Verwenden von Standardrichtlinien für den Netzwerkzugriff auf virtuellen Computern in Azure Local, Version 23H2

Gilt für: Azure Local, Version 23H2

Gilt für: Windows Server 2025

In diesem Artikel wird beschrieben, wie Sie Standardmäßige Netzwerkzugriffsrichtlinien aktivieren und diesen virtuellen Computern (VMs) zuweisen.

Standardnetzwerkrichtlinien können verwendet werden, um virtuelle Computer zu schützen, die vor externen nicht autorisierten Angriffen ausgeführt werden. Diese Richtlinien blockieren den gesamten eingehenden Zugriff auf virtuelle Computer (mit Ausnahme der angegebenen Verwaltungsports, die Sie aktivieren möchten), während alle ausgehenden Zugriffe zugelassen werden. Verwenden Sie diese Richtlinien, um sicherzustellen, dass Ihre Workload-VMs zugriff auf nur erforderliche Ressourcen haben, wodurch es für die Bedrohungen schwierig ist, sich lateral zu verbreiten.

Hinweis

In dieser Version können Sie Standardnetzwerkrichtlinien über das Windows Admin Center aktivieren und zuweisen.

Voraussetzungen

Führen Sie die folgenden Voraussetzungen für die Verwendung von Netzwerkzugriffsrichtlinien aus:

• Sie haben das Azure Stack HCI-Betriebssystem, Version 23H2 oder höher, auf Ihrem System installiert. Weitere Informationen finden Sie unter Installieren des Azure Stack HCI-Betriebssystems, Version 23H2.

• Sie haben Netzwerkcontroller installiert. Der Netzwerkcontroller erzwingt die Standardnetzwerkrichtlinien. Weitere Informationen finden Sie unter Installieren des Netzwerkcontrollers.

• Sie haben ein logisches Netzwerk oder ein virtuelles Netzwerk zu verwenden. Weitere Informationen finden Sie unter Erstellen eines logischen Netzwerks oder Erstellen eines virtuellen Netzwerks.

• Sie verfügen über einen virtuellen Computer, auf den Richtlinien angewendet werden. Weitere Informationen finden Sie unter Verwalten von virtuellen Computern mit Windows Admin Center.

• Sie verfügen über Administratorberechtigungen oder gleichwertig mit den Systemknoten und dem Netzwerkcontroller.

• Sie verfügen über Windows Server 2025 oder höher. Weitere Informationen finden Sie unter "Erste Schritte mit Windows Server".

• Sie haben Netzwerkcontroller installiert. Der Netzwerkcontroller erzwingt die Standardnetzwerkrichtlinien. Weitere Informationen finden Sie unter Installieren des Netzwerkcontrollers.

• Sie haben ein logisches Netzwerk oder ein virtuelles Netzwerk zu verwenden. Weitere Informationen finden Sie unter Erstellen eines logischen Netzwerks oder Erstellen eines virtuellen Netzwerks.

• Sie verfügen über einen virtuellen Computer, auf den Richtlinien angewendet werden. Weitere Informationen finden Sie unter Verwalten von virtuellen Computern mit Windows Admin Center.

• Sie verfügen über Administratorberechtigungen oder gleichwertig mit den Systemknoten und dem Netzwerkcontroller.

Zuweisen von Standardnetzwerkrichtlinien zu einem virtuellen Computer

Sie können Standardrichtlinien auf zwei Arten an einen virtuellen Computer anfügen:

• Während der VM-Erstellung. Sie müssen die VM an ein logisches Netzwerk (herkömmliches VLAN-Netzwerk) oder ein virtuelles SDN-Netzwerk anfügen.
• Nach der VM-Erstellung.

Erstellen und Anfügen von Netzwerken

Je nach Netzwerktyp, an den Sie Ihren virtuellen Computer anfügen möchten, können die Schritte unterschiedlich sein.

• Anfügen von virtuellen Computern an ein physisches Netzwerk: Erstellen Sie ein oder mehrere logische Netzwerke, um diese physischen Netzwerke darzustellen. Ein logisches Netzwerk ist nur eine Darstellung eines oder mehrerer physischer Netzwerke, die azure Local zur Verfügung stehen. Weitere Informationen finden Sie unter Erstellen eines logischen Netzwerks.

• Fügen Sie virtuelle Computer an ein virtuelles SDN-Netzwerk an: Erstellen Sie ein virtuelles Netzwerk, bevor Sie die VM erstellen. Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks.

Anfügen eines virtuellen Computers an ein logisches Netzwerk

Nachdem Sie ein logisches Netzwerk im Windows Admin Center erstellt haben, können Sie einen virtuellen Computer im Windows Admin Center erstellen und an das logische Netzwerk anfügen. Wählen Sie als Teil der VM-Erstellung den Isolationsmodus als logisches Netzwerk aus, wählen Sie das entsprechende logische Subnetz unter dem logischen Netzwerk aus, und geben Sie eine IP-Adresse für den virtuellen Computer an.

Hinweis

Im Gegensatz zu Azure Local, Version 22H2, können Sie eine VM nicht mehr direkt mit einem VLAN über Das Windows Admin Center verbinden. Stattdessen müssen Sie ein logisches Netzwerk erstellen, das das VLAN darstellt, ein logisches Netzwerksubnetz mit dem VLAN erstellen und dann die VM an das logische Netzwerksubnetz anfügen.

Hinweis

Sie müssen ein logisches Netzwerk erstellen, das das VLAN darstellt, ein logisches Netzwerksubnetz mit dem VLAN erstellen und dann die VM an das logische Netzwerksubnetz anfügen.

Hier ist ein Beispiel, in dem erläutert wird, wie Sie Ihren virtuellen Computer direkt an ein VLAN anfügen können, wenn der Netzwerkcontroller installiert ist. In diesem Beispiel wird veranschaulicht, wie Sie Ihre VM mit VLAN 5 verbinden:

1. Erstellen Sie ein logisches Netzwerk mit einem beliebigen Namen. Stellen Sie sicher, dass die Netzwerkvirtualisierung deaktiviert ist.

2. Fügen Sie ein logisches Subnetz mit einem beliebigen Namen hinzu. Geben Sie beim Erstellen des Subnetzes die VLAN-ID (5) an.

3. Übernehmen Sie die Änderungen.

4. Wenn Sie einen virtuellen Computer erstellen, fügen Sie ihn an das zuvor erstellte logische Netzwerk und das logische Netzwerksubnetz an. Weitere Informationen finden Sie unter Erstellen eines logischen Netzwerks.

   

Anwenden von Standardnetzwerkrichtlinien

Wenn Sie einen virtuellen Computer über Windows Admin Center erstellen, wird eine Einstellung auf Sicherheitsebene angezeigt.

Sie haben drei Möglichkeiten:

• Kein Schutz – Wählen Sie diese Option aus, wenn Sie keine Netzwerkzugriffsrichtlinien für Ihre VM erzwingen möchten. Wenn diese Option ausgewählt ist, werden alle Ports auf Ihrem virtuellen Computer externen Netzwerken verfügbar gemacht, die ein Sicherheitsrisiko darstellen. Von der Verwendung dieser Option wird abgeraten.

  

• Öffnen Sie einige Ports – Wählen Sie diese Option aus, um die Standardrichtlinien zu verwenden. Die Standardrichtlinien blockieren den gesamten eingehenden Zugriff und ermöglichen den gesamten ausgehenden Zugriff. Sie können optional den eingehenden Zugriff auf einen oder mehrere gut definierte Ports aktivieren, z. B. HTTP, HTTPS, SSH oder RDP gemäß Ihren Anforderungen.

  

• Verwenden Sie vorhandene NSG - Wählen Sie diese Option aus, um benutzerdefinierte Richtlinien anzuwenden. Sie geben eine Netzwerksicherheitsgruppe (Network Security Group, NSG) an, die Sie bereits erstellt haben.

  

Virtuelle Computer, die außerhalb von Windows Admin Center erstellt wurden

Möglicherweise treten Probleme auf, wenn Sie virtuelle Computer außerhalb von Windows Admin Center erstellen und Standardrichtlinien für den Netzwerkzugriff aktiviert haben. Sie haben z. B. Standardrichtlinien für den Netzwerkzugriff aktiviert und virtuelle Computer mithilfe der Hyper-V-Benutzeroberfläche oder des PowerShell-Cmdlets "New-VM" erstellt.

• Die virtuellen Computer verfügen möglicherweise nicht über Netzwerkkonnektivität. Da der virtuelle Computer von einer Hyper-V-Switch-Erweiterung namens Virtual Filtering Platform (VFP) verwaltet wird und standardmäßig der mit dem virtuellen Computer verbundene Hyper-V-Port im blockierten Zustand ist.

  Um die Blockierung des Ports aufzuheben, führen Sie die folgenden Befehle aus einer PowerShell-Sitzung auf einem Hyper-V-Host aus, auf dem sich der virtuelle Computer befindet:

  1. Führen Sie PowerShell als Administrator aus.

  2. Laden Sie das SdnDiagnostics-Modul herunter, und installieren Sie es. Führen Sie den folgenden Befehl aus:

     Install-Module -Name SdnDiagnostics
     

     Alternativ können Sie auch den folgenden Befehl verwenden, wenn sie bereits installiert sind:

     Update-Module -Name SdnDiagnostics
     

     Akzeptieren Sie alle Aufforderungen zur Installation von PowerShell-Katalog.

  3. Überprüfen, ob der VFP-Port auf den virtuellen Computer angewendet wird

     Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>
     

     Stellen Sie sicher, dass für den Adapter VFP-Portprofilinformationen zurückgegeben werden. Wenn nicht, fahren Sie mit der Zuordnung eines Portprofils fort.

  4. Geben Sie die Ports an, die auf dem virtuellen Computer entsperrt werden sollen.

     Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2
     

• Der virtuelle Computer verfügt nicht über standardmäßige Netzwerkrichtlinien. Da dieser virtuelle Computer außerhalb von Windows Admin Center erstellt wurde, werden die Standardrichtlinien für den virtuellen Computer nicht angewendet, und die Netzwerkeinstellungen für den virtuellen Computer werden nicht ordnungsgemäß angezeigt. Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  Erstellen Sie in Windows Admin Center ein logisches Netzwerk. Erstellen Sie ein Subnetz unter dem logischen Netzwerk, und stellen Sie keine VLAN-ID oder kein Subnetzpräfix bereit. Fügen Sie dann einen virtuellen Computer mit den folgenden Schritten an das logische Netzwerk an:

  1. Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie virtuelle Computer aus .

  2. Wählen Sie die Registerkarte "Bestand" aus, wählen Sie den virtuellen Computer und dann "Einstellungen" aus.

  3. Klicken Sie auf der Seite Einstellungen auf Netzwerke.

  4. Wählen Sie für den Isolationsmodus "Logisches Netzwerk" aus.

  5. Wählen Sie das logische Netzwerk und das logische Subnetz aus, das Sie zuvor erstellt haben.

     1. Für die Sicherheitsstufe haben Sie zwei Optionen:

        1. Kein Schutz: Wählen Sie diese Option aus, wenn Sie keine Netzwerkzugriffsrichtlinien für Ihre virtuellen Computer benötigen.
        2. Verwenden Sie vorhandene NSG: Wählen Sie diese Option aus, wenn Sie Netzwerkzugriffsrichtlinien für Ihre virtuellen Computer anwenden möchten. Sie können entweder eine neue NSG erstellen und an die VM anfügen, oder Sie können eine vorhandene NSG an die VM anfügen.

  

• Der virtuelle Computer verfügt nicht über standardmäßige Netzwerkrichtlinien. Da dieser virtuelle Computer außerhalb von Windows Admin Center erstellt wurde, werden die Standardrichtlinien für den virtuellen Computer nicht angewendet, und die Netzwerkeinstellungen für den virtuellen Computer werden nicht ordnungsgemäß angezeigt. Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  Erstellen Sie in Windows Admin Center ein logisches Netzwerk. Erstellen Sie ein Subnetz unter dem logischen Netzwerk, und stellen Sie keine VLAN-ID oder kein Subnetzpräfix bereit. Fügen Sie dann einen virtuellen Computer mit den folgenden Schritten an das logische Netzwerk an:

  1. Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie virtuelle Computer aus .

  2. Wählen Sie die Registerkarte "Bestand" aus, wählen Sie den virtuellen Computer und dann "Einstellungen" aus.

  3. Klicken Sie auf der Seite Einstellungen auf Netzwerke.

  4. Wählen Sie für den Isolationsmodus "Logisches Netzwerk" aus.

  5. Wählen Sie das logische Netzwerk und das logische Subnetz aus, das Sie zuvor erstellt haben.

     1. Für die Sicherheitsstufe haben Sie zwei Optionen:

        1. Kein Schutz: Wählen Sie diese Option aus, wenn Sie keine Netzwerkzugriffsrichtlinien für Ihre virtuellen Computer benötigen.
        2. Verwenden Sie vorhandene NSG: Wählen Sie diese Option aus, wenn Sie Netzwerkzugriffsrichtlinien für Ihre virtuellen Computer anwenden möchten. Sie können entweder eine neue NSG erstellen und an die VM anfügen, oder Sie können eine vorhandene NSG an die VM anfügen.

  

Nächste Schritte

Weitere Informationen:

• Konfigurieren von Netzwerksicherheitsgruppen mit Tags

• Konfigurieren von Netzwerksicherheitsgruppen mit Tags