Herstellen einer Verbindung mit Windows Server verwaltete Instanz mit Remote Desktop - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Herstellen einer Verbindung mit Windows Server verwaltete Instanz mit Remote Desktop

Sie können Folgendes verwenden … Fleet Manager, eine Fähigkeit von AWS Systems Manager, eine Verbindung mit Ihrem herzustellen Windows Server Instances von Amazon Elastic Compute Cloud (AmazonEC2), die die Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, das von Amazon unterstützt wirdDCV, bietet Ihnen eine sichere Verbindung zu Ihrem Windows Server Instances direkt von der Systems-Manager-Konsole aus. Sie können bis zu vier gleichzeitige Verbindungen in einem einzigen Browserfenster haben.

Sie können Remote Desktop nur mit Instances verwenden, die ausgeführt werden Windows Server 2012 RTM oder höher. Remote Desktop unterstützt nur englischsprachige Eingaben.

Anmerkung

Fleet Manager Remote Desktop ist ein reiner Konsolendienst und unterstützt keine Befehlszeilenverbindungen zu Ihren verwalteten Instanzen. Um eine Verbindung zu einem herzustellen Windows Server verwaltete Instanz über eine Shell, die Sie verwenden können Session Manager, eine weitere Fähigkeit von AWS Systems Manager. Weitere Informationen finden Sie unter AWS Systems Manager Session Manager.

Informationen zur Konfiguration von AWS Identity and Access Management (IAM) Berechtigungen, die Ihren Instances die Interaktion mit Systems Manager ermöglichen, finden Sie unter Konfigurieren von Instance-Berechtigungen für Systems Manager.

Einrichten Ihrer Umgebung

Vergewissern Sie sich vor der Verwendung von Remote Desktop, dass Ihre Umgebung die folgenden Anforderungen erfüllt:

  • Konfiguration von verwalteten Knoten

    Stellen Sie sicher, dass Ihre EC2 Amazon-Instances als verwaltete Knoten in Systems Manager konfiguriert sind.

  • SSM Agent Mindestversion

    Stellen Sie sicher, dass die Knoten laufen SSM Agent Version 3.0.222.0 oder höher. Hinweise dazu, wie Sie überprüfen können, welche Agentenversion auf einem Knoten läuft, finden Sie unter Überprüfen der SSM Agent-Versionsnummer. Für Informationen zur Installation oder Aktualisierung SSM Agent, finden Sie unter Arbeiten mit SSM Agent.

  • RDPPort-Konfiguration

    Um Remoteverbindungen zu akzeptieren, Remote Desktop Services Service auf Ihrem Windows Server Knoten müssen den RDP Standardport 3389 verwenden. Dies ist die Standardkonfiguration von Amazon Machine Images (AMIs) bereitgestellt von AWS. Sie müssen nicht explizit irgendwelche eingehenden Ports öffnen, um Remote Desktop zu verwenden.

  • PSReadLine Modulversion für Tastaturfunktionen

    Um sicherzustellen, dass Ihre Tastatur ordnungsgemäß funktioniert in PowerShell, stellen Sie sicher, dass die Knoten laufen Windows Server 2022 haben PSReadLine Modulversion 2.2.2 oder höher installiert. Wenn sie eine ältere Version verwenden, können Sie die erforderliche Version mit den folgenden Befehlen installieren.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Führen Sie nach der Installation des NuGet Paketanbieters den folgenden Befehl aus.

    Install-Module ` -Name PSReadLine ` -Repository PSGallery ` -MinimumVersion 2.2.2 -Force
  • Session-Manager-Konfiguration

    Bevor Sie Remote Desktop verwenden können, müssen Sie die Voraussetzungen für die Einrichtung von Session Manager erfüllen. Wenn Sie sich über Remotedesktop mit einer Instance verbinden, AWS-Region werden alle Sitzungseinstellungen, die für Ihre AWS-Konto und definiert wurden, übernommen. Weitere Informationen finden Sie unter Einrichten von Session Manager.

    Anmerkung

    Wenn Sie die Aktivitäten von Session Manager mit Amazon Simple Storage Service (Amazon S3) protokollieren, dann erzeugen Ihre Remotedesktop-Verbindungen den folgenden Fehler in bucket_name/Port/stderr. Dieser Fehler ist ein erwartetes Verhalten und kann ignoriert werden.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
    <ClientErrorMessage>Session is already terminated</ClientErrorMessage>
    </BadRequest>

Konfiguration von IAM Berechtigungen für Remote Desktop

Zusätzlich zu den erforderlichen IAM Berechtigungen für Systems Manager und Session Manager, dem Benutzer oder der Rolle, die Sie verwenden, müssen Berechtigungen zum Initiieren von Verbindungen erteilt werden.

Berechtigungen für das Initiieren von Verbindungen

Um RDP Verbindungen zu EC2 Instanzen in der Konsole herzustellen, sind die folgenden Berechtigungen erforderlich:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Berechtigungen zum Auflisten von Verbindungen

Um Verbindungslisten in der Konsole anzuzeigen, ist die folgende Berechtigung erforderlich:

ssm-guiconnect:ListConnections

Im Folgenden finden Sie IAM Beispielrichtlinien, die Sie einem Benutzer oder einer Rolle zuordnen können, um verschiedene Arten der Interaktion mit Remote Desktop zu erlauben. Ersetzen Sie jede example resource placeholder mit Ihren eigenen Informationen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userid}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*", "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
Anmerkung

In der folgenden IAM Richtlinie erfordert der SSMStartSession Abschnitt einen Amazon-Ressourcennamen (ARN) für die ssm:StartSession Aktion. Wie gezeigt, ist für die von ARN Ihnen angegebene ID keine AWS-Konto ID erforderlich. Wenn Sie eine Konto-ID angeben, Fleet Manager gibt eine zurückAccessDeniedException.

Der AccessTaggedInstances Abschnitt, der sich in der Beispielrichtlinie weiter unten befindet, erfordert ebenfalls ARNs fürssm:StartSession. Für diese ARNs geben Sie an AWS-Konto IDs.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "AccessTaggedInstances", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag key": [ "tag value" ] } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSO", "Effect": "Allow", "Action": [ "sso:ListDirectoryAssociations*", "identitystore:DescribeUser" ], "Resource": "*" }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userName}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "SSMSendCommand", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser" ] }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection", "ssm-guiconnect:ListConnections" ], "Resource": "*" } ] }

Authentifizierung von Remote-Desktop-Verbindungen

Wenn Sie eine Remoteverbindung herstellen, können Sie sich mit folgenden Methoden authentifizieren Windows Anmeldeinformationen oder das EC2 Amazon-Schlüsselpaar (.pemDatei), das der Instance zugeordnet ist. Informationen zur Verwendung von Schlüsselpaaren finden Sie unter EC2 Amazon-Schlüsselpaare und Windows Instanzen im EC2Amazon-Benutzerhandbuch.

Wenn Sie für die AWS Management Console Verwendung von mit authentifiziert sind AWS IAM Identity Center, können Sie sich auch ohne zusätzliche Anmeldedaten mit Ihren Instances verbinden. Ein Beispiel für eine Richtlinie, die die Authentifizierung von Fernverbindungen mit IAM Identity Center erlaubt, finden Sie unterKonfiguration von IAM Berechtigungen für Remote Desktop.

Bevor Sie beginnen

Beachten Sie die folgenden Bedingungen für die Verwendung der IAM Identity Center-Authentifizierung, bevor Sie eine Verbindung über Remote Desktop herstellen.

  • Remote Desktop unterstützt die IAM Identity Center-Authentifizierung für Knoten in derselben AWS-Region , in der Sie IAM Identity Center aktiviert haben.

  • Remote Desktop unterstützt IAM Identity Center-Benutzernamen mit bis zu 16 Zeichen.

  • Remote Desktop unterstützt IAM Identity Center-Benutzernamen, die aus alphanumerischen Zeichen und den folgenden Sonderzeichen bestehen: . - _

    Wichtig

    Verbindungen für IAM Identity Center-Benutzernamen, die die folgenden Zeichen enthalten, sind nicht erfolgreich: + = ,

    IAMIdentity Center unterstützt diese Zeichen in Benutzernamen, aber Fleet Manager RDPVerbindungen tun dies nicht.

    Wenn ein IAM Identity Center-Benutzername außerdem ein oder mehrere @ Symbole enthält, Fleet Manager ignoriert das erste @ Symbol und alle darauf folgenden Zeichen, unabhängig davon, ob das den Domainteil einer E-Mail-Adresse @ einleitet oder nicht. Beispielsweise wird für den IAM Identity Center-Benutzernamen diego_ramirez@example.com der @example.com Teil ignoriert und der Benutzername für Fleet Manager wirddiego_ramirez. diego_r@mirez@example.comFür Fleet Manager missachtet@mirez@example.com, und den Benutzernamen für Fleet Manager wirddiego_r.

  • Wenn eine Verbindung mit IAM Identity Center authentifiziert wird, erstellt Remote Desktop eine lokale Windows Benutzer in der Gruppe Lokale Administratoren der Instanz. Dieser Benutzer bleibt bestehen, nachdem die Remoteverbindung beendet wurde.

  • Remote Desktop erlaubt keine IAM Identity Center-Authentifizierung für Knoten, die Microsoft Active Directory Domain-Controller.

  • Remote Desktop ermöglicht es Ihnen zwar, die IAM Identity Center-Authentifizierung für Knoten zu verwenden, die zu einem Active Directory Domäne, wir empfehlen dies nicht. Diese Authentifizierungsmethode gewährt Benutzern administrative Berechtigungen, die restriktivere, von der Domain gewährte Berechtigungen außer Kraft setzen können.

Unterstützte Regionen für die IAM Identity Center-Authentifizierung

Remote Desktop Verbindungen, die die IAM Identity Center-Authentifizierung verwenden, werden in den folgenden unterstützt AWS-Regionen:

  • USA Ost (Ohio): (us-east-2)

  • USA Ost (Nord-Virginia): (us-east-1)

  • USA West (Nordkalifornien) (us-west-1)

  • USA West (Oregon): (us-west-2)

  • Afrika (Kapstadt) (af-south-1)

  • Asien-Pazifik (Hongkong) (ap-east-1)

  • Asien-Pazifik (Mumbai): (ap-south-1)

  • Asien-Pazifik (Tokyo) (ap-northeast-1)

  • Asien-Pazifik (Seoul): (ap-northeast-2)

  • Asien-Pazifik (Osaka) (ap-northeast-3)

  • Asien-Pazifik (Singapur): (ap-southeast-1)

  • Asien-Pazifik (Sydney): (ap-southeast-2)

  • Asien-Pazifik (Jakarta) (ap-southeast-3)

  • Kanada (Zentral): (ca-central-1)

  • Europa (Frankfurt) (eu-central-1)

  • Europa (Stockholm) (eu-north-1)

  • Europa (Irland) (eu-west-1)

  • Europa (London) (eu-west-2)

  • Europa (Paris) (eu-west-3)

  • Israel (Tel Aviv) (il-central-1)

  • Südamerika (São Paulo) (sa-east-1)

  • Europa (Mailand) (eu-south-1)

  • Naher Osten (Bahrain) (me-south-1)

  • AWS GovCloud (US-Ost) (us-gov-east-1)

  • AWS GovCloud (US-West) (us-gov-west-1)

Dauer und Gleichzeitigkeit der Remoteverbindung

Die folgenden Bedingungen gelten für aktive Remote-Desktop-Verbindungen:

  • Verbindungsdauer

    Standardmäßig wird eine Remote-Desktop-Verbindung nach 60 Minuten getrennt. Um zu verhindern, dass eine Verbindung getrennt wird, können Sie die Option Sitzung erneuern wählen, bevor sie getrennt wird, um den Timer für die Verbindungsdauer zurückzusetzen.

  • Verbindungstimeout

    Eine Remote-Desktop-Verbindung wird getrennt, nachdem sie länger als 10 Minuten inaktiv war.

  • Gleichzeitige Verbindungen

    Standardmäßig können Sie maximal 5 aktive Remote-Desktop-Verbindungen gleichzeitig für dasselbe AWS-Konto und dieselbe haben AWS-Region. Um eine Erhöhung des Servicekontingents auf bis zu 25 gleichzeitige Verbindungen zu beantragen, lesen Sie bitte den Abschnitt Beantragung einer Kontingenterhöhung im Benutzerhandbuch Service Quotas.

Verbindung zu einem verwalteten Knoten über Remote Desktop

Unterstützung für das Kopieren und Einfügen von Text durch den Browser

Mit den Browsern Google Chrome und Microsoft Edge können Sie Text von einem verwalteten Knoten auf Ihren lokalen Computer und von Ihrem lokalen Computer in einen verwalteten Knoten, mit dem Sie verbunden sind, kopieren und einfügen.

Mit dem Mozilla Firefox-Browser können Sie Text nur von einem verwalteten Knoten auf Ihren lokalen Computer kopieren und einfügen. Das Kopieren von Ihrem lokalen Computer auf den verwalteten Knoten wird nicht unterstützt.

So stellen Sie eine Verbindung zu einem verwalteten Knoten her Fleet Manager Remotedesktop
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich aus Fleet Manager.

  3. Wählen Sie den Knoten, zu dem Sie eine Verbindung herstellen möchten. Sie können entweder das Kontrollkästchen oder den Knotennamen auswählen.

  4. Wählen Sie im Menü Knotenaktionen die Option Mit Remote Desktop verbinden.

  5. Wählen Sie den gewünschten Authentication type (Authentifizierungs-Typ). Wenn Sie Benutzeranmeldedaten wählen, geben Sie den Namen und das Passwort für eine Windows Benutzerkonto auf dem Knoten, mit dem Sie eine Verbindung herstellen. Wenn Sie Schlüsselpaar wählen, können Sie die Authentifizierung mit einer der folgenden Methoden durchführen:

    1. Wählen Sie Lokale Maschine durchsuchen, wenn Sie den mit Ihrer Instance verbundenen PEM Schlüssel aus Ihrem lokalen Dateisystem auswählen möchten.

      – oder –

    2. Wählen Sie Schlüsselpaarinhalt einfügen, wenn Sie den Inhalt der PEM Datei kopieren und in das vorgesehene Feld einfügen möchten.

  6. Wählen Sie Connect (Verbinden) aus.

  7. Um Ihre bevorzugte Bildschirmauflösung zu wählen, wählen Sie im Menü Aktionen die Option Auflösungen, und wählen Sie dann eine der folgenden Optionen:

    • Automatisch anpassen

    • 1920 x 1080

    • 1400 x 900

    • 1366 x 768

    • 800 x 600

    Die Option Automatisch anpassen legt die Auflösung auf der Grundlage der erkannten Bildschirmgröße fest.

Informationen über aktuelle und abgeschlossene Verbindungen anzeigen

Sie können das Fleet Manager Bereich der Systems Manager Manager-Konsole, in dem Sie Informationen zu RDP Verbindungen anzeigen, die in Ihrem Konto hergestellt wurden. Mithilfe einer Reihe von Filtern können Sie die angezeigte Liste der Verbindungen auf einen Zeitraum, eine bestimmte Instanz, den Benutzer, der die Verbindungen hergestellt hat, und Verbindungen mit einem bestimmten Status einschränken. Die Konsole bietet auch Registerkarten, auf denen Informationen zu allen derzeit aktiven Verbindungen und allen vergangenen Verbindungen angezeigt werden.

So zeigen Sie Informationen zu aktuellen und abgeschlossenen Verbindungen an
  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich aus Fleet Manager.

  3. Wählen Sie Kontoverwaltung, Mit Remote Desktop Connect.

  4. Wählen Sie eine der folgenden Registerkarten aus:

    • Aktive Verbindungen

    • Verlauf der Verbindung

  5. Um die Liste der angezeigten Verbindungsergebnisse weiter einzuschränken, geben Sie einen oder mehrere Filter in das Suchfeld ( The Search icon ) ein. Sie können auch einen Freitext-Suchbegriff eingeben.