arrow_back

Challenge-Lab: Sicheres RDP mit einem Windows-Bastion Host

Anmelden Teilnehmen
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Challenge-Lab: Sicheres RDP mit einem Windows-Bastion Host

Lab 1 Stunde universal_currency_alt 5 Guthabenpunkte show_chart Mittelstufe
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP303

Logo: Google Cloud-Labs zum selbstbestimmten Lernen

Übersicht

In einem Challenge-Lab geht es um ein bestimmtes Szenario mit mehreren Aufgaben. Anders als bei einem normalen Lab erhalten Sie jedoch keine Schritt-für-Schritt-Anleitung, sondern nutzen die in den Labs des jeweiligen Kurses erlernten Fähigkeiten, um die Aufgaben selbst zu lösen. Ihre Lösungen werden automatisch bewertet. Die erzielten Punkte finden Sie rechts oben auf dieser Seite.

In Challenge-Labs werden keine neuen Grundlagen zu Google Cloud vermittelt. Sie sollen dabei Ihr Wissen erweitern und es wird erwartet, dass Sie beispielsweise Standardwerte ändern und Fehlermeldungen lesen und recherchieren, um Ihre eigenen Fehler zu beheben.

Die volle Punktzahl erreichen Sie nur, wenn Sie alle Aufgaben innerhalb der vorgegebenen Zeit lösen.

Dieses Lab empfehlen wir Lernenden, die sich auf die Zertifikatsprüfung Google Cloud Certified Professional Cloud Architect vorbereiten. Sind Sie bereit?

Das Szenario

Ihr Unternehmen möchte in der Cloud neue Anwendungsdienste für Windows bereitstellen und Sie sollen ein sicheres Framework für deren Verwaltung entwickeln. Dazu müssen Sie eine neue VPC‑Netzwerkumgebung erstellen, um die Windows-Produktionsserver sicher zu hosten.

Für Produktionsserver gilt, dass sie komplett von externen Netzwerken isoliert sein müssen. Über sie darf weder Internetzugriff bestehen noch dürfen sie direkt über das Internet erreichbar sein. Deshalb benötigen Sie für die Konfiguration und Verwaltung Ihres ersten Servers in der Umgebung einen Bastion Host, auch als Jump-Box bezeichnet. Auf diesen Host kann mithilfe des Microsoft-Protokolls für Verbindungen über Remote Desktop (Remote Desktop Protocol, RDP) aus dem Internet zugegriffen werden. Der Bastion Host darf über das Internet nur via RDP erreichbar sein und innerhalb des VPC-Netzwerks ebenfalls nur via RDP mit anderen Compute-Instanzen kommunizieren.

Außerdem wird über ein standardmäßiges VPC-Netzwerk Ihres Unternehmens ein Überwachungssystem ausgeführt. Deshalb benötigen alle Compute-Instanzen eine zweite Netzwerkschnittstelle mit einer rein internen Verbindung zu diesem VPC-Netzwerk.

Die Aufgabe

Stellen Sie in einem neuen VPC‑Subnetz den Windows-Computer bereit, der nicht für die externe Kommunikation konfiguriert ist, und stellen Sie anschließend darauf den Microsoft Internet Information Server bereit. Alle Ressourcen sollen in diesem Lab in der folgenden Region und Zone bereitgestellt werden:

  • Region:
  • Zone:

Aufgaben

Das sind die Hauptaufgaben. Viel Erfolg!

  • Neues VPC-Netzwerk mit einem einzelnen Subnetz erstellen
  • Firewallregel für den externen RDP-Zugriff auf den Bastion Host einrichten
  • Zwei Windows-Server bereitstellen, die sowohl mit dem VPC-Netzwerk als auch mit dem Standardnetzwerk verbunden sind
  • Virtuelle Maschine erstellen, die auf das Startskript verweist
  • Firewallregel für den HTTP-Zugriff auf die virtuelle Maschine einrichten

Aufgabe 1: VPC‑Netzwerk erstellen

  1. Erstellen Sie ein neues VPC‑Netzwerk mit dem Namen securenetwork.

Klicken Sie auf Fortschritt prüfen. VPC‑Netzwerk erstellen

  1. Erstellen Sie ein neues VPC‑Subnetz securenetwork in der Region .

Klicken Sie auf Fortschritt prüfen. VPC‑Subnetz erstellen

  1. Nach der Konfiguration des Netzwerks und des Subnetzes erstellen Sie eine Firewallregel für eingehenden RDP‑Traffic vom Internet zum Bastion Host (über den TCP‑Port 3389). Diese Regel sollten Sie mit Netzwerktags auf den entsprechenden Host anwenden.

Klicken Sie auf Fortschritt prüfen. Firewallregel erstellen

Aufgabe 2: Windows-Instanzen bereitstellen und Nutzerpasswörter konfigurieren

  1. Stellen Sie eine Windows 2016 Server-Instanz (Server mit Desktop-Umgebung) mit dem Namen vm‑securehost und zwei Netzwerkschnittstellen in der Zone bereit.
    • Konfigurieren Sie die erste Netzwerkschnittstelle für eine ausschließlich interne Verbindung zu dem zuvor erstellten VPC‑Subnetz.
    • Konfigurieren Sie die zweite Netzwerkschnittstelle für eine ausschließlich interne Verbindung zum VPC‑Standardnetzwerk. Diese Instanz ist der sichere Server.

Klicken Sie auf Fortschritt prüfen. Instanz vm‑securehost erstellen

  1. Stellen Sie eine Windows 2016 Server-Instanz (Server mit Desktop-Umgebung) mit dem Namen vm‑bastionhost und zwei Netzwerkschnittstellen in der Zone bereit.
    • Konfigurieren Sie die erste Netzwerkschnittstelle für eine Verbindung zu dem zuvor erstellten VPC‑Subnetz mit sitzungsspezifischer öffentlicher (externer NAT-) Adresse.
    • Konfigurieren Sie die zweite Netzwerkschnittstelle für eine ausschließlich interne Verbindung zum VPC‑Standardnetzwerk. Diese Instanz ist der Bastion Host bzw. die Jump-Box.

Klicken Sie auf Fortschritt prüfen. Instanz vm‑bastionhost erstellen

Nutzerpasswörter konfigurieren

  1. Zusätzlich zu den Windows-Instanzen müssen Sie noch ein Nutzerkonto erstellen und die Windows-Passwörter zurücksetzen, um auf die einzelnen Instanzen zugreifen zu können.
HINWEIS: Notieren Sie die Nutzernamen und Passwörter beider Instanzen für den späteren Gebrauch.
  1. Mit dem folgenden gcloud-Befehl wird ein neuer Nutzer namens app‑admin erstellt und das Passwort für den Host vm‑bastionhost in der Zone zurückgesetzt:
gcloud compute reset-windows-password vm‑bastionhost ‑‑user app_admin ‑‑zone {{{ project_0.default_zone | "placeholder" }}}
  1. Mit dem folgenden gcloud-Befehl wird ein neuer Nutzer namens app‑admin erstellt und das Passwort für den Host vm‑securehost in der Zone zurückgesetzt:
gcloud compute reset-windows-password vm‑securehost ‑‑user app_admin ‑‑zone {{{ project_0.default_zone | "placeholder" }}}
  • Wahlweise können Sie das Zurücksetzen des Passworts auch über die Compute Engine-Konsole erzwingen. Wiederholen Sie diesen Schritt im Anschluss mit den Anmeldedaten für den zweiten Host.

Aufgabe 3: Verbindung mit dem sicheren Host herstellen und Internet Information Server konfigurieren

  1. Für die Verbindung mit dem sicheren Host müssen Sie zuerst über RDP auf den Bastion Host zugreifen. Auf der Übersichtsseite einer Windows-Compute-Instanz können Sie über RDP auf eine Windows-Compute-Instanz mit einer externen Adresse zugreifen, indem Sie neben dem Namen auf die Schaltfläche „RDP“ klicken.

  2. Sobald die RDP‑Verbindung zum Bastion Host hergestellt wurde, starten Sie eine neue RDP‑Sitzung auf dem Bastion Host, um die Verbindung zu der internen privaten Netzwerkadresse des sicheren Hosts aufzubauen.

  3. Sobald die Verbindung zu einem Windows-Server hergestellt ist, können Sie mithilfe des Befehls mstsc.exe den RDP‑Client von Microsoft starten. Sie finden ihn auch im Startmenü, wenn Sie nach Remote Desktop Manager suchen. So können Sie über den Bastion Host auch auf andere Compute-Instanzen in derselben VPC zugreifen, die keine Verbindung zum Internet haben.

Nachdem Sie die RDP‑Verbindung zum vm‑securehost hergestellt haben, konfigurieren Sie den Internet Information Server.

  1. Öffnen Sie nach der Anmeldung beim vm‑securehost das Fenster für die Serververwaltung. Konfigurieren Sie den lokalen Server, indem Sie Rollen und Funktionen hinzufügen.

  2. Nutzen Sie rollen- oder funktionsbasierte Installation, um die Rolle Web Server (IIS) hinzuzufügen.

Klicken Sie auf Fortschritt prüfen. IIS Webserversoftware konfigurieren

Problembehebung

  • Verbindung mit dem Bastion Host konnte nicht hergestellt werden: Prüfen Sie, ob der Verbindungsversuch tatsächlich über die externe Adresse des Bastion Hosts erfolgt ist. Wurde die richtige IP‑Adresse verwendet, ist die Firewallregel möglicherweise nicht richtig konfiguriert. So kann es sein, dass bei der Netzwerkschnittstelle des Bastion Hosts über den TCP‑Port 3389 (RDP) kein Traffic aus dem Internet oder von der öffentlichen IP‑Adresse Ihres eigenen Systems eingeht. Wenn in Ihrem Netzwerk der RDP‑Zugriff auf Internetadressen deaktiviert ist, tritt ebenfalls ein Verbindungsfehler auf. Lassen sich all diese Ursachen ausschließen, bitten Sie den Eigentümer des Netzwerks, mit dem Sie die Verbindung zum Internet herstellen, den Port 3389 zu öffnen. Alternativ können Sie versuchen, die Verbindung über ein anderes Netzwerk herzustellen.
  • Verbindung zwischen Bastion Host und sicherem Host nicht möglich: Wenn die Verbindung zum Bastion Host steht, die interne RDP‑Verbindung über Microsoft Remote Desktop Connection aber nicht funktioniert, prüfen Sie, ob beide Instanzen mit demselben VPC‑Netzwerk verbunden sind.

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

Glückwunsch! Sie haben in diesem Lab eine sichere Windows Server-Umgebung mit einem Bastion Host und einem VPC‑Netzwerk konfiguriert. Außerdem haben Sie eine Firewallregel für den HTTP-Zugriff auf die virtuelle Maschine eingerichtet und auf der sicheren VM den Microsoft Internet Information Server bereitgestellt.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 9. Februar 2024 aktualisiert

Lab zuletzt am 6. Dezember 2023 getestet

© 2024 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.