Verbindung zu Windows-VMs herstellen


In diesem Dokument wird beschrieben, wie Sie eine Verbindung zu Windows-VM-Instanzen herstellen, die auf Compute Engine ausgeführt werden. Weitere Möglichkeiten zum Herstellen einer Verbindung zu Windows-VMs finden Sie unter Verbindung zu Windows-VMs über PowerShell herstellen.

Hinweis

  • Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, gehen Sie so vor:
    1. Installieren Sie das gcloud-Befehlszeilentool oder aktualisieren Sie es auf die neueste Version.
    2. Legen Sie eine Standardregion und -zone fest.
  • Achten Sie darauf, dass die VM den Zugriff über RDP zulässt. Standardmäßig erstellt Compute Engine Firewallregeln, die den RDP-Zugriff auf TCP-Port 3389 zulassen. Prüfen Sie, ob diese Firewall-Regeln vorhanden sind. Rufen Sie dazu die Seite „Firewall-Regeln“ in der Cloud Console auf und suchen Sie nach Firewall-Regeln, die tcp:3389-Verbindungen zulassen.

Verbindung zu Windows-VMs mit RDP herstellen

Compute Engine unterstützt mehrere Methoden zum Herstellen einer Verbindung zu Ihren Windows-Instanzen.

Mit Windows-Instanzen verbinden

Die beste Methode zum Herstellen einer Verbindung zum Remote Desktop einer Windows-Instanz hängt von mehreren Faktoren ab:

  • Wenn Sie eine Verbindung von einem beliebigen Ort aus über das öffentliche Internet herstellen (Verbindung von > zu einem beliebigen Punkt in der vorherigen Abbildung), empfiehlt es sich, eine TCP-Weiterleitung für Identity-Aware Proxy für Ihr Projekt zu aktivieren. Verwenden Sie dann IAP Desktop (unter Windows) oder das gcloud-Befehlszeilentool in Kombination mit einem nativen RDP-Client, um eine Verbindung zur Windows-Instanz herzustellen. Wenn Sie die TCP-Weiterleitung für Cloud Identity-Aware Proxy nicht verwenden können, verwenden Sie Chrome Remote Desktop.
  • Wenn die VM-Instanz eine öffentliche IP-Adresse hat und Firewallregeln den RDP-Zugriff zulassen, verwenden Sie das Browser-Plug-in „Chrome RDP for Google Cloud“ oder einen nativen RDP-Client wie die Microsoft-Anwendung „Remotedesktopverbindung“.
  • Wenn die VM-Instanz keine öffentliche IP-Adresse hat und Sie eine Verbindung über Cloud VPN oder Cloud Interconnect herstellen, können Sie über einen nativen RDP-Client wie die Microsoft-Anwendung "Remotedesktopverbindung" eine Verbindung zur privaten IP-Adresse der VM herstellen.

Informationen zum Herstellen einer Verbindung mit RDP finden Sie unter Fehlerbehebung bei RDP. Wenn Sie mithilfe von Remote Desktop keine Verbindung zu einer Windows-Instanz herstellen können, lesen Sie den Abschnitt Verbindung zur Windows-SAC herstellen in diesem Dokument.

Verwenden Sie eines der folgenden Verfahren, um eine Verbindung zum Remote Desktop einer Windows-Instanz herzustellen.

IAP Desktop

IAP Desktop ist eine Windows-Anwendung, mit der Sie mehrere Remote Desktop-Verbindungen zu Windows-VM-Instanzen verwalten können. IAP Desktop stellt über die TCP-Weiterleitung für Cloud Identity-Aware Proxy eine Verbindung zu VM-Instanzen her. VM-Instanzen müssen dafür keine öffentliche IP-Adresse haben.

Bevor Sie eine Verbindung über IAP Desktop herstellen, sollten Sie prüfen, ob die folgenden Voraussetzungen erfüllt sind:

So stellen Sie eine Verbindung zu einer VM-Instanz über IAP Desktop her:

  1. Wählen Sie in IAP Desktop die Option File > Add Google Cloud project aus.

  2. Geben Sie die ID oder den Namen Ihres Projekts ein und klicken Sie auf OK.

  3. Klicken Sie im Fenster Project Explorer mit der rechten Maustaste auf die VM-Instanz, zu der Sie eine Verbindung herstellen möchten, und wählen Sie Connect aus.

    IAP Desktop

Weitere Informationen zu IAP Desktop finden Sie auf der GitHub-Projektseite.

Anwendung "Remotedesktopverbindung"

Mit der Anwendung "Remotedesktopverbindung" von Windows können Sie eine Verbindung zu Windows-Instanzen herstellen.

Prüfen Sie vor dem Herstellen einer Verbindung über die Microsoft-Anwendung "Remotedesktopverbindung", ob eine der folgenden Voraussetzungen erfüllt ist:

  • Ihre VM-Instanz hat eine öffentliche IP-Adresse. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der öffentlichen IP-Adresse Ihres Clients an die Instanz über Port 3389 zu.
  • Ihr lokales Netzwerk ist über Cloud VPN oder Cloud Interconnect mit Ihrer VPC verbunden. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der privaten IP-Adresse Ihres Clients zur Instanz über Port 3389 zu.

So stellen Sie eine Verbindung zu Microsoft Windows Remotedesktop her:

  1. Erstellen Sie ein Windows-Konto und -Passwort, falls Sie noch keines haben.

  2. Verwenden Sie die externe IP-Adresse, um eine Verbindung über das Internet herzustellen. Verwenden Sie die interne IP-Adresse, um eine Verbindung über Cloud VPN oder Cloud Interconnect herzustellen.

    Ermitteln Sie die externe und interne IP-Adresse Ihrer Windows-Instanz, indem Sie einen der folgenden Schritte ausführen:

    • Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

      Zur Seite "VM-Instanzen"

    • Führen Sie mit dem gcloud-Tool gcloud compute instances list aus:

      gcloud compute instances list
  3. Öffnen Sie auf Ihrem Windows-Computer die Remotedesktopverbindung von Microsoft Windows. Die ausführbare Datei finden Sie unter %systemroot%\system32\mstsc.exe.

    Dialogfeld „Remote Desktop-Verbindung“.

  4. Geben Sie in das Feld Computer die IP-Adresse ein.

    Wenn Sie die Instanz so konfiguriert haben, dass für RDP eine andere Portnummer verwendet wird, fügen Sie diese nach der IP-Adresse hinzu. Zum Beispiel: 1.2.3.4:3389.

  5. Klicken Sie auf Verbinden.

  6. Geben Sie Ihren Nutzernamen und Ihr Passwort ein und klicken Sie auf OK.

    Wenn Sie Ihr Passwort vergessen haben, können Sie es zurücksetzen.

Chrome Remote Desktop

Mit dem Chrome Remote Desktop-Dienst können Sie über einen Webbrowser auf einen anderen Computer zugreifen. Chrome Remote Desktop funktioniert unter Windows, macOS und Linux und erfordert nicht, dass die VM-Instanz eine öffentliche IP-Adresse hat.

Prüfen Sie vor dem Herstellen einer Verbindung über Chrome Remote Desktop, ob die folgenden Voraussetzungen erfüllt sind:

So stellen Sie eine Verbindung zu einer VM-Instanz über Chrome Remote Desktop her:

  1. Rufen Sie auf Ihrem lokalen Computer die Chrome Remote Desktop-Website auf.

  2. Wenn Sie noch nicht bei Google angemeldet sind, melden Sie sich mit demselben Google-Konto an, über das Sie den Chrome Remote Desktop-Dienst eingerichtet haben.

  3. Wählen Sie die Instanz aus, zu der Sie eine Verbindung herstellen möchten.

  4. Wenn Sie dazu aufgefordert werden, geben Sie die PIN ein, die Sie bei der Installation des Chrome Remote Desktop-Dienstes erstellt haben. Klicken Sie dann auf die Pfeilschaltfläche , um eine Verbindung herzustellen.

Chrome RDP-Plug-in

Chrome RDP for Google Cloud ist ein Drittanbieter-Plug-in, mit dem Sie über den Chrome-Browser eine Verbindung zu Windows-Instanzen herstellen können. Das Plug-in ist in die Google Cloud Console integriert. Nachdem Sie das Plug-in installiert haben, stellen Sie über die Schaltfläche RDP in der Cloud Console eine Verbindung zu einer beliebigen Windows Server-Instanz her.

Prüfen Sie vor dem Herstellen einer Verbindung über Chrome RDP for Google Cloud, ob die folgenden Voraussetzungen erfüllt sind:

  • Die VM-Instanz hat eine öffentliche IP-Adresse.
  • Ihre Firewallregeln lassen eingehenden TCP-Traffic von der öffentlichen IP-Adresse Ihres Clients an die Instanz über Port 3389 zu.
  • Sie haben die Erweiterung Chrome RDP for Google Cloud installiert.

  • Wenn Sie über Chrome OS eine Verbindung zu einer Windows-VM herstellen, setzen Sie die Anzeigegröße des Chromebooks auf 100 %.

So stellen Sie eine Verbindung über das Chrome RDP-Plug-in her:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf und suchen Sie die Windows-Instanz, zu der Sie eine Verbindung herstellen möchten.

    ZUR SEITE "VM-INSTANZEN"

  2. Klicken Sie für die Instanz, zu der Sie eine Verbindung herstellen möchten, auf die Schaltfläche RDP. Die Chrome RDP-Erweiterung wird geöffnet.

  3. Geben Sie die Domain, Ihren Nutzernamen und Ihr Passwort ein und klicken Sie auf OK, um eine Verbindung herzustellen.

    Fenster zur Instanzerstellung.

    Wenn für Ihre Instanz keine Domain konfiguriert ist, können Sie das Feld Domain leer lassen.

  4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter, um das Zertifikat zu akzeptieren.

Andere

Sie können auch über andere RDP-Clients eine Verbindung zu Ihren Windows-VM-Instanzen herstellen, z. B. über Clients, die für Android, iOS und Mac entwickelt wurden. Eine Liste der offiziell unterstützten Clients finden Sie im Dokument Remote Desktop-Clients von Microsoft.

Prüfen Sie vor dem Verbindungsaufbau, ob eine der folgenden Voraussetzungen erfüllt ist:

  • Ihre VM-Instanz hat eine öffentliche IP-Adresse. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der öffentlichen IP-Adresse Ihres Clients an die Instanz über Port 3389 zu.
  • Ihr lokales Netzwerk ist über VPN oder Cloud Interconnect mit Ihrer VPC verbunden. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der privaten IP-Adresse Ihres Clients zur Instanz über Port 3389 zu.

So stellen Sie eine Verbindung über andere RDP-Clients her:

  1. Verwenden Sie die externe IP-Adresse, um eine Verbindung über das Internet herzustellen. Verwenden Sie die interne IP-Adresse, um eine Verbindung über Cloud VPN oder Cloud Interconnect herzustellen.

    Ermitteln Sie die externe und interne IP-Adresse Ihrer Windows-Instanz, indem Sie einen der folgenden Schritte ausführen:

    • Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

      Zur Seite "VM-Instanzen"

    • Führen Sie mit dem gcloud-Tool gcloud compute instances list aus:

      gcloud compute instances list
  2. Installieren Sie den unterstützten Client gemäß der Installationsanleitung des Clients.

  3. Stellen Sie mithilfe der IP-Adresse der Instanz eine Verbindung her und authentifizieren Sie sich mit Ihrem Nutzernamen und Passwort für die Instanz.

Eine Liste der offiziell unterstützten Clients finden Sie im Artikel Remotedesktopclients von Microsoft.

Wenn Sie Schwierigkeiten beim Herstellen einer Verbindung mit RDP haben, finden Sie Hilfe auf der Seite Fehlerbehebung bei RDP. Informationen zur RDP-Lizenzierung finden Sie in den FAQ zu Microsoft-Lizenzen.

RDP-Zertifikat prüfen

Um das RDP-Zertifikat zu prüfen, betrachten Sie die Ausgabe des seriellen Ports vom ersten Booten der VM an oder nutzen den entsprechenden PowerShell-Befehl aus der SAC.

Serieller Port

  1. Um das RDP-Zertifikat zu prüfen, sehen Sie sich beim ersten Booten der Windows-VM die Ausgabe vom seriellen Port 1 an.

  2. Prüfen Sie die Ausgabe des seriellen Ports 1 während des anfänglichen Booten der Windows-VM auf Folgendes:

    Serial port 1 (console) output for rdp-test
    ...
    ...
    2021/03/31 15:53:58 GCEInstanceSetup: RDP certificate details: Subject: CN=rdp-test, Thumbprint: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    ...
    ...
    

PowerShell aus der SAC

  1. Verbindung zum Windows-SAC her.

  2. Führen Sie die folgenden PowerShell-Befehle aus:

    # WinRM Cert
    Write-Host 'WinRM certificate details:'; Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -like "CN=$env:COMPUTERNAME*" -and $_.NotAfter -gt $(Get-Date) -and $_.HasPrivateKey} |  Select-Object Subject, Thumbprint | Format-List
    # RDP Cert
    Write-Host 'RDP certificate details:'; Get-ChildItem 'Cert:\LocalMachine\Remote Desktop\' | Where-Object { $_.Subject -like "CN=$env:COMPUTERNAME*" -and $_.NotAfter -gt $(Get-Date) -and $_.HasPrivateKey} |  Select-Object Subject, Thumbprint | Format-List
    

Mit der Windows-SAC verbinden

In diesem Abschnitt wird beschrieben, wie Sie über die interaktive serielle Konsole eine Verbindung zur speziellen Verwaltungskonsole (Special Administrative Console, SAC) der Windows-Instanz herstellen. Die SAC verwendet eine serielle Portverbindung zur VM und stützt sich nicht auf die Netzwerkverbindung.

Bevor Sie mithilfe der interaktiven seriellen Konsole eine Verbindung zu Ihrer VM herstellen können, aktivieren Sie den interaktiven Zugriff für Ihre VM. Weitere Informationen finden Sie unter: Interaktiven Zugriff auf die serielle Konsole aktivieren.

Führen Sie die Schritte auf einem der folgenden Tabs aus, um über eine interaktive serielle Konsole eine Verbindung zur Windows-Instanz herzustellen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

    Zu „VM-Instanzen“

  2. Klicken Sie auf den Namen der VM, zu der Sie eine Verbindung herstellen möchten.

  3. Klicken Sie auf Mit serieller Konsole verbinden, um die interaktive Konsole zu öffnen.

Die interaktive serielle Konsole wird geöffnet. Sie können sie verwenden, wenn Sie die folgende Ausgabe sehen:

Computer is booting, SAC started and initialized.

Use the "ch -?" command for information about using channels.
Use the "?" command for general help.

SAC>

gcloud

Verwenden Sie den Befehl gcloud compute connect-to-serial-port, um eine Verbindung zu VM-Instanzen herzustellen, für die der serielle Port Zugriff aktiviert ist:

gcloud compute connect-to-serial-port VM_NAME \
    --port=2
    --zone=ZONE \
    --project=PROJECT_ID

Dabei gilt:

  • PROJECT_ID ist die ID des Projekts, das die Instanz enthält.
  • ZONE ist der Name der Zone, in der sich die Instanz befindet.
  • VM_NAME: der Name der Instanz

Die interaktive serielle Konsole wird geöffnet. Sie können sie verwenden, wenn Sie die folgende Ausgabe sehen:

Computer is booting, SAC started and initialized.

Use the "ch -?" command for information about using channels.
Use the "?" command for general help.

SAC>

Informationen zur Verwendung der interaktiven seriellen Konsole finden Sie in der Microsoft SAC-Dokumentation.

Eingabeaufforderung in der Windows SAC öffnen

Ein gängiger Workflow besteht darin, die Eingabeaufforderung oder Powershell zu öffnen, um die Ausführung von Befehlen zu ermöglichen. Um einen cmd-Kanal zu öffnen, tun Sie Folgendes:

  1. Geben Sie cmd ein und drücken Sie die Eingabetaste. Die folgende Ausgabe wird angezeigt:

    SAC>cmd
    The Command Prompt session was successfully launched.
    SAC>
    EVENT:   A new channel has been created.  Use "ch -?" for channel help.
    Channel: Cmd0001
    SAC>
    
  2. Verwenden Sie den Befehl ch -sn CHANNEL_NAME und drücken Sie die Eingabetaste. Ersetzen Sie CHANNEL_NAME durch den Namen des Kanals, den Sie im vorherigen Schritt erstellt haben.

    SAC>ch -sn Cmd0001
    
    Name:                  Cmd0001
    Description:           Command
    Type:                  VT-UTF8
    Channel GUID:          28de7392-5413-11ea-bb03-c9656a2ed613
    Application Type GUID: 63d02271-8aa4-11d5-bccf-00b0d014a2d0
    
    Press <esc><tab> for next channel.
    Press <esc><tab>0 to return to the SAC channel.
    Use any other key to view this channel.
    
  3. Drücken Sie die Leertaste und melden Sie sich dann mit den lokalen Anmeldedaten an, die im System registriert sind.

    Please enter login credentials.
    Username: USERNAME
    Domain: DOMAIN (leave blank if no domain)
    Password: PASSWORD
    

    Sobald eine Verbindung besteht, können Sie auf eine Shell für die Eingabeaufforderungs zugreifen.

    Microsoft Windows [Version 10.0.14393]
    (c) 2016 Microsoft Corporation. All rights reserved.
    
    C:\Windows\system32>
    
  4. Optional: Wenn Sie eine Eingabeaufforderung für PowerShell eingeben möchten, geben Sie powershell.exe ein, dann drücken Sie Eingabetaste.

Nächste Schritte