Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Um den Benutzern die veröffentlichen Ressourcen verfügbar zu machen, muss auf einem RD-Sitzungshost die Rolle Remotedesktopdienste (RDS) installiert sein.
So fügen Sie einen RD-Sitzungshost zu einer Farm hinzu:
Navigieren Sie zu Infrastruktur > RD-Sitzungshosts.
Klicken Sie mit der rechten Maustaste auf die Liste und wählen Sie dann Hinzufügen aus (Sie können Hinzufügen auch auswählen, indem Sie auf die drei Punkte oder auf das Pluszeichen-Symbol klicken).
Wählen Sie einen Host (oder mehrere Hosts) aus der angezeigten Liste aus oder klicken Sie auf die Schaltfläche AD durchsuchen und suchen Sie dort nach einem Host.
Klicken Sie auf Weiter.
Spezifizieren Sie auf der nächsten Seite folgende Optionen:
Firewall-Regeln hinzufügen. Fügen Sie in Windows auf dem Host die Firewall-Regeln hinzu, die Parallels RAS benötigt. Weitere Informationen finden Sie unter Port-Referenz.
RDS-Rolle installieren. Installieren Sie die RDS-Rolle auf dem Host, wenn Sie nicht bereits installiert ist. Sie sollten diese Option immer auswählen.
Desktopdarstellung aktivieren. Aktivieren Sie die Funktion Desktopdarstellung“ in Windows auf dem Host. Diese Option ist nur aktiviert, wenn Sie RDS-Rolle installieren“ (oben) ausgewählt haben. Diese Option gilt nur für Windows Server 2008 R1/R 2 und Windows 2012 R1/R2, auf denen die Funktion Desktopdarstellung“ nicht standardmäßig aktiviert ist.
Den Server bei Bedarf neu starten. Wenn nötig, starten Sie den Host automatisch neu. Sie können den Host auch manuell neu starten.
Host(s) zum Hostpool hinzufügen. Den Host (oder die Hosts) einem Hostpool hinzufügen. Wählen Sie den gewünschten Hostpool in der Liste aus, die unter dieser Option angezeigt wird, um einen neuen Hostpool zu erstellen, indem Sie einen Namen eingeben, und dann auf Erstellen klicken. Weitere Informationen dazu, wie Sie einen Hostpool erstellen können, finden Sie unter RDSH-Hostpools.
Klicken Sie auf Weiter.
Damit Endbenutzer auf veröffentlichte Ressourcen auf dem RD-Sitzungshost zugreifen können, müssen sie der Gruppe Remotedesktopbenutzer“ in Windows auf dem Server hinzugefügt werden. Dies kann auf eine der folgenden Arten geschehen:
Hinzufügen jedes Benutzers oder jeder Gruppe direkt auf dem Host mit den standardmäßigen Windows-Verwaltungstools.
Hinzufügen von Benutzern oder Gruppen über Active Directory.
Verwenden Sie die unten beschriebene Assistentenseite, die zu Ihrer Bequemlichkeit bereitgestellt wird.
Wenn Sie Ihre Benutzer bereits zur Gruppe Remotedesktopbenutzer“ auf dem angegebenen Host hinzugefügt haben (oder wenn Sie aus irgendeinem Grund eine der anderen oben aufgeführten Methoden verwenden möchten), können Sie einfach auf Weiter klicken und diese Seite überspringen.
Um der Remotedesktop-Benutzergruppe über den Assistenten weitere Benutzer hinzuzufügen, klicken Sie auf Durchsuchen und geben Sie dann einen Benutzer oder eine Benutzergruppe an.
Überprüfen Sie die Einstellungen auf der nächsten Seite und klicken Sie auf Erstellen.
Wenn auf dem Host kein RAS RD Session Host Agent installiert ist, wird ein Dialogfeld angezeigt, in das Sie die Zugangsdaten für die Remote-Installation eingeben können. Geben Sie einen Benutzernamen und ein Passwort ein, die verwendet werden können, um die Agent-Software auf dem Host zu installieren. Klicken Sie auf Absenden und folgen Sie den Anweisungen auf dem Bildschirm.
Klicken Sie auf Fertig, wenn die Installation abgeschlossen ist. Hinweis: Wenn der Agent nicht installiert werden kann, können Sie der Farm trotzdem einen Host hinzufügen, Sie können diesen jedoch nicht verwenden. Sie können den Agent jederzeit zu einem späteren Zeitpunkt installieren.
Nach erfolgreicher Installation wird der Host in der Liste RD-Sitzungshosts aufgeführt.
Zusatzinformationen
Weitere Informationen darüber, wie Sie Ressourcen von einem RD-Sitzungshosts veröffentlichen können, finden Sie unter Veröffentlichung.
So konfigurieren und verwalten Sie einen RD-Sitzungshost:
So konfigurieren Sie einen RD-Sitzungshost:
Navigieren Sie zu Infrastruktur > RD-Sitzungshosts.
Klicken Sie auf einen Host in der Liste. Die Hostinformationen werden angezeigt.
In der Navigationsleiste klicken Sie unten auf Eigenschaften. Konfigurieren Sie den RD-Sitzungshost, wie unten beschrieben.
Wenn Sie Benutzerprofile für den Host basierend auf der FSLogix-Technologie konfigurieren möchten, wählen Sie bitte in der Technologie-Dropdownliste FSLogix aus und geben Sie die entsprechenden Einstellungen an. Eine vollständige Beschreibung der Konfiguration von FSLogix-Profilcontainern in Parallels RAS finden Sie unter FSLogix-Profilcontainer.
In der Kategorie Drucken können Sie das Umbenennungsformat umgeleiteter Drucker konfigurieren. Das Format kann je nach Version und Sprache des verwendeten Hosts variieren.
Um die Standardeinstellungen zu verwenden, wählen Sie die Option Standardeinstellungen erben. Siehe Unterabschnitt Verwenden der Standardeinstellungen oben.
Die Dropdownliste RDP-Druckernamen-Format ermöglicht Ihnen die Auswahl eines Druckernamensformats speziell für den konfigurierten Host.
Wählen Sie die Option Session-Nummer aus Druckername entfernen aus, um die jeweilige Information vom Druckernamen auszuschließen.
Scannen
In der Ansicht Scanvorgang legen Sie fest, welche Imaging-Schnittstellen auf dem/den Host(s) aktiviert werden sollen. Wählen Sie aus: WIA, TWAIN oder beide.
Die Eigenschaften des RD-Sitzungshosts werden in verschiedene Kategorien unterteilt und im mittleren Fensterbereich angezeigt. Jede Kategorie wartet mit eigenen Eigenschaften auf. Alle Kategorien außer Allgemeines und Scanvorgang verwenden einen gemeinsamen Link: Standardeinstellungen der Site oder Hostpool-Standardwerte, über die Sie die Standardeinstellungen abrufen können. Wenn Sie möchten, dass die Eigenschaften einer bestimmten Kategorie die Standardeinstellungen übernehmen, wählen Sie die Option Standardeinstellungen erben aus. Wenn Sie dies tun, werden die Standardeinstellungen von einem der folgenden Elemente geerbt:
Hostpool-Standardwerte, wenn der Host einem RD-Sitzungshost-Hostpool zugeordnet ist. Pools sind in Gruppieren und Klonen von RD-Sitzungshost beschrieben.
Site-Standardwerte, wenn der Host keinem RD-Sitzungshost-Hostpool zugeordnet ist. Beachten Sie, dass ein Hostpool auch Site-Vorgaben erben kann, aber dies kann im Gruppeneigenschaften-Dialogfeld aufgehoben werden, wo Sie benutzerdefinierte Einstellungen für einen Hostpool festlegen können.
Klicken Sie auf den Link Hostpool-Standardwerte oder Standardeinstellungen der Site (je nachdem, was zutrifft), um das Fenster Hostpool-Standardwerte“ oder Standardeinstellungen der Site“ zu öffnen. Um die Standardeinstellungen zu ändern (falls erforderlich), klicken Sie auf Bearbeiten.
RD-Sitzungshosts werden verwendet, um auf dem Host veröffentlichte Ressourcen (Anwendungen, Desktops, Dokumente usw.) in einer RAS-Farm zu hosten.
Navigieren Sie zu Infrastruktur > RD-Sitzungshosts, um die RD-Sitzungshosts zu verwalten. Hier sind die bestehenden RD-Sitzungshosts aufgelistet. Evtl. Verwaltungsfunktionen (hinzufügen, entfernen, Ereignisse und Sitzungen anzeigen usw.) können ausgeführt werden, indem Sie die drei Punkte anklicken, oder über das Kontextmenü (durch Rechtsklicken) und in einigen Fällen auch über Aktionssymbole.
In der Navigationsleiste wählen Sie Allgemeines aus und geben dann Folgendes an:
Host der Site aktivieren: Host aktivieren oder deaktivieren. Ein deaktivierter Host kann den Benutzern keine veröffentlichten Ressourcen zur Verfügung stellen. Wenn Sie einen Host deaktivieren, wird sein Name in der Hauptliste ausgegraut.
Host: Geben Sie den Hostnamen an.
Beschreibung: Gibt die Hostbeschreibung an.
Direktadresse ändern: Wählen Sie diese Option, wenn Sie die direkte Adresse ändern müssen, die der Parallels Client benutzt, um eine direkte Verbindung mit dem RD-Sitzungshost herzustellen.
Auf jedem RD-Sitzungshost in der Server-Farm ist ein RAS RD Session Host Agent installiert, über den die Kommunikation mit den anderen Parallels RAS-Komponenten abgewickelt wird. Mit der Kategorie Agent-Einstellungen wird der Agent konfiguriert.
Um die Standardeinstellungen zu verwenden, wählen Sie die Option Standardeinstellungen erben. Weiterführende Informationen finden Sie unter Standardwerte für Standorte oder Gruppen verwenden. Um benutzerdefinierte Einstellungen für einen bestimmten Host festzulegen, wählen Sie die Option Standardeinstellungen erben ab und legen die Agent-Eigenschaften wie folgt fest:
Verweilen der Anwendungssitzung
Die Einstellungen in diesem Abschnitt gelten nur für Sitzungen, in denen keine Anwendungen laufen.
Aktive Sitzung trennen nach: Gibt die Zeitdauer an, die jede Sitzung im Hintergrund verbunden bleibt, nachdem der Benutzer eine Remote-Anwendung geschlossen hat. Mit dieser Option können unnötige Verbindungswiederherstellungen mit dem Host vermieden werden.
Getrennte Sitzung abmelden nach: Mit dieser Einstellung können Sie steuern, wie lange es dauert, bis eine Sitzung abgemeldet ist, nachdem sie als getrennt“ markiert wurde.
Weitere Einstellungen
Port. Legt eine andere Portnummer für die Remotedesktopverbindung fest, wenn auf dem Host ein nicht standardmäßiger Port konfiguriert ist.
Session-Limit. Legt die maximale Anzahl von Sitzungen fest.
URL-/E-Mail-Weiterleitung an Client erlauben. Wenn ein Benutzer versucht, eine URL oder einen HTML-Mailto-Link in einer Remote-Anwendung zu öffnen, kann der Link auf den Client-Computer umgeleitet und in einer lokalen Standardanwendung (einem Web-Browser oder E-Mail-Client) statt in einer Anwendung auf dem Remote-Host geöffnet werden. Mit dieser Option können Sie die Umleitung aktivieren oder deaktivieren. Sie können aus den folgenden Optionen auswählen:
Aktiviert – wählen Sie diese Option, um die Umleitung zu aktivieren, und wählen Sie dann die Option Windows Shell-URL-Namespaceobjekte unterstützen (unter dem Dropdownfeld). Hierbei handelt es sich um die Standkonfiguration der Umleitung, die in den meisten gängigen Szenarien funktioniert. Die Unterstützung von Shell-URL-Namespaceobjekten bedeutet, dass Parallels RAS Aktionen in veröffentlichten Anwendungen abfangen kann, die die Shell-Namespace-API zum Öffnen von Links verwenden, was in den meisten Anwendungen das Standardverhalten ist. Die Möglichkeit, die Unterstützung für Shell-URL-Namespace-Objekte zu deaktivieren, dient der Kompatibilität mit älteren Versionen von Parallels RAS. Sie können diese Option deaktivieren, wenn Sie das Verhalten einer älteren Version von Parallels RAS (RAS v16.2 oder früher) wünschen.
Aktiviert (registrierte Anwendung ersetzen) – diese Option verwendet eine alternative Methode der Umleitung eines Links. Hierbei werden auf Remotehost-Seite der Standard-Webbrowser und der Mail-Client durch Dummy“-Anwendungen ersetzt. Auf diese Weise kann der Versuch, einen Link zu öffnen, abgefangen und auf den Client-Computer umgeleitet werden. Sie können diese Option ausprobieren, wenn die obige Standardoption mit Ihrer veröffentlichten Anwendung nicht funktioniert.
Deaktiviert – diese Option deaktiviert die URL/E-Mail-Umleitung, sodass URL oder Mailto-Links immer auf dem Remote-Host geöffnet werden.
Windows Shell-URL-Namespaceobjekte unterstützen:
Ziehen und ablegen. Hier können Sie festlegen, wie das Ziehen und Ablegen in den Parallels Clients funktioniert. Sie können wählen zwischen Deaktiviert“ (überhaupt kein Ziehen und Ablegen), Nur Server zum Client“ (Ziehen und Ablegen zu einer lokalen Anwendung, aber nicht in die entgegengesetzte Richtung), Nur Client zum Server“ (Ziehen und Ablegen nur zu einer entfernten Anwendung), Bidirektional“ (Standard). Beachten Sie, dass sich diese Option seit Parallels RAS 17.1 geändert hat. In der Vergangenheit war es ein Kontrollkästchen, mit dem das Ziehen und Ablegen aktiviert oder deaktiviert werden konnte, was im Modus Nur vom Client zum Server“ funktionierte. Beim Upgrade von einer älteren Version von Parallels RAS und wenn das Kontrollkästchen aktiviert war, ist die Option Nur Client auf Server“ standardmäßig ausgewählt. Wenn die Option deaktiviert wurde, wird die Option Deaktiviert“ gesetzt. Sie können sie auf jede der neuen verfügbaren Optionen ändern, wenn Sie es wünschen.
Hinweis: Bei Redaktionsschluss dieser Dokumentation ist die Ziehen- und Ablegen-Funktion nur in Parallels Client für Windows und Parallels Client für Mac verfügbar.
Bevorzugter Connection Broker. Wählen Sie einen Connection Broker aus, zu dem der RD-Sitzungshost eine Verbindung herstellen soll. Das ist hilfreich, wenn die Site-Komponenten in mehreren physischen Sites installiert sind, die über WAN miteinander kommunizieren. Sie können den Netzwerkdatenverkehr verringern, indem Sie einen geeigneteren RAS Connection Broker festlegen.
2XRemoteExec darf Befehle an den Client senden. Wählen Sie diese Option aus, um es einem auf dem Host laufenden Prozess zu erlauben, den Client anzuweisen, eine Anwendung auf der Clientseite bereitzustellen. Weitere Informationen finden Sie im Unterabschnitt Verwendung von RemoteExec weiter unten.
RemoteApp verwenden (falls verfügbar). Aktivieren Sie diese Option, damit Remote-Anwendungen für Probleme in Verbindung mit der Shell genutzt werden können, wenn eine Anwendung nicht richtig angezeigt wird. Diese Funktion wird nur auf dem Parallels Client für Windows unterstützt.
Anwendungsüberwachung aktivieren. Hier können Sie die Überwachung von Anwendungen auf dem Host aktivieren bzw. deaktivieren. Durch die Deaktivierung der Überwachung wird die WMI-Überwachung beendet, um die CPU-Auslastung auf dem Host und die Netzwerk-Auslastung während der Datenübertragung an RAS Connection Broker zu senken. Wenn diese Option aktiviert ist, werden die erfassten Informationen in einem entsprechenden RAS-Bereich angezeigt. Wenn die Option deaktiviert ist, werden die Informationen von diesem Host in keinem Bericht angezeigt.
RDP-Transportprotokoll verwalten. Wählen Sie das Transportprotokoll aus, das für Verbindungen zwischen Parallels Client und einem Host verwendet werden soll.
Dateiübertragungsbefehl zulassen (Web und Chrome-Clients): Aktiviert die Dateiübertragung in einer Remotesitzung. Wählen Sie die gewünschte Option aus der Dropdownliste aus. Weitere Details finden Sie unten unter Konfigurieren der Remote-Dateiübertragung.
Speicherort für die Datenübertragung. Ein UNC-Pfad zu einem Ordner, der als Standard-Upload-Speicherort verwendet werden soll. Dieser Pfad wird auch als Standard-Quellort verwendet, wenn ein Benutzer versucht, eine Datei von einem Remotehost herunterzuladen. Sie können einen der vordefinierten Orte aus der Dropdownliste auswählen oder einen eigenen angeben. Standard-Windows-Umgebungsvariablen wie %USERNAME%, %USERDOMAIN%, %USERPROFILE%, können verwendet werden. Wenn der Ort nicht gefunden wird, wird der Standard-Speicherort für Downloads verwendet.
Ändern des Speicherorts nicht erlauben. Dies verbietet dem Benutzer, den im Feld Ort angegebenen UNC-Pfad zu ändern. Wenn die Option aktiviert ist, kann der Benutzer beim Hoch- oder Herunterladen einer Datei keinen anderen Speicherort auswählen. Wenn die Option deaktiviert ist, kann der Benutzer einen anderen Ort angeben.
Cache für Laufwerksumleitung aktivieren. Verbessert die Benutzererfahrung, indem das Durchsuchen von Dateien und die Navigation auf umgeleiteten Laufwerken deutlich schneller wird.
Verwenden von 2XRemoteExec
2XRemoteExec ist eine Funktion, die den Hosts die Möglichkeit gibt, Befehle an den Client zu senden. Dies erfolgt mithilfe des Befehlszeilendienstprogramms 2XRemoteExec.exe
. Die Optionen für die Befehlseingabe umfassen:
Beispiele für 2XRemoteExec:
Der folgende Befehl zeigt ein Meldungsfeld an, in dem die verfügbaren Parameter beschrieben werden.
Mit diesem Befehl wird der Windows-Editor auf dem Client ausgeführt.
In diesem Beispiel öffnet der Befehl die Datei C:\readme.txt
im Windows-Editor auf dem Client. Es werden keine Meldungen angezeigt und 2XRemoteExec wartet 6 Sekunden bzw. bis zum Start der Anwendung.
Konfigurieren der Remote-Dateiübertragung
Parallels RAS bietet Endbenutzern die Möglichkeit, Dateien remote von und zu einem Remotehost zu übertragen.
Hinweis: Bei Redaktionsschluss dieses Handbuchs wurde die Dateiübertragung nur im Parallels Nutzerportal und im Parallels Client für Chrome unterstützt. Hinweis: Die bidirektionale Dateiübertragung wird nur im Parallels Nutzerportal unterstützt.
Um die Remote-Dateiübertragung so flexibel wie möglich zu gestalten, ermöglicht Parallels RAS Ihnen, die Dateiübertragung auf den drei folgenden drei Ebenen zu konfigurieren.
RD-Sitzungshost; Anbieter oder Remote PC
Nutzerportal
Clientrichtlinie
Einstellungen für die Dateiübertragung, die Sie auf jeder Ebene festlegen, gelten in der oben angegebenen Reihenfolge. Wenn Sie die Dateiübertragung beispielsweise auf einem Nutzerportal aktivieren, aber auf einem RD-Sitzungshost deaktivieren, wird die Dateiübertragung für alle Benutzer deaktiviert, die sich über das angegebene Nutzerportal mit dem angegebenen RD-Sitzungshost verbinden. Als weiteres Beispiel können Sie die Dateiübertragung auf einem RD-Sitzungshost aktivieren und dann für eine bestimmte Client-Richtlinie (oder ein Nutzerportal) deaktivieren. Auf diese Weise können Sie steuern, welche Clients die Dateiübertragung verwenden können und welche nicht.
So konfigurieren Sie die Remote-Dateiübertragung:
Wählen Sie in der Dropdownliste Dateiübertragungsbefehl zulassen eine der folgenden Optionen aus:
Deaktiviert: Die Remote-Dateiübertragung ist deaktiviert.
Client zu Server: Überträgt Dateien nur von Client zu Server.
Server zu Client: Überträgt Dateien nur von Server zu Client.
Bidirektional: Überträgt Dateien in beiden Richtungen.
Geben Sie im Feld Speicherort für die Datenübertragung einen UNC-Pfad zu einem Ordner an, der als Standard-Upload-Speicherort verwendet werden soll. Dieser Pfad wird auch als Standard-Quellort verwendet, wenn ein Benutzer versucht, eine Datei von einem Remoteserver herunterzuladen. Standard-Windows-Umgebungsvariablen wie %USERNAME%, %USERDOMAIN%, %USERPROFILE%, können verwendet werden. Wenn der Ort nicht gefunden wird, wird der Standard-Speicherort für Downloads verwendet.
Die Option Ändern des Standorts nicht erlauben verbietet es dem Benutzer, den im Feld Ort angegebenen UNC-Pfad zu ändern. Wenn die Option aktiviert ist, kann der Benutzer beim Hoch- oder Herunterladen einer Datei keinen anderen Speicherort auswählen. Wenn die Option deaktiviert ist, kann der Benutzer einen anderen Ort angeben.
Wichtig: Bitte beachten Sie, dass die Option Ändern des Standorts nicht erlauben den Benutzer nicht daran hindern kann, direkt auf den angegebenen Remote-Standort zuzugreifen. So kann ein Benutzer beispielsweise versuchen, eine Datei hochzuladen, sich den UNC-Pfad des Standardspeichers (auf den er Zugriff hat) notieren, ihn dann im File Explorer öffnen und in einen beliebigen Ordner seines Profils kopieren. Um ein solches Szenario zu verhindern, müssen Sie zusätzliche Maßnahmen ergreifen, um andere Orte als den hier angegebenen zu kontrollieren.
Parameter der Befehlseingabe | Beschreibung des Parameters |
---|---|
-s
Damit wird der 2XRemoteExec-Befehl im dialogfreien Modus ausgeführt. Ohne diesen Parameter zeigt der Befehl Meldungen aus der Anwendung an. Wenn Sie den Parameter setzen, werden die Meldungen nicht angezeigt.
-t
Dieser Parameter wird verwendet, um das Zeitlimit für den Start der Anwendung festzulegen. Das Zeitlimit muss ein Wert von 5000 ms bis 30.000 ms sein. Beachten Sie, dass der eingetragene Wert in Millisekunden gilt. Wenn das Zeitlimit abgelaufen ist, wird vom Befehl eine Fehlermeldung zurückgegeben. Beachten Sie, dass die Anwendung auf dem Client trotzdem gestartet sein kann.
-?
Zeigt eine Liste der Parameter, die von 2XRemoteExec verwendet werden, mit Hilfeanleitungen an.
Pfad zur Remote-Anwendung“
Die Anwendung, die auf dem Client gemäß Anweisung vom Host gestartet wird.
Die Kategorie Desktopzugriff ermöglicht es Ihnen, den Remotedesktopzugriff auf bestimmte Benutzer zu beschränken.
Um die Standardeinstellungen zu verwenden, wählen Sie die Option Standardeinstellungen erben. Siehe Unterabschnitt Verwenden der Standardeinstellungen oben.
Standardmäßig können alle Benutzer, die Zugriff auf Remote-Anwendungen auf einem RD-Sitzungshost haben, über eine Standard-RDP-Verbindung eine Verbindung mit einem Host herstellen. Wenn Sie den Remotedesktopzugriff auf bestimmte Benutzer beschränken möchten, gehen Sie wie folgt vor:
Wählen Sie die Option Direkten Desktopzugriff auf die folgenden Benutzer beschränken aus. Wenn Sie die Option Standardeinstellungen erben ausgewählt haben, klicken Sie auf den Link Standardwerte bearbeiten, um die Standardkonfiguration anzuzeigen (und sie ggf. zu bearbeiten). Die restlichen Schritte gelten sowohl für das Dialogfeld Hosteigenschaften als auch für das Dialogfeld Standard-Hosteigenschaften.
Klicken Sie auf das Pluszeichen-Symbol.
Wählen Sie die gewünschten Benutzer aus. Um mehrere Benutzer hinzuzufügen, trennen Sie sie mit einem Semikolon.
Klicken Sie auf OK.
Die Benutzer in dieser Liste sind nach wie vor in der Lage, mit Parallels Client auf Remote-Anwendungen zuzugreifen, Remotedesktopzugriff auf diesen Server ist jedoch nicht möglich.
Beachten Sie bitte, dass Mitglieder der Administratorgruppe nach wie vor eine Verbindung mit dem Remotedesktop herstellen können, selbst wenn sie in dieser Liste enthalten sind.
Die Ansicht Überblick zeigt folgende Informationen an:
Der Abschnitt Informationen zeigt dieselben RD-Sitzungshost-Informationen an, wie diejenigen, die auf der Hauptliste RD-Sitzungshosts angezeigt werden. Hier sind sie aber in einer Ansicht zusammengefasst.
Im Abschnitt Aktionen werden Aktionen aufgeführt, die Sie auf einem Host ausführen können (siehe unten). Bitte beachten Sie, dass Sie Aktionen auch in der Hauptliste RD-Sitzungshosts durchführen können, indem Sie einen Host auswählen, auf die drei Punkte klicken und eine Option auswählen.
Folgende Aktionen können Sie auf einem RD-Sitzungshost durchführen:
Alle benachrichtigen: Sendet eine Nachricht an alle Benutzer, die mit dem Host verbunden sind.
Alle trennen: Trennt alle aktuellen Benutzer vom Host.
Alle Sitzungen abmelden: Alle aktuellen Sitzungen werden abgemeldet.
Agent aktualisieren: Aktualisiert den RD Session Host Agent (falls erforderlich).
Agent deaktivieren: Der Agent wird vorübergehend deaktiviert.
Das Untermenü Steuerung enthält folgende Elemente:
Anmeldungen aktivieren: Aktiviert Anmeldungen aus Client-Sitzungen, aber nicht von der Konsole aus. Diese Option führt denselben Vorgang aus wie der Befehl change logon /enable
.
Anmeldungen deaktivieren: Deaktiviert nachfolgende Anmeldungen aus Client-Sitzungen, aber nicht von der Konsole aus. Aktuell angemeldete Benutzer sind davon nicht betroffen. Diese Option führt denselben Vorgang aus wie der Befehl change logon /disable
.
Drain: Deaktiviert Anmeldungen aus neuen Client-Sitzungen, lässt aber erneute Verbindungen mit bestehenden Sitzungen zu. Drain bleibt auch nach dem Neustart erhalten, bis der Administrator die Anmeldungen aktiviert.
Beachten Sie, dass sich Administratoren, während sich ein Host im Drain-Modus befindet, immer noch an der physischen Konsole anmelden oder sich über die Befehlszeilenoption /admin oder /console für MSTSC aus der Ferne anmelden können. Dies ermöglicht Administratoren die Fernwartung des RDS-Hosts über Tools > Remotedesktop.
Drain bis Neustart: Deaktiviert Anmeldungen aus neuen Client-Sitzungen, bis der Computer neu gestartet wird, lässt aber erneute Verbindungen mit bestehenden Sitzungen zu. Drain bleibt bis zum Neustart des Hosts aktiv. Diese Option führt denselben Vorgang aus wie der Befehl change logon /drainuntilrestart
.
Warten auf Neustart abbrechen (Scheduler): Warten auf Neustart wird abgebrochen.
Deaktivierten Status abbrechen (Scheduler): Deaktivierter Status wird abgebrochen (Scheduler).
RDS-Rolle installieren: Erlaubt es Ihnen, die RDS-Rolle auf dem Host zu installieren.
Neustarten: Host wird neu gestartet.
Ausschalten: Host wird herunterfahren.
Das Untermenü Protokolldateien enthält folgende Elemente:
Konfigurieren: Erlaubt es Ihnen, die Protokollierung zu konfigurieren. Weitere Erklärungen zu den einzelnen Protokollierungsstufe finden Sie weiter unten.
Abrufen: Ruft ein ZIP-Archiv mit den Protokolldateien am angegebenen Speicherort ab.
Löschen: Damit werden alle bestehenden Protokolle gelöscht.
Folgende Protokollierungsstufen gibt es:
Standard: Dies ist die Standard-Protokollierungsstufe, die nur die wichtigsten Ereignisse aufzeichnet. Wenn Sie nicht vom Parallels RAS-Support aufgefordert werden, eine der unten beschriebenen Protokollierungsstufen zu verwenden, sollten Sie immer diese verwenden.
Erweitert: Diese Protokollierung beinhaltet mehr Informationen als die Standardprotokollierung, verlangsamt aber das System aufgrund der zusätzlichen Informationen, die es sammeln muss.
Verbose: Die Verbose-Protokollierung beinhaltet noch mehr Informationen als die erweiterte Protokollierung und kann Ihr System erheblich verlangsamen.
Zur Vermeidung von Leistungseinbußen sollte die erweiterte und ausführliche Protokollierung nur für einen begrenzten Zeitraum aktiviert werden (genug, um die notwendigen Informationen für die Analyse zu sammeln). Sie können diesen Zeitraum mit der Option Anschließend wieder auf Standard-Ebene zurücksetzen einstellen. Der Standardwert ist 12 Stunden. In Einzelfällen teilt Ihnen ein Parallels-Supporttechniker mit, ob dieser Zeitraum auf einen anderen Wert eingestellt werden sollte. Nach Ablauf dieser Zeitspanne wird die Protokollierungsstufe wieder auf den Standard zurückgesetzt.
Außerdem gibt es u. A. folgende Elemente:
Dem Hostpool zuweisen: Weist den Host einem Hostpool zu.
Aus dem Hostpool entfernen: Entfernt einen Host aus einem Hostpool.
Aktualisieren: Aktualisiert die Hostinformationen, die auf dem Bildschirm angezeigt werden.
Standardeinstellungen der Site: Öffnet die Ansicht RDSH-Standardeinstellungen der Site, in der Sie die Standardeinstellungen der Site anzeigen und konfigurieren können.
Löschen: Löscht diesen Host aus der RAS-Farm.
Um die aktive Sitzung für einen RD-Sitzungshost anzuzeigen, klicken Sie in der Navigationsleiste auf Aktive Sitzungen. Klicken Sie auf den Benutzernamen in der Liste, um detaillierte Sitzungsinformationen abzurufen. Dadurch wird die Ansicht Sitzungsinformationen geöffnet. Eine detaillierte Beschreibung der Sitzungsmetriken finden Sie unter Sitzungsinformationen.
Um eine Aktion für eine Sitzung (oder mehrere Sitzungen) auszuführen, wählen Sie die entsprechende Aktion in der Liste aus und klicken dann auf die drei Punkte. Wählen Sie eines der folgenden Elemente aus:
Sitzungsinformationen anzeigen: Dadurch wird die Ansicht Sitzungsinformationen geöffnet.
Nachricht: Sendet eine Nachricht an den Sitzungseigentümer.
Trennen: Trennt die Sitzung.
Abmelden: Meldet die Sitzung ab.
Ressourcen anzeigen: Dadurch wird die Ansicht mit den aktuell laufenden Ressourcen angezeigt.
Laufende Prozesse anzeigen: Öffnet die Ansicht mit den aktuell laufenden Prozessen.
Überwachungseinstellungen: Öffnet einen Dialog, in dem Sie Überwachungseinstellungen konfigurieren können, um Werte in Sitzungsmetriken für RD-Sitzungshosts hervorzuheben. In diesem Dialogfeld werden die verfügbaren Metriken aufgelistet, und Sie können für eine bestimmte Metrik die Schwellenwerte Warnung“ und Kritisch“ festlegen. Um einen Schwellenwert festzulegen, aktivieren Sie das Kontrollkästchen vor dem Namen einer Metrik und geben die gewünschten Werte an. Während des Betriebs der RAS-Farm wird bei Erreichen eines Schwellenwerts ein Sitzungsmetrikwert wie folgt hervorgehoben: Schwellenwert Warnung“: orange; Schwellenwert Kritisch“: rot.
Um die Werte für einen bestimmten Schwellenwert zurückzusetzen wählen Sie diesen aus und wählen dann im Drei-Punkt-Menü Zurücksetzen aus (oder klicken Sie mit der rechten Maustaste auf > Zurücksetzen). Sie können außerdem die Farbcodierung der Schwellenwerte für eine Metrik aktivieren oder deaktivieren. Dazu wählen Sie eine Metrik aus und wählen dann im Drei-Punkt-Menü Aktivieren oder Deaktivieren aus.
Aktualisieren: Aktualisiert die Liste.
Exportieren: Exportiert die Informationen in eine CSV-Datei.
So führen Sie Verwaltungsaufgaben für RD-Sitzungshosts durch:
Navigieren Sie zu Infrastruktur > RD-Sitzungshosts.
Klicken Sie auf einen Host, um die Hosteigenschaften anzuzeigen.
Verwenden Sie die Navigationsleiste, um zwischen den einzelnen Ansichten hin- und her zu schalten, damit Sie weitere Informationen anzeigen und verschiedene Aktionen durchführen können. Diese Ansichten werden im Folgenden beschrieben.
Um die laufenden Ressourcen für einen RD-Sitzungshosts anzuzeigen, klicken Sie in der Navigationsleiste auf Laufende Ressourcen. Klicken Sie auf den Ressourcennamen, um detaillierte Informationen abzurufen. Es öffnet sich eine Ansicht, in der die grundlegenden Ressourceninformationen (ID, Name, Ziel usw.) und die entsprechenden Sitzungsinformationen angezeigt werden. Detaillierte Informationen zu Sitzungsmetriken finden Sie unter Sitzungsinformationen.
Um eine Aktion für eine Ressource auszuführen, wählen Sie die entsprechende Aktion in der Liste aus und klicken dann auf die drei Punkte. Wählen Sie eine der folgenden Optionen aus:
Nachricht: Sendet eine Nachricht an den Sitzungseigentümer.
Trennen: Trennt die Sitzung.
Abmelden: Meldet die Sitzung ab.
Laufende Prozesse anzeigen: Öffnet die Ansicht mit den aktuell laufenden Prozessen.
Benutzersitzung anzeigen: Öffnet eine Ansicht mit Informationen über die Sitzung.
Informationen anzeigen: Öffnet eine Ansicht mit Informationen über die Ressource.
Überwachungseinstellungen: Siehe Beschreibung in Aktive Sitzungen.
Aktualisieren: Aktualisiert die Liste.
Exportieren: Speichert die Liste in einer CSV-Datei.
Um die laufenden Prozesse für einen RD-Sitzungshosts anzuzeigen, klicken Sie in der Navigationsleiste auf Laufende Prozesse. Dadurch wird die Ansicht mit den aktuell laufenden Prozessen geöffnet.
Um einen oder mehrere Prozess(e) zu beenden, wählen Sie den/die entsprechenden Prozess(e) in der Liste aus, klicken Sie dann die drei Punkte an und wählen Prozesse beenden. Um die Liste zu aktualisieren, klicken Sie auf Aktualisieren.
Wählen Sie in der Navigationsleiste Problembehandlung aus, um Informationen und Aufgaben zur Problembehandlung anzuzeigen.
Die Daten, die in der Ansicht Problembehandlung angezeigt werden, werden aus dem RAS-Verwaltungsportal direkt vom RD-Sitzungshosts abgerufen, nicht vom RAS Connection Broker. Diese Ansicht kann Daten anzeigen, die für die Problembehandlung beim RAS RD Session Host Agent wichtig sind, auch wenn der Agent nicht vom RAS Connection Broker erreicht werden kann oder gerade bei einem anderen RAS Connection Broker registriert ist.
Folgende Daten werden angezeigt:
Host: Der RD-Sitzungshostname.
Agent: Agent-Status (z. B. OK“).
Version: Agent-Version.
RDS-Rolle: Gibt an, ob eine RDS-Rolle im RD-Sitzungshosts aktiviert ist oder nicht.
BS-Typ: Der auf dem Host installierte Betriebssystem-Typ.
Status: Zeigt eine lange Version des Agent-Status an. Wenn der Agent OK“ ist, wird dies angezeigt. Wenn es ein Problem gibt, wird in diesem Feld erklärt, welches Problem beim Agent auftritt. Nutzen Sie diese Informationen, um das Problem aus der Welt zu schaffen.
Sie können in der Ansicht Problembehandlung auch folgende Aktionen durchführen:
Protokolle abrufen: Ruft die Host-Protokolle in einer einzigen ZIP-Datei ab.
Protokolle konfigurieren: Erlaubt es Ihnen, eine Protokollierungsstufe für Parallels RAS-Komponenten anzugeben. Hinweis: Erweiterte und Verbose-Ebenen sollten nur für die Fehlersuche verwendet werden. Wenn Sie eine dieser Stufen auswählen, können Sie auch den Zeitraum festlegen, nach dem die Protokollstufe wieder auf Standard“ zurückgesetzt wird.
Protokolle löschen: Damit werden alle bestehenden Protokolle gelöscht.
Agent neu starten: Damit wird der RAS RD Session Host Agent neu gestartet.
Agent deinstallieren: Damit wird der Agent deinstalliert.
Aktualisieren: Aktualisiert die Agent-Informationen.
So generieren Sie eine Zertifikatsignaturanforderung (CSR):
Navigieren Sie zu Infrastruktur > Zertifikate.
Klicken Sie auf die drei Punkte, wählen Sie Hinzufügen > Selbstsigniertes Zertifikat generieren aus und geben Sie erforderlichen Informationen ein. Die Informationen sind genau die gleichen wie diejenigen, wie unter Selbstsigniertes Zertifikat generieren beschrieben.
Nachdem Sie die Informationen eingegeben haben, klicken Sie auf Generieren. Die Ansicht Zertifikat-Informationen“ öffnet sich.
Klicken Sie im mittleren Fensterbereich auf Zertifikat anfordern, um die angeforderten Daten anzuzeigen. Kopieren Sie diese Daten in einen Texteditor und speichern Sie die Datei für Ihre Unterlagen. In dieser Ansicht können Sie zu diesem Zeitpunkt auch einen öffentlichen Schlüssel importieren. Sie können die Anforderung jetzt bei einer Zertifizierungsstelle einreichen, den öffentlichen Schlüssel erhalten und ihn importieren, ohne die Ansicht zu schließen, oder Sie können dies später tun.
So übermitteln Sie die Anforderung an eine Zertifizierungsstelle und importieren einen öffentlichen Schlüssel:
Falls die Ansicht Zertifikat anfordern“ geschlossen ist, öffnen Sie diese (klicken Sie in der Hauptliste auf die Anfrage und dann auf Zertifikat anfordern).
Kopieren Sie die Anforderung und laden Sie sie auf die Webseite der Zertifizierungsstelle hoch (oder senden Sie sie per E-Mail, in diesem Fall müssen Sie später zu dieser Ansicht zurückkehren).
Beziehen Sie die Zertifikatsdatei von der Zertifizierungsstelle.
Klicken Sie auf die Schaltfläche Öffentlichen Schlüssel importieren und schließen Sie die Zertifikatsregistrierung ab, indem Sie die Schlüsseldatei und die Zertifikatsdatei angeben.
Mit Parallels RAS VDI (Virtual Desktop Infrastructure) können Sie durch Servervirtualisierung die Anzahl der physischen Server verringern, die erforderlich sind, um veröffentlichte Ressourcen zu hosten. Parallels RAS VDI unterstützt zahlreiche Virtualisierungstechnologien, darunter Hypervisor- und Cloud-basierte Plattformen.
Parallels RAS VDI enthält auch die Vorlagenfunktion, mit der Sie eine Vorlage aus einer vorkonfigurierten Gast-VM (virtuelle Maschine) zu erstellen und dann automatisch Hosts daraus zu klonen.
Bitte beachten Sie, dass zum Zeitpunkt der Erstellung dieses Dokuments die VDI-Funktionalität im Parallels RAS-Verwaltungsportal auf die Anzeige bestehender virtueller Desktops, die Neuerstellung von Hosts und die Durchführung von Schaltvorgängen beschränkt ist. Für andere VDI-Aufgaben verwenden Sie bitte die desktopbasierte Parallels RAS-Konsole.
Liste virtueller Desktops
Um die Liste der virtuellen Desktops anzuzeigen, die es in er Farm gibt, navigieren Sie zu Infrastruktur > Virtual Desktops.
Um in der Tabelle Virtual Desktops einzelne Spalten hinzuzufügen oder zu entfernen, klicken Sie auf das Zahnradsymbol und wählen die entsprechenden Spalten aus oder löschen diese.
Um einen Schaltvorgang durchzuführen, wählen Sie einen virtuellen Desktop und dann aus dem Drei-Punkt-Menü eine der folgenden Optionen aus:
Starten
Beenden
Neustart – Der Neustartvorgang (ordnungsgemäß) hat ein Zeitlimit von 10 Minuten. Wenn der Vorgang während dieser Zeit nicht abgeschlossen werden kann, wird der Rücksetzvorgang (erzwungen) verwendet.
Zurücksetzen
Anhalten
Aktualisieren
Neu erstellen – Weitere Informationen dazu finden Sie weiter unten.
Einen Host neu erstellen
Wenn bei einem auf einer Vorlage basierenden Host ein Problem auftritt und sie unbrauchbar wird, müssen Sie diesen nicht löschen und einen neuen erstellen. Stattdessen können Sie ihn unter Beibehaltung seines Namens und seiner MAC-Adresse neu erstellen (um sicherzustellen, dass die VM die gleiche IP-Adresse vom DHCP-Server erhält). Auf diese Weise werden keine anderen Site-Einstellungen in Mitleidenschaft gezogen, die möglicherweise auf einem beschädigten Host basieren. Ein weiterer Grund für die Neuerstellung eines Hosts besteht darin, die an der Vorlage vorgenommenen Änderungen zu übernehmen (wenn Sie die Wartung verlassen, ohne den Befehl Neu erstellen“ auszuführen). Beachten Sie, dass die Beibehaltung der MAC-Adresse nur auf ESXi, vCenter, Hyper-v und Hyper-v Failover Cluster unterstützt wird.
Hinweis: Wenn ein Host aus einer RD-Sitzungshost-Vorlage erstellt wurde und bereits einer RD-Sitzungshost-Hostpool zugeordnet war, kann sie nicht neu erstellt werden.
Wenn Sie einen Host neu erstellen:
Bei dem Verfahren wird eine VM gelöscht und von derselben Vorlage eine neue erstellt.
Der neue Host verwendet den gleichen Computer-Namen, der auch vorher verwendet wurde.
Wenn ein Host ausgeführt wird, gehen jedoch alle nicht gespeicherten Daten aus dem Arbeitsspeicher verloren. Aus diesem Grund sollten sämtliche wichtigen Daten auf einem externen Datenträger gespeichert werden.
Siehe auch
Das Parallels RAS-Verwaltungsportal enthält eine Zertifikatsverwaltungsoberfläche, mit der Sie alle Ihre SSL-Zertifikate an einem Ort verwalten können.
Zertifikate werden auf Site-Ebene verwaltet. Sobald ein Zertifikat der Site hinzugefügt wurde, kann es mit jedem RAS Secure Gateway oder HALB verwendet werden, das ebenfalls auf dieser Site vorhanden ist.
Navigieren Sie zu Infrastruktur > RD-Sitzungshosts, um die Zertifikate zu verwalten. Die Liste Zertifikate zeigt die bestehenden Zertifikate an. Wenn Sie Parallels RAS installieren, wird das selbstsignierte Zertifikat <Standard> automatisch erstellt, sodass Sie mindestens dieses Zertifikat in der Liste sehen. Das Standard-Zertifikat wird auch automatisch allen neuen RAS Secure Gateways und HALB zugewiesen.
In den folgenden Abschnitten werden die Aufgaben der Zertifikatsverwaltung detailliert beschrieben und zusätzliche Informationen und Anweisungen zum Zertifikat werden bereitgestellt.
Wenn Sie Ressourcen in Parallels RAS veröffentlichen, müssen Sie einen oder mehrere Hosts angeben, auf denen sie gehostet werden. Mit Gruppen können Sie mehrere RDHS-Hostpools zusammenfassen und dann die Ressourcen aus dem Hostpool veröffentlichen, anstatt einzelne Server anzugeben.
Zu den wichtigsten Vorteilen einer Verwendung von RD-Sitzungshost-Hostpools gehören folgende:
Sie vereinfachen die Verwaltung der veröffentlichten Ressourcen und sind in Umgebungen mit mehreren Hosts sehr empfehlenswert.
Sie ermöglichen Ihnen die Verwendung von RD-Sitzungshosts, die aus einer Vorlage erstellt wurden, unter Verwendung der VDI-Infrastruktur. Mehr dazu später in diesem Abschnitt.
Beachten Sie, dass ein RD-Sitzungshost nur Mitglied eines Hostpools sein kann. Sie können nicht denselben Host mehreren Hostpools hinzufügen.
Einen Hostpool erstellen
So erstellen Sie einen RDSH-Hostpool:
Navigieren Sie zu Infrastruktur > RD-Sitzungshosts > Hostpools.
Klicken Sie auf die drei Punkte, wählen Sie Neuer Hostpool aus (oder klicken Sie auf das Pluszeichen-Symbol).
Tippen Sie einen Hostnamen ein und drücken Sie die Eingabetaste.
Klicken Sie auf den neuen Hostpool in der Liste, um den Bildschirm Hostpool bearbeiten“ aufzurufen.
Klicken Sie im mittleren Fensterbereich auf Eigenschaften und konfigurieren Sie den Hostpool. Die Einstellungen hier ähneln denen bei der Einstellung eines einzelnen RD-Sitzungshosts. Siehe Konfigurieren eines RD-Sitzungshosts.
Hostpool-Standardwerte verwenden
RD-Sitzungshosts, die einem Hostpool zugeordnet sind, haben verschiedene Einstellungen, die sie von den Hostpool-Standardwerten übernehmen können. Dies macht es einfacher, einen einzigen Satz von Einstellungen für alle Hosts zu konfigurieren, anstatt jeden Host einzeln einrichten zu müssen. Eine Site hat auch ihre eigenen Standardeinstellungen (Standardeinstellungen der Site). Darüber hinaus kann ein RD-Sitzungshost-Hostpool diese Standardwerte der Site erben. Dies gibt Ihnen die folgenden Auswahlmöglichkeiten beim Übernehmen der Standardeinstellungen an einen RD-Sitzungshost:
Konfigurieren Sie die Standardeinstellungen der Site und lassen Sie den Hostpool diese Einstellungen erben. Die dem Hostpool zugeordneten RD-Sitzungshosts erben daher auch die Standardeinstellungen der Site. Dies ist das Standardszenario für einen neuen Hostpool.
Konfigurieren Sie die Standardeinstellungen für einen bestimmten Hostpool. Auf diese Weise können Sie mehrere Hostpools einrichten, die jeweils ihre eigenen Hostpool-Standardwerte haben (anders als die Standardeinstellungen der Site). Die Hosts, die einem Hostpool zugeordnet sind, erben daher die Hostpool-Standardwerte.
Um ein selbstsigniertes Zertifikat zu erzeugen, navigieren Sie zu Infrastruktur > Zertifikate. Klicken Sie auf die drei Punkte, wählen Sie Hinzufügen > Selbstsigniertes Zertifikat generieren aus und geben Sie folgende Optionen an:
Name: Geben Sie einen Namen für dieses Zertifikat ein. Dieses Feld ist ein Pflichtfeld.
Beschreibung: Eine optionale Beschreibung.
Verwendung: Geben Sie an, ob das Zertifikat für RAS Secure Gateways oder HALB oder für beides verwendet werden soll. Diese Auswahl ist obligatorisch.
Schlüsselgröße: Die Schlüsselgröße des Zertifikats in Bits. Hier können Sie aus den vordefinierten Werten wählen. Die Standardeinstellung ist 2048 Bit, die erforderliche Mindestlänge nach den aktuellen Industriestandards.
Ungültig in: Das Ablaufdatum des Zertifikats.
Länderkennung: Wählen Sie Ihr Land aus.
Bundesland/Kanton: Ihr Bundesland oder Kanton.
Stadt: Name der Stadt.
Organisation: Der Name Ihrer Organisation.
Organisationseinheit: Einheit der Organisation.
E-Mail-Adresse: Ihre E-Mail-Adresse. Dieses Feld ist ein Pflichtfeld.
Allgemeiner Name: Der Common Name (CN), auch bekannt als der Fully Qualified Domain Name (FQDN). Dieses Feld ist ein Pflichtfeld.
Alternative Antragstellernamen: Geben Sie einen oder mehrere alternative Antragstellernamen (Subject Alternative Name – SAN) an. Hinweis: Da mobile Parallels Clients das Feld Alternative Antragstellernamen“ nicht unterstützen, ist es am sichersten, einen allgemeinen festzulegen, den die meisten mobilen Geräte verwenden werden.
Klicken Sie auf Generieren, um das Zertifikat zu generieren. Danach erscheint das Zertifikat in der Liste Zertifikate, wobei in der Spalte Status die Option Selbstsigniert angezeigt wird.
So können Sie Zertifikateigenschaften anzeigen und ändern:
In der Ansicht Infrastruktur > Zertifikate klicken Sie auf den Namen des Zertifikats.
Rechts in der Ansicht überprüfen Sie im Abschnitt Informationen die Zertifikateigenschaften.
Im Abschnitt Aktionen können Sie das Zertifikat aktivieren oder deaktivieren. Siehe auch: Exportieren eines Zertifikats in eine Datei. Wenn Sie das Zertifikat löschen möchten, klicken Sie auf Löschen.
Klicken Sie im mittleren Fensterbereich auf Eigenschaften, um einige der Zertifikateigenschaften zu ändern.
Klicken Sie links oben auf Bearbeiten, um die Einstellungen (falls erforderlich) zu ändern. Sie können den Namen und die Beschreibung des Zertifikats ändern und auch festlegen, ob das Zertifikat für Gateways, HALB oder beides verwendet werden soll.
Um ein Zertifikat aus einer Datei zu importieren, klicken Sie auf die drei Punkte, wählen Sie Hinzufügen> Zertifikat importieren aus und geben Sie folgende Optionen an:
Name: Geben Sie einen Namen für das Zertifikat ein.
Beschreibung: Eine optionale Beschreibung.
Verwendung: Geben Sie an, ob das Zertifikat für RAS Secure Gateways oder HALB oder für beides verwendet werden soll.
Private Schlüsseldatei: Geben Sie eine Datei an, die den privaten Schlüssel enthält. Klicken Sie auf Durchsuchen, um nach der Datei zu suchen.
Zertifikatsdatei: Wenn Sie eine private Schlüsseldatei (oben) angeben und eine passende Zertifikatsdatei haben, wird diese automatisch in dieses Feld eingefügt. Andernfalls geben Sie eine Zertifikatsdatei an.
Klicken Sie abschließend auf OK. Das Zertifikat wird jetzt in der Liste angezeigt, wobei in der Spalte Status die Option Importiert angezeigt wird.
Let’s Encrypt ist eine globale Zertifizierungsstelle (CA). Diese Organisation ist nicht gewinnorientiert und verlangt keine Gebühren für ihre Zertifikate. Jedes Zertifikat ist 90 Tage lang gültig. Mit der RAS-Konsole können Sie Let's Encrypt-Zertifikate ausstellen, automatisch erneuern und widerrufen.
Let's Encrypt-Zertifikat ausstellen
So stellen Sie ein neues Let's Encrypt-Zertifikat aus:
Navigieren Sie zu Infrastruktur > Zertifikate.
Klicken Sie auf das Symbol [...] und wählen Sie dort die Option Let's Encrypt-Einstellungen aus.
Wählen Sie die Option Ich habe die Let's Encrypt EULA gelesen und akzeptiere sie aus.
Geben Sie in der Liste E-Mails zum Ablauf die E-Mail-Adressen an, die Benachrichtigungen von Let’s Encrypt erhalten sollen.
Alternativ ändern Sie die Zeit, zu der Zertifikate automatisch erneuert werden, im Feld Zertifikate vor Ablauf automatisch erneuern.
Navigieren Sie zurück zu Infrastruktur > Zertifikate.
Wählen Sie im Menü [...] Hinzufügen > Selbstsigniertes Zertifikat generieren aus und geben Sie folgende Optionen an:
Name: Name des Zertifikats.
Beschreibung: Beschreibung des Zertifikats.
Verwendung: HALB und/oder Secure Gateway.
Schlüsselgröße: Schlüsselgröße.
Länderkennung: Länderkennung für Ihr Land.
Bundesland/Kanton: Name Ihres Bundeslandes oder Ihrer Provinz.
Stadt: Ihre Stadt.
Organisation: Name Ihrer Organisation.
Organisationseinheit: Name Ihrer Organisationseinheit.
E-Mail-Adresse: E-Mail Adresse Ihrer Organisation.
Allgemeiner Name: Gültiger Domänenname eines HALB oder Secure Gateways.
Alternative Namen: Gültige Domänennamen von HALB oder Secure Gateways.
Klicken Sie auf Zertifikat ausstellen.
Manuelles Erneuern von Let's Encrypt-Zertifikaten
So erneuern Sie manuell ein Let's Encrypt-Zertifikat:
Navigieren Sie zu Infrastruktur > Zertifikate.
Wählen Sie das Let's Encrypt-Zertifikat, das Sie erneuern möchten, aus.
Wählen Sie Steuerungselement > Erneuern im Drei-Punkt-Menü [...].
Widerrufen von Let's Encrypt-Zertifikaten
So widerrufen Sie ein Let's Encrypt-Zertifikat:
Navigieren Sie zu Infrastruktur > Zertifikate.
Wählen Sie das Let's Encrypt-Zertifikat, das Sie erneuern möchten, aus.
Wählen Sie Steuerungselement > Widerrufen im Drei-Punkt-Menü [...].
Konfiguration eines RAS Secure Gateways:
Navigieren Sie zu Infrastruktur > Secure Gateways.
Klicken Sie auf ein Gateway in der Liste. Die Gateway-Informationen werden angezeigt.
Klicken Sie im mittleren Fensterbereich auf Eigenschaften.
Konfigurieren Sie die Gateway-Eigenschaften, wie in den nachfolgenden Abschnitten beschrieben.
Um ein Zertifikat in eine Datei zu exportieren, wählen Sie es aus der Liste aus, klicken Sie dann auf die drei Punkte und wählen Sie Zertifikat exportieren.
Sie können das Zertifikat später in einer anderen Farm oder an einer anderen Site importieren, indem Sie auf Zertifikat importieren klicken und die Zertifikatsdatei im Feld Private Schlüsseldatei angeben.
Wenn Sie ein neues Let's Encrypt-Zertifikat mit Parallels RAS erstellen, wird folgender Prozess ausgeführt:
Der primäre Connection Broker von Parallels RAS, der die Lizenzierungsrolle hostet, stellt die erste Anfrage an den Let's Encrypt-Server, um ein Konto zu erstellen.
Die Kontoerstellung wird bestätigt. Parallels RAS erstellt eine CSR und sendet sie an den Let's Encrypt-Server.
Es wird eine Liste von Herausforderungen empfangen, und Connection Broker liest das vom Let's Encrypt-Server gesendete HTTP-Token.
Secure Gateway oder HALB ruft die Token vom Connection Broker ab.
Sobald dies geschehen ist, benachrichtigt Connection Broker den Let's Encrypt-Server.
Let's Encrypt startet den Verifizierungsprozess, indem es zum Secure Gateway oder HALB geht und die Verfügbarkeit des Tokens bestätigt.
Die Herausforderungen sind abgeschlossen, einschließlich der Bestätigung, dass die Secure Gateways oder HALB auf die genannte Domäne antworten können.
Unter der Annahme, dass die Herausforderung erfolgreich abgeschlossen wurde, fordert Parallels RAS ein Zertifikat an.
Ein gültiges Zertifikat wird vom Let's Encrypt-Server in den Connection Broker heruntergeladen.
Connection Broker verteilt das Zertifikat an die Secure Gateways oder HALB.
Nachdem Sie ein Zertifikat hinzugefügt haben, können Sie es einem RAS Secure Gateway, HALB oder beiden zuweisen, je nach dem Verwendungstyp, den Sie bei der Erstellung des Zertifikats angegeben haben. Mehr über die Option Nutzung des Zertifikats weiter unten.
Zertifikatnutzung
Die Zertifikatnutzung ist eine Option, die Ihnen zeigt, ob das Zertifikat für RAS Secure Gateways, HALB oder beides verfügbar sein soll. Siehe Generieren eines selbstsignierten Zertifikats. Wenn Sie später SSL für ein RAS Secure Gateway oder HALB konfigurieren, müssen Sie ein SSL-Zertifikat angeben. Wenn Sie ein Zertifikat auswählen, sind die folgenden Optionen verfügbar, je nachdem, wie die Option Nutzung für ein bestimmtes Zertifikat konfiguriert ist:
<Alle passenden Nutzungen>: Dies ist die Standardoption, die immer verfügbar ist. Das bedeutet, dass jedes Zertifikat verwendet wird, bei dem die Auswahl für Nutzung mit dem Objekttyp (Gateway oder HALB) übereinstimmt. Wenn Sie z. B. ein Gateway konfigurieren und ein Zertifikat haben, dessen Option Nutzung auf Gateway“ eingestellt ist, wird dieses verwendet. Wenn bei einem Zertifikat sowohl Gateway- als auch HALB-Nutzungsoptionen ausgewählt wurden, kann es auch mit dem angegebenen Gateway verwendet werden. Dies funktioniert bei HALB auf die gleiche Weise, wenn Sie Lastvert. für SSL-Arbeitslast“ konfigurieren. Bitte beachten Sie: Wenn Sie diese Option für ein Gateway oder HALB wählen, aber kein einziges passendes Zertifikat existiert, sehen Sie eine Warnung und müssen erst ein Zertifikat erstellen.
Weitere Elemente in der Dropdownliste Zertifikate sind einzelne Zertifikate, die je nach den Einstellungen für Nutzung des Zertifikats vorhanden sind oder nicht. Wenn Sie z. B. Lastvert. für SSL-Arbeitslast“ für HALB konfigurieren und ein Zertifikat mit der Option Nutzung auf HALB“ gesetzt haben, erscheint das Zertifikat in der Dropdownliste. Andererseits werden Zertifikate, bei denen die Nutzung auf Gateway“ eingestellt ist, nicht aufgelistet.
Wenn Sie z. B. nur ein Zertifikat benötigen, das Sie für alle Ihre Gateways verwenden möchten, müssen Sie ein Zertifikat erstellen und die Option Nutzung auf Gateways“ setzen. Sie können dann jedes Gateway so konfigurieren, dass es dieses spezielle Zertifikat verwendet, oder Sie können die Standardauswahl <Alle passenden Nutzungen> beibehalten. Im letzteren Fall wird das Zertifikat automatisch von einem Gateway abgerufen. Genau das gleiche Szenario funktioniert auch für HALB.
Gateways
So weisen Sie einem RAS Secure Gateway ein Zertifikat zu:
Navigieren Sie zu Infrastruktur > Gateways.
Klicken Sie auf ein Gateway in der Liste.
Klicken Sie im mittleren Fensterbereich auf Eigenschaften .
Wählen Sie die Kategorie SSL/TLS aus.
Wählen Sie in der Dropdownliste Zertifikate das von Ihnen erstellte Zertifikat aus.
Beachten Sie, dass Sie auch die Option <Alle passenden Nutzungen> verwenden können. Dann wird jedes Zertifikat verwendet, das die Verwendung auf Gateway oder Gateway und HALB eingestellt hat.
HALB
Beachten Sie, dass zum Zeitpunkt der Erstellung dieses Handbuchs HALB nicht im RAS-Verwaltungsportal verwaltet werden kann. Verwenden Sie bitte die desktopbasierte RAS-Konsole.
RAS Secure Gateway transportiert alle Parallels RAS-Daten durch einen Tunnel über einen einzelnen Port. Es bietet auch sichere Verbindungen und ist der Verbindungspunkt des Benutzers mit Parallels RAS.
In einer Einzelmandant-Umgebung müssen Sie mindestens ein RAS Secure Gateway installieren, damit Parallels RAS funktioniert. Sie können einer RAS-Site zusätzliche Gateways hinzufügen, um mehr Benutzer zu unterstützen, Lastausgleichverbindungen herzustellen und Redundanz zu gewährleisten.
Nachstehend wird beschrieben, wie RAS Secure Gateway mit den Verbindungsanforderungen von Benutzern umgeht:
RAS Secure Gateway empfängt die Anforderung für eine Benutzerverbindung.
Anschließend leitet es die Anforderung an den RAS Connection Broker weiter, bei dem es registriert ist (standardmäßig die Einstellung Bevorzugter Connection Broker“).
Ein RAS Connection Broker führt Lastverteilungsprüfungen und eine Sicherheitsnachschau in Active Directory durch, um die Sicherheitsberechtigungen zu erhalten.
Wenn der Benutzer, der eine veröffentlichte Ressource anfordert, ausreichende Zugriffsberechtigungen hat, sendet der RAS Connection Broker eine Antwort an das Gateway zurück und übermittelt damit Details über den RD-Sitzungshost, mit dem sich der Benutzer verbinden kann.
Je nach Verbindungsmodus verbindet sich der Client entweder über das Gateway oder trennt die Verbindung vom Gateway und verbindet sich dann direkt mit dem RD-Sitzungshost-Server.
Betriebsmodus von RAS Secure Gateways
Ein RAS Secure Gateway kann in einem der folgenden Modi betrieben werden:
Normaler Modus: RAS Secure Gateway empfängt Verbindungsanforderungen von Benutzern und prüft über RAS Connection Broker, ob der Benutzer, der die Anforderung gestellt hat, eine Zugriffsberechtigung hat. Gateways, die in diesem Modus arbeiten, können eine größere Anzahl von Anforderungen unterstützen und verbessern die Redundanz.
Weiterleitungsmodus: RAS Secure Gateway leitet Verbindungsanforderungen von Benutzern an ein vorkonfiguriertes Gateway weiter. Gateways im Weiterleitungsmodus sind sinnvoll, wenn kaskadierende Firewalls benutzt werden, um WAN-Bindungen von LAN-Verbindungen zu trennen und eine Trennung der WAN-Segmente zu ermöglichen, wenn Probleme auftreten und das LAN nicht unterbrochen werden soll.
Hinweis: Zum Konfigurieren des Weiterleitungsmodus muss in einer RAS-Serverfarm mehr als ein RAS Secure Gateway installiert worden sein.
Planung der Hochverfügbarkeit
Wenn Sie RAS Secure Gateways zu einer Site hinzufügen, sollte die N+1-Redundanz konfiguriert werden, um einen unterbrechungsfreien Dienst für Ihre Benutzer zu gewährleisten. Dies ist eine allgemeine Regel, die auch für andere Parallels RAS-Komponenten gilt, wie z. B. Connection Broker oder RD-Sitzungshosts.
So fügen Sie ein RAS Secure Gateway hinzu:
Navigieren Sie zu Infrastruktur > Secure Gateways.
Klicken Sie im rechten Fensterbereich im Drei-Punkt-Menü auf Hinzufügen. Der Assistent Gateway – Neu hinzufügen wird geöffnet.
Geben Sie den FQDN oder die IP-Adresse ein oder klicken Sie auf AD durchsuchen, um einen Server aus der Liste auszuwählen. Um die IP-Adresse auf FQDN oder vice versa aufzulösen, klicken Sie auf IP auflösen oder auf Namen auflösen.
Klicken Sie auf Weiter.
Wählen Sie im Dropdownmenü Modus den Gateway-Modus aus (Normal“ oder Weiterleitung“).
Wenn Sie im vorherigen Schritt den Modus Weiterleitung ausgewählt haben, müssen Sie jetzt in der Dropdownliste Weiterleiten an das Ziel-Gateway auswählen. Sie können auch eine spezifische IP-Adresse aus der Dropdownliste Auf IP auswählen, wenn der Gateway-Server mehr als eine IP-Adresse hat.
Geben Sie eine optionale Beschreibung für dieses Gateway ein.
Wählen Sie die Option Nutzerportal aktivieren aus, um die Unterstützung für das RAS Nutzerportal zu aktivieren (ein browser-basierter Client, der verwendet werden kann, um sich mit Parallels RAS zu verbinden und veröffentlichte Ressourcen zu starten).
Wählen Sie Firewall-Regeln aktivieren, um automatisch die Firewall auf dem Server zu konfigurieren, auf dem das Gateway gehostet wird.
Klicken Sie auf Weiter.
Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen, um der Website das Gateway hinzuzufügen.
Zusatzinformationen
Hier erfahren Sie, wie Sie ein RAS Secure Gateway hinzufügen können:
Der Datenverkehr zwischen Parallels RAS-Nutzern und einem RAS Secure Gateway kann verschlüsselt werden. In der Kategorie SSL/TLS können Sie Datenverschlüsselungsoptionen konfigurieren.
Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option.
HSTS
Im Abschnitt HSTS können Sie die HTTP Strict Transport Security (HSTS) erzwingen, einen Mechanismus, der einen Webbrowser dazu bringt, mit dem Webserver nur über sichere HTTPS-Verbindungen zu kommunizieren. Wenn HSTS für ein RAS Secure Gateway durchgesetzt wird, sind alle Webanforderungen an es gezwungen, HTTPS zu verwenden. Das betrifft insbesondere das Nutzerportal, das normalerweise nur HTTPS-Anfragen akzeptiert.
Strenge HTTP-Transportsicherheit (HSTS) durchsetzen: Aktiviert oder deaktiviert HSTS für das Gateway.
Max. Alter: Gibt das maximale Alter für HSTS in Monaten an, d. h. die Zeit, in der der Webbrowser nur über HTTPS mit dem Gateway kommunizieren kann. Der Standardwert (und empfohlene) Wert beträgt 12 Monate. Akzeptable Werte sind 4 bis 120 Monate.
Subdomains einbeziehen: Gibt an, ob Subdomains eingefügt werden sollen (falls anwendbar).
Vorab laden: Aktiviert oder deaktiviert das Vorab-Laden von HSTS. Dies ist ein Mechanismus, bei dem eine Liste von Hosts, die die Verwendung von SSL/TLS auf ihrer Site erzwingen möchten, in einem Webbrowser fest kodiert wird. Die Liste wird von Google erstellt und von den Browsern Chrome, Firefox, Safari und Edge verwendet. Wenn HSTS Preload verwendet wird, versucht ein Webbrowser nicht, eine Anforderung über HTTP zu senden, sondern verwendet jedes Mal HTTPS. Bitte lesen Sie auch den wichtigen Hinweis unten.
Hinweis: Um HSTS Preload zu verwenden, müssen Sie Ihren Domainnamen für die Aufnahme in die HSTS Preload-Liste von Chrome einreichen. Ihre Domain wird in allen Webbrowsern, die die Liste verwenden, fest kodiert. Wichtig: Die Aufnahme in die Preload-Liste kann nicht ohne weiteres rückgängig gemacht werden. Sie sollten die Aufnahme nur dann beantragen, wenn Sie sicher sind, dass Sie HTTPS für Ihre gesamte Site und alle ihre Subdomains langfristig (in der Regel 1-2 Jahre) unterstützen können.
Beachten Sie auch die folgenden Anforderungen:
Ihre Site muss über ein gültiges SSL-Zertifikat verfügen.
Alle Subdomains (falls vorhanden) müssen in Ihrem SSL-Zertifikat enthalten sein. Erwägen Sie, ein Wildcard-Zertifikat zu bestellen.
Verschlüsselung
Standardmäßig wird einem RAS Secure Gateway bei der Installation des Gateways ein selbstsigniertes Zertifikat zugewiesen. Jedem RAS Secure Gateway muss ein Zertifikat zugewiesen werden und das Zertifikat sollte den vertrauenswürdigen Stammzertifizierungsstellen auf der Client-Seite hinzugefügt werden, um Sicherheitswarnungen zu vermeiden.
SSL-Zertifikate werden auf Site-Ebene erstellt. Sobald ein Zertifikat erstellt ist, kann es einem RAS Secure Gateway zugewiesen werden. Informationen zum Erstellen und Verwalten von Zertifikaten finden Sie unter Zertifikate.
So konfigurieren Sie die Verschlüsselung:
Wählen Sie die Option SSL aktivieren für Port und geben Sie eine Portnummer an (Standardeinstellung ist 443).
Wählen Sie in der Dropdownliste Akzeptierte SSL-Versionen aus.
Wählen Sie im Feld Verschlüsselungsstärke eine gewünschte Verschlüsselungsstärke aus.
Geben Sie im Feld Verschlüsselung die Verschlüsselung an. Eine stärkere Chiffre ermöglicht eine stärkere Verschlüsselung, wodurch mehr Aufwand erforderlich ist, um sie zu knacken.
Die Option Verschlüsselungen entsprechend Serverpräferenz verwenden ist standardmäßig aktiviert. Sie können Client-Einstellungen verwenden, indem Sie diese Option deaktivieren.
Wählen Sie in der Dropdownliste Zertifikate das gewünschte Zertifikat aus. Die Option <Alle übereinstimmenden Verwendungen> verwendet jedes Zertifikat, das für die Verwendung durch Gateways konfiguriert ist. Wenn Sie ein Zertifikat erstellen, geben Sie die Eigenschaft Verwendung“ an, in der Sie Gateway“, HALB“ oder beides auswählen können. Wenn bei dieser Eigenschaft die Option Gateway“ ausgewählt ist, kann sie mit einem Gateway verwendet werden. Hinweis: Wenn Sie diese Option wählen, aber kein einziges passendes Zertifikat vorhanden ist, wird eine Warnung angezeigt und Sie zuerst ein Zertifikat erstellen müssen.
Zusatzinformationen
Ein RAS Secure Gateway kann in einem der folgenden Modi betrieben werden:
Normaler Modus: RAS Secure Gateway empfängt Verbindungsanforderungen von Benutzern und prüft über RAS Connection Broker, ob der Benutzer, der die Anforderung gestellt hat, eine Zugriffsberechtigung hat. Gateways, die in diesem Modus arbeiten, können eine größere Anzahl von Anforderungen unterstützen und verbessern die Redundanz.
Weiterleitungsmodus: RAS Secure Gateway leitet Verbindungsanforderungen von Benutzern an ein vorkonfiguriertes Gateway weiter. Gateways im Weiterleitungsmodus sind sinnvoll, wenn kaskadierende Firewalls benutzt werden, um WAN-Bindungen von LAN-Verbindungen zu trennen und eine Trennung der WAN-Segmente zu ermöglichen, wenn Probleme auftreten und das LAN nicht unterbrochen werden soll.
Hinweis: Zum Konfigurieren des Weiterleitungsmodus muss in einer RAS-Serverfarm mehr als ein RAS Secure Gateway installiert worden sein.
Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option.
Einrichten des Normalmodus
Zum Einrichten des Normalmodus wählen Sie in der Dropdownliste Gateway-Modus die Option Normal.
Die Dropdownliste Bevorzugter Connection Broker ermöglicht Ihnen die Angabe eines RAS Connection Broker, mit dem sich das Gateway verbinden soll. Das ist hilfreich, wenn die Site-Komponenten in mehreren physischen Sites installiert sind, die über WAN miteinander kommunizieren. Sie können den Netzwerkdatenverkehr verringern, indem Sie einen geeigneteren RAS Connection Broker festlegen. Damit das Gateway einen Connection Broker automatisch auswählt, wählen Sie die Option Automatisch.
Mit der Option Anforderungen an HTTP-Server weiterleiten können Sie Anforderungen weiterleiten, die nicht zum RAS Secure Gateway gehören (Gateways verarbeiten HTML5-Datenverkehr, Wyse und URL-Schema). Wenn Sie mehrere Server eingeben, trennen Sie sie mit Strichpunkten. Ein HTTP-Server kann mit einer IPv6-Adresse angegeben werden, sofern erforderlich. Beachten Sie, dass ein HTTP-Server die gleiche IP-Version unterstützen muss wie der anfordernde Browser.
Einrichten des Weiterleitungsmodus
Zum Einrichten des Weiterleitungsmodus wählen Sie in der Dropdownliste Gateway-Modus die Option Weiterleitung und geben Sie eine oder mehrere Gateway(s) an. Ein Gateway im Weiterleitungsmodus leitet alle Verbindungsanforderungen von Benutzern an ein vorkonfiguriertes Gateway weiter. Gateways im Weiterleitungsmodus sind sinnvoll, wenn kaskadierende Firewalls benutzt werden, um WAN-Bindungen von LAN-Verbindungen zu trennen und eine Trennung der WAN-Segmente zu ermöglichen, wenn Probleme auftreten und das LAN nicht unterbrochen werden soll.
Über die Kategorie Netzwerk können die Netzwerkoptionen für RAS Secure Gateway konfiguriert werden.
Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option und legen Folgendes fest:
RAS Secure Gateway-Port: Standardmäßig wartet das RAS Secure Gateway auf den TCP-Port 80, um den gesamten RAS-Verkehr von Parallels zu tunneln. Um den Port zu ändern, geben Sie einen neuen Port ein.
RDP-Port: Der RDP-Port 3389 wird für Clients verwendet, die Desktop-Sitzungen mit einfachem Lastausgleich erfordern. Verbindungen mit diesem Port unterstützen KEINE veröffentlichten Ressourcen. Um den RDP-Port an einem Gateway zu ändern, wählen Sie die Option RDP-Port und geben Sie einen neuen Port an. Wenn Sie Ihren eigenen Port einrichten, stellen Sie sicher, dass dieser Port nicht mit der Standardeinstellung für den Port des RD-Sitzungshosts“ in Konflikt steht.
Hinweis: Wenn der RDP-Port geändert wurde, müssen die Benutzer die Portnummer an ihre Verbindungszeichenfolge im Remotedesktop-Client anhängen (z. B. [IP-Adresse]:[Port]).
RAS Secure Gateway-Adresse übertragen: Diese Option kann verwendet werden, um die Übertragung der Gateway-Adresse einzuschalten, sodass Parallels Clients ihre primären Gateways automatisch finden können. Diese Option ist standardmäßig aktiviert.
RDP-UDP-Tunnelling aktivieren: Wählen Sie diese Option (Standardeinstellung), um UDP-Tunnelling auf Windows-Geräten zu aktivieren. Um UDP-Tunnelling zu deaktivieren, entfernen Sie das Häkchen für die Option.
Geräte-Manager-Port: Wählen Sie diese Option, um die Verwaltung von Windows-Geräten zu ermöglichen. Diese Option ist standardmäßig aktiviert.
RDP DOS Attack- Filter aktivieren: Wenn diese Option ausgewählt ist, weist sie Ketten unvollständiger Sitzungen von derselben IP-Adresse zurück. Beispiel: Wenn ein Parallels Client mehrere aufeinanderfolgende Sitzungen beginnt und jede Sitzung darauf wartet, dass der Benutzer Anmeldedaten eingibt, verweigert Parallels RAS weitere Versuche. Diese Option ist standardmäßig aktiviert.
Verschlüsseln der Parallels Client-Verbindung
Standardmäßig ist die einzige Art Verschlüsselung eine Verbindung zwischen einem Gateway und Backend-Servern. Um eine Verbindung zwischen Parallels Client und einem Gateway zu verschlüsseln, müssen Sie auch die Verbindungseigenschaften auf der Client-Seite konfigurieren. Öffnen Sie dazu in Parallels Client die Verbindungseigenschaften und stellen Sie den Verbindungsmodus auf Gateway SSL ein.
Um die Konfiguration von Parallels Client zu vereinfachen, wird empfohlen, ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters oder einer Unternehmenszertifizierungsstelle (CA) zu verwenden. Wenn ein Zertifikat einer Unternehmenszertifizierungsstelle verwendet wird, erhalten Windows-Clients aus Active Directory ein Stamm- oder Zwischenzertifikat einer Unternehmenszertifizierungsstelle. Client-Geräte auf anderen Plattformen müssen manuell konfiguriert werden. Wenn ein Zertifikat eines Drittanbieters von einer bekannten vertrauenswürdigen Zertifizierungsstelle verwendet wird, vertraut das Client-Gerät den Aktualisierungen der vertrauenswürdigen Zertifizierungsstelle für die Plattform.
Konfiguration von Parallels Clients
Wenn das Zertifikat selbstsigniert ist oder von einer Unternehmenszertifizierungsstelle ausgestellt wurde, müssen Parallels Clients wie folgt beschrieben konfiguriert werden.
Exportieren Sie das Zertifikat im Base-64 kodierten X.509 (.CER)-Format.
Öffnen Sie das exportierte Zertifikat in einem Texteditor, wie z. B. Notepad oder WordPad, und kopieren Sie den Inhalt in die Zwischenablage.
Fügen Sie das Zertifikat dann clientseitig der Liste der vertrauenswürdigen Zertifizierungsstellen hinzu und erlauben Sie Parallels Client, sich über SSL mit einem Zertifikat von einer Unternehmenszertifizierungsstelle zu verbinden.
Auf der Client-Seite sollte sich im Verzeichnis C:\Programmdateien\Parallels\Remote Application Server Client\“ eine Datei mit dem Namen trusted.pem
befinden. Diese Datei enthält Zertifikate bekannter vertrauenswürdiger Stellen.
Fügen Sie den Inhalt des exportierten Zertifikats (im Anhang der Liste der anderen Zertifikate) ein.
Sichern von RDP-UDP-Verbindungen
Ein Parallels Client kommuniziert normalerweise mit einem RAS Secure Gateway über eine TCP-Verbindung. Jüngere Windows-Clients verwenden eventuell auch eine UDP-Verbindung, um die WAN-Leistung zu verbessern. Um UDP-Verbindungen mit SSL zu schützen, muss DTLS verwendet werden.
So verwenden Sie DTLS auf einem RAS Secure Gateway:
Stellen Sie sicher, dass in der Kategorie SSL/TLS die Option SSL aktivieren für Port ausgewählt ist.
Stellen Sie sicher, dass in der Kategorie Netzwerk die Option RDP-UDP-Tunnelling aktivieren ausgewählt ist.
Die Parallels Clients müssen für die Verwendung des Modus SSL-Verbindung konfiguriert sein. Diese Option kann clientseitig unter Verbindungseinstellungen > Verbindungsmodus eingestellt werden.
Nachdem die zuvor genannten Optionen korrekt eingestellt wurden, werden sowohl TCP- als auch UDP-Verbindungen über SSL getunnelt.
SSL-Serverkonfiguration
Bei der Konfiguration von RAS Secure Gateway für die Verwendung von SSL-Verschlüsselung sollten Sie darauf achten, wie der SSL-Server konfiguriert ist, um mögliche Fallen und Sicherheitsprobleme zu vermeiden. Insbesondere sollten die folgenden SSL-Komponenten bewertet werden, um festzustellen, wie gut die Konfiguration ist:
Das Zertifikat, das gültig und vertrauenswürdig sein soll.
Das Protokoll, der Schlüsselaustausch und die Verschlüsselung sollten unterstützt werden.
Die Bewertung ist ohne spezifische Kenntnisse über SSL möglicherweise nicht einfach durchzuführen. Aus diesem Grund empfehlen wir Ihnen, den SSL-Server-Test zu verwenden, der in den Qualys SSL Labs erhältlich ist. Dies ist ein kostenloser Online-Dienst, der eine Analyse der Konfiguration eines SSL-Webservers im öffentlichen Internet durchführt. Um den Test auf einem RAS Secure Gateway durchzuführen, müssen Sie es möglicherweise vorübergehend in das öffentliche Internet verschieben.
Der Test ist unter der folgenden URL verfügbar: https://www.ssllabs.com/ssltest/
Sie können ein Papier von Qualys SSL Labs, das die bei der Bewertung verwendete Methodik beschreibt, unter folgender URL lesen: https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide.