Eine Verbindung zu einer von Windows Server verwalteten Instance mit Remote Desktop herstellen - AWS Systems Manager
Einrichten Ihrer UmgebungKonfiguration von IAM-Berechtigungen für Remote DesktopAuthentifizierung von Remote-Desktop-VerbindungenDauer und Gleichzeitigkeit der RemoteverbindungVerbindung zu einem verwalteten Knoten über Remote DesktopAnzeigen von Informationen über aktuelle und abgeschlossene Verbindungen

Eine Verbindung zu einer von Windows Server verwalteten Instance mit Remote Desktop herstellen

Sie können Fleet Manager, eine Fähigkeit von AWS Systems Manager, verwenden, um sich über Remote Desktop Protocol (RDP) mit Ihren Instances der Windows Server Amazon Elastic Compute Cloud (Amazon EC2) zu verbinden. Fleet Manager Remote Desktop, das von Amazon DCV unterstützt wird, bietet Ihnen eine sichere Verbindung zu Ihren Windows Server-Instances direkt von der Systems-Manager-Konsole aus. Sie können bis zu vier gleichzeitige Verbindungen in einem einzigen Browserfenster haben.

Sie können Remote Desktop nur mit Instances verwenden, auf denen Windows Server 2012 RTM oder höher ausgeführt wird. Remote Desktop unterstützt nur englischsprachige Eingaben.

Anmerkung

Fleet Manager Remote Desktop ist ein Service, der nur für Konsolen verfügbar ist und keine Befehlszeilenverbindungen zu Ihren verwalteten Instances unterstützt. Um über eine Shell eine Verbindung zu einer von Windows Server verwalteten Instance herzustellen, können Sie Session Manager, eine weitere Funktion von AWS Systems Manager verwenden. Weitere Informationen finden Sie unter AWS Systems Manager Session Manager.

Informationen zur Konfiguration von AWS Identity and Access Management (IAM)-Berechtigungen, die Ihren Instances die Interaktion mit Systems Manager ermöglichen, finden Sie unter Konfigurieren von Instance-Berechtigungen für Systems Manager.

Einrichten Ihrer Umgebung

Vergewissern Sie sich vor der Verwendung von Remote Desktop, dass Ihre Umgebung die folgenden Anforderungen erfüllt:

  • Konfiguration von verwalteten Knoten

    Stellen Sie sicher, dass Ihre Amazon-EC2-Instances als verwaltete Knoten in Systems Manager konfiguriert sind.

  • SSM Agent-Mindestversion

    Stellen Sie sicher, dass auf den Knoten SSM Agent-Version 3.0.222.0 oder höher ausgeführt wird. Hinweise dazu, wie Sie überprüfen können, welche Agentenversion auf einem Knoten läuft, finden Sie unter Überprüfen der SSM Agent-Versionsnummer. Informationen über das Installieren oder Aktualisieren von SSM Agent finden Sie unter Arbeiten mit SSM Agent.

  • Konfiguration des RDP-Ports

    Um Remote-Verbindungen zu akzeptieren, muss der Remote Desktop Services-Service auf Ihren Windows Server-Knoten den Standard-RDP-Port 3389 verwenden. Dies ist die Standardkonfiguration auf von AWS bereitgestellten Amazon Machine Images (AMIs). Sie müssen nicht explizit irgendwelche eingehenden Ports öffnen, um Remote Desktop zu verwenden.

  • PSReadLine-Modulversion für Tastaturfunktionen

    Um sicherzustellen, dass Ihre Tastatur in PowerShell ordnungsgemäß funktioniert, stellen Sie sicher, dass auf den Knoten, auf denen Windows Server-2022 läuft, die PSReadLine-Modulversion 2.2.2 oder höher installiert ist. Wenn sie eine ältere Version verwenden, können Sie die erforderliche Version mit den folgenden Befehlen installieren.

    Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

    Führen Sie nach der Installation des NuGet-Paketanbieters den folgenden Befehl aus.

    Install-Module `
 -Name PSReadLine `
 -Repository PSGallery `
 -MinimumVersion 2.2.2 -Force

  • Session-Manager-Konfiguration

    Bevor Sie Remote Desktop verwenden können, müssen Sie die Voraussetzungen für die Einrichtung von Session Manager erfüllen. Wenn Sie sich über Remotedesktop mit einer Instance verbinden, werden alle Sitzungseinstellungen, die für Ihre AWS-Konto und AWS-Region definiert wurden, übernommen. Weitere Informationen finden Sie unter Einrichten von Session Manager.

    Anmerkung

    Wenn Sie die Aktivitäten von Session Manager mit Amazon Simple Storage Service (Amazon S3) protokollieren, dann erzeugen Ihre Remotedesktop-Verbindungen den folgenden Fehler in bucket_name/Port/stderr. Dieser Fehler ist ein erwartetes Verhalten und kann ignoriert werden.

    Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest>
<ClientErrorMessage>Session is already terminated</ClientErrorMessage>
</BadRequest>

Konfiguration von IAM-Berechtigungen für Remote Desktop

Zusätzlich zu den erforderlichen IAM-Berechtigungen für Systems Manager und Session Manager, muss der Benutzer oder die Rolle, die Sie verwenden, über Berechtigungen zum Initiieren von Verbindungen verfügen.

Berechtigungen für das Initiieren von Verbindungen

Um RDP-Verbindungen zu EC2-Instances in der Konsole herzustellen, sind die folgenden Berechtigungen erforderlich:

  • ssm-guiconnect:CancelConnection

  • ssm-guiconnect:GetConnection

  • ssm-guiconnect:StartConnection

Berechtigungen zum Auflisten von Verbindungen

Um Verbindungslisten in der Konsole anzuzeigen, ist die folgende Berechtigung erforderlich:

ssm-guiconnect:ListConnections

Im Folgenden finden Sie Beispiele für IAM-Richtlinien, die Sie einem Benutzer oder einer Rolle zuordnen können, um verschiedene Arten der Interaktion mit Remote Desktop zu erlauben. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userid}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*",
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
Anmerkung

In der folgenden IAM-Richtlinie benötigt der SSMStartSession-Abschnitt einen Amazon-Ressourcennamen (ARN) für die Aktion ssm:StartSession. Wie gezeigt, benötigt der von Ihnen angegebene ARN keine AWS-Konto-ID. Wenn Sie eine Konto-ID angeben, gibt Fleet Manager AccessDeniedException zurückgegeben.

Für den AccessTaggedInstances-Abschnitt, der sich weiter unten in der Beispielrichtlinie befindet, sind auch ARNs für ssm:StartSession erforderlich. Für diese ARNs geben Sie AWS-Konto-IDs an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AccessTaggedInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:account-id:instance/*",
                "arn:aws:ssm:*:account-id:managed-instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/tag key": [
                        "tag value"
                    ]
                }
            }
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SSO",
            "Effect": "Allow",
            "Action": [
                "sso:ListDirectoryAssociations*",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:GetPasswordData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SSM",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeInstanceProperties",
                "ssm:GetCommandInvocation",
                "ssm:GetInventorySchema"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TerminateSession",
            "Effect": "Allow",
            "Action": [
                "ssm:TerminateSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:ssmmessages:session-id": [
                        "${aws:userName}"
                    ]
                }
            }
        },
        {
            "Sid": "SSMStartSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "ssm-guiconnect.amazonaws.com"
                }
            }
        },
        {
            "Sid": "SSMSendCommand",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:managed-instance/*",
                "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
            ]
        },
        {
            "Sid": "GuiConnect",
            "Effect": "Allow",
            "Action": [
                "ssm-guiconnect:CancelConnection",
                "ssm-guiconnect:GetConnection",
                "ssm-guiconnect:StartConnection",
                "ssm-guiconnect:ListConnections"
            ],
            "Resource": "*"
        }
    ]
}

Authentifizierung von Remote-Desktop-Verbindungen

Wenn Sie eine Remote-Verbindung herstellen, können Sie sich mit Windows-Anmeldeinformationen oder dem Amazon-EC2-Schlüsselpaar (.pem-Datei) authentifizieren, das der Instance zugeordnet ist. Weitere Informationen zur Verwendung von Schlüsselpaaren finden Sie unter Amazon-EC2-Schlüsselpaare und Windows-Instances im Amazon-EC2-Benutzerhandbuch.

Wenn Sie mit AWS IAM Identity Center in der AWS Management Console authentifiziert sind, können Sie sich auch ohne zusätzliche Anmeldedaten mit Ihren Instances verbinden. Ein Beispiel für eine Richtlinie, die die Authentifizierung von Fernverbindungen mit IAM Identity Center erlaubt, finden Sie unter Konfiguration von IAM-Berechtigungen für Remote Desktop.

Bevor Sie beginnen

Beachten Sie die folgenden Bedingungen für die Verwendung der IAM Identity Center-Authentifizierung, bevor Sie eine Verbindung über Remote Desktop herstellen.

  • Remote Desktop unterstützt die IAM Identity Center-Authentifizierung für Knoten in derselben AWS-Region, in der Sie IAM Identity Center aktiviert haben.

  • Remote Desktop unterstützt IAM Identity Center-Benutzernamen mit bis zu 16 Zeichen.

  • Remote Desktop unterstützt IAM Identity Center-Benutzernamen, die aus alphanumerischen Zeichen und den folgenden Sonderzeichen bestehen: . - _

    Wichtig

    Für IAM-Identity-Center-Benutzernamen, die die folgenden Zeichen enthalten, können keine Verbindungen hergestellt werden: + = ,

    IAM Identity Center unterstützt diese Zeichen in Benutzernamen, Fleet Manager-RDP-Verbindungen jedoch nicht.

    Wenn darüber hinaus ein IAM-Identity-Center-Benutzername ein oder mehrere @-Symbole enthält, ignoriert Fleet Manager das erste @-Symbol und alle darauf folgenden Zeichen, unabhängig davon, ob das @ den Domainteil einer E-Mail-Adresse einleitet oder nicht. Für den IAM Identity Center-Benutzernamen diego_ramirez@example.com wird der @example.com-Teil beispielsweise ignoriert und der Benutzername für Fleet Manager wird diego_ramirez. Für diego_r@mirez@example.com ignoriert Fleet Manager @mirez@example.com und der Benutzername für Fleet Manager wird diego_r.

  • Wenn eine Verbindung mit IAM Identity Center authentifiziert wird, erstellt Remote Desktop einen lokalen Windows-Benutzer in der Gruppe Lokale Administratoren der Instance. Dieser Benutzer bleibt bestehen, nachdem die Remoteverbindung beendet wurde.

  • Remote Desktop erlaubt keine IAM Identity Center-Authentifizierung für Knoten, die Microsoft Active Directory-Domain-Controller sind.

  • Obwohl Remote Desktop die Verwendung der IAM Identity Center-Authentifizierung für Knoten, die einer Active Directory-Domain angeschlossen sind, ermöglicht, raten wir davon ab, dies zu tun. Diese Authentifizierungsmethode gewährt Benutzern administrative Berechtigungen, die restriktivere, von der Domain gewährte Berechtigungen außer Kraft setzen können.

Unterstützte Regionen für die IAM Identity Center-Authentifizierung

Remote Desktop-Verbindungen, die die IAM Identity Center-Authentifizierung verwenden, werden in den folgenden AWS-Regionen unterstützt:

  • USA Ost (Ohio): (us-east-2)

  • USA Ost (Nord-Virginia): (us-east-1)

  • USA West (Nordkalifornien) (us-west-1)

  • USA West (Oregon): (us-west-2)

  • Afrika (Kapstadt) (af-south-1)

  • Asien-Pazifik (Hongkong) (ap-east-1)

  • Asien-Pazifik (Mumbai): (ap-south-1)

  • Asien-Pazifik (Tokyo) (ap-northeast-1)

  • Asien-Pazifik (Seoul): (ap-northeast-2)

  • Asien-Pazifik (Osaka) (ap-northeast-3)

  • Asien-Pazifik (Singapur): (ap-southeast-1)

  • Asien-Pazifik (Sydney): (ap-southeast-2)

  • Asien-Pazifik (Jakarta) (ap-southeast-3)

  • Kanada (Zentral): (ca-central-1)

  • Europa (Frankfurt) (eu-central-1)

  • Europa (Stockholm) (eu-north-1)

  • Europa (Irland) (eu-west-1)

  • Europa (London) (eu-west-2)

  • Europa (Paris) (eu-west-3)

  • Israel (Tel Aviv) (il-central-1)

  • Südamerika (São Paulo) (sa-east-1)

  • Europa (Mailand) (eu-south-1)

  • Naher Osten (Bahrain) (me-south-1)

  • AWS GovCloud (US-East) (us-gov-east-1)

  • AWS GovCloud (US-West) (us-gov-west-1)

Dauer und Gleichzeitigkeit der Remoteverbindung

Die folgenden Bedingungen gelten für aktive Remote-Desktop-Verbindungen:

  • Verbindungsdauer

    Standardmäßig wird eine Remote-Desktop-Verbindung nach 60 Minuten getrennt. Um zu verhindern, dass eine Verbindung getrennt wird, können Sie die Option Sitzung erneuern wählen, bevor sie getrennt wird, um den Timer für die Verbindungsdauer zurückzusetzen.

  • Verbindungstimeout

    Eine Remote-Desktop-Verbindung wird getrennt, nachdem sie länger als 10 Minuten inaktiv war.

  • Gleichzeitige Verbindungen

    Standardmäßig können Sie maximal 5 aktive Remote-Desktop-Verbindungen gleichzeitig für dasselbe AWS-Konto und dieselbe AWS-Region haben. Um eine Erhöhung des Servicekontingents auf bis zu 25 gleichzeitige Verbindungen zu beantragen, lesen Sie bitte den Abschnitt Beantragung einer Kontingenterhöhung im Benutzerhandbuch Service Quotas.

Verbindung zu einem verwalteten Knoten über Remote Desktop

Unterstützung für das Kopieren und Einfügen von Text durch den Browser

Mit den Browsern Google Chrome und Microsoft Edge können Sie Text von einem verwalteten Knoten auf Ihren lokalen Computer und von Ihrem lokalen Computer in einen verwalteten Knoten, mit dem Sie verbunden sind, kopieren und einfügen.

Mit dem Mozilla-Firefox-Browser können Sie Text nur von einem verwalteten Knoten auf Ihren lokalen Computer kopieren und einfügen. Das Kopieren von Ihrem lokalen Computer auf den verwalteten Knoten wird nicht unterstützt.

So stellen Sie über Fleet Manager Remote Desktop eine Verbindung zu einem verwalteten Knoten her

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager aus.

  3. Wählen Sie den Knoten, zu dem Sie eine Verbindung herstellen möchten. Sie können entweder das Kontrollkästchen oder den Knotennamen auswählen.

  4. Wählen Sie im Menü Knotenaktionen die Option Mit Remote Desktop verbinden.

  5. Wählen Sie den gewünschten Authentication type (Authentifizierungs-Typ). Wenn Sie Benutzeranmeldeinformationen wählen, geben Sie den Benutzernamen und das Passwort für ein Windows-Benutzerkonto auf dem Knoten ein, zu dem Sie eine Verbindung herstellen möchten. Wenn Sie Schlüsselpaar wählen, können Sie die Authentifizierung mit einer der folgenden Methoden durchführen:

    1. Wählen Sie Lokale Maschine durchsuchen, wenn Sie den mit Ihrer Instance verbundenen PEM-Schlüssel aus Ihrem lokalen Dateisystem auswählen möchten.

      – oder –

    2. Wählen Sie Schlüsselpaarinhalt einfügen, wenn Sie den Inhalt der PEM-Datei kopieren und in das vorgesehene Feld einfügen möchten.

  6. Wählen Sie Connect (Verbinden) aus.

  7. Um Ihre bevorzugte Bildschirmauflösung zu wählen, wählen Sie im Menü Aktionen die Option Auflösungen, und wählen Sie dann eine der folgenden Optionen:

    • Automatisch anpassen

    • 1 920 x 1 080

    • 1 400 x 900

    • 1 366 x 768

    • 800 x 600

    Die Option Automatisch anpassen legt die Auflösung auf der Grundlage der erkannten Bildschirmgröße fest.

Anzeigen von Informationen über aktuelle und abgeschlossene Verbindungen

Sie können den Fleet Manager-Bereich der Systems-Manager-Konsole verwenden, um Informationen zu RDP-Verbindungen anzuzeigen, die in Ihrem Konto hergestellt wurden. Mithilfe einer Reihe von Filtern können Sie die angezeigte Liste der Verbindungen auf einen Zeitraum, eine bestimmte Instance, den Benutzer, der die Verbindungen hergestellt hat, und Verbindungen mit einem bestimmten Status einschränken. Die Konsole bietet auch Registerkarten, auf denen Informationen zu allen derzeit aktiven Verbindungen und allen vergangenen Verbindungen angezeigt werden.

So zeigen Sie Informationen über aktuelle und abgeschlossene Verbindungen an

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Fleet Manager aus.

  3. Wählen Sie Kontoverwaltung, Mit Remote Desktop Connect.

  4. Wählen Sie eine der folgenden Registerkarten:

    • Aktive Verbindungen

    • Verlauf der Verbindung

  5. Um die Liste der angezeigten Verbindungsergebnisse weiter einzuschränken, geben Sie einen oder mehrere Filter in das Suchfeld ( The Search icon ) ein. Sie können auch einen Freitext-Suchbegriff eingeben.