共用方式為


在 Azure 中使用 Windows Admin Center 管理 Azure 本機叢集(預覽版)

重要

Azure 入口網站中的 Windows Admin Center 目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

重要

1.36 版和 1.35 版的 Azure Connected Machine Agent (Arc 代理程式) 會中斷與 Windows Admin Center 的連線。 在更新版本的 Arc 代理程式 (1.37+) 中已修正此問題,您可以在這裡下載

在 Azure 入口網站中使用 Windows Admin Center,您可以管理叢集的 Azure 本機作業系統。 您可以從任何地方安全地管理叢集,而不需要 VPN、公用 IP 位址或其他電腦輸入連線。

在 Azure 中使用 Windows Admin Center 擴充功能,您可以在 Azure 入口網站中取得管理、設定、疑難解答和維護功能,以管理 Azure 本機叢集。 Azure 本機叢集和工作負載管理不再需要您建立視線通訊協定或遠端桌面通訊協定 (RDP)–其全都可以從 Azure 入口網站原生完成。 Windows Admin Center 提供您在容錯移轉叢集管理員、裝置管理員、工作管理員、Hyper-V 管理員,以及大部分其他 Microsoft Management Console (MMC) 工具中找到的工具。

本文提供在 Azure 入口網站中使用 Windows Admin Center 的概觀、需求,以及如何安裝 Windows Admin Center,並用它來管理您的叢集。 它也會回答常見問題,並提供已知問題和疑難排解提示的清單,以防無法運作。

顯示 Azure 本機叢集 Azure 入口網站中 Windows Admin Center 的螢幕快照,其中顯示 Windows Admin Center 儀錶板頁面。

Azure 中的 Windows Admin Center 概觀

Azure 入口網站中的 Windows Admin Center 提供管理 Azure 本機叢集的基本工具。 您可以管理叢集,而不需要在防火牆上開啟任何輸入埠。

在 Azure 入口網站中使用 Windows Admin Center,您可以管理:

  • 伺服器
  • 磁碟區
  • 磁碟機
  • SDN 基礎結構
  • 診斷
  • 安全性
  • 憑證
  • 裝置
  • 事件
  • 檔案和檔案共用
  • 防火牆
  • 已安裝的應用程式
  • 本機使用者和群組
  • 效能監視器
  • PowerShell
  • 程序
  • 登錄
  • 遠端桌面
  • 角色和功能
  • 排定的工作
  • 服務
  • 儲存體
  • 虛擬機器
  • 虛擬交換器

我們目前不支援 Azure 入口網站中 Windows Admin Center 的其他延伸模組。

警告

如果您在叢集上手動安裝 Windows Admin Center 來管理多個系統,在 Azure 中啟用 Windows Admin Center 將會取代您現有的 Windows Admin Center 實例,並移除管理其他電腦的功能。 您將無法存取先前部署的 Windows Admin Center 實例。

需求

本節提供在 Azure 入口網站中使用 Windows Admin Center 來管理混合式電腦的需求:

具有作用中訂用帳戶的 Azure 帳戶

您需要具有作用中訂用帳戶的 Azure 帳戶,才能部署 Windows Admin Center。 如果您還沒有帳戶,您可以 免費 建立帳戶。

在部署 Windows Admin Center 期間,您將為您的訂用帳戶註冊 Microsoft.HybridConnectivity 資源提供者。

重要

您必須具有註冊資源提供者的許可權,這需要 */register/action 作業。 如果您已獲指派訂用帳戶上的參與者或擁有者角色 則會包含此專案。

注意

資源提供者註冊是每個訂用帳戶的一次性工作。

若要檢查資源提供者的狀態,並視需要註冊:

  1. 登入 Azure 入口網站
  2. 選取 訂用帳戶
  3. 選取您的訂用帳戶名稱。
  4. 選取 [資源提供者 ]。
  5. 搜尋 Microsoft.HybridConnectivity
  6. 確認 Microsoft.HybridConnectivity 的狀態為 [已註冊 ]。
    1. 如果狀態為 NotRegistered ,請選取 [Microsoft.HybridConnectivity ],然後選取 [ 註冊 ]。

Azure 許可權

連線到 Windows 管理中心要求您在啟用 Arc 的 Azure 本地資源上擁有 讀取器權限Windows 管理中心系統管理員登入 權限。

深入了解如何使用 Azure 入口網站指派 Azure 角色

Azure 區域可用性

Windows Admin Center 支援於 所有公用區域,Azure 本機 支援。

注意

Azure China 21Vianet、Azure Government 或其他非公用雲端不支援 Windows Admin Center

Azure 本機需求

若要在 Azure 入口網站中使用 Windows Admin Center,您必須透過 Azure VM 擴充功能,將 Windows Admin Center 代理程式安裝在叢集的每個節點上。 叢集的每個節點都應該符合下列需求:

  • Azure 本機版,版本 21H2 或更新版本
  • 3 GB 的記憶體或更多
  • Azure 本機叢集必須使用 Azure Arc 連線至 Azure
  • Azure Arc 代理程式 1.13.21320.014 版或更新版本

網路連線需求

Azure 本機叢集的每個節點都必須符合下列網路需求:

  • 輸出網際網路存取或輸出連接埠規則允許 HTTPS 流量流向下列端點:

    • *.service.waconazure.com WindowsAdminCenter 或服務標籤
    • pas.windows.net
    • *.servicebus.windows.net

注意

不需要輸入埠,才能使用 Windows Admin Center。

執行 Azure 入口網站的管理電腦必須符合下列網路需求:

  • 透過埠的輸出網際網路存取 443

請務必先檢閱支援的裝置和建議的瀏覽器,再從管理機器或系統存取 Azure 入口網站。

在 Azure 入口網站中安裝 Windows Admin Center

在 Azure 入口網站中使用 Windows Admin Center 之前,您必須使用下列步驟來部署 Windows Admin Center VM 擴充功能:

  1. 開啟 Azure 入口網站並流覽至您的 Azure 本機叢集。
  2. 在 [設定] 群組底 下,選取 [Windows Admin Center ]。
  3. 指定您要安裝 Windows Admin Center 的埠,然後選取 [ 安裝 ]。

顯示 Azure 本機叢集上 Windows Admin Center 安裝按鈕的螢幕快照。

在 Azure 入口網站中連線到 Windows Admin Center

在叢集上安裝 Windows Admin Center 之後,請執行下列步驟來連線並管理 Azure 本地:

  1. 開啟 Azure 入口網站並流覽至您的 Azure 本機叢集,然後在 [設定] 群組底下,選取 [Windows Admin Center]。
  2. 選取 [連線]。

注意

從 2023 年 4 月開始,Windows Admin Center 現在可讓您針對執行大於 0.0.0.0.313 的 AdminCenter 延伸模組的 22H2 或更高叢集使用 Microsoft Entra ID 型驗證。 系統將不再提示您輸入本機系統管理員帳戶的認證。 不過,Windows Admin Center 內可能仍有一些可能需要本機系統管理員認證的體驗。 例如,需要 CredSSP 時。 執行 21H2 或以下的叢集會繼續要求本機系統管理員認證。

Windows Admin Center 會在入口網站中開啟,讓您能夠存取您可能熟悉在內部部署部署中使用 Windows Admin Center 的相同工具。

顯示 Azure 本機叢集上 Windows Admin Center 的 [連線] 按鈕的螢幕快照。

設定角色指派

Windows Admin Center 的存取權是由 Windows Admin Center 系統管理員登入 Azure 角色所控制。 必須在 Azure 本機資源上設定此角色, 與此叢集相關聯的每個已啟用 Azure Arc 的伺服器。

注意

Windows Admin Center 系統管理員登入角色使用 dataActions,因此無法在管理群組範圍指派。 目前,這些角色只能在訂用帳戶、資源群組或資源範圍指派。

若要使用 Microsoft Entra 管理中心經驗為您的叢集配置角色指派:

  1. 選取包含 叢集和相關聯 Azure Arc 資源的資源群組

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增 > 角色指派 ] 以開啟 [新增角色指派] 頁面。

  4. 指派下列角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色

    設定
    角色 Windows Admin Center 系統管理員登入
    存取權指派對象為 使用者、群組、服務主體或受控識別

如需如何使用 Azure RBAC 來管理 Azure 訂用帳戶資源存取權的詳細資訊,請參閱下列文章:

運作方式

藉由在 Azure 中使用 Windows Admin Center,您可以連線到叢集,而不需要在防火牆上啟用任何輸入埠。 透過 Arc 代理程式,Windows Admin Center 能夠以輸出方式安全地建立與 Azure Arc 服務的反向 Proxy 會話連線。

針對您想要在 Azure 入口網站中使用 Windows Admin Center 管理的每個 Azure 本機叢集,您必須將代理程式部署到叢集中的所有節點。

代理程式會與管理憑證的外部服務通訊,以便您可以輕鬆地連線到叢集。

按一下 [ 安裝 ] 會執行下列動作:

  1. 在您的訂用帳戶上註冊 Microsoft.HybridConnectivity 資源提供者。 資源提供者會裝載 Proxy,用來與已啟用 Arc 的叢集通訊。
  2. 在叢集中每個已啟用 Arc 的資源之上部署 Azure 端點 資源,以在指定的埠上啟用反向 Proxy 連線。 這只是 Azure 中的邏輯資源,而且不會在伺服器本身上部署任何專案。
  3. 使用有效的 TLS 憑證,在您的混合式機器上安裝 Windows Admin Center 代理程式。

注意

卸載 Windows Admin Center 並不會刪除邏輯 Azure 端點資源。 這是為了可能使用此資源的其他體驗而保留的,例如 SSH。

按一下 [ 連線 ] 會執行下列動作:

  1. Azure 入口網站會要求 Microsoft.HybridConnectivity 資源提供者存取已啟用 Arc 的伺服器。
  2. 資源提供者會與第 4 層 SNI Proxy 通訊,以在 Windows Admin Center 埠上建立叢集其中一個已啟用 Arc 的節點的短期會話特定存取權。
  3. 系統會產生唯一的短期 URL,並從 Azure 入口網站建立與 Windows Admin Center 的連線。

Windows Admin Center 的連線是端對端加密,且叢集上發生 SSL 終止。

使用 PowerShell 將 Windows Admin Center 部署自動化

您可以使用此範例 PowerShell 腳本,在 Azure 入口網站中自動化 Windows Admin Center 部署。

$clusterName = "<name_of_cluster>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
        
#Deploy Windows Admin Center
$setting = @{ "port" = $port }
New-AzStackHciExtension -ArcSettingName "default" -Name "AdminCenter" -ResourceGroupName $resourceGroup -ClusterName $clusterName -ExtensionParameterPublisher "Microsoft.AdminCenter" -ExtensionParameterSetting $setting -ExtensionParameterType "AdminCenter" -SubscriptionId $subscription -ExtensionParameterTypeHandlerVersion "0.0"
        
#Allow connectivity
$patch = @{ "properties" =  @{ "connectivityProperties" = @{"enabled" = $true}}}
$patchPayload = ConvertTo-Json $patch
Invoke-AzRestMethod -Method PATCH -Uri "https://management.azure.com/subscriptions/$subscription/resourceGroups/$resourceGroup/providers/Microsoft.AzureStackHCI/clusters/$clusterName/ArcSettings/default?api-version=2023-02-01" -Payload $patchPayload

疑難排解

以下是一些嘗試的秘訣,以防某個專案無法運作。 如需一般 Windows Admin Center 疑難排解(並非在 Azure 中特別),請參閱 針對 Windows Admin Center 進行疑難排解。

連線失敗,提示「未找到 404 端點」

  1. 1.36 版和 1.35 版的 Azure Connected Machine Agent (Arc 代理程式) 會中斷與 Windows Admin Center 的連線。 在更新版本的 Arc 代理程式 (1.37+) 中已修正此問題,您可以在這裡下載

無法連線錯誤

  1. 重新啟動 HIMDS 服務。

    1. RDP 到叢集的每個節點。

    2. 以系統管理員身分開啟 PowerShell 並執行:

      Restart-Service -Name himds
      
  2. 請確定 Windows Admin Center 服務正在叢集上執行。

    1. RDP 到叢集的每個節點。
    2. 開啟 [工作管理員] [Ctrl+Shift+Esc], 然後流覽至 [ 服務 ]。
    3. 請確定 ServerManagementGateway / Windows Admin Center 正在執行中。
    4. 如果不是,請啟動服務。
  3. 確認已為反向 Proxy 工作階段啟用了連接埠。

    1. RDP 到叢集的每個節點。

    2. 以系統管理員身分開啟 PowerShell 並執行:

      azcmagent config list
      
    3. 此時應該會傳回 incomingconnections.ports (預覽) 設定下已可從 Azure 連線的連接埠清單。 確認您安裝 Windows Admin Center 的埠在此清單中。 例如,如果 Windows Admin Center 安裝在埠 443 上,結果會是:

      Local configuration setting
      incomingconnections.ports (preview): 443
      
    4. 如果不在這份清單中,請執行

      azcmagent config set incomingconnections.ports <port>
      

      如果您使用此解決方案的另一個體驗(例如 SSH),您可以指定以逗號分隔的多個埠。

  4. 請確定您具有對必要連接埠的輸出連線能力。

    1. 叢集的每個節點都應該具有下列端點的輸出連線能力
      • *.wac.azure.com*.waconazure.com WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

其中一個 Windows Admin Center 未載入或發生錯誤

  1. 流覽至 Windows Admin Center 中的任何其他工具,然後流覽回未載入的工具。

  2. 如果沒有其他工具正在載入,可能是您的網路連線有問題。 請嘗試關閉刀鋒視窗,然後再連線一次。 如果無法運作,請開立支援票證。

無法安裝 Windows Admin Center 延伸模組

  1. 請仔細檢查以確定叢集符合 需求

  2. 請確定叢集的每個節點上都允許對 Windows Admin Center 的輸出流量。

    1. 使用虛擬機器內的 PowerShell 執行下列命令來測試連線能力:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      
      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      
  3. 如果您已允許所有輸出流量,並從上述命令收到錯誤,請檢查是否有封鎖連線的防火牆規則。

如果看似沒有任何錯誤,卻仍無法安裝 Windows Admin Center,請提出支援要求,並提供下列資訊:

  • Azure 入口網站中的記錄。 您可以在 [設定][延伸模組]>[AdminCenter][檢視詳細狀態] 底下找到此項目。

  • 記錄叢集的每個節點上。 執行下列 PowerShell 命令,並共用產生的 .zip 檔案。

    azcmagent logs
    
  • 網路追蹤 (若適用)。 網路追蹤可能包含客戶資料和敏感性安全詳細資料 (例如密碼),因此建議您先檢閱追蹤並移除任何敏感性詳細資料,再共用。

已知問題

  • 不支援 Chrome incognito 模式。
  • 不支援 Azure 入口網站傳統型應用程式。
  • 尚未提供失敗連線的詳細錯誤訊息。
  • 不支援更新。 用戶無法使用 CAU 將更新套用至 Azure 本地叢集(Cluster-Aware 更新)。

常見問題集

尋找在 Azure 中使用 Windows Admin Center 的常見問題解答。

使用 Windows Admin Center 需要多少費用?

在 Azure 入口網站中使用 Windows Admin Center 不需要任何成本。

我可以使用 Windows Admin Center 來管理叢集上執行的虛擬機器嗎?

您可以使用角色和功能擴充功能來安裝 Hyper-V 角色。 安裝之後,請重新整理瀏覽器,Windows Admin Center 會顯示虛擬機器和切換延伸模組。

我可以使用此擴充功能來管理哪些叢集?

您可以使用 功能來管理已啟用 Arc 的 Azure 本機叢集 21H2 版或更新版本。 您也可以 使用 Windows Admin Center 來管理已啟用 Arc 的伺服器

Windows Admin Center 如何處理安全性?

從 Azure 入口網站到 Windows Admin Center 的流量會以端對端加密。 已啟用 Arc 的叢集是使用 PowerShell 和 WMI over WinRM 來管理。

我需要輸入埠才能使用 Windows Admin Center 嗎?

不需要輸入連線才能使用 Windows Admin Center。

為何必須建立輸出連接埠規則?

為了與您的伺服器通訊,我們建置的服務需要輸出連接埠規則。 我們的服務會為您 Windows Admin Center 的實例發出免費憑證。 此服務可確保您一律可以從 Azure 入口網站連線到 Windows Admin Center 實例,方法是將您的 WAC 憑證保持在最新狀態。

此外,從 Azure 存取 Windows Admin Center 不需要輸入埠,而且只需要透過反向 Proxy 解決方案進行輸出連線。 為了建立連線,需要這些輸出規則。

如何尋找用於 Windows Admin Center 安裝的埠?

若要確認 SmePort 登錄設定的值:

  1. RDP 到您的伺服器。
  2. 開啟註冊表 編輯器
  3. 流覽至索引鍵 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
  4. 讀取 的值 SmePort ,以尋找使用的埠。

我已經在叢集的一或所有節點上安裝 Windows Admin Center。 我可以從入口網站存取嗎?

是。 您可以遵循本檔中所述的相同步驟。

警告

啟用此功能將會取代您現有的 Windows Admin Center 實例,並移除管理其他電腦的功能。 您先前部署的 Windows Admin Center 實例將無法再使用。

下一步