Versionshinweise zu App Service auf Azure Stack Hub 2302

Diese Versionshinweise beschreiben die Verbesserungen und Korrekturen in Azure-App Dienst auf Azure Stack Hub 2302 und alle bekannten Probleme. Die bekannten Probleme sind in Probleme unterteilt, die sich direkt auf die Bereitstellung und den Updateprozess beziehen, und in Probleme mit dem Build (nach der Installation).

Wichtig

Aktualisieren Sie Azure Stack Hub bei Bedarf auf eine unterstützte Version, oder stellen Sie das neueste Azure Stack Development Kit bereit, bevor Sie den App Service-Ressourcenanbieter (Resource provider, RP) bereitstellen oder aktualisieren. Lesen Sie auch die RP-Versionshinweise, um weitere Informationen zu neuen Funktionen, Fehlerbehebungen und bekannten Problemen zu erhalten, die ggf. für Ihre Bereitstellung relevant sind.

Unterstützte Mindestversion von Azure Stack Hub	App Service-RP-Version
2301 und höher	2302 Installer (Versionshinweise)

Buildreferenz

Die Buildnummer des App-Diensts auf Azure Stack Hub 2302 ist 98.0.1.703.

Neuigkeiten

Azure-App Dienst auf Azure Stack Hub 2302 ersetzt die Version 2022 H1 und enthält Korrekturen für die folgenden Probleme:

• CVE-2023-21703 Azure-App Dienst auf Azure Stack Hub-Sicherheitsanfälligkeit zur Erhöhung von Berechtigungen.

• Die Skalierungssätze für virtuelle Computer können nicht über die Administratorbenutzeroberfläche der App-Dienstrollen im Azure Stack Hub-Verwaltungsportal geöffnet werden.

• Alle anderen Updates werden im Azure-App Dienst auf Azure Stack Hub 2022 H1 Update Notes dokumentiert.

• Ab dem Update Azure-App Service auf Azure Stack Hub 2022 H1 ist der Buchstabe K jetzt ein reservierter SKU-Brief. Wenn Sie eine benutzerdefinierte SKU definiert haben, die den Buchstaben K verwendet, wenden Sie sich an den Support, um diese Situation vor dem Upgrade zu beheben.

Voraussetzungen

Lesen Sie die Dokumentation Vor den ersten Schritten mit App Service in Azure Stack, bevor Sie mit der Bereitstellung beginnen.

Bevor Sie mit dem Upgrade von Azure-App Dienst auf Azure Stack Hub auf 2302 beginnen:

• Stellen Sie sicher, dass Ihr Azure Stack Hub auf 1.2108.2.127 oder 1.2206.2.52 aktualisiert wird.

• Stellen Sie sicher, dass alle Rollen im Azure Stack Hub-Verwaltungsportal im Azure-App Dienstverwaltung bereit sind.

• Sichern Sie geheime App-Dienstschlüssel mithilfe der App Service-Verwaltung im Azure Stack Hub-Verwaltungsportal.

• Sichern Sie die Masterdatenbanken "App Service" und "SQL Server":

  • AppService_Hosting
  • AppService_Metering
  • Haupt

• Sichern Sie die Inhaltsdateifreigabe der Mandanten-App.

  Wichtig

  Cloudoperatoren sind für die Wartung und den Betrieb des Dateiservers und sql Server verantwortlich. Der Ressourcenanbieter verwaltet diese Ressourcen nicht. Der Cloudoperator ist für das Sichern der App Service-Datenbanken und der Mandanten-Inhaltsdateifreigabe verantwortlich.

• Syndicate the Custom Script Extension Version 1.9.3 from the Marketplace.

Schritte vor dem Aktualisieren

Hinweis

Wenn Sie zuvor Azure-App Dienst auf Azure Stack Hub 2022 H1 auf Ihrem Azure Stack Hub-Stempel bereitgestellt haben, ist diese Version ein kleineres Upgrade auf 2022 H1, das zwei Probleme behebt.

Azure-App Dienst auf Azure Stack Hub 2302 ist ein erhebliches Update, das mehrere Stunden dauern wird. Die gesamte Bereitstellung wird aktualisiert, und alle Rollen werden mit dem Windows Server 2022 Datacenter-Betriebssystem neu erstellt. Daher empfehlen wir, Endbenutzer vor der Anwendung des Updates über ein geplantes Update zu informieren.

• Ab dem Update Azure-App Service auf Azure Stack Hub 2022 H1 ist der Buchstabe K jetzt ein reservierter SKU-Brief. Wenn Sie eine benutzerdefinierte SKU definiert haben, die den Buchstaben K verwendet, wenden Sie sich an den Support, um diese Situation vor dem Upgrade zu beheben.

Überprüfen Sie die bekannten Probleme für die Aktualisierung , und ergreifen Sie alle vorgeschriebenen Maßnahmen.

Schritte nach der Bereitstellung

Wichtig

Wenn Sie den App Service-Ressourcenanbieter mit einer SQL Always On-Instanz bereitgestellt haben, müssen Sie die appservice_hosting und appservice_metering Datenbanken zu einer Verfügbarkeitsgruppe hinzufügen und die Datenbanken synchronisieren, um einen Dienstverlust im Falle eines Datenbankfailovers zu verhindern.

Bekannte Probleme (Update)

• In Situationen, in denen Sie die appservice_hosting und appservice_metering Datenbanken in enthaltene Datenbanken konvertiert haben, schlägt das Upgrade möglicherweise fehl, wenn Anmeldungen nicht erfolgreich zu enthaltenen Benutzern migriert wurden.

  Wenn Sie die appservice_hosting und appservice_metering Datenbanken in enthaltene Datenbanken nach der Bereitstellung konvertiert haben und die Datenbankanmeldungen nicht erfolgreich in enthaltene Benutzer migriert haben, treten möglicherweise Upgradefehler auf.

  Sie müssen das folgende Skript für das SQL Server-Hosting appservice_hosting und appservice_metering ausführen, bevor Sie Ihre Azure-App Service auf Azure Stack Hub-Installation auf 2020 Q3 aktualisieren. Dieses Skript ist nicht destruktiv und führt nicht zu Ausfallzeiten.

  Dieses Skript muss unter den folgenden Bedingungen ausgeführt werden:

  • Von einem Benutzer, der über die Systemadministratorberechtigung verfügt, z. B. das SQL SA-Konto.
  • Stellen Sie bei Verwendung von SQL Always On sicher, dass das Skript aus der SQL-Instanz ausgeführt wird, die alle App Service-Anmeldungen im Formular enthält:
    • appservice_hosting_FileServer
    • appservice_hosting_HostingAdmin
    • appservice_hosting_LoadBalancer
    • appservice_hosting_Operations
    • appservice_hosting_Publisher
    • appservice_hosting_SecurePublisher
    • appservice_hosting_WebWorkerManager
    • appservice_metering_Common
    • appservice_metering_Operations
    • Alle WebWorker-Anmeldungen in der Form WebWorker_<Instanz-IP-Adresse>

        USE appservice_hosting
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  
        USE appservice_metering
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  

• Mandantenanwendungen können nach dem Upgrade keine Zertifikate an Anwendungen binden.

  Die Ursache dieses Problems liegt an einem fehlenden Feature auf Front-Ends nach dem Upgrade auf Windows Server 2022. Operatoren müssen dieses Verfahren befolgen, um das Problem zu beheben.

  1. Navigieren Sie im Azure Stack Hub-Verwaltungsportal zu Netzwerksicherheitsgruppen , und zeigen Sie die ControllerNSG-Netzwerksicherheitsgruppe an.

  2. Standardmäßig ist der Remotedesktop für alle App Service-Infrastrukturrollen deaktiviert. Ändern Sie die Inbound_Rdp_3389 Regelaktion auf "Zugriff zulassen ".

  3. Navigieren Sie zu der Ressourcengruppe, die die Bereitstellung des App-Dienstressourcenanbieters enthält, standardmäßig lautet der Name "AppService".<Region> und Herstellen einer Verbindung mit CN0-VM.

  4. Kehren Sie zur Remotedesktopsitzung der CN0-VM zurück.

  5. Führen Sie in einer PowerShell-Administratorsitzung Folgendes aus:

     Wichtig

     Während der Ausführung dieses Skripts wird für jede Instanz im Front-End-Scaleset eine Pause angezeigt. Wenn eine Meldung angezeigt wird, dass das Feature installiert wird, wird diese Instanz neu gestartet. Verwenden Sie die Pause im Skript, um die Verfügbarkeit von Front-End zu gewährleisten. Operatoren müssen sicherstellen, dass mindestens eine Front-End-Instanz jederzeit "Bereit" ist, um sicherzustellen, dass Mandantenanwendungen Datenverkehr erhalten können und keine Ausfallzeiten auftreten.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session
     
     Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
     

  6. Navigieren Sie im Azure Stack-Verwaltungsportal zurück zur ControllerNSG-Netzwerksicherheitsgruppe .

  7. Ändern Sie die Inbound_Rdp_3389 Regel, um den Zugriff zu verweigern.

Bekannte Probleme (nach der Installation)

• Mitarbeiter können den Dateiserver nicht erreichen, wenn App Service in einem vorhandenen virtuellen Netzwerk bereitgestellt wird und der Dateiserver nur im privaten Netzwerk verfügbar ist, wie in der Azure-App Service on Azure Stack-Bereitstellungsdokumentation beschrieben.

  Wenn Sie sich für die Bereitstellung in einem bestehenden virtuellen Netzwerk und eine interne IP-Adresse für die Verbindung mit Ihrem Dateiserver entschieden haben, müssen Sie eine Sicherheitsregel für ausgehenden Datenverkehr hinzufügen, die den SMB-Verkehr zwischen dem Workersubnetz und dem Dateiserver ermöglicht. Wechseln Sie im Verwaltungsportal zu WorkersNsg, und fügen Sie eine Sicherheitsregel für ausgehenden Datenverkehr mit den folgenden Eigenschaften hinzu:

  • Quelle: Any
  • Quellportbereich: *
  • Ziel: IP-Adressen
  • IP-Zieladressbereich: Bereich der IPs für Ihren Dateiserver
  • Zielportbereich: 445
  • Protokoll: TCP
  • Aktion: Allow
  • Priorität: 700
  • Name: Outbound_Allow_SMB445

• Um die Latenz zu entfernen, wenn Mitarbeiter mit dem Dateiserver kommunizieren, empfehlen wir außerdem, der Worker NSG die folgende Regel hinzuzufügen, um ausgehenden LDAP- und Kerberos-Datenverkehr zu Ihren Active Directory-Controllern zuzulassen, wenn der Dateiserver mit Active Directory gesichert wird; Wenn Sie beispielsweise die Schnellstartvorlage verwendet haben, um einen HA-Dateiserver und SQL Server bereitzustellen.

  Wechseln Sie im Verwaltungsportal zu WorkersNsg, und fügen Sie eine Sicherheitsregel für ausgehenden Datenverkehr mit den folgenden Eigenschaften hinzu:

  • Quelle: Any
  • Quellportbereich: *
  • Ziel: IP-Adressen
  • Ziel-IP-Adressbereich: IP-Adressbereich für Ihre AD-Server, z. B. mit der Schnellstartvorlage 10.0.0.100, 10.0.0.101
  • Zielportbereich: 389,88
  • Protokoll: Beliebig
  • Aktion: Zulassen
  • Priorität: 710
  • Name: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers

• Mandantenanwendungen können nach dem Upgrade keine Zertifikate an Anwendungen binden.

  Die Ursache dieses Problems liegt an einem fehlenden Feature auf Front-Ends nach dem Upgrade auf Windows Server 2022. Operatoren müssen dieses Verfahren befolgen, um das Problem zu beheben:

  1. Navigieren Sie im Azure Stack Hub-Verwaltungsportal zu Netzwerksicherheitsgruppen , und zeigen Sie die ControllerNSG-Netzwerksicherheitsgruppe an.

  2. Standardmäßig ist der Remotedesktop für alle App Service-Infrastrukturrollen deaktiviert. Ändern Sie die Inbound_Rdp_3389 Regelaktion auf "Zugriff zulassen ".

  3. Navigieren Sie zu der Ressourcengruppe, die die Bereitstellung des App-Dienstressourcenanbieters enthält, standardmäßig lautet der Name "AppService".<Region> und Herstellen einer Verbindung mit CN0-VM.

  4. Kehren Sie zur Remotedesktopsitzung der CN0-VM zurück.

  5. Führen Sie in einer PowerShell-Administratorsitzung Folgendes aus:

     Wichtig

     Während der Ausführung dieses Skripts wird für jede Instanz im Front-End-Scaleset eine Pause angezeigt. Wenn eine Meldung angezeigt wird, dass das Feature installiert wird, wird diese Instanz neu gestartet. Verwenden Sie die Pause im Skript, um die Verfügbarkeit von Front-End zu gewährleisten. Operatoren müssen sicherstellen, dass mindestens eine Front-End-Instanz jederzeit "Bereit" ist, um sicherzustellen, dass Mandantenanwendungen Datenverkehr erhalten können und keine Ausfallzeiten auftreten.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session      
     

  6. Navigieren Sie im Azure Stack-Verwaltungsportal zurück zur ControllerNSG-Netzwerksicherheitsgruppe .

  7. Ändern Sie die Inbound_Rdp_3389 Regel, um den Zugriff zu verweigern.

Bekannte Probleme von Cloudadministratoren, die Azure App Service in Azure Stack betreiben

• Benutzerdefinierte Domänen werden in getrennten Umgebungen nicht unterstützt.

  Der App-Dienst führt die Überprüfung des Domänenbesitzes für öffentliche DNS-Endpunkte durch. Daher werden benutzerdefinierte Domänen in getrennten Szenarien nicht unterstützt.

• Die Integration des virtuellen Netzwerks für Web- und Funktions-Apps wird nicht unterstützt.

  Die Möglichkeit, eine virtuelle Netzwerkintegration zu Web- und Funktions-Apps hinzuzufügen, wird im Azure Stack Hub-Portal angezeigt, und wenn ein Mandant versucht, die Konfiguration zu konfigurieren, wird ein interner Serverfehler angezeigt. Dieses Feature wird in Azure-App Dienst auf Azure Stack Hub nicht unterstützt.

Nächste Schritte

• Einen Überblick über Azure App Service finden Sie unter Übersicht über App Service in Azure Stack.
• Weitere Informationen zum Vorbereiten der Bereitstellung von App Service in Azure Stack finden Sie unter Vor den ersten Schritten mit App Service in Azure Stack.