Manuelles Bereitstellen des Windows Admin Center in Azure zum Verwalten mehrerer Server
In diesem Artikel wird beschrieben, wie Sie Windows Admin Center manuell auf einer Azure-VM bereitstellen, um mehrere Azure-VMs zu verwalten. Um eine einzelne VM zu verwalten, verwenden Sie stattdessen die in das Azure-Portal integrierte Windows Admin Center-Funktionalität, wie unter Verwenden von Windows Admin Center im Azure-Portal beschrieben.
Bereitstellen mithilfe eines Skripts
Sie können Deploy-WACAzVM.ps1 herunterladen und dieses Skript dann mit Azure Cloud Shell ausführen, um ein Windows Admin Center-Gateway in Azure einzurichten. Dieses Skript kann die gesamte Umgebung erstellen (einschließlich der Ressourcengruppe).
Zu manuellen Bereitstellungsschritten wechseln
Voraussetzungen
- Richten Sie Ihr Konto in Azure Cloud Shell ein. Wenn Sie Cloud Shell zum ersten Mal verwenden, werden Sie aufgefordert, Cloud Shell ein Azure-Speicherkonto zuzuordnen oder ein solches zu erstellen.
- Navigieren Sie in einer PowerShell-Cloud Shell-Instanz zu Ihrem Basisverzeichnis:
PS Azure:\> cd ~ - Um die Datei
Deploy-WACAzVM.ps1hochzuladen, ziehen Sie sie von Ihrem lokalen Computer an eine beliebige Stelle im Cloud Shell-Fenster.
Wenn Sie Ihr eigenes Zertifikat angeben:
- Laden Sie das Zertifikat in Azure Key Vault hoch. Erstellen Sie zunächst einen Schlüsseltresor im Azure-Portal, und laden Sie dann das Zertifikat in den Schlüsseltresor hoch. Alternativ können Sie auch das Azure-Portal verwenden, um ein Zertifikat für Sie zu generieren.
Skriptparameter
ResourceGroupName: [String] Gibt den Namen der Ressourcengruppe an, in der die VM erstellt wird.
Name : [String] Gibt den Namen der VM an.
Anmeldeinformationen: [PSCredential] Gibt die Anmeldeinformationen für die VM an.
MsiPath: [String] Gibt den lokalen Pfad der MSI-Datei von Windows Admin Center an, wenn Windows Admin Center auf einer vorhandenen VM bereitgestellt wird. Der Standardwert ist die Version von https://aka.ms/WACDownload, wenn nichts angegeben wird.
VaultName: [String] Gibt den Namen des Schlüsseltresors an, der das Zertifikat enthält.
CertName: [String] Gibt den Namen des Zertifikats an, das für die MSI-Installation verwendet werden soll.
GenerateSslCert: [Switch] TRUE, wenn die MSI-Datei ein selbstsigniertes SSL-Zertifikat generieren soll.
PortNumber: [int] Gibt die SSL-Portnummer für den Windows Admin Center-Dienst an. Der Standardwert ist 443, wenn nichts angegeben wird.
OpenPorts: [int[]] Gibt die geöffneten Ports für die VM an.
Location: [String] Gibt den Speicherort der VM an.
Size : [String] Gibt die Größe der VM an. Wenn nichts angegeben wird, lautet der Standardwert „Standard_DS1_v2“.
Image: [String] Gibt das Image der VM an. Wenn nichts angegeben wird, lautet der Standardwert „Win2016Datacenter“.
VirtualNetworkName: [String] Gibt den Namen des virtuellen Netzwerks für die VM an.
SubnetName: [String] Gibt den Namen des Subnetzes für die VM an.
SecurityGroupName: [String] Gibt den Namen der Sicherheitsgruppe für die VM an.
PublicIpAddressName: [String] Gibt den Namen der öffentlichen IP-Adresse für die VM an.
InstallWACOnly: [Switch] Legen Sie den Wert auf TRUE fest, wenn WAC auf einer bereits vorhandenen Azure-VM installiert werden soll.
Es gibt zwei verschiedene Optionen für die MSI-Bereitstellung und das Zertifikat, das für die MSI-Installation verwendet wird. Die MSI-Datei kann von aka.ms/WACDownload heruntergeladen werden, oder der Dateipfad einer MSI kann lokal für die VM angegeben werden, wenn die Bereitstellung auf einer vorhandenen VM erfolgt. Das Zertifikat befindet sich in Azure Key Vault, oder ein selbstsigniertes Zertifikat wird von der MSI-Datei generiert.
Skriptbeispiele
Definieren Sie zunächst allgemeine Variablen, die für die Parameter des Skripts erforderlich sind.
$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential
Beispiel 1: Verwenden des Skripts, um das WAC-Gateway auf einer neuen VM in einem neuen virtuellen Netzwerk und einer neuen Ressourcengruppe bereitzustellen. Verwenden der MSI-Datei aus aka.ms/WACDownload sowie ein selbstsigniertes Zertifikat aus der MSI-Datei.
$scriptParams = @{
ResourceGroupName = $ResourceGroupName
Name = "wac-vm1"
Credential = $Credential
VirtualNetworkName = $VirtualNetworkName
SubnetName = $SubnetName
GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams
Beispiel 2: Identisch mit Beispiel 1, aber unter Verwendung eines Zertifikats aus Azure Key Vault.
$scriptParams = @{
ResourceGroupName = $ResourceGroupName
Name = "wac-vm2"
Credential = $Credential
VirtualNetworkName = $VirtualNetworkName
SubnetName = $SubnetName
VaultName = $VaultName
CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams
Beispiel 3: Verwenden einer lokalen MSI-Datei auf einer vorhandenen VM zum Bereitstellen von WAC.
$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
ResourceGroupName = $ResourceGroupName
Name = "wac-vm3"
Credential = $Credential
MsiPath = $MsiPath
InstallWACOnly = $true
GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams
Anforderungen für die VM, auf der das Windows Admin Center-Gateway ausgeführt wird
Port 443 (HTTPS) muss geöffnet sein. Mithilfe der für das Skript definierten Variablen können Sie den folgenden Code in Azure Cloud Shell verwenden, um die Netzwerksicherheitsgruppe zu aktualisieren:
$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG
Anforderungen für verwaltete Azure-VMs
Port 5985 (WinRM über HTTP) muss geöffnet sein und über einen aktiven Listener verfügen.
Sie können den folgenden Code in Azure Cloud Shell verwenden, um die verwalteten Knoten zu aktualisieren. $ResourceGroupName und $Name verwenden die gleichen Variablen wie das Bereitstellungsskript, aber Sie müssen die für die VM spezifischen $Credential verwenden, die Sie verwalten.
Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential
Manuelles Bereitstellen auf einer vorhandenen Azure-CM
Installieren Sie vor der Installation von Windows Admin Center auf der gewünschten Gateway-VM ein SSL-Zertifikat, das für die HTTPS-Kommunikation verwendet werden soll, oder verwenden Sie ein selbstsigniertes Zertifikat, das von Windows Admin Center generiert wird. Wenn Sie die zweite Option auswählen, erhalten Sie jedoch eine Warnung, sobald Sie versuchen, eine Verbindung mit einem Browser herzustellen. Sie können diese Warnung in Edge umgehen, indem Sie auf Details > Zur Webseite wechseln oder in Chrome auf Erweitert > Mit [Webseite] fortfahren klicken. Es wird empfohlen, nur selbstsignierte Zertifikate für Testumgebungen zu verwenden.
Hinweis
Diese Anweisungen gelten für die Installation unter Windows Server mit Desktopbenutzeroberfläche und nicht für eine Server Core-Installation.
Laden Sie Windows Admin Center auf Ihren lokalen Computer herunter.
Stellen Sie eine Remotedesktopverbindung mit der VM her, kopieren Sie dann die MSI-Datei von Ihrem lokalen Computer, und fügen Sie sie in die VM ein.
Doppelklicken Sie auf die MSI-Datei, um mit der Installation zu beginnen, und befolgen Sie die Anweisungen des Assistenten. Bedenken Sie dabei Folgendes:
Standardmäßig verwendet das Installationsprogramm den empfohlenen Port 443 (HTTPS). Wenn Sie einen anderen Port auswählen möchten, beachten Sie, dass Sie den betreffenden Port auch in Ihrer Firewall öffnen müssen.
Wenn Sie bereits ein SSL-Zertifikat auf der VM installiert haben, stellen Sie sicher, dass Sie diese Option auswählen und den Fingerabdruck eingeben.
Starten Sie den Windows Admin Center-Dienst (führen Sie „C:/Programme/Windows Admin Center/sme.exe“ aus).
Erfahren Sie mehr über die Bereitstellung von Windows Admin Center.
Konfigurieren Sie die Gateway-VM, um HTTPS-Portzugriff zu aktivieren:
Navigieren Sie im Azure-Portal zu Ihrer VM, und wählen Sie Netzwerk aus.
Wählen Sie Regel für eingehenden Port hinzufügen und dann unter Dienst die Option HTTPS aus.
Hinweis
Wenn Sie einen anderen Port als den Standardport 443 ausgewählt haben, wählen Sie unter „Dienst“ die Option Benutzerdefiniert aus, und geben Sie den Port unter Portbereiche ein, den Sie in Schritt 3 ausgewählt haben.
Zugreifen auf ein Windows Admin Center-Gateway, das auf einer Azure-VM installiert ist
An diesem Punkt sollten Sie über einen modernen Browser (Edge oder Chrome) auf Ihrem lokalen Computer auf Windows Admin Center zugreifen können, indem Sie zum DNS-Namen Ihrer Gateway-VM navigieren.
Hinweis
Wenn Sie einen anderen Port als Port 443 ausgewählt haben, können Sie auf Windows Admin Center zugreifen, indem Sie zu https://<DNS-Name Ihrer VM>:<benutzerdefinierter Port> navigieren.
Wenn Sie versuchen, auf Windows Admin Center zuzugreifen, fordert der Browser zur Eingabe von Anmeldeinformationen auf, um auf die VM zuzugreifen, auf der Windows Admin Center installiert ist. Hier müssen Sie Anmeldeinformationen eingeben, die sich in der Gruppe „Lokale Benutzer“ oder „Lokale Administratoren“ der VM befinden.
Um andere VMs im VNet hinzuzufügen, stellen Sie sicher, dass WinRM auf den Ziel-VMs ausgeführt wird, indem Sie Folgendes in PowerShell oder in der Eingabeaufforderung auf der Ziel-VM ausführen: winrm quickconfig
Wenn Sie die Azure-VM nicht in die Domäne eingebunden haben, verhält sich die VM wie ein Server in der Arbeitsgruppe, sodass Sie sicherstellen müssen, dass Sie Windows Admin Center in einer Arbeitsgruppe verwenden.