Ręczne wdrażanie programu Windows Admin Center na platformie Azure na potrzeby zarządzania wieloma serwerami
W tym artykule opisano sposób ręcznego wdrażania programu Windows Admin Center na maszynie wirtualnej platformy Azure na potrzeby zarządzania wieloma maszynami wirtualnymi platformy Azure. Aby zarządzać pojedynczą maszyną wirtualną, zamiast tego użyj funkcji centrum administracyjnego systemu Windows wbudowanej w witrynę Azure Portal, zgodnie z opisem w Używanie centrum administracyjnego systemu Windows w witrynie Azure Portal).
Wdrażanie przy użyciu skryptu
Możesz pobrać Deploy-WACAzVM.ps1, które uruchomisz z Azure Cloud Shell , aby skonfigurować bramę Windows Admin Center na platformie Azure. Ten skrypt może utworzyć całe środowisko, w tym grupę zasobów.
Przechodzenie do ręcznych kroków wdrażania
Wymagania wstępne
- Skonfiguruj konto w usłudze Azure Cloud Shell. Jeśli używasz usługi Cloud Shell po raz pierwszy, zostanie wyświetlony monit o skojarzenie lub utworzenie konta magazynu platformy Azure z usługą Cloud Shell.
- W usłudze PowerShell Cloud Shell przejdź do katalogu macierzystego:
PS Azure:\> cd ~ - Aby przekazać plik
Deploy-WACAzVM.ps1, przeciągnij go i upuść z komputera lokalnego do dowolnego miejsca w oknie usługi Cloud Shell.
Jeśli określisz własny certyfikat:
- Wgraj certyfikat do usługi Azure Key Vault. Najpierw utwórz magazyn kluczy w witrynie Azure Portal, a następnie przekaż certyfikat do magazynu kluczy. Alternatywnie możesz użyć witryny Azure Portal do wygenerowania certyfikatu.
Parametry skryptu
ResourceGroupName — [Ciąg] Określa nazwę grupy zasobów, w której zostanie utworzona maszyna wirtualna.
Nazwa — [Ciąg] Określa nazwę maszyny wirtualnej.
Credential — [PSCredential] Wskazuje poświadczenia dla VM.
MsiPath — [ciąg] Określa lokalną ścieżkę pliku MSI Centrum administracyjnego systemu Windows podczas wdrażania Centrum administracyjnego systemu Windows na istniejącej maszynie wirtualnej. Domyślnie używana jest wersja z https://aka.ms/WACDownload, jeśli pominięta.
VaultName — [Ciąg] Określa nazwę magazynu kluczy zawierającego certyfikat.
CertName — [Ciąg] Określa nazwę certyfikatu, który ma być używany do instalacji MSI.
GenerateSslCert — [Switch] True, jeśli MSI powinno wygenerować certyfikat SSL z podpisem własnym.
PortNumber — [int] Określa numer portu ssl dla usługi Windows Admin Center. Zostaje ustawiona na 443, jeśli pominięto.
OpenPorts — [int[]] Określa otwarte porty dla maszyny wirtualnej.
Lokalizacja — [Ciąg] Określa lokalizację maszyny wirtualnej.
Rozmiar — [Ciąg znaków] określa wielkość maszyny wirtualnej. Wartość domyślna to "Standard_DS1_v2" w przypadku pominięcia.
obraz — [Ciąg] Określa obraz maszyny wirtualnej. Wartość domyślna to "Win2016Datacenter", jeśli pominięto.
VirtualNetworkName — [Ciąg] Określa nazwę sieci wirtualnej dla maszyny wirtualnej.
SubnetName — [Ciąg] Określa nazwę podsieci maszyny wirtualnej.
SecurityGroupName — [Ciąg] Określa nazwę grupy zabezpieczeń maszyny wirtualnej.
PublicIpAddressName — [Ciąg] Określa nazwę publicznego adresu IP maszyny wirtualnej.
InstallWACOnly — [przełącz] ustaw wartość True, jeśli WAC ma być zainstalowany na istniejącej maszynie wirtualnej platformy Azure.
Istnieją 2 różne opcje dla wdrożenia pakietu MSI oraz certyfikatów używanych do instalacji MSI. Plik MSI można pobrać z aka.ms/WACDownload lub, jeśli wdrażasz go na istniejącą maszynę wirtualną, można podać lokalną ścieżkę pliku MSI na tej maszynie wirtualnej. Certyfikat można znaleźć w usłudze Azure Key Vault lub zostanie wygenerowany certyfikat z podpisem własnym przez tożsamość usługi zarządzanej (MSI).
Przykłady skryptów
Najpierw zdefiniuj typowe zmienne wymagane dla parametrów skryptu.
$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential
Przykład 1. Użyj skryptu, aby wdrożyć bramę WAC na nowej maszynie wirtualnej w nowej sieci wirtualnej i grupie zasobów. Użyj MSI z aka.ms/WACDownload oraz certyfikatu z podpisem własnym pochodzącego z MSI.
$scriptParams = @{
ResourceGroupName = $ResourceGroupName
Name = "wac-vm1"
Credential = $Credential
VirtualNetworkName = $VirtualNetworkName
SubnetName = $SubnetName
GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams
Przykład 2: taki sam jak #1, ale używając certyfikatu z usługi Azure Key Vault.
$scriptParams = @{
ResourceGroupName = $ResourceGroupName
Name = "wac-vm2"
Credential = $Credential
VirtualNetworkName = $VirtualNetworkName
SubnetName = $SubnetName
VaultName = $VaultName
CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams
Przykład 3: Używanie lokalnego pliku MSI na istniejącej maszynie wirtualnej do wdrażania WAC.
$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
ResourceGroupName = $ResourceGroupName
Name = "wac-vm3"
Credential = $Credential
MsiPath = $MsiPath
InstallWACOnly = $true
GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams
Wymagania dotyczące maszyny wirtualnej z uruchomioną bramą centrum administracyjnego systemu Windows
Port 443 (HTTPS) musi być otwarty. Używając tych samych zmiennych zdefiniowanych dla skryptu, możesz użyć poniższego kodu w usłudze Azure Cloud Shell, aby zaktualizować sieciowa grupa zabezpieczeń:
$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG
Wymagania dotyczące zarządzanych maszyn wirtualnych platformy Azure
Port 5985 (WinRM za pośrednictwem protokołu HTTP) musi być otwarty i mieć aktywny odbiornik.
Aby zaktualizować węzły zarządzane, możesz użyć poniższego kodu w usłudze Azure Cloud Shell.
$ResourceGroupName i $Name używają tych samych zmiennych co skrypt wdrażania, ale musisz skorzystać z $Credential specyficznego dla zarządzanej maszyny wirtualnej.
Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential
Ręczne wdrażanie na istniejącej maszynie wirtualnej platformy Azure
Przed zainstalowaniem programu Windows Admin Center na żądanej maszynie wirtualnej bramy zainstaluj certyfikat SSL do użycia na potrzeby komunikacji HTTPS lub możesz użyć certyfikatu z podpisem własnym wygenerowanego przez Centrum administracyjne systemu Windows. Jeśli jednak wybierzesz tę drugą opcję, podczas próby nawiązania połączenia z przeglądarki zostanie wyświetlone ostrzeżenie. To ostrzeżenie można obejść w przeglądarce Microsoft Edge, klikając pozycję Szczegóły > Przejdź do strony internetowej lub w przeglądarce Chrome, wybierając pozycję Zaawansowane > Przejdź do [strony internetowej]. Zalecamy używanie tylko certyfikatów z podpisem własnym dla środowisk testowych.
Uwaga
Te instrukcje dotyczą instalowania w systemie Windows Server ze środowiskiem pulpitu, a nie w instalacji Server Core.
pobierz Windows Admin Center na komputer lokalny.
Ustanów połączenie pulpitu zdalnego z maszyną wirtualną, a następnie skopiuj plik MSI z komputera lokalnego i wklej go do maszyny wirtualnej.
Dwukrotnie kliknij plik MSI, aby rozpocząć instalację, a następnie postępuj zgodnie z instrukcjami w kreatorze. Należy pamiętać o następujących kwestiach:
Domyślnie instalator używa zalecanego portu 443 (HTTPS). Jeśli chcesz wybrać inny port, pamiętaj, że musisz również otworzyć ten port w zaporze.
Jeśli na maszynie wirtualnej zainstalowano już certyfikat SSL, upewnij się, że wybrano tę opcję i wprowadź odcisk palca.
Uruchom usługę Windows Admin Center (uruchom polecenie C:/Program Files/Windows Admin Center/sme.exe)
Dowiedz się więcej o wdrażaniu Centrum administracyjnego systemu Windows.
Skonfiguruj maszynę wirtualną bramy, aby umożliwić dostęp do portu HTTPS.
Przejdź do maszyny wirtualnej w witrynie Azure Portal i wybierz pozycję Networking.
Wybierz pozycję Dodaj regułę portu wejściowego i wybierz HTTPS w obszarze Service.
Uwaga
Jeśli wybrano port inny niż domyślny 443, wybierz pozycję Niestandardowy w obszarze Usługa i wprowadź port wybrany w kroku 3 w obszarze Zakresy portów.
Uzyskiwanie dostępu do bramy programu Windows Admin Center zainstalowanej na maszynie wirtualnej platformy Azure
Na tym etapie powinno być możliwe uzyskanie dostępu do Centrum administracyjnego systemu Windows z nowoczesnej przeglądarki (Edge lub Chrome) na komputerze lokalnym, przechodząc do nazwy DNS maszyny wirtualnej bramy.
Uwaga
Jeśli wybrano port inny niż 443, możesz uzyskać dostęp do Centrum administracyjnego systemu Windows, przechodząc do https://<nazwę DNS maszyny wirtualnej>:<niestandardowy port>
Podczas próby uzyskania dostępu do Centrum administracyjnego systemu Windows przeglądarka wyświetli monit o podanie poświadczeń dostępu do maszyny wirtualnej, na której zainstalowano program Windows Admin Center. W tym miejscu należy wprowadzić poświadczenia, które znajdują się w grupie Użytkownicy lokalni lub Administratorzy lokalni maszyny wirtualnej.
Aby dodać inne maszyny wirtualne w sieci wirtualnej, upewnij się, że usługa WinRM jest uruchomiona na docelowych maszynach wirtualnych, uruchamiając następujące polecenie w programie PowerShell lub wierszu polecenia na docelowej maszynie wirtualnej: winrm quickconfig
Jeśli maszyna wirtualna platformy Azure nie została przyłączona do domeny, zachowuje się jak serwer w grupie roboczej, dlatego musisz uwzględnić przy użyciu Centrum Administracyjnego Windows w grupie roboczej.