Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verbindung zu einem Windows Server verwaltete Instanz mit Remote Desktop
Sie können Folgendes verwenden … Fleet Manager, eine Fähigkeit von AWS Systems Manager, eine Verbindung zu Ihrem herzustellen Windows Server Amazon Elastic Compute Cloud (AmazonEC2) -Instances, die Remote Desktop Protocol (RDP). Fleet Manager Remote Desktop, das von Amazon betrieben wirdDCV, bietet Ihnen eine sichere Konnektivität zu Ihrem Windows Server Instanzen direkt von der Systems Manager Manager-Konsole aus. Sie können bis zu vier gleichzeitige Verbindungen in einem einzigen Browserfenster haben.
Derzeit können Sie Remote Desktop nur mit laufenden Instanzen verwenden Windows Server 2012 RTM oder höher. Remote Desktop unterstützt nur englischsprachige Eingaben.
Anmerkung
Fleet Manager Remote Desktop ist ein reiner Konsolendienst und unterstützt keine Befehlszeilenverbindungen zu Ihren verwalteten Instanzen. Um eine Verbindung zu einem herzustellen Windows Server verwaltete Instanz über eine Shell, die Sie verwenden können Session Manager, eine weitere Fähigkeit von AWS Systems Manager. Weitere Informationen finden Sie unter AWS Systems Manager Session Manager.
Informationen zur Konfiguration von AWS Identity and Access Management (IAM) -Berechtigungen, damit Ihre Instanzen mit Systems Manager interagieren können, finden Sie unter Instanzberechtigungen für Systems Manager konfigurieren.
Themen
Einrichten Ihrer Umgebung
Vergewissern Sie sich vor der Verwendung von Remote Desktop, dass Ihre Umgebung die folgenden Anforderungen erfüllt:
-
Konfiguration von verwalteten Knoten
Stellen Sie sicher, dass Ihre EC2 Amazon-Instances in Systems Manager als verwaltete Knoten konfiguriert sind.
-
SSM Agent Mindestversion
Stellen Sie sicher, dass die Knoten laufen SSM Agent Version 3.0.222.0 oder höher. Hinweise dazu, wie Sie überprüfen können, welche Agentenversion auf einem Knoten läuft, finden Sie unter Überprüfen der SSM Agent-Versionsnummer. Für Informationen zur Installation oder Aktualisierung SSM Agent, finden Sie unter Arbeiten mit SSM Agent.
-
RDPPort-Konfiguration
Um Remoteverbindungen zu akzeptieren, Remote Desktop Services Dienst auf Ihrem Windows Server Knoten müssen den RDP Standardport 3389 verwenden. Dies ist die Standardkonfiguration für Amazon Machine Images (AMIs) bereitgestellt von AWS. Sie müssen nicht explizit irgendwelche eingehenden Ports öffnen, um Remote Desktop zu verwenden.
-
PSReadLine Modulversion für Tastaturfunktionen
Um sicherzustellen, dass Ihre Tastatur ordnungsgemäß funktioniert in PowerShell, stellen Sie sicher, dass die Knoten laufen Windows Server 2022 haben PSReadLine Modulversion 2.2.2 oder höher installiert. Wenn sie eine ältere Version ausführen, können Sie die erforderliche Version mit den folgenden Befehlen installieren.
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -ForceFühren Sie nach der Installation des NuGet Paketanbieters den folgenden Befehl aus.
Install-Module ` -Name PSReadLine ` -Repository PSGallery ` -MinimumVersion 2.2.2 -Force -
Session-Manager-Konfiguration
Bevor Sie Remote Desktop verwenden können, müssen Sie die Voraussetzungen für die Einrichtung von Session Manager erfüllen. Wenn Sie über Remote Desktop eine Verbindung zu einer Instanz herstellen, AWS-Region werden alle für Sie AWS-Konto definierten Sitzungseinstellungen angewendet. Weitere Informationen finden Sie unter Einrichten von Session Manager.
Anmerkung
Wenn Sie die Aktivitäten von Session Manager mit Amazon Simple Storage Service (Amazon S3) protokollieren, dann erzeugen Ihre Remotedesktop-Verbindungen den folgenden Fehler in
bucket_name/Port/stderr. Dieser Fehler ist ein erwartetes Verhalten und kann ignoriert werden.Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service <BadRequest> <ClientErrorMessage>Session is already terminated</ClientErrorMessage> </BadRequest>
IAMBerechtigungen für Remote Desktop konfigurieren
Zusätzlich zu den erforderlichen IAM Berechtigungen für Systems Manager und Session Manager, muss der Benutzer oder die Rolle, die Sie für den Zugriff auf die Konsole verwenden, die folgenden Aktionen zulassen:
-
ssm-guiconnect:CancelConnection -
ssm-guiconnect:GetConnection -
ssm-guiconnect:StartConnection
Im Folgenden finden Sie IAM Beispielrichtlinien, die Sie einem Benutzer oder einer Rolle zuordnen können, um verschiedene Arten der Interaktion mit Remote Desktop zu ermöglichen. Ersetzen Sie jede example resource placeholder mit Ihren eigenen Informationen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userid}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*", "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition"{ "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
Anmerkung
In der folgenden IAM Richtlinie erfordert der SSMStartSession Abschnitt einen Amazon-Ressourcennamen (ARN) für die ssm:StartSession Aktion. Wie gezeigt, ist für die von ARN Ihnen angegebene ID keine AWS-Konto ID erforderlich. Wenn Sie eine Konto-ID angeben, Fleet Manager gibt eine zurückAccessDeniedException.
Der AccessTaggedInstances Abschnitt, der sich in der Beispielrichtlinie weiter unten befindet, erfordert ebenfalls ARNs fürssm:StartSession. Für diese ARNs geben Sie an AWS-Konto IDs.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*::document/AWS-StartPortForwardingSession" ], "Condition"{ "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "AccessTaggedInstances", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:account-id:instance/*", "arn:aws:ssm:*:account-id:managed-instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag key": [ "tag value" ] } } }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSO", "Effect": "Allow", "Action": [ "sso:ListDirectoryAssociations*", "identitystore:DescribeUser" ], "Resource": "*" }, { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:GetPasswordData" ], "Resource": "*" }, { "Sid": "SSM", "Effect": "Allow", "Action": [ "ssm:DescribeInstanceProperties", "ssm:GetCommandInvocation", "ssm:GetInventorySchema" ], "Resource": "*" }, { "Sid": "TerminateSession", "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": "*", "Condition": { "StringLike": { "ssm:resourceTag/aws:ssmmessages:session-id": [ "${aws:userName}" ] } } }, { "Sid": "SSMStartSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession" ], "Condition"{ "ForAnyValue:StringEquals": { "aws:CalledVia": "ssm-guiconnect.amazonaws.com" } } }, { "Sid": "SSMSendCommand", "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:managed-instance/*", "arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser" ] }, { "Sid": "GuiConnect", "Effect": "Allow", "Action": [ "ssm-guiconnect:CancelConnection", "ssm-guiconnect:GetConnection", "ssm-guiconnect:StartConnection" ], "Resource": "*" } ] }
Authentifizierung von Remote-Desktop-Verbindungen
Wenn Sie eine Remoteverbindung herstellen, können Sie sich mit folgenden Methoden authentifizieren Windows Anmeldeinformationen oder das EC2 Amazon-Schlüsselpaar (.pemDatei), das der Instance zugeordnet ist. Informationen zur Verwendung von Schlüsselpaaren finden Sie unter EC2 Amazon-Schlüsselpaare und Windows Instanzen im EC2Amazon-Benutzerhandbuch.
Wenn Sie für die AWS Management Console Nutzung authentifiziert sind AWS IAM Identity Center, können Sie alternativ eine Verbindung zu Ihren Instances herstellen, ohne zusätzliche Anmeldeinformationen angeben zu müssen. Ein Beispiel für eine Richtlinie, die die Authentifizierung von Remoteverbindungen mithilfe von IAM Identity Center ermöglicht, finden Sie unterIAMBerechtigungen für Remote Desktop konfigurieren.
Bevor Sie beginnen
Beachten Sie die folgenden Bedingungen für die Verwendung der IAM Identity Center-Authentifizierung, bevor Sie mit Remote Desktop eine Verbindung herstellen.
-
Remote Desktop unterstützt die IAM Identity Center-Authentifizierung für Knoten AWS-Region in derselben Umgebung, auf der Sie IAM Identity Center aktiviert haben.
-
Remote Desktop unterstützt IAM Identity Center-Benutzernamen mit bis zu 16 Zeichen.
-
Remote Desktop unterstützt IAM Identity Center-Benutzernamen, die aus alphanumerischen Zeichen und den folgenden Sonderzeichen bestehen:
.-_Wichtig
Verbindungen für IAM Identity Center-Benutzernamen, die die folgenden Zeichen enthalten, sind nicht erfolgreich:
+=,IAMIdentity Center unterstützt diese Zeichen in Benutzernamen, aber Fleet Manager RDPVerbindungen tun dies nicht.
Wenn ein IAM Identity Center-Benutzername außerdem ein oder mehrere
@Symbole enthält, Fleet Manager ignoriert das erste@Symbol und alle darauf folgenden Zeichen, unabhängig davon, ob das den Domainteil einer E-Mail-Adresse@einleitet oder nicht. Beispielsweise wird für den IAM Identity Center-Benutzernamendiego_ramirez@example.comder@example.comTeil ignoriert und der Benutzername für Fleet Manager wirddiego_ramirez.diego_r@mirez@example.comFür Fleet Manager missachtet@mirez@example.com, und den Benutzernamen für Fleet Manager wirddiego_r. -
Wenn eine Verbindung mit IAM Identity Center authentifiziert wird, erstellt Remote Desktop eine lokale Windows Benutzer in der Gruppe Lokale Administratoren der Instanz. Dieser Benutzer bleibt bestehen, nachdem die Remoteverbindung beendet wurde.
-
Remote Desktop erlaubt keine IAM Identity Center-Authentifizierung für Knoten, die Microsoft Active Directory Domänencontroller.
-
Remote Desktop ermöglicht es Ihnen zwar, die IAM Identity Center-Authentifizierung für Knoten zu verwenden, die zu einem Active Directory Domain, wir empfehlen dies nicht. Diese Authentifizierungsmethode gewährt Benutzern administrative Berechtigungen, die restriktivere, von der Domain gewährte Berechtigungen außer Kraft setzen können.
Unterstützte Regionen für die IAM Identity Center-Authentifizierung
Remote Desktop Verbindungen, die die IAM Identity Center-Authentifizierung verwenden, werden in den folgenden Fällen unterstützt AWS-Regionen:
-
USA Ost (Ohio): (us-east-2)
-
USA Ost (Nord-Virginia): (us-east-1)
-
USA West (Nordkalifornien) (us-west-1)
-
USA West (Oregon): (us-west-2)
-
Afrika (Kapstadt) (af-south-1)
-
Asien-Pazifik (Hongkong) (ap-east-1)
-
Asien-Pazifik (Mumbai): (ap-south-1)
-
Asien-Pazifik (Tokyo) (ap-northeast-1)
-
Asien-Pazifik (Seoul): (ap-northeast-2)
-
Asien-Pazifik (Osaka) (ap-northeast-3)
-
Asien-Pazifik (Singapur): (ap-southeast-1)
-
Asien-Pazifik (Sydney): (ap-southeast-2)
-
Asien-Pazifik (Jakarta) (ap-southeast-3)
-
Kanada (Zentral): (ca-central-1)
-
Europa (Frankfurt) (eu-central-1)
-
Europa (Stockholm) (eu-north-1)
-
Europa (Irland) (eu-west-1)
-
Europa (London) (eu-west-2)
-
Europa (Paris) (eu-west-3)
-
Israel (Tel Aviv) (il-central-1)
-
Südamerika (São Paulo) (sa-east-1)
-
Europa (Mailand) (eu-south-1)
-
Naher Osten (Bahrain) (me-south-1)
-
AWS GovCloud (US-Ost) (us-gov-east-1)
-
AWS GovCloud (US-West) (us-gov-west-1)
Dauer und Gleichzeitigkeit der Remoteverbindung
Die folgenden Bedingungen gelten für aktive Remote-Desktop-Verbindungen:
-
Verbindungsdauer
Standardmäßig wird eine Remote-Desktop-Verbindung nach 60 Minuten getrennt. Um zu verhindern, dass eine Verbindung getrennt wird, können Sie die Option Sitzung erneuern wählen, bevor sie getrennt wird, um den Timer für die Verbindungsdauer zurückzusetzen.
-
Verbindungstimeout
Eine Remote-Desktop-Verbindung wird getrennt, nachdem sie länger als 10 Minuten inaktiv war.
-
Gleichzeitige Verbindungen
Standardmäßig können Sie für dasselbe und maximal 5 aktive Remotedesktopverbindungen gleichzeitig AWS-Konto haben. AWS-Region Um eine Erhöhung des Servicekontingents auf bis zu 25 gleichzeitige Verbindungen zu beantragen, lesen Sie bitte den Abschnitt Beantragung einer Kontingenterhöhung im Benutzerhandbuch Service Quotas.
Verbindung zu einem verwalteten Knoten über Remote Desktop
Unterstützung für das Kopieren und Einfügen von Text durch den Browser
Mit den Browsern Google Chrome und Microsoft Edge können Sie Text von einem verwalteten Knoten auf Ihren lokalen Computer und von Ihrem lokalen Computer in einen verwalteten Knoten, mit dem Sie verbunden sind, kopieren und einfügen.
Mit dem Mozilla Firefox-Browser können Sie Text nur von einem verwalteten Knoten auf Ihren lokalen Computer kopieren und einfügen. Das Kopieren von Ihrem lokalen Computer auf den verwalteten Knoten wird nicht unterstützt.
Um eine Verbindung zu einem verwalteten Knoten herzustellen, verwenden Sie Fleet Manager Remotedesktop
Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/
. Wählen Sie im Navigationsbereich Fleet Manager.
-
Wählen Sie den Knoten, zu dem Sie eine Verbindung herstellen möchten. Sie können entweder das Kontrollkästchen oder den Knotennamen auswählen.
-
Wählen Sie im Menü Knotenaktionen die Option Mit Remote Desktop verbinden.
-
Wählen Sie den gewünschten Authentication type (Authentifizierungs-Typ). Wenn Sie Benutzeranmeldedaten wählen, geben Sie den Benutzernamen und das Passwort für ein Windows Benutzerkonto auf dem Knoten, mit dem Sie eine Verbindung herstellen. Wenn Sie Schlüsselpaar wählen, können Sie die Authentifizierung mit einer der folgenden Methoden durchführen:
-
Wählen Sie Lokalen Computer durchsuchen, wenn Sie den mit Ihrer Instanz verknüpften PEM Schlüssel aus Ihrem lokalen Dateisystem auswählen möchten.
– oder –
-
Wählen Sie Inhalt des key pair einfügen, wenn Sie den Inhalt der PEM Datei kopieren und in das dafür vorgesehene Feld einfügen möchten.
-
-
Wählen Sie Connect (Verbinden) aus.
-
Um Ihre bevorzugte Bildschirmauflösung zu wählen, wählen Sie im Menü Aktionen die Option Auflösungen, und wählen Sie dann eine der folgenden Optionen:
-
Automatisch anpassen
-
1920 x 1080
-
1400 x 900
-
1366 x 768
-
800 x 600
Die Option Automatisch anpassen legt die Auflösung auf der Grundlage der erkannten Bildschirmgröße fest.
-
