Virtual Server 2005 - Bereitstellungshandbuch

Einrichten von Virtual Server

Auf dieser Seite

	Einrichten des physikalischen Computers
	Installieren von Virtual Server
	Installieren von Virtual Server von der Befehlszeile
	Sichern von Virtual Server
	Installieren der Verwaltungswebsite
	Konfigurieren der eingeschränkten Delegierung

Einrichten des physikalischen Computers

Der physikalische Computer muss bestimmte Software- und Hardwarevoraussetzungen erfüllen, damit Virtual Server 2005 unterstützt wird. Bei der Planung der Bereitstellung müssen Sie die Betriebssysteme und Anwendungen bedenken, die mit Virtual Server ausgeführt werden sollen. Dies erleichtert Entscheidungen über Konfigurationsaspekte wie Speicherplatz und Arbeitsspeicher. Informationen zu speziellen Hardware- und Softwareanforderungen finden Sie unter Systemanforderungen.

Sie müssen weiterhin Folgendes betrachten:

•	Welche Peripheriegeräte sollen verwendet werden? Anzahl und Typ? Hinweis: Sie können Peripheriegeräte verwenden, die über serielle oder parallele Anschlüsse angeschlossen sind. Weitere Informationen finden Sie unter Konfigurieren von COM-Anschlüssen und Konfigurieren des LPT-Anschlusses.
•	Ist ein Zugriff auf Netzwerkressourcen oder das Internet erforderlich? Virtual Server kann für jeden virtuellen Computer bis zu vier Netzwerkadapter emulieren. Weitere Informationen finden Sie unter Einrichten von virtuellen Netzwerken.
•	Muss die Möglichkeit bestehen, vom Computer aus zu drucken? Soll ein Netzwerkdrucker oder ein paralleler Drucker verwendet werden, der direkt an den Computer angeschlossen ist? Weitere Informationen finden Sie unter Einrichten von Druckern für virtuelle Computer.

Bestimmte Features von Virtual Server können unabhängig von der im physikalischen Computer vorhandenen Hardware für alle virtuellen Computer spezielle Hardware emulieren. Weitere Informationen finden Sie unter Emulierte Hardware.

Zum Seitenanfang

Installieren von Virtual Server

Sie können Virtual Server 2005 auf jedem Computer installieren, der die minimalen Systemanforderungen erfüllt. Informationen darüber, ob die Hardware und Software des Computers die Systemanforderrungen erfüllt, finden Sie unter Systemanforderungen.

Einrichten von Virtual Server

Das Einrichten von Virtual Server umfasst die folgenden Schritte:

•

Installieren Sie IIS. Sie müssen die WWW-Dienstkomponente von Internetinformationsdienste (IIS) installieren, damit Sie Virtual Server über die Verwaltungswebsite verwalten können. Weitere Informationen zum Installieren von IIS finden Sie in der IIS-Dokumentation.

•

Installieren Sie Virtual Server. Für die Installation von Virtual Server gibt es zwei allgemeine Konfigurationsoptionen. Sie können einen einzelnen physikalischen Computer für den Virtual Server-Dienst und die Websitekomponenten verwenden oder mehrere Computer verwenden und den Virtual Server-Dienst von den Websitekomponenten trennen. Weitere Informationen zu diesen Optionen finden Sie unter Installieren der Verwaltungswebsite. Informationen zum Installieren von Virtual Server auf dem physikalischen Computer finden Sie unter Installieren von Virtual Server.

Weitere Informationen zur Verwaltungswebsite finden Sie unter Öffnen der Verwaltungswebsite.

Hinweis

•	Sie können Virtual Server auch von der Befehlszeile installieren und eine manuelle oder unbeaufsichtigte Installation durchführen. Weitere Informationen finden Sie unter Installieren von Virtual Server von der Befehlszeile.

•

Fügen Sie einen virtuellen Computer hinzu oder erstellen Sie einen virtuellen Computer. Sie müssen einen virtuellen Computer für jedes Betriebssystem hinzufügen, das als Gastbetriebssystem ausgeführt werden soll. Informationen zum Hinzufügen eines virtuellen Computers zu Virtual Server finden Sie unter Einrichten virtueller Computer.

•

Installieren Sie ein Gastbetriebssystem und Virtual Machine Additions. Installieren Sie ein geeignetes Gastbetriebssystem und ggf. Virtual Machine Additions auf den virtuellen Computern. Weitere Informationen finden Sie unter Einrichten von Betriebssystemen für virtuelle Computer.

•

Führen Sie die Aktionen nach einer Installation durch. Führen Sie auf den virtuellen Computern die entsprechenden Aktionen nach einer Installation aus, wie z. B. die Ausführung von Sysprep.

Zum Seitenanfang

Installieren von Virtual Server von der Befehlszeile

Anleitungen zum Installieren von Virtual Server 2005 finden Sie unter Einrichten von Virtual Server. Sie können Virtual Server auch mithilfe von Msiexec.exe von der Befehlszeile installieren. Weitere Informationen zu Msiexec.exe finden Sie unter "Command Line Options" (englischsprachig) auf der Microsoft-Website.

Syntax

msiexec.exe {/i|/a} "MSI-Datei" [ALLUSERS=Wert] [PIDKEY=Wert] [SERVICESSTARTUPMANUAL=Wert] [WEBSITEDEFAULTPORT=Wert] [{INSTALLDIR=Wert|TARGETDIR=Wert}] [ALLUSERS=Wert] [NOSUMMARY=Wert] [/qb | /qn | /qr | /qf] [/lProtokolldatei]

Parameter

/i
Installiert Virtual Server. Mit /x können Sie Virtual Server deinstallieren.

/a
Verwendet die administrative Installationsoption. Installiert Virtual Server im Netzwerk.

/q
Legt die Stufe der Benutzeroberfläche wie in der folgenden Tabelle gezeigt fest.

Wert	Aktion
q oder qn	Keine Benutzeroberfläche
qb	Grundlegende Benutzeroberfläche
qr	Reduzierte Benutzeroberfläche
qf	Vollständige Benutzeroberfläche

Weitere Informationen zu den Stufen für die Benutzeroberfläche finden Sie unter "Command Line Options" (englischsprachig) auf der Microsoft-Website.

/l Protokolldatei

Gibt den Pfad zur Protokolldatei an.

PIDKEY=Wert

Gibt den für die Installation erforderlichen eindeutigen Produktschlüssel an. Die Nummer muss ohne Bindestriche eingegeben werden.

SERVICESSTARTUPMANUAL=Wert

Geben Sie für diesen Parameter den Wert 1 an, wenn die Virtual Server-Dienste manuell gestartet werden sollen. Der Standardwert ist 0.

WEBSITEDEFAULTPORT=Wert

Gibt den Port für die Verwaltungswebsite an.

INSTALLDIR=Wert

Gibt einen benutzerdefinierten Ordner an, in dem das Programm installiert wird. Wird dieser Parameter nicht angegeben, wird das Programm in \Programme installiert.

TARGETDIR=Wert

Gibt ein Verzeichnis an, in dem das Virtual Server-Installationspaket bei Verwendung der administrativen Installationsoption (/a) installiert wird. Die Datendateien des Pakets werden in dieses Verzeichnis dekomprimiert.

ALLUSERS=Wert

Legt die Einträge im Startmenü und in Software fest. Wenn ALLUSERS nicht eingestellt ist, wird eine Pro-Computer-Installation durchgeführt. Wenn ALLUSERS auf eine leere Zeichenfolge eingestellt ist (ALLUSERS=""), wird eine Pro-Benutzer-Installation durchgeführt. In allen Fällen werden Ordner im Profil All Users verwendet.

NOSUMMARY=Wert

Wenn dieser Wert auf 1 eingestellt ist, wird keine Zusammenfassungsseite angezeigt. Bei der Option /qn wird die Zusammenfassungsseite ebenfalls unterdrückt.

Beispiel

Das folgende Beispiel zeigt, wie eine unbeaufsichtigte Installation durchgeführt und das Programm für alle Benutzer des Computers zugänglich gemacht wird. Bei einer unbeaufsichtigten Installation wird das Setupprogramm ohne Eingabeaufforderungen ausgeführt.

Msiexec.exe /i "Virtual Server 2005 Install.msi" PIDKEY=PID-Schlüsselnummer/qn

Soll Virtual Server über Gruppenrichtlinien bereitgestellt werden, muss die administrative Installationsoption (/a) zusammen mit der Option TARGETDIR verwendet werden. Beispiel:

Msiexec.exe /a "Virtual Server 2005 Install.msi" PIDKEY=PID-SchlüsselnummerTARGETDIR=Netzwerkpfad zum Installationsordner/qn

Die folgende Tabelle enthält eine Beschreibung der Formatierung für Befehlszeileninformationen.

Format	Bedeutung
Kursiv	Platzhalter für Informationen, die der Benutzer eingeben muss.
Fett	Elemente, die der Benutzer genau wie gezeigt eingeben muss.
Auslassungszeichen (...)	Parameter, die auf der Befehlszeile mehrfach wiederholt werden können.
In eckigen Klammern ([ ])	Optionale Elemente
In geschweiften Klammern ({ }), Auswahlmöglichkeiten sind durch einen senkrechten Strich (\|) getrennt. Beispiel: {gerade\|ungerade}	Auswahlmenge, aus der Benutzer nur ein Element wählen darf
Courier font	Code oder Programmausgabe

Zum Seitenanfang

Sichern von Virtual Server

Die Sicherheit von Virtual Server 2005 muss in mehreren Bereichen konfiguriert werden:

•	Sichern der Datei für die Konfiguration des Virtual Server-Dienstes
•	Sichern der einzelnen Konfigurationsdateien und Ressourcendateien für die Virtual Server-Komponenten wie virtuelle Computer, virtuelle Netzwerke und virtuelle Datenträger.
•	Sichern von Internetinformationsdienste (IIS) und der Verwaltungswebsite.

Darüber hinaus müssen bestimmte Schritte (weiter unten in diesem Thema beschrieben) durchgeführt werden, wenn der Virtual Machine Remote Control (VMRC)-Client hinter einer Firewall verwendet wird.

Hinweis

•

Einige für Virtual Server beschriebenen Verfahren setzen Administratorberechtigungen voraus. Zur Erhöhung der Sicherheit sollten Administratoren jedoch ein Konto mit eingeschränkten Berechtigungen verwenden, um routinemäßige, nicht administrative Aufgaben zu erledigen. Ein Konto mit weiter gehenden Berechtigungen sollte nur bei der Durchführung von speziellen Verwaltungsaufgaben verwendet werden. Um eine An- und Abmeldung mit verschiedenen Konten zu vermeiden, können Sie sich mit einem normalen Benutzerkonto anmelden und den Befehl Ausführen als verwenden, um die Aufgaben zu erledigen, die weiter gehende Berechtigungen erfordern. Weitere Informationen zu Ausführen als finden Sie in der Dokumentation für die Windows Server 2003-Betriebssysteme.

Sichern der Konfigurationsdatei von Virtual Server

Virtual Server ist standardmäßig sicher konfiguriert. So können beispielsweise nur Mitglieder der lokalen Gruppe Administratoren Virtual Server konfigurieren sowie Ressourcen (virtuelle Computer, virtuelle Netzwerke und virtuelle Datenträger) erstellen und verwalten. Die Sicherheit für die Virtual Server-Konfigurationsoptionen kann auf der Seite Virtual Server Security Properties verwaltet werden. Auf dieser Seite können Sie die Berechtigungen für die Verwaltung von Virtual Server konfigurieren. Die auf dieser Seite festgelegten Berechtigungen gelten für den übergeordneten Ordner der Virtual Server-Konfigurationsdatei (Options.xml). Die Dateien im Ordner übernehmen standardmäßig die Berechtigungen des Ordners. Auf der Seite Virtual Server Security Properties können Sie den Besitzer des Ordners ändern, einen Berechtigungseintrag für ein Benutzerkonto oder eine Gruppe hinzufügen und die Berechtigungen dafür konfigurieren bzw. einen Berechtigungseintrag entfernen. Weitere Informationen finden Sie unter Konfigurieren der Sicherheitseinstellungen für Virtual Server.

Hinweis

•

Die Verwaltungswebsite verwendet eine CGI-Anwendung (Common Gateway Interface) für die Datenübertragung. Diese CGI-Anwendung ist VSWebApp.exe und wird als Virtual Server-Webanwendung bezeichnet. Um die Verwaltungswebsite verwenden und auf die Seite Virtual Server Security Properties zugreifen zu können, müssen die Benutzerkonten über die Berechtigung Ausführen für den Ordner mit der Virtual Server-Webanwendung VSWebApp.exe verfügen. Standardmäßig ist das der Ordner Programme\Microsoft Virtual Server\Website\VirtualServer.

Sichern anderer Konfigurations- und Ressourcendateien

Die Konfigurationsinformationen für virtuelle Computer und die zugehörigen Komponenten werden in einer Vielzahl getrennter Datendateien gespeichert (siehe folgende Tabelle).

Datentyp	Dateiname
Allgemeine Konfiguration des virtuellen Computers	Name des virtuellen Computers.vmc
Konfiguration von virtuellen Netzwerken	Name.vnc
Virtuellen Festplatte	Name.vhd

Um einen virtuellen Computer einzuschalten, benötigt ein Benutzer die Berechtigungen Lesen und Ausführen sowie Schreiben für alle diese Dateien. Der lokalen Gruppe Administratoren und dem Ersteller des virtuellen Computers wird standardmäßig Vollzugriff für die einzelnen Dateien gewährt.

Diese Dateien können nicht direkt in Virtual Server gesichert werden, sondern müssen durch Konfigurieren der entsprechenden Berechtigungen für die Dateien bzw. der übergeordneten Verzeichnisse gesichert werden. Die Art der Sicherung dieser Dateien hängt von den Anforderungen der jeweiligen Organisation ab. Die VMC-Datei (Virtual Machine Configuration, virtuelle Computerkonfiguration) und die VHD-Datei (Virtual Hard Disk, virtuelle Festplatte) sollten sich normalerweise im gleichen Ordner befinden. Der Ordner sollte den gleichen Namen aufweisen wie der virtuelle Computer und sollte mit den entsprechenden Berechtigungen konfiguriert sein. Das Konto, unter dem ein virtueller Computer ausgeführt wird (das Konto des Benutzers, von dem der virtuelle Computer gestartet wurde, oder das Konto Virtual Machine Helper) muss für die VNC-Datei (Virtual Network Configuration, virtuelle Netzwerkkonfiguration) über die Berechtigung Lesen und Ausführen verfügen.

Beispiele für die Sicherheitskonfiguration für Datendateien

Die Sicherheitskonfigurationsoptionen von Virtual Server sind flexibel und für eine Vielzahl von Szenarios ausgelegt. Die Sicherheit ist standardmäßig optimal für eine Umgebung mit einer Gruppe vertrauter Administratoren konfiguriert. Sie können diese Konfiguration jedoch an Umgebungen mit mehreren Verwaltungsebenen anpassen.

Die folgenden Abbildungen veranschaulichen, wie die Sicherheit der Virtual Server-Dateien standardmäßig konfiguriert ist. Anschließend folgen zwei Beispiele für die Sicherheitskonfiguration dieser Dateien in zwei verschiedenen Szenarios mit mehreren Verwaltungsebenen. Dabei handelt es sich lediglich um Beispiele. Die Dateien müssen der jeweiligen Umgebung entsprechend gesichert werden.

Default security configuration.

Es wurden drei virtuelle Computer mit jeweils einem eigenen Ordner erstellt. Die Abbildung verdeutlicht die Standardsicherheitskonfiguration. Die entsprechende VMC-Datei und die zugehörigen VHD-Dateien befinden sich im Ordner der einzelnen virtuellen Computer (Windows 2000 Server, Windows NT Server 4.0 und Windows 2000 Advanced Server). Diese Dateien übernehmen die Berechtigungen der betreffenden Ordner. Administratoren verfügen über Vollzugriff für alle Ordner und die in diesen Ordnern enthaltenen Dateien. Dieses Szenario, in denen alle Administratoren vertrauenswürdig sind, ist normalerweise die einzige Situation, in dem der Ordner für freigegebene virtuelle Computer verwendet wird. Wie in den letzten beiden Abbildungen dieses Themas gezeigt, wird in den anderen Szenarios kein Ordner für freigegebene virtuelle Computer verwendet. Die Sicherheit orientiert sich enger an der Abteilungsorganisation.

Default network security configuration.

Diese Abbildung verdeutlicht die Standardsicherheitskonfiguration für die VNC-Dateien. Diese Standardkonfiguration muss u. U. geändert werden. Das Konto, unter dem ein virtueller Computer ausgeführt wird (das Konto des Benutzers, von dem der virtuelle Computer gestartet wurde, oder das Konto Virtual Machine Helper) muss für die VNC-Datei über die Berechtigung Lesen und Ausführen verfügen.

Departmental security configuration.

Diese Abbildung veranschaulicht die Sicherheitskonfiguration, die in einer Umgebung verwendet werden kann, in der jede Abteilung über einen eigenen virtuellen Computer verfügt. Die Ordner für die virtuellen Computer (mit den VMC- und VHD-Dateien) befinden sich im Ordner für die jeweilige Abteilung. Die Sicherheit für diese Ordner und Dateien ist so konfiguriert, dass der Zugriff auf die entsprechenden Personen in den einzelnen Abteilungen beschränkt ist. Die Ordner sind so konfiguriert, dass die Berechtigungen der übergeordneten Ordner nicht übernommen werden und auch der Ordner für freigegebene virtuelle Computer nicht verwendet wird.

Test security configuration.

Diese Abbildung veranschaulicht die Sicherheitskonfiguration, die in einer Umgebung verwendet werden kann, in der jeder Tester und jeder Entwickler über eigene virtuelle Computer verfügt. Die Ordner sind zunächst nach Abteilung und dann nach Personen organisiert. Die Ordner für die virtuellen Computer (mit den VMC- und VHD-Dateien) befinden sich im Ordner der einzelnen Abteilungen. Die Sicherheit für diese Ordner und Dateien ist so konfiguriert, dass der Zugriff auf die entsprechende Person oder Abteilungen beschränkt ist. Die Ordner sind so konfiguriert, dass die Berechtigungen der übergeordneten Ordner nicht übernommen werden und auch der Ordner für freigegebene virtuelle Computer nicht verwendet wird.

Zusätzlich zum Sichern dieser Ordner kann auch die Sicherheit der einzelnen Dateien konfiguriert werden. Die Sicherung der einzelnen Dateien ist nur dann erforderlich, wenn die Zugriffsberechtigungen präziser definiert werden sollen als auf der Ordnerebene. Weitere Informationen finden Sie unter Konfigurieren der Sicherheit von virtuellen Computern und Konfigurieren der Sicherheit von virtuellen Datenträgern.

Sichern von IIS und der Verwaltungswebsite

Virtual Server erfordert keine IIS-Sicherheitskonfiguration, die über das für die Umgebung geeignete Sicherheitsmodell hinausgeht. Sie sollten IIS so konfigurieren, dass der Zugriff auf die Verwaltungswebsite Ihre Anforderungen erfüllt.

Virtual Server verwendet standardmäßig die integrierte Windows-Authentifizierung mit deaktiviertem anonymen Zugriff. Hierbei handelt es sich um die bevorzugte Authentifizierungsmethode. Diese Einstellung sollte normalerweise nicht geändert werden. Wenn sich ein Computer mit Virtual Server jedoch in einer nicht vertrauenswürdigen Domäne befindet, können Sie mit der integrierten Windows-Authentifizierung nicht auf die Verwaltungswebsite zugreifen. Sie müssen stattdessen die Standardauthentifizierung verwenden. Die Standardauthentifizierung birgt gewisse Risiken. Weitere Informationen diesen Authentifizierungsmethoden finden Sie in der IIS-Dokumentation.

Wichtig

•

Es wird dringend empfohlen, als Sicherheitsmaßnahme Secure Sockets Layer (SSL) für Verbindungen zur Verwaltungswebsite und für VRMC-Verbindungen (Virtual Machine Remote Control) zu implementieren, insbesondere bei Verwendung der Standardauthentifizierung, weil Kennwörter bei der Standardauthentifizierung unverschlüsselt übertragen werden. SSL für die Verwaltungswebsite wird in IIS konfiguriert. Entsprechende Anleitungen finden Sie in der IIS-Dokumentation. SSL für VRMC kann auf der Verwaltungswebsite konfiguriert werden. Sie können auf der Verwaltungswebsite außerdem dem Authentifizierungstyp für VMRC in NTLM, Kerberos oder Automatisch ändern. Weitere Informationen finden Sie unter Konfigurieren von Virtual Machine Remote Control.

Verwenden von VMRC hinter einer Firewall

Wenn Sie den VMRC-Client hinter einer Firewall verwenden, müssen Sie mehrere Ports öffnen:

•	Port 5900 (der Standardport für den VMRC-Server)
•	Port 1024 (der Standardport für die Verwaltungswebsite)
•	Ports 137 und 138 (die TCP- und UDP-Ports für die Kerberos V5-Ticket-Granting-Stelle)

Weitere Informationen finden Sie unter Verwenden des VRMC-Clients für den Zugriff auf virtuelle Computer.

Hinweis

•	Die Gastbetriebssysteme werden nicht durch die Firewallsoftware auf dem Hostbetriebssystem geschützt. Um einen solchen Schutz zu erreichen, müssen Sie die Firewallsoftware direkt auf den Gastbetriebssystemen installieren.

Zum Seitenanfang

Installieren der Verwaltungswebsite

Bei der Verwaltungswebsite handelt es sich um ein browserbasiertes Tool zum Konfigurieren und Verwalten von Virtual Server 2005 sowie den zugehörigen virtuellen Computern und virtuellen Netzwerken.

Virtual Server bietet zwei grundlegende Installationsoptionen:

•	Installieren von Verwaltungswebsite und Virtual Server-Dienst auf dem gleichen physikalischen Computer
•	Installieren von Verwaltungswebsite und Virtual Server-Dienst auf verschiedenen physikalischen Computern

Sie sollten die zweite Option, Installieren der Verwaltungswebsite auf einem anderen physikalischen Computer, erwägen, wenn eine der beiden folgenden Bedingungen gilt:

•	Es soll ein physikalische Computer vorhanden sein, auf dem ausschließlich der Virtual Server-Dienst ausgeführt wird. Dies kann aufgrund von Leistungs- oder Sicherheitsaspekten wünschenswert sein.
•	Es sollen mehrere physikalische Computer mit Virtual Server, aber nur ein IIS-Server vorhanden sein.

Auswählen einer Kontokonfiguration für die Verwaltungswebsite

Während der Installation von Virtual Server müssen Sie ein Konto auswählen, unter dem die Verwaltungswebsite ausgeführt wird. Wählen Sie eine der folgenden Konfigurationsbeschreibungen aus, damit Sie wissen, welche Konfigurationsoption für die Verwaltungswebsite ausgewählt werden muss:

Virtual Server wird nur auf einem einzigen Computer installiert.

•	Wählen Sie Configure the Administration Website to always run as the authenticated user aus.
•	Wenn Sie die Ressourcendateien auf einem anderen Computer speichern, müssen Sie auch ein Softwareupdate installieren. Informationen darüber, wie Sie das Softwareupdate erhalten, finden Sie im Artikel 829011, "You Are Prompted for Your User Credentials When You Request a CGI Script" (englischsprachig) in der Microsoft Knowledge Base.

Virtual Server wird auf mehreren Computern installiert.

•

Wählen Sie Configure the Administration Website to always run as the Local System account aus.

•

Darüber hinaus müssen Sie Virtual Server so konfigurieren, dass Virtual Server die eingeschränkte Delegierung verwendet. Weitere Informationen finden Sie unter Konfigurieren der eingeschränkten Delegierung.

Wichtig

•	Bei Windows XP Professional als Hostbetriebssystem wird keine eingeschränkte Delegierung unterstützt.

Wichtig

•

Nach der Konfiguration als authentifizierter Benutzer oder lokales Systemkonto kann die Konfiguration der Verwaltungswebsite nur durch eine Neuinstallation von Virtual Server geändert werden.

•

Wenn Sie die Verwaltungswebsite für den Zugriff auf Ressourcen, wie z. B. VHD-Dateien (virtuelle Festplatte) und ISO-Dateien (ISO-Abbild), verwenden möchten, die sich auf einem anderen Computer befinden als dem, auf dem der Virtual Server-Dienst (Vssrvc.exe) ausgeführt wird, müssen Sie auf dem Domänencontroller für Virtual Server die eingeschränkte Delegierung konfigurieren. Weitere Informationen zum Konfigurieren der eingeschränkten Delegierung finden Sie unter Konfigurieren der eingeschränkten Delegierung.

Weitere Informationen zum Installieren von Virtual Server und der Verwaltungswebsite mit einer der beiden Konfigurationsoptionen finden Sie unter Installieren von Virtual Server.

Zum Seitenanfang

Konfigurieren der eingeschränkten Delegierung

Wenn Sie beabsichtigen, alle Ressourcendateien wie VHD-Dateien (virtuelle Festplatten) und ISO-Dateien (ISO-Abbilder) auf dem Computer zu speichern, auf dem der Virtual Server-Dienst (Vssrvc.exe) ausgeführt wird, sind keine weiteren Konfigurationsschritte erforderlich, um Virtual Server zu verwenden. Wenn Sie die Ressourcendateien jedoch auf einem anderen Computer speichern, müssen Sie die folgenden zusätzlichen Schritte ausführen, damit die Benutzer auf die Ressourcendateien zugreifen können:

•

Installation der Verwaltungswebsite ("VSWebApp.exe") auf einem anderen Computer als der Virtual Server-Dienst ("Vssrvc.exe") Damit die Benutzer auf Dateien auf einem Remotecomputer zugreifen können, müssen Sie in diesem Fall auf dem Domänencontroller die eingeschränkte Delegierung konfigurieren (siehe Beschreibung weiter unten in diesem Thema). Dadurch wird die Übertragung der Anmeldeinformationen des Benutzers, der bei der Verwaltungswebsite angemeldet ist, an den Computer ermöglicht, auf dem die Ressourcendateien gespeichert sind, damit der Benutzer auf die Dateien zugreifen kann. In diesem Szenario muss die integrierte Windows-Authentifizierung verwendet werden. Eine Delegierung ist bei der Standardauthentifizierung nicht möglich.

•

Installation von Verwaltungswebsite und Virtual Server-Dienst auf dem gleichen Computer In diesem Szenario muss ebenfalls die eingeschränkte Delegierung konfiguriert werden. Die eingeschränkte Delegierung muss allerdings nur zwischen dem Computer, auf dem die Ressourcendateien gespeichert sind, und dem Computer mit dem Virtual Server-Dienst konfiguriert werden (siehe Schritt 3 weiter unten in diesem Thema). Schritt 2, Konfigurieren der eingeschränkten Delegierung zwischen Webserver und dem Computer mit dem Virtual Server-Dienst, ist in diesem Szenario nicht erforderlich.

Um Virtual Server Manager-Suchpfade verwenden zu können, müssen Sie darüber hinaus auch die eingeschränkte Delegierung konfigurieren oder die Standardauthentifizierung aktivieren. Weitere Informationen zu Virtual Server Manager-Suchpfaden finden Sie unter Konfigurieren von Virtual Server Manager-Suchpfaden.

Wichtig

•	Wenn Sie die Standardauthentifizierung aktivieren, sollten Sie für die Verwaltungswebsite unbedingt die SSL-Sicherheit konfigurieren, weil Kennwörter bei der Standardauthentifizierung unverschlüsselt übertragen werden. SSL für die Verwaltungswebsite wird in IIS konfiguriert. Entsprechende Anleitungen finden Sie in der IIS-Dokumentation.
•	Bei Microsoft Windows XP Professional als Hostbetriebssystem wird keine eingeschränkte Delegierung unterstützt. In diesem Fall ist kein Zugriff auf Dateien in Remoteressourcen möglich, sodass die Dateien lokal gespeichert werden müssen.

Die folgende Abbildung veranschaulicht die Funktionsweise der eingeschränkten Delegierung, wenn sich der Virtual Server-Dienst, die Verwaltungswebsite und die Ressourcendateien auf verschiedenen Servern befinden.

Bei aktivierter eingeschränkter Delegierung für den Webserver und den Server mit Virtual Server übergibt Internet Explorer die Benutzeranmeldeinformationen an den Webserver, der die Anmeldeinformationen an den Virtual Server-Dienst weiterleitet, der die Anmeldeinformationen wiederum an den Dateiserver übergibt.

Bild maximieren

Der restliche Teil dieses Themas enthält Anweisungen zum Konfigurieren der eingeschränkten Delegierung für Virtual Server.

Hinweise

•	Das Betriebssystem Windows XP unterstützt keine eingeschränkte Delegierung.
•	Weitere Informationen zum Auswählen einer Installationsoption für Virtual Server finden Sie unter Installieren von Virtual Server.
•	Der zweite Schritt ist nur erforderlich, wenn die Verwaltungswebsite (VSWebApp.exe) auf einem anderen Computer installiert ist als der Virtual Server-Dienst (Vssrvc.exe).

Schritt 1: Überprüfen der Voraussetzungen

Vor dem Konfigurieren der eingeschränkten Delegierung müssen die folgenden Aufgaben durchgeführt werden:

•

Installieren von Virtual Server (siehe Installieren von Virtual Server).

Wichtig

•

Damit die eingeschränkte Delegierung funktioniert, müssen Sie eine benutzerdefinierte Installation durchführen und die Installationsoption auswählen, dass die Verwaltungswebsite als lokales Systemkonto ausgeführt wird. Andernfalls muss Virtual Server deinstalliert und neu installiert werden, bevor die eingeschränkte Delegierung konfiguriert werden kann.

•

Überprüfen Sie, ob der Domänencontroller für eine Microsoft Windows Server 2003-Domäne im einheitlichen Modus konfiguriert ist. Stufen Sie ggf. die Funktionsebene der Domäne von Microsoft Windows 2000 (Standardeinstellung) auf Windows Server 2003 herauf. Entsprechende Anwendungen finden Sie unter "Heraufstufen der Domänenfunktionsebene" im Hilfe- und Supportcenter für die Windows Server 2003-Betriebssysteme.

Warnung

•

Wenn Domänencontroller unter den Betriebssystemen Microsoft Windows NT 4.0 und früher oder Windows 2000 vorhanden oder geplant sind, darf die Domänenfunktionsebene nicht auf die Windows Server 2003-Betriebssysteme heraufgestuft werden. Nachdem die Domänenfunktionsebene auf Windows Server 2003 festgelegt wurde, kann sich nicht mehr in den gemischten oder einheitlichen Windows 2000-Modus zurückversetzt werden.

Schritt 2: Ermöglichen der Delegierung von Benutzeranmeldeinformationen vom Webserver an den Virtual Server-Dienst

Führen Sie die folgenden Schritte aus, damit der Webserver die Anmeldeinformationen des angemeldeten Benutzers an den Computer mit dem Virtual Server-Dienst delegieren kann.

Wichtig

•	Führen Sie diesen Schritt nur dann aus, wenn die Verwaltungswebsite (VSWebApp.exe) auf einem anderen Computer installiert ist als der Virtual Server-Dienst (Vssrvc.exe).

1.	Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer.
2.	Klicken Sie in der Konsolenstruktur unter Domänenname auf Computer.
3.	Klicken Sie mit der rechten Maustaste auf den Webserver, und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf der Registerkarte Delegierung auf Computer bei Delegierungen angegebener Dienste vertrauen.
5.	Klicken Sie auf Beliebiges Authentifizierungsprotokoll verwenden.
6.	Klicken Sie auf Hinzufügen und dann auf Benutzer und Computer.
7.	Geben Sie den Namen des Computers mit dem Virtual Server-Dienst ein, und klicken Sie dann auf OK.
8.	Klicken Sie in der Liste der verfügbaren Dienste mit gedrückter STRG-Taste auf cifs und vssrvc. Klicken Sie anschließend auf OK.
9.	Wiederholen Sie diesen Schritt bei Bedarf auf den anderen Computern, auf denen der Virtual Server-Dienst ausgeführt wird.

Schritt 3: Ermöglichen der Delegierung von Benutzeranmeldeinformationen vom Virtual Server-Dienst an andere Computer

Führen Sie die folgenden Schritte aus, damit der Virtual Server-Dienst die Anmeldeinformationen des angemeldeten Benutzers an einen anderen Computer delegieren kann, damit die Benutzer auf Ressourcendateien zugreifen können, die auf einem anderen Computer gespeichert sind als dem Computer, auf dem der Virtual Server-Dienst ausgeführt wird.

1.	Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer.
2.	Klicken Sie in der Konsolenstruktur unter Domänenname auf Computer.
3.	Klicken Sie mit der rechten Maustaste auf den Computer mit dem Virtual Server-Dienst, und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf der Registerkarte Delegierung auf Computer bei Delegierungen angegebener Dienste vertrauen.
5.	Klicken Sie auf Beliebiges Authentifizierungsprotokoll verwenden oder Nur Kerberos verwenden.
6.	Klicken Sie auf Hinzufügen und dann auf Benutzer und Computer.
7.	Geben Sie den Namen des Computers ein, auf dem die Ressourcendateien gespeichert sind, und klicken Sie dann auf OK.
8.	Wählen Sie in der Liste der verfügbaren Dienste cifs aus, und klicken Sie dann auf OK.

Zum Seitenanfang

4 von 6

In diesem Beitrag

•	Übersicht
•	Systemanforderungen
•	Prüflisten
•	Einrichten von Virtual Server
•	Einrichten von virtuellen Computern
•	Einrichten von virtuellen Netzwerken