Удаленная консоль в System Center 2012 R2
Применимо к: System Center 2012 R2 Virtual Machine Manager
Удаленная консоль — это функция, впервые представленная в System Center 2012 R2. Удаленная консоль обеспечивает клиентам возможность получать доступ к консоли виртуальной машины в сценарии, когда другие средства удаленного доступа (или удаленный рабочий стол) недоступны. Клиенты могут использовать удаленную консоль для получения доступа к виртуальным машинам, когда они размещаются в изолированной сети, ненадежной сети или в Интернете.
Для работы удаленной консоли требуется наличие следующих компонентов.
Microsoft® Hyper-V® Server 2012 R2
System Center 2012 R2 Virtual Machine Manager
System Center 2012 R2 Service Provider Foundation.
Пакет Windows Azure для Windows Server
![]() |
---|
Клиентам требуется клиентский компьютер, поддерживающий протокол удаленного рабочего стола версии 8.1. Например, пользователи, работающие с Windows 8, должны обновить компьютеры до Windows 8.1. Кроме того, клиенты, использующие Windows 7 с пакетом обновления 1 (SP1) должны установить KB2830477. |
В этом выпуске удаленная консоль поддерживает ограниченные функции. Такие функции, как буфер обмена, звук, перенаправление принтера и сопоставление дисков, не поддерживаются. Удаленная консоль функционирует аналогично подключению клавиатуры, видеоустройства и мыши (KVM), используемому физическими компьютерами.
Проверка подлинности пользователя
Hyper-V в Windows Server 2012 R2 поддерживает проверку подлинности на основе сертификатов, которая используется, чтобы гарантировать, что клиенты смогут получить доступ только к тем виртуальным машинам, которые им назначены. Веб-портал Пакет Windows Azure для Windows Server, Service Provider Foundation и Virtual Machine Manager (VMM) проверяют подлинность и авторизуют доступ к виртуальным машинам, а также предоставляют маркеры, которые узел Hyper-V использует для предоставления доступа к отдельной виртуальной машине.
На следующей диаграмме представлены компоненты, необходимые для доступа удаленной консоли, когда клиенты получают доступ к виртуальной машине через ненадежную сеть, такую как Интернет. Шлюз удаленных рабочих столов пропускается, если эта среда развернута в корпоративной сети.
Открытые и закрытые ключи для сертификата используются для установления отношений доверия. В следующих разделах описываются процедуры создания необходимых сертификатов.
Создание сертификата для удаленного доступа
Сертификат используется для создания отношений доверия между сервером шлюза удаленных рабочих столов, узлами Hyper-V и VMM. Этот сертификат позволяет шлюзу удаленных рабочих столов и узлам Hyper-V принимать маркеры утверждений, выпущенные этим шлюзом VMM. Можно использовать одинаковые или разные сертификаты для проверки на шлюзе удаленных рабочих столов и на узлах Hyper-V. Действительные сертификаты должны отвечать следующим требованиям.
Сертификат не должен быть просрочен.
Поле "Использование ключа" должно содержать цифровую подпись.
Поле "Расширенное использование ключа" должно содержать следующий идентификатор объекта проверки подлинности клиента: (1.3.6.1.5.5.7.3.2)
Корневые сертификаты для центра сертификации (ЦС), выпустившего сертификат, должны быть установлены в хранилище сертификатов доверенных корневых центров сертификации.
Поставщик служб шифрования для сертификата должен поддерживать SHA256.
Действительный сертификат можно получить из коммерческого центра сертификации или корпоративного центра сертификации. Кроме того, можно использовать самозаверяющий сертификат.
![]() |
---|
Действительный сертификат можно получить из коммерческого центра сертификации или корпоративного центра сертификации. Кроме того, можно использовать самозаверяющий сертификат. При использовании самозаверяющего сертификата необходимо поместить открытый ключ сертификата в хранилище сертификатов доверенных корневых центров сертификации в шлюзе удаленных рабочих столов и на узлах Hyper-V. |
Использование средства MakeCert для создания тестового сертификата
В целях тестирования можно использовать средство MakeCert для создания самозаверяющего сертификата. MakeCert входит в состав набора SDK Windows.
Чтобы загрузить набор SDK, перейдите на веб-страницу Пакет SDK Windows для Windows 7.
Дополнительные сведения см. в разделе MakeCert в Центре разработчиков Windows.
Ниже приведен пример кода для создания самозаверяющего сертификата.
makecert -n "CN=Remote Console Connect" -r -pe -a sha256 -e <mm/dd/yyyy> -len 2048 -sky signature -eku 1.3.6.1.5.5.7.3.2 -ss My -sy 24 "<CertificateName>.cer"
где:
-sky signature | используется для подписывания | |||||||||||||||||||||||||||||
-r | создает самозаверяющий сертификат | |||||||||||||||||||||||||||||
-n "CN=Remote Console Connect" | имя субъекта (подключение удаленной консоли) | |||||||||||||||||||||||||||||
-pe | закрытый ключ поддерживает экспорт | |||||||||||||||||||||||||||||
-a sha256 | алгоритм | |||||||||||||||||||||||||||||
-len 2048 | длина ключа | |||||||||||||||||||||||||||||
-e <дд/мм/гггг> | дата окончания срока действия | |||||||||||||||||||||||||||||
-eku 1.3.6.1.5.5.7.3.2 | расширенное использование ключа (идентификатор объекта проверки подлинности клиента) | |||||||||||||||||||||||||||||
-ss My | закрытый ключ хранится в хранилище сертификатов My | |||||||||||||||||||||||||||||
-sy 24 | тип поставщика служб шифрования (поддерживает SHA256) | |||||||||||||||||||||||||||||
Использование центра сертификацииКогда вы запрашиваете сертификат из центра сертификации, INF-файл шаблона сертификации, подобный следующему, можно использовать со средством Certreq. Дополнительные сведения см. в статье Certreq.
Проверить, соответствует ли сертификат в PFX-файле требованиям к алгоритму и расширенному использованию ключа, можно, выполнив следующий сценарий Windows PowerShell.
Установка сертификатаСозданный сертификат необходимо установить и настроить Virtual Machine Manager для использования сертификата для выдачи маркеров утверждений. Затем закрытый ключ сертификата необходимо импортировать в базу данных Virtual Machine Manager. Для этого можно использовать командлет Windows PowerShell Set-SCVMMServer, например:
В этом примере один и тот же сертификат выпускается для шлюза удаленных рабочих столов и для узлов Hyper-V. Время существования маркеров составляет две минуты. Можно выбрать время существования маркеров — от 1 до 60 минут. Идентификация сервера узлов выполняется по его полному доменному имени (FQDN). Дополнительно, узлы можно идентифицировать по адресу IPv4, IPv6 и имени узла. Удостоверение узла включается в файл удаленного рабочего стола (RDP-файл), который отправляется клиентам.
%%78%%% При обновлении каждого узла в Virtual Machine Manager сертификат устанавливается в личное хранилище сертификатов узла Hyper-V. Для узла Hyper-V настраивается проверка маркеров с помощью сертификата. Следующую команду Windows PowerShell можно использовать для принудительного обновления всех узлов Hyper-V:
Узлы Hyper-VПри проверке подлинности маркеров Hyper-V принимает только те маркеры, которые подписаны с использованием определенных сертификатов и алгоритмов хэширования. Virtual Machine Manager выполняет необходимую настройку для узлов Hyper-V. Только узлы Hyper-V в Windows Server 2012 R2 поддерживают функцию удаленной консоли. При использовании самозаверяющего сертификата необходимо импортировать открытый ключ сертификата в хранилище сертификатов доверенных корневых центров сертификации для узла Hyper-V. Следующий пример сценария демонстрирует использование Windows PowerShell для импорта открытого ключа:
Если вы устанавливаете сертификат после настройки Virtual Machine Manager, необходимо перезагрузить службу управления виртуальными машинами Hyper-V. Проверить, правильно ли настроен узел Hyper-V для удаленной консоли можно следующим образом.
Следующий пример сценария демонстрирует использование Windows PowerShell для проверки установки сертификата в личном хранилище сертификатов узла Hyper-V.
Следующий пример сценария демонстрирует использование Windows PowerShell для проверки конфигурации хэша для сертификата надежного поставщика:
Массив TrustedIssuerCertificateHashes должен содержать отпечаток сертификата, который используется для подключения удаленной консоли. Массив AllowedHashAlgorithms должен быть пустым или содержать алгоритм SHA256. Если оставить массив пустым, будет использоваться алгоритм по умолчанию — SHA256 и SHA512.
Шлюз удаленных рабочих столовШлюз удаленных рабочих столов можно использовать только для получения доступа консоли к виртуальным машинам. При настройке шлюза удаленных рабочих столов происходит изменение в конфигурации, которое делает его непригодным для других целей. При настройке шлюза удаленных рабочих столов выполняются следующие задачи:
Для поддержки федеративной проверки подлинности необходимо установить шлюз подключения консоли Microsoft System Center Virtual Machine Manager на сервер шлюза удаленных рабочих столов. Начните с создания виртуальной машины, а затем включите службы удаленного рабочего стола. Затем установите компонент "Шлюз подключения консоли System Center Virtual Machine Manager". Двоичные файлы установки для этого компонента можно найти в следующей папке установочного носителя Virtual Machine Manager: CDLayout.EVAL\amd64\Setup\msi\RDGatewayFedAuth. Для конфигураций высокой надежности установите несколько экземпляров шлюза удаленных рабочих столов с компонентом "Шлюз подключения консоли" за подсистемой балансировки нагрузки. Затем импортируйте открытый ключ сертификата в личное хранилище сертификатов на каждом сервере шлюза удаленных рабочих столов. Это можно сделать, используя Windows PowerShell, как показано в следующем примере:
При использовании самозаверяющего сертификата необходимо импортировать открытый ключ сертификата в хранилище сертификатов доверенных корневых центров сертификации для учетной записи машины. Это можно сделать, используя Windows PowerShell, как показано в следующем примере:
При проверке подлинности маркеров шлюз удаленных рабочих столов принимает только те маркеры, которые подписаны с использованием определенных сертификатов и алгоритмов хэширования. Эта настройка выполняется путем задания свойств TrustedIssuerCertificateHashes и AllowedHashAlgorithms в классе FedAuthSettings инструментария WMI. Для настройки этих свойств необходимы права администратора. Свойство TrustedIssuerCertificateHashes представляет собой массив отпечатков сертификата, хранимых на сервере шлюза удаленных рабочих столов. Для задания свойства TrustedIssuerCertificateHashes можно использовать следующую команду Windows PowerShell:
Последним этапом является выбор или создание самозаверяющего сертификата для шлюза удаленных рабочих столов. Для этого откройте диспетчер шлюзов удаленных рабочих столов, щелкните шлюз удаленных рабочих столов правой кнопкой мыши и выберите пункт Свойства. В диалоговом окне Свойства перейдите на вкладку SSL-сертификат. Этот сертификат используется клиентскими компьютерами клиента для проверки удостоверения сервера шлюза удаленных рабочих столов. CN-имя для сертификата должно совпадать с полным доменным именем сервера шлюза удаленных рабочих столов. Откройте диспетчер шлюзов удаленных рабочих столов и назначьте или создайте самозаверяющий сертификат.
Проверить конфигурацию шлюза удаленных рабочих столов можно следующим образом.
Пакет Windows Azure Pack для Windows Server для удаленной консолиМожно включить доступ к удаленной консоли на основе планов, используя службу облаков виртуальных машин в пакете Windows Azure для Windows Server. В панели мониторинга плана выберите в разделе служб плана службу Virtual Machine Clouds (Облака виртуальной машины), а затем в разделе дополнительных параметров — Connect to the console of virtual machines (Подключение к консоли виртуальных машин). Если установлен шлюз удаленных рабочих столов, ознакомьтесь с процедурой Настройка Windows Azure Pack для использования шлюза удаленных рабочих столов. Рекомендации по безопасностиС целью повышения безопасности рекомендуется выполнить следующие задачи.
См. такжеНастройка Windows Azure Pack для использования шлюза удаленных рабочих столов |