Freigeben über


Manuelles Bereitstellen des Windows Admin Center in Azure zum Verwalten mehrerer Server

In diesem Artikel wird beschrieben, wie Sie Windows Admin Center manuell auf einer Azure-VM bereitstellen, um mehrere Azure-VMs zu verwalten. Um eine einzelne VM zu verwalten, verwenden Sie stattdessen die in das Azure-Portal integrierte Windows Admin Center-Funktionalität, wie unter Verwenden von Windows Admin Center im Azure-Portal beschrieben.

Bereitstellen mithilfe eines Skripts

Sie können Deploy-WACAzVM.ps1 herunterladen und dieses Skript dann mit Azure Cloud Shell ausführen, um ein Windows Admin Center-Gateway in Azure einzurichten. Dieses Skript kann die gesamte Umgebung erstellen (einschließlich der Ressourcengruppe).

Zu manuellen Bereitstellungsschritten wechseln

Voraussetzungen

  • Richten Sie Ihr Konto in Azure Cloud Shell ein. Wenn Sie Cloud Shell zum ersten Mal verwenden, werden Sie aufgefordert, Cloud Shell ein Azure-Speicherkonto zuzuordnen oder ein solches zu erstellen.
  • Navigieren Sie in einer PowerShell-Cloud Shell-Instanz zu Ihrem Basisverzeichnis: PS Azure:\> cd ~
  • Um die Datei Deploy-WACAzVM.ps1 hochzuladen, ziehen Sie sie von Ihrem lokalen Computer an eine beliebige Stelle im Cloud Shell-Fenster.

Wenn Sie Ihr eigenes Zertifikat angeben:

  • Laden Sie das Zertifikat in Azure Key Vault hoch. Erstellen Sie zunächst einen Schlüsseltresor im Azure-Portal, und laden Sie dann das Zertifikat in den Schlüsseltresor hoch. Alternativ können Sie auch das Azure-Portal verwenden, um ein Zertifikat für Sie zu generieren.

Skriptparameter

  • ResourceGroupName: [String] Gibt den Namen der Ressourcengruppe an, in der die VM erstellt wird.

  • Name : [String] Gibt den Namen der VM an.

  • Anmeldeinformationen: [PSCredential] Gibt die Anmeldeinformationen für die VM an.

  • MsiPath: [String] Gibt den lokalen Pfad der MSI-Datei von Windows Admin Center an, wenn Windows Admin Center auf einer vorhandenen VM bereitgestellt wird. Der Standardwert ist die Version von https://aka.ms/WACDownload, wenn nichts angegeben wird.

  • VaultName: [String] Gibt den Namen des Schlüsseltresors an, der das Zertifikat enthält.

  • CertName: [String] Gibt den Namen des Zertifikats an, das für die MSI-Installation verwendet werden soll.

  • GenerateSslCert: [Switch] TRUE, wenn die MSI-Datei ein selbstsigniertes SSL-Zertifikat generieren soll.

  • PortNumber: [int] Gibt die SSL-Portnummer für den Windows Admin Center-Dienst an. Der Standardwert ist 443, wenn nichts angegeben wird.

  • OpenPorts: [int[]] Gibt die geöffneten Ports für die VM an.

  • Location: [String] Gibt den Speicherort der VM an.

  • Size : [String] Gibt die Größe der VM an. Wenn nichts angegeben wird, lautet der Standardwert „Standard_DS1_v2“.

  • Image: [String] Gibt das Image der VM an. Wenn nichts angegeben wird, lautet der Standardwert „Win2016Datacenter“.

  • VirtualNetworkName: [String] Gibt den Namen des virtuellen Netzwerks für die VM an.

  • SubnetName: [String] Gibt den Namen des Subnetzes für die VM an.

  • SecurityGroupName: [String] Gibt den Namen der Sicherheitsgruppe für die VM an.

  • PublicIpAddressName: [String] Gibt den Namen der öffentlichen IP-Adresse für die VM an.

  • InstallWACOnly: [Switch] Legen Sie den Wert auf TRUE fest, wenn WAC auf einer bereits vorhandenen Azure-VM installiert werden soll.

Es gibt zwei verschiedene Optionen für die MSI-Bereitstellung und das Zertifikat, das für die MSI-Installation verwendet wird. Die MSI-Datei kann von aka.ms/WACDownload heruntergeladen werden, oder der Dateipfad einer MSI kann lokal für die VM angegeben werden, wenn die Bereitstellung auf einer vorhandenen VM erfolgt. Das Zertifikat befindet sich in Azure Key Vault, oder ein selbstsigniertes Zertifikat wird von der MSI-Datei generiert.

Skriptbeispiele

Definieren Sie zunächst allgemeine Variablen, die für die Parameter des Skripts erforderlich sind.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Beispiel 1: Verwenden des Skripts, um das WAC-Gateway auf einer neuen VM in einem neuen virtuellen Netzwerk und einer neuen Ressourcengruppe bereitzustellen. Verwenden der MSI-Datei aus aka.ms/WACDownload sowie ein selbstsigniertes Zertifikat aus der MSI-Datei.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Beispiel 2: Identisch mit Beispiel 1, aber unter Verwendung eines Zertifikats aus Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Beispiel 3: Verwenden einer lokalen MSI-Datei auf einer vorhandenen VM zum Bereitstellen von WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Anforderungen für die VM, auf der das Windows Admin Center-Gateway ausgeführt wird

Port 443 (HTTPS) muss geöffnet sein. Mithilfe der für das Skript definierten Variablen können Sie den folgenden Code in Azure Cloud Shell verwenden, um die Netzwerksicherheitsgruppe zu aktualisieren:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Anforderungen für verwaltete Azure-VMs

Port 5985 (WinRM über HTTP) muss geöffnet sein und über einen aktiven Listener verfügen. Sie können den folgenden Code in Azure Cloud Shell verwenden, um die verwalteten Knoten zu aktualisieren. $ResourceGroupName und $Name verwenden die gleichen Variablen wie das Bereitstellungsskript, aber Sie müssen die für die VM spezifischen $Credential verwenden, die Sie verwalten.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Manuelles Bereitstellen auf einer vorhandenen Azure-CM

Installieren Sie vor der Installation von Windows Admin Center auf der gewünschten Gateway-VM ein SSL-Zertifikat, das für die HTTPS-Kommunikation verwendet werden soll, oder verwenden Sie ein selbstsigniertes Zertifikat, das von Windows Admin Center generiert wird. Wenn Sie die zweite Option auswählen, erhalten Sie jedoch eine Warnung, sobald Sie versuchen, eine Verbindung mit einem Browser herzustellen. Sie können diese Warnung in Edge umgehen, indem Sie auf Details > Zur Webseite wechseln oder in Chrome auf Erweitert > Mit [Webseite] fortfahren klicken. Es wird empfohlen, nur selbstsignierte Zertifikate für Testumgebungen zu verwenden.

Hinweis

Diese Anweisungen gelten für die Installation unter Windows Server mit Desktopbenutzeroberfläche und nicht für eine Server Core-Installation.

  1. Laden Sie Windows Admin Center auf Ihren lokalen Computer herunter.

  2. Stellen Sie eine Remotedesktopverbindung mit der VM her, kopieren Sie dann die MSI-Datei von Ihrem lokalen Computer, und fügen Sie sie in die VM ein.

  3. Doppelklicken Sie auf die MSI-Datei, um mit der Installation zu beginnen, und befolgen Sie die Anweisungen des Assistenten. Bedenken Sie dabei Folgendes:

    • Standardmäßig verwendet das Installationsprogramm den empfohlenen Port 443 (HTTPS). Wenn Sie einen anderen Port auswählen möchten, beachten Sie, dass Sie den betreffenden Port auch in Ihrer Firewall öffnen müssen.

    • Wenn Sie bereits ein SSL-Zertifikat auf der VM installiert haben, stellen Sie sicher, dass Sie diese Option auswählen und den Fingerabdruck eingeben.

  4. Starten Sie den Windows Admin Center-Dienst (führen Sie „C:/Programme/Windows Admin Center/sme.exe“ aus).

Erfahren Sie mehr über die Bereitstellung von Windows Admin Center.

Konfigurieren Sie die Gateway-VM, um HTTPS-Portzugriff zu aktivieren:

  1. Navigieren Sie im Azure-Portal zu Ihrer VM, und wählen Sie Netzwerk aus.

  2. Wählen Sie Regel für eingehenden Port hinzufügen und dann unter Dienst die Option HTTPS aus.

Hinweis

Wenn Sie einen anderen Port als den Standardport 443 ausgewählt haben, wählen Sie unter „Dienst“ die Option Benutzerdefiniert aus, und geben Sie den Port unter Portbereiche ein, den Sie in Schritt 3 ausgewählt haben.

Zugreifen auf ein Windows Admin Center-Gateway, das auf einer Azure-VM installiert ist

An diesem Punkt sollten Sie über einen modernen Browser (Edge oder Chrome) auf Ihrem lokalen Computer auf Windows Admin Center zugreifen können, indem Sie zum DNS-Namen Ihrer Gateway-VM navigieren.

Hinweis

Wenn Sie einen anderen Port als Port 443 ausgewählt haben, können Sie auf Windows Admin Center zugreifen, indem Sie zu https://<DNS-Name Ihrer VM>:<benutzerdefinierter Port> navigieren.

Wenn Sie versuchen, auf Windows Admin Center zuzugreifen, fordert der Browser zur Eingabe von Anmeldeinformationen auf, um auf die VM zuzugreifen, auf der Windows Admin Center installiert ist. Hier müssen Sie Anmeldeinformationen eingeben, die sich in der Gruppe „Lokale Benutzer“ oder „Lokale Administratoren“ der VM befinden.

Um andere VMs im VNet hinzuzufügen, stellen Sie sicher, dass WinRM auf den Ziel-VMs ausgeführt wird, indem Sie Folgendes in PowerShell oder in der Eingabeaufforderung auf der Ziel-VM ausführen: winrm quickconfig

Wenn Sie die Azure-VM nicht in die Domäne eingebunden haben, verhält sich die VM wie ein Server in der Arbeitsgruppe, sodass Sie sicherstellen müssen, dass Sie Windows Admin Center in einer Arbeitsgruppe verwenden.