Category Archives: Remotedesktop

Speaking at WVD Tech Fest 2021 about Azure Files

Due do the covid pandamy, many organizations in Germany are in a challenging phase as many employees need to be given the opportunity to work from home. Many companies have not yet made this option available to their employees, or only to a few. Microsoft has created a new option with Windows Virtual Desktop to give employees the ability to work from anywhere and the clients are always hosted in Azure and accessible via an app or browser.

I am very happy to have received an invitation to the WVD Tech Fest. The first conference only focusing on WVD with three parallel tracks around everything you need to know about Windows Virtual Desktop. The agenda is pretty complete and the organizers Simon Binder and Patrick Köhler are doing a great job. The conference will take place on 25/02/21 and is free. So take a look at the Website, plan your Agenda and grab your Ticket.

Azure Files is one of my favorite topics and due to many WVD projects in the past, I will address the question is Azure Files the optimal WVD profile store solution. And I can say: it depends – but you will learn more in my session on Thursday between 10:50 – 11:20 AM 🙂

Take this oppurtunity to learn more about Windows Virtual Desktop and hopefully this can be a solution for your organization to enable more people to work from anywhere and get everyone safely through these challenging time. I hope to see many of you there 🙂

Azure Bastion – Secure Access Azure VMs via SSH/RDP without Public IP or Jumphosts

Update 2 on 26/04/2021

I updated the article based on the latest information around Azure Bastion. One big announcement is the support for peered VNETs for Azure Bastion – this is also integrated in this article. Please feel free to share and comment 🙂

Azure Bastion is a new service to reaches Azure VMs in a secure way without needing a Jump host in the same VNET or to publish an Public IP for a VM. Many customers using Public IPs to reach VMs (Windows and Linux) in Test and Dev environment. Please avoid managing Azure VMs over a Public IP, this is unsecure – use Azure Bastion.

Azure Bastion is in public preview since end of June 2019. Azure Bastion is General Available (since Microsoft Ignite 2019) and many limitations are gone. This article will short introduce the service, the new features and how easy is it to enroll the service in the environment to reach Azure VMs (Windows or Linux) over a secure way.

Azure Bastion architecture from MS docs
Azure Bastion architecture from MS docs
Continue reading Azure Bastion – Secure Access Azure VMs via SSH/RDP without Public IP or Jumphosts

Azure Bastion – Sicherer Azure VM Zugriff via SSH/RDP ohne Public IP

Azure Bastion ist ein ganz neuer Service im Azure Universum, der den Remote Zugriff auf eure Azure VMs via RDP/SSH deutlich vereinfacht und absichert.

Azure Bastion Architecture by Microsoft Docs

Bisher gab es zwei Möglichkeiten, um sich zu Azure VMs via RDP oder SSH zu verbinden.

  1. Es besteht Zugriff auf das VNET, in dem die Azure VM liegt. Dazu war eine VPN Verbindung zum VNET notwendig oder ein Jump Host der in Azure ausgerollt wurde.
  2. Oder die Azure VM erhielt eine öffentliche IP-Adresse, um RDP oder SSH nach außen zu veröffentlichen. Damit einhergehend öffneten sich eine Menge SicherheitslĂŒcken.

Mit Azure Bastion gibt es nun eine 3. Möglichkeit.

Azure Bastion wird als Platform-as-a-Service bereitgestellt und ermöglicht eine nahtlose Verbindung ĂŒber das Azure Portal zur entsprechenden Azure VM. Durch diese Funktion sind beide oben genannten Möglichkeiten obsolet und ein direkter Zugriff auf Azure VMs, ohne Public IP, ist immer möglich. Azure Bastion stellt auf seine Art einen entsprechenden Jump Host im jeweiligen VNET bereit und benötigt seinerseits eine Public IP fĂŒr die entsprechende FunktionalitĂ€t.

Continue reading Azure Bastion – Sicherer Azure VM Zugriff via SSH/RDP ohne Public IP

Project Honolulu nun als Windows Admin Center allgemein verfĂŒgbar

Zur Ignite 2017 wurde Project Honolulu vorgestellt und damit endlich eine Möglichkeit ĂŒber eine Webbasierte OberflĂ€che verschiedene Windows Server Versionen zentral zu managen. Dazu gesellten sich vielfĂ€ltige weitere Möglichkeiten, Management von Storage Spaces Direct, Failover Cluster uvm.

Heute wurde Project Honolulu zur allgemeinenen VerfĂŒgbarkeit freigegeben und gleichzeitig in Windows Admin Center umbenannt.

Diese webbasierte OberflÀche bringt zahlreiche Neuerungen und das zahlreiche Feedback aus dem Uservoice Channel ist ebenfalls eingeflossen.

Continue reading Project Honolulu nun als Windows Admin Center allgemein verfĂŒgbar

Windows 7 Remotedesktop Zertifikat anpassen

Um das zu verwendende Zertifikat fĂŒr z.B. Server 2008 anzupassen, kann man hier das Tool tsconfig.msc.

Dies ist allerdings in den Client-Versionen nicht verfĂŒgbar. StandardmĂ€ssig verwendet Windows 7 ein selbst signiertes Zertfikat fĂŒr die Remotedesktop Verbindung, welches natĂŒrlich nicht von einer authorisierten Zertifikatsverwaltung ausgestellt ist.

Um diesen Fehler zu vemeiden und das von der (falls vorhanden) eigenen Zertifizierungsstelle, ausgestellte Zertifkat zu verwenden, sind mehrere Schritte notwendig:

  1. Öffnen der Zertifikatsverwaltug auf dem Client und auswĂ€hlen des Zertifikats, welches fĂŒr die Remotedesktopverbindung genutzt werden soll.
  2. Um Remotedesktop das korrekte Zertifikat zur Verwendung mitzuteilen, muss sich der SHA1Hash (Fingerabdruck) notiert werden.
  3. Nun starten wir “Regedit”  und navigieren zu folgendem SchlĂŒssel “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp” und hier legen wir einen neuen “SSLCertificateSHA1Hash” , binĂ€rischen Wert (REG_BINARY) an.
  4. Als Wert geben wir den oben notierten Fingerabdruck des zu verwendenden Zertifikats ein
  5. Leider war das noch nicht alles, da die Remotedesktopdienste unter Windows 7 im Sicherheitsaccount “Netzwerkdienst” laufen, muss dieser noch entsprechend berechtigt werden, dass Zertifikat einzulesen, dazu starten wir zunĂ€chs ein Managementkonsole “mmc.exe” und fĂŒgen unter Snap-In “Zertifikate” hinzu, im erscheinenden Auswahlfenster wĂ€hlen wir “Computer” aus, klicken auf weiter, lassen “Lokalen Computer” aktiviert und bestĂ€tigen die Auswahl mit einem Klick auf “Fertigstellen
  6. Nun navigieren wir zum Fenster “Zertifikate -> Eigene Zertifikate -> Zertifikate” und starten einen Rechtsklick auf das Zertifikat im Kontext wĂ€hlen wir “Alle Aufgaben -> Private SchlĂŒssel verwalten
  7. Im erscheinenden Fenster wĂ€hlen wir “HinzufĂŒgen” und geben den “Netzwerkdienst” an und geben diesem die Berechtigung “Lesen

Die nÀchste Remotedesktopverbindung sollte nun mit dem angegebenen Zertifikat starten, dies Funktioniert direkt nach dem nÀchsten Versuch einer Remoteverbindung mit dem Windows 7 Client

Die Informationen stammen aus einem Technet Forum und haben bei mir einwandfrei funlktioniert.