強化 VMM 自助網頁伺服器
適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1
在 System Center Virtual Machine Manager (VMM) 中,自助使用者可使用自助入口網站以在限制的環境中建立、操作及連線至自己的虛擬機器。自助入口網站可安裝在執行 Windows Server Internet Information Services (IIS) 7.0 (於 Windows Server 2008 電腦上) 與 IIS 6.0 (於 Windows Server 2003 電腦上) 的網頁伺服器中。本主題提供的指引可協助您強化裝載自助入口網站的主機。
注意
如需 IIS 與作業系統需求的詳細資訊,請參閱系統需求:VMM 自助入口網站。
通訊埠與通訊協定
對於從自助網頁伺服器連往 VMM 伺服器的連線,VMM 使用 Windows Communication Foundation (WCF) (在內部使用 TCP),並啟用加密。Kerberos 則是用來驗證。
VMM 自助入口網站與 IIS 伺服器間的通訊是利用 HTTPS 來進行,而驗證則由 Active Directory 網域服務 (AD DS) 執行。網頁伺服器使用自助使用者的認證來連線至 VMM 伺服器。在授權期間,WMM 會檢查用戶端的類型、所有 AD DS 群組的成員資格及 VMM 中所有使用者角色的成員資格。使用者的自助使用者角色設定決定 VMM 將代表使用者對使用者角色範圍內的物件執行哪些作業。如需詳細資訊,請參閱 VMM 中的角色安全性。
在 IIS 伺服器上,VMM 使用預設的通訊埠 (80) 來與 VMM 自助入口網站通訊。若其他網站正在使用通訊埠 80,您必須使用其他專用的通訊埠,或為入口網站指定主機標頭。如需主機標頭的詳細資訊,請參閱下列任一個主題:
若為 Windows Server 2003 中的 IIS 6.0,請參閱文章編號 190008:<如何:在 IIS 5.0 中使用主機標題名稱,從同一 IP 位址管理多個網站>(https://go.microsoft.com/fwlink/?LinkId=88875)。
若為 Windows Server 2008 中的 IIS 7.0,請參閱<IIS 7.0: Configure a Host Header for a Web Site>(設定網站的主機標頭)(https://go.microsoft.com/fwlink/?LinkId=125367)。
下列清單為虛擬機器自助期間 VMM 用來通訊的通訊埠與通訊協定。
| 連線類型 | 通訊協定 | 預設設定 | 變更設定的位置 |
|---|---|---|---|
VMM 自助入口網站網頁伺服器至 VMM 伺服器 |
WCF |
8100 |
在 VMM 安裝期間 |
VMM 自助入口網站至 VMM 自助網頁伺服器 |
HTTPS |
不使用 SSL:80 使用 SSL:443 |
在 VMM 安裝期間 |
安全性措施
若要建立自助網頁伺服器的安全性基準,您的組織應遵循網頁伺服器的安全性最佳做法。如需與執行 Windows Server 2008 之網頁伺服器的建議安全性措施相關的詳細討論內容,請參閱《Windows Server 2008 Security Guide》(Windows Server 2008 安全性指南) 中的 Chapter 6: Hardening Web Services (第 6 章:強化網頁服務) (https://go.microsoft.com/fwlink/?LinkId=140462)。
下列檢查清單彙總裝載 VMM 自助入口網站之 IIS 網頁伺服器的建議安全性組態工作。
安全性組態檢查清單
設定自助入口網站的 SSL
啟用自助入口網站的整合式 Windows 驗證
停用不需要的 ISAPI 處理常式
新增自助使用者角色
啟用透過自助入口網站存取 VMware 虛擬機器的功能
設定自助入口網站的 SSL
若要加密 VMM 與自助入口網站間的通訊,您應該在網頁伺服器上啟用 SSL 安全性。如果入口網站位於不提供公開存取的組織內部網路中,您可以從組織現有的公開金鑰基礎結構 (PKI) 取得憑證。不過,如果使用者能從網際網路存取入口網站,Microsoft 建議您從憑證授權單位取得憑證。
如需詳細資訊,請參閱《Windows Server 2008 Security Guide》(Windows Server 2008 安全性指南) Chapter 6: Hardening Web Services (第 6 章:強化網頁服務) 中的<Enable Secure Sockets Layer (SSL)>(啟用安全通訊端層 (SSL)) (https://go.microsoft.com/fwlink/?LinkId=140462)。您可以使用幾種方法來啟用 SSL。如需相關程序,請參閱 Microsoft IIS 網站上的 How to Setup SLL on IIS7 (如何在 IIS7 上設定 SSL) (https://go.microsoft.com/fwlink/?LinkId=125718)。
啟用自助入口網站的整合式 Windows 驗證
根據預設,VMM 自助入口網站在 IIS 中是設定為進行匿名方式驗證,在這種情況下,每位使用者都必須在登入頁面中輸入認證才能存取入口網站。藉由存放登入時的認證,只要虛擬機器需要相同的認證,使用者便能在入口網站中使用 [連線至 VM] 動作來連線至虛擬機器,而不用重新輸入認證。
如果他們使用入口網站的 [遠端桌面] 動作來連線至虛擬機器,則必須確認存放的認證或重新輸入認證 (如果未存放認證的話)。
若要把在入口網站中輸入認證的相關安全性風險降到最低及節省自助使用者的時間,您可以設定下列功能:
整合式 Windows 驗證 — 若要在自助使用者開啟自助入口網站,或連線至需要相同認證的虛擬機器時 (使用入口網站的 [連線至 VM] 動作或縮圖) 消除登入提示,請設定 VMM 自助入口網站的整合式 Windows 驗證。整合式 Windows 驗證使用目前在用戶端上的 Windows 使用者資訊,並且只在需要其他認證以供授權時才會提示使用者輸入認證。
注意
除非自助入口網站與 VMM 伺服器位在同一部電腦上,否則您需要先在 Kerberos 中設定 VMM 服務帳戶的限制委派,才能實作自助的整合式 Windows 驗證。如需設定虛擬機器自助之整合式 Windows 驗證的指示,請參閱如何設定 VMM 自助入口網站的整合式 Windows 驗證。
終端機服務的單一登入 — 若要進一步提升自助使用者的使用便利性,您可以在入口網站設定 [遠端桌面] 動作的單一登入功能。藉由使用終端機服務,[遠端桌面] 動作可開啟虛擬機器的遠端工作階段。為了消除認證提示,您需要在用戶端伺服器上針對每位自助使用者啟用終端機服務的單一登入功能。如需設定單一登入的指示,請參閱終端機服務的單一登入 (https://go.microsoft.com/fwlink/?LinkId=143908)。
停用不需要的 ISAPI 處理常式
在 VMM 自助入口網站的安裝期間,IIS 會建立常見副檔名 (如 .soap、.xoml 及 .asmx) 的預設 ISAPI 篩選器與處理常式。若要避免暴露在任何不必要的潛在安全性風險中,建議您在 IIS 伺服器上停用網頁應用程式不使用的處理常式。
VMM 自助入口網站使用下表列示的 ISAPI 處理常式。
| OPTIONSVerbHandler |
|---|
PageHandlerFactory-ISAPI-2.0 |
PageHandlerFactory-ISAPI-2.0-64 |
TRACEVerbHandler |
WebServiceHandlerFactory-ISAPI-2.0 |
WebServiceHandlerFactory-ISAPI-2.0-64 |
StaticFile |
注意
在 64 位元的網頁伺服器上,自助入口網站還需要結尾是 “ISAPI-2.0” 之各處理常式的 “-64” 版本 (例如 AXD-ISAPID-2.0-64)。
下列程序說明如何停用 IIS 7.0 與 IIS 6.0 中的 ISAPI 處理常式。
重要
為了避免對其他網站產生未預期的影響,請務必只更新 VMM 自助入口網站的處理常式。
在 IIS 7.0 中停用自助入口網站的 ISAPI 處理常式
在 [系統管理工具] 中開啟 [Internet Integration Services (IIS) 管理員]。
展開 [網站] 並瀏覽至 [Microsoft System Center Virtual Machine Manager 自助入口網站]。
在 [功能檢視] 窗格中的 [IIS] 下,開啟 [處理常式對應]。
對於未列在上表中的每個處理常式,按一下 [移除],然後再按一下 [是]。
在 IIS 6.0 中停用自助入口網站的 ISAPI 處理常式
在 [系統管理工具] 中開啟 [Internet Integration Services (IIS) 管理員]。
展開 [網站] 並瀏覽至 [Microsoft System Center Virtual Machine Manager 自助入口網站]。
在網站上按一下滑鼠右鍵,然後按一下 [內容]。
在 [ISAPI 篩選器] 索引標籤中,移除 VMM 入口網站顯示的所有篩選器。
清單中不會顯示網站需要的篩選器,因為這些篩選器已隱含在 ASP.NET 篩選器內。
如需 VMM 自助入口網站使用之 IIS 功能的詳細資訊,請參閱系統需求:VMM 自助入口網站。.
新增自助使用者角色
若要提供使用者存取 VMM 自助入口網站的權限,以及決定使用者可在自己擁有之虛擬機器上執行的作業、可使用的範本與 ISO 映像及虛擬機器將部署的主機群組,請新增「自助使用者角色」。
每個自助使用者角色都是由下列元件構成:
「自助使用者設定檔」:指定角色成員在自己的虛擬機器上可以執行的作業。設定檔可授與下列虛擬機器作業中任一或所有作業的權限:[建立]、[啟動]、[停止]、[暫停和繼續]、[檢查點]、[移除]、[本機系統管理員]、[遠端連線]、[關機] 及 [存放至程式庫]。
「範圍」:指定使用者之虛擬機器將部署到哪些主機群組,以及存放用來建立虛擬機器之範本與 ISO 映像檔的程式庫路徑。成員的預存虛擬機器也存放在此路徑。角色還可指定用來建立虛擬機器的虛擬機器範本,以及設定「虛擬機器配額」來限制角色成員每一次可部署的虛擬機器數量。
「成員資格清單」:包含屬於角色成員的使用者帳戶與安全性群組。若要啟用虛擬機器共用,請透過群組帳戶新增使用者。
如需定義及管理自助使用者角色的詳細資訊,請參閱 VMM 中的角色安全性。
您可以從 VMM 系統管理員主控台的 [管理] 檢視新增使用者角色。如需詳細資訊,請參閱如何建立自助使用者角色。
啟用透過自助入口網站存取 VMware 虛擬機器的功能
若要管理 VMware 虛擬機器,VMM 自助入口網站的使用者必須下載並安裝 VMware ActiveX 控制項。必須透過安全的 SSL 通道下載此控制項。VMM 會使用 SSL 連線至 VMware 主機。但是,要確認使用者可下載並安裝 ActiveX 控制項,您必須啟動 VMware 主機電腦上的 SSL。您也可以在用戶端機器上安裝 Virtual Infrastructure 用戶端,該機器也會安裝 ActiveX 控制項,可不須從主機下載 ActveX 控制項。
另請參閱
概念
如何設定 VMM 自助入口網站的整合式 Windows 驗證
VMM 中的角色安全性
其他資源
Windows Server 2008 Security Guide: Hardening Web Services (Windows Server 2008 安全性指南:強化網頁服務)