inquilinos necessitam de um computador cliente que suporte o Protocolo de Ambiente de Trabalho Remoto 8.1. Por exemplo, os utilizadores que tenham o Windows 8 têm de atualizar para o Windows 8,1. Além disso, os clientes que utilizem o Windows 7 SP1 têm de instalar a atualização KB2830477.
Nesta versão, a Consola Remota suporta uma funcionalidade limitada. As funcionalidades como a área de transferência, o som, o redirecionamento de impressoras e mapeamento de unidade não são suportadas. A Consola Remota funciona de uma forma semelhante à ligação do teclado, vídeo e rato (KVM) que é utilizada por computadores físicos.
Autenticação de utilizador
O Hyper-V no Windows Server 2012 R2 suporta a autenticação com base em certificados, que é utilizada para garantir que os inquilinos acedem apenas às máquinas virtuais que lhes foram atribuídas. O portal Web Windows Azure Pack for Windows Server, Service Provider Foundation e o Virtual Machine Manager (VMM) autenticam e autorizam o acesso a máquinas virtuais e fornecem um token que o anfitrião Hyper-V utiliza para conceder acesso a uma única máquina virtual.
O diagrama seguinte ilustra os componentes que são necessários para acesso à Consola Remota quando os inquilinos estão a aceder a uma máquina virtual numa rede não fidedigna, como a Internet. O Gateway do Ambiente de Trabalho Remoto (Gateway de RD) é omitido se este ambiente for implementado num ambiente empresarial.
As chaves privadas e públicas para um certificado são utilizadas para estabelecer uma relação de fidedignidade. As secções seguintes descrevem como criar os certificados necessários.
Criar um certificado para acesso remoto
Um certificado é utilizado para criar uma relação de fidedignidade entre o servidor de Gateway de RD, os anfitriões de Hyper-V, e o VMM. O certificado permite aos anfitriões do Gateway de RD e Hyper-V aceitar tokens de afirmação emitidos pelo Gateway de VMMRD. É possível utilizar os mesmos certificados ou certificados diferentes para a validação no Gateway de RD e nos anfitriões Hyper-V. Os certificados válidos devem satisfazer os seguintes requisitos:
O certificado não deve estar expirado.
O campo Utilização de Chaves tem de conter uma assinatura digital.
O campo Utilização Avançada de Chaves tem de conter o seguinte identificador de objeto de Autenticação de Cliente:
Os certificados de raiz da autoridade de certificação (CA) que emitiram o certificado devem ser instalados no arquivo Autoridades de Certificação de Raiz Fidedignas.
O fornecedor de serviços criptográficos para o certificado tem de suportar SHA256.
Pode obter um certificado válido de uma Autoridade de Certificação Comercial, uma Autoridade de Certificação Empresarial ou utilizando um certificado autoassinado.
Nota
Pode obter um certificado válido de uma autoridade de certificação comercial, uma autoridade de certificação empresarial ou utilizando um certificado autoassinado. Quando utiliza um certificado autoassinado, tem de colocar a chave pública do certificado no arquivo das Autoridades de Certificação de Raiz Fidedignas nos anfitriões Gateway de RD e Hyper-V.
Utilizar a ferramenta MakeCert para criar um certificado de teste
Para fins de teste, pode utilizar a ferramenta MakeCert para criar um certificado autoassinado. MakeCert faz parte do Windows SDK.
Para transferir o SDK, consulte Windows SDK para Windows 7.
Para obter mais informações, consulte MakeCert no Windows Dev Center.
O código seguinte é um exemplo de como criar um certificado autoassinado:
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
no caso de:
assinatura -sky |
Utilização para assinar |
|||||||||||||||||||||||
-r |
Criar certificado autoassinado |
|||||||||||||||||||||||
-n "CN=Ligação à consola remota" |
Nome do requerente (ligar a consola remota) |
|||||||||||||||||||||||
-pe |
Chave privada é exportável |
|||||||||||||||||||||||
-a sha256 |
algoritmo |
|||||||||||||||||||||||
-len 2048 |
Comprimento da chave |
|||||||||||||||||||||||
-e Utilizar uma autoridade de certificaçãoQuando requisita um certificado a uma autoridade de certificação, um ficheiro de modelo de certificado .inf semelhante ao seguinte pode ser utilizado com a ferramenta Certreq. Para obter mais informações, consulteCertreq.
Pode validar que um certificado num ficheiro .pfx cumpre requisitos de algoritmo e de utilização avançada de chaves executando o seguinte script do Windows PowerShell:
Instalar o certificadoQuando o certificado tiver sido criado, tem de instalá-lo e configurar o Virtual Machine Manager para que utilize o certificado para emitir tokens de afirmação A chave privada do certificado é então importada para a base de dados do Virtual Machine Manager. Para tal, utilize o cmdlets do Windows PowerShell Set-SCVMMServer, por exemplo:
Neste exemplo, o mesmo certificado é utilizado para o Gateway de RD e para os anfitriões Hyper-V, e os tokens têm uma duração de dois minutos. Pode selecionar uma duração para os tokens de 1 a 60 minutos. O servidor anfitrião pode ser identificado pelo Nome de Domínio Completamente Qualificado (FQDN). Em alternativa, os anfitriões podem ser identificados pelo endereço IPv4, o endereço IPv6 e o nome de anfitrião. A identidade do anfitrião está incluída no ficheiro do protocolo RDP (Remote Desktop Protocol) que é enviado aos inquilinos. Nota VMMServer01.Contoso.com é utilizado como nome do servidor anfitrião de exemplo. Altere-o para o nome do seu servidor real. RemoteConsoleConnect.pfx é utilizado para importar o ficheiro PFX no qual estão armazenadas as chaves dos certificados para a base de dados do VMM. Quando cada anfitrião é atualizado no Virtual Machine Manager, este instala o certificado no arquivo de certificados Pessoais do anfitrião Hyper-V e configura o anfitrião Hyper-V de forma a validar os tokens utilizando o certificado. Pode utilizar o seguinte comando do Windows PowerShell para forçar uma atualização de todos os anfitriões Hyper-V:
Anfitriões Hyper-VQuando está a autenticar os tokens, o Hyper-V só aceita tokens que são assinados com certificados específicos e algoritmos hash. O Virtual Machine Manager efetua a configuração necessária aos anfitriões de Hyper-V. Apenas o Hyper-V no Windows Server 2012 R2 suporta a funcionalidade de Consola Remota. Quando utiliza um certificado autoassinado, tem de importar a chave pública do certificado para o arquivo de certificados das Autoridades de Certificação de Raiz Fidedigna para o anfitrião Hyper-V. O script seguinte fornece um exemplo de como utilizar o Windows PowerShell para importar a chave pública:
Tem de reiniciar o serviço de gestão de Máquina Virtual Hyper-V se instalar um certificado depois de configurar o Virtual Machine Manager. Pode verificar se o anfitrião de Hyper-V está corretamente configurado para a Consola Remota do seguinte modo:
O script que se segue fornece um exemplo de como utilizar o Windows PowerShell para verificar se o certificado está instalado no arquivo de certificados Pessoais do anfitrião Hyper-V:
O script seguinte fornece um exemplo de como utilizar o Windows PowerShell para verificar a configuração hash do certificado de emissor fidedigno:
A matriz TrustedIssuerCertificateHashes tem de conter o thumbprint do certificado que é utilizado para ligar a consola remota. A matriz AllowedHashAlgorithms tem de estar vazia ou conter o algoritmo SHA256. Quando a matriz está vazia, assume como predefinição SHA256 ou SHA512. Nota O Virtual Machine Manager gera tokens SHA256. Gateway de Ambiente de Trabalho RemotoO Gateway de Ambiente de Trabalho Remoto (Gateway de RD) só pode ser utilizado para acesso à consola das máquinas virtuais. Quando configurar o Gateway de RD, ocorre uma alteração da configuração, que faz com que o gateway fique inutilizável para outros fins. As tarefas seguintes são concluídas quando configurar o Gateway de RD:
Para suportar a autenticação federada, é necessário instalar o Gateway da Consola do Virtual Machine Manager do Microsoft System Center no servidor de Gateway de RD. Comece por criar uma máquina virtual, em seguida, ative os Serviços de Ambiente de Trabalho Remoto. Em seguida, instale o componente do Gateway da Consola do Virtual Machine Manager do Microsoft System Center. Encontrará os binários de instalação para este componente na seguinte pasta de suporte de dados de instalação do Virtual Machine Manager: CDLayout.EVAL\amd64\Setup\msi\RDGatewayFedAuth. Para uma configuração de elevada disponibilidade, instale várias quantidades de Gateway de RD com o componente do Gateway de Ligação da Consola por trás de um balanceador de carga. Em seguida, importe a chave pública do certificado para arquivo de certificados pessoais em cada servidor de Gateway de RD. Pode consegui-lo utilizando o Windows PowerShell, tal como apresentado no exemplo seguinte:
Se estiver a utilizar um certificado autoassinado, tem de importar a chave pública do certificado para o arquivo das Autoridades de Certificação de Raiz Fidedignas nas conta da máquina. Pode consegui-lo utilizando o Windows PowerShell, tal como apresentado no exemplo seguinte:
Quando está a autenticar os tokens, o Gateway de RD só aceita tokens que são assinados com certificados específicos e algoritmos hash. Esta configuração é realizada definindo as propriedades TrustedIssuerCertificateHashes e AllowedHashAlgorithms na classe FedAuthSettings de WMI. Tem de ter credenciais administrativas para definir estas propriedades. A propriedade TrustedIssuerCertificateHashes é uma matriz de thumbprints de certificado que estão armazenadas no servidor de Gateway de RD. Pode utilizar o seguinte comando do Windows PowerShell para definir a propriedade TrustedIssuerCertificateHashes:
O último passo consiste em selecionar ou criar um certificado autoassinado para o Gateway de RD. Para tal, abra o Gestor de Gateway de RD, clique com o botão direito em Gateway de Ambiente de trabalho remoto e clique em Propriedades. Na caixa de diálogo Propriedades, clique no separador Certificado SSL. Este certificado é utilizado por computadores de inquilino para verificar a identidade do servidor Gateway de RD. O nome de NC para o certificado deve corresponder ao FQDN do servidor de Gateway de RD. Abra o Gestor de Gateway de RD e atribua ou crie um certificado autoassinado. Nota Utilize um certificado autoassinado apenas para testes. Um certificado autoassinado nunca deve ser utilizado numa implementação de produção. A utilização de um certificado autoassinado também requer que o certificado esteja instalado em todos os computadores de inquilino que se liguem através do Gateway de RD. Pode verificar a configuração do Gateway de RD, efetuando os seguintes passos:
Microsoft Azure Pack para Windows Server para Consola RemotaPode ativar o acesso à consola remota numa base por plano através do serviço de Nuvens de Máquina Virtual no Windows Azure Pack para Windows Server. No painel de controlo do plano, selecione Nuvens de Máquina Virtual nos serviços de plano e selecione Ligar à consola das máquinas virtuais nas definições adicionais. Se tiver instalado um Gateway de Ambiente de Trabalho Remoto, leia o procedimento Como Configurar o Microsoft Azure Pack para utilizar o Gateway de Ambiente de Trabalho Remoto. Recomendações de segurançaRecomendamos que efetue as seguintes tarefas para melhorar a segurança:
|