Teilen über

Durchführen eines Upgrades von Microsoft Tunnel für Microsoft Intune

  • Artikel

Für Microsoft Tunnel, eine VPN-Gatewaylösung für Microsoft Intune, werden regelmäßig Softwareupgrades veröffentlicht, die auf den Tunnelservern installiert werden müssen, damit sie weiter unterstützt werden. Damit der Support erhalten bleibt, muss auf den Servern das neueste Release oder zumindest die vorherige Version ausgeführt werden. In den Informationen in diesem Artikel wird Folgendes erläutert:

  • Der Upgradeprozess
  • Upgradesteuerelemente
  • Statusberichte, die Sie verwenden können, um die Softwareversion von Tunnelservern zu verstehen
  • Wenn Upgrades verfügbar sind
  • So steuern Sie, wann Upgrades durchgeführt werden.

Das Upgrade der Server, die jedem Tunnelstandort zugewiesen sind, erfolgt durch Intune. Wenn Upgrades für den Standort beginnen, werden alle Server am Standort einzeln aktualisiert, was als Upgradezyklus bezeichnet wird. Während des Upgrades eines Servers kann die Microsoft Tunnel-Instanz auf dem Server nicht verwendet werden. Indem das Upgrade nacheinander auf den einzelnen Servern durchgeführt wird, werden Unterbrechungen für Benutzer minimiert, wenn der Standort mehrere Server umfasst.

Während eines Upgradezyklus:

  • Intune beginnt mit dem Upgrade eines Servers am Standort. 10 Minuten, nachdem das Release verfügbar gemacht wurde, kann das Upgrade gestartet werden.
  • Wenn der Server ausgeschaltet war, beginnt das Upgrade nach dem Einschalten des Servers.
  • Nachdem das Upgrade für einen Server an einem Standort erfolgreich durchgeführt wurde, wartet Intune einen kurzen Augenblick, bevor das Upgrade des nächsten Servers gestartet wird.

Verwenden von Upgradesteuerungen

Um zu steuern, wann Intune mit dem Upgradezyklus beginnt, konfigurieren Sie an jedem Standort die folgenden Einstellungen. Sie können die Einstellungen konfigurieren, wenn Sie einen neuen Standort erstellen, oder indem Sie die Eigenschaften eines vorhandenen Standorts bearbeiten:

  • Automatically upgrade servers at this site (Automatisches Upgrade von Servern an diesem Standort)
  • Limit server upgrades to maintenance window (Serverupgrades auf das Wartungsfenster beschränken)

Automatically upgrade servers at this site (Automatisches Upgrade von Servern an diesem Standort)

Diese Einstellung bestimmt, ob ein Upgradezyklus für den Standort automatisch beginnen kann oder ob ein Administrator das Upgrade explizit genehmigen muss, bevor der Zyklus beginnen kann.

  • Ja(Standard) – Wenn diese Einstellung auf Ja festgelegt ist, führt der Standort automatisch ein Upgrade der Server aus, sobald eine neue Tunnelversion verfügbar ist. Die Upgrades beginnen ohne Administratoreingriff.

    Wenn Sie ein Wartungsfenster für den Standort festlegen, beginnt der Upgradezyklus zwischen der Start- und Endzeit des Fensters. Wenn kein Wartungsfenster festgelegt ist, wird der Upgradezyklus so bald wie möglich gestartet.

  • Nein– Wenn diese Einstellung auf Nein festgelegt ist, führt Intune server erst dann ein Upgrade durch, wenn sich ein Administrator explizit dafür entscheidet, den Upgradezyklus zu starten.

    Nachdem das Upgrade für einen Standort mit einem Wartungsfenster genehmigt wurde, beginnt der Upgradezyklus zwischen der Start- und Endzeit des Fensters. Wenn kein Wartungsfenster vorhanden ist, wird der Upgradezyklus so bald wie möglich gestartet.

    Wichtig

    Wenn Sie den Standort für manuelle Upgrades konfigurieren, überprüfen Sie in regelmäßigen Abständen auf der Registerkarte Integritätsprüfung, wann neuere Versionen von Microsoft Tunnel installiert werden können. In dem Bericht wird auch angegeben, wann die Unterstützung der aktuellen Tunnelversion am Standort endet.

Limit server upgrades to maintenance window (Serverupgrades auf das Wartungsfenster beschränken)

Verwenden Sie diese Einstellung, um ein Wartungsfenster für den Standort zu definieren.

Wenn ein Wartungsfenster für den Standort konfiguriert ist, kann der Serverupgradezyklus nur während des konfigurierten Zeitraums beginnen. Sobald der Zyklus begonnen hat, werden die Server jedoch nacheinander aktualisiert, bis das Upgrade auf allen dem Standort zugewiesenen Servern abgeschlossen wurde.

  • Nein(Standard) – Es ist kein Wartungsfenster festgelegt. Websites, die für ein automatisches Upgrade konfiguriert sind, tun dies so bald wie möglich. An Standorten, die eine explizite Aktion zum Starten des Upgrades erfordern, erfolgt das Upgrade so bald wie möglich, nachdem das Upgrade genehmigt wurde.

  • Ja: Festlegen eines Wartungsfensters. Das Fenster schränkt den Zeitraum ein, in dem ein Serverupgradezyklus am Standort beginnen kann. Das Wartungsfenster definiert nicht, wann das Upgrade auf einzelnen Servern, die dem Standort zugewiesen sind, beginnen kann.

    Standorte, die für das Upgrade konfiguriert sind, starten den Upgradezyklus nur während des konfigurierten Zeitraums automatisch. An Standorten, an denen der Administrator das Upgrade vor dessen Beginn genehmigen muss, erfolgt das Upgrade während des nächsten Wartungsfensters, nachdem es genehmigt wurde.

    Wenn diese Einstellung auf Ja festgelegt ist, konfigurieren Sie die folgenden Optionen:

    • Zeitzone: Die von Ihnen ausgewählte Zeitzone bestimmt, wann das Wartungsfenster auf allen Servern am Standort beginnt und endet. Es wird nicht die Zeitzone der einzelnen Server verwendet.
    • Startzeit: Geben Sie basierend auf der ausgewählten Zeitzone die früheste Zeit an, zu der der Upgradezyklus gestartet werden kann.
    • Endzeit: Geben Sie basierend auf der ausgewählten Zeitzone die späteste Zeit an, zu der der Upgradezyklus gestartet werden kann. Die Ausführung von Upgradezyklen, die vor dieser Zeit gestartet werden, wird fortgesetzt und kann nach diesem Zeitpunkt abgeschlossen werden.

Anzeigen des Tunnelserverstatus

Sie können Informationen zum Status von Microsoft Tunnel-Servern anzeigen, einschließlich der Version von Microsoft Tunnel auf einem Server.

Für Standorte, die kein automatisches Upgrade unterstützen, können Sie auch anzeigen, wann Upgrades auf eine neue Version verfügbar sind.

Melden Sie sich bei Microsoft Intune Admin Center>An, Mandantenverwaltung>Microsoft Tunnel Gateway>Health status. Wählen Sie einen Server aus, und öffnen Sie dann die Registerkarte Integritätsprüfung, um die folgenden entsprechenden Informationen anzuzeigen:

  • Serverversion: Der Status der Tunnel Gateway-Serversoftware in Bezug auf die neueste verfügbare Version

    • Fehlerfrei: Auf dem neuesten Stand hinsichtlich der neuesten Softwareversion
    • Warnung: Eine Version im Rückstand
    • Fehlerhaft: Zwei oder mehr Versionen im Rückstand, und Support wurde beendet

Wenn auf einem Server nicht die neueste Softwareversion ausgeführt wird, planen Sie die Installation eines verfügbaren Upgrades, damit Microsoft Tunnel weiterhin unterstützt wird.

Genehmigen von Upgrades

An Standorten, für die die Einstellung Server an diesem Standort automatisch aktualisieren auf Nein festgelegt ist, werden Server nicht automatisch aktualisiert. Stattdessen muss ein Administrator Upgrades für Server an diesem Standort genehmigen, bevor der Upgradezyklus beginnt.

Ermitteln Sie auf der Registerkarte Integritätsprüfung anhand des Serverstatus, wann ein Upgrade für Server verfügbar ist.

So genehmigen Sie ein Upgrade

  1. Melden Sie sich bei Microsoft Intune Admin Center>Mandantenverwaltung>Microsoft Tunnel Gateway>Sites an.

  2. Wählen Sie den Standort aus, dessen Upgradetyp auf Manuell festgelegt ist.

  3. Wählen Sie in den Eigenschaften des Standorts Upgrade Servers (Upgrade für Server durchführen) aus.

Nachdem Sie sich für das Upgrade von Servern entschieden haben, startet Intune den vorgang, der nicht abgebrochen werden kann. Der Zeitpunkt, zu dem Upgrades am Standort beginnen, hängt von der Konfiguration der Wartungsfenster für den Standort ab.

Microsoft Tunnel-Updateverlauf

Updates für Microsoft Tunnel werden regelmäßig veröffentlicht. Wenn eine neue Version verfügbar ist, informieren Sie sich hier über die Änderungen.

Nach einer Updateveröffentlichung wird das Update in den folgenden Tage den Mandanten nach und nach bereitgestellt. Dies bedeutet, dass möglicherweise einige Tage lang keine neuen Updates für Ihre Tunnelserver verfügbar sind.

Die Microsoft Tunnel-Version für einen Server ist zurzeit nicht über die Intune-Benutzeroberfläche verfügbar. Führen Sie stattdessen den folgenden Befehl auf dem Linux-Server aus, der den Tunnel hostet, um die Hashwerte von agentImageDigest und serverImageDiegest zu identifizieren: cat /etc/mstunnel/images_configured

Wichtig

Containerreleases erfolgen in Phasen. Wenn Sie feststellen, dass Ihre Containerimages nicht die neuesten sind, können Sie sicher sein, dass sie innerhalb der folgenden Woche aktualisiert und übermittelt werden.

Dienstag, 2. Oktober 2024

Image-Hashwerte:

  • agentImageDigest: sha256:7921c2e97217fa17de4ab69396d943e4975d323417b8b813211e2f8b639f64e1

  • serverImageDigest: sha256:0efab5013351bcd81f186973e75ed5d9f91bbe6271e3be481721500f946fc9ec

Änderungen in dieser Version: -Upgrade von .NET 6 auf .NET 8

  • Upgrade von ocserv auf Version 1.3.0
  • Beheben eines Fehlers für rootless-Container im Installationsprogramm

12. September 2024

Image-Hashwerte:

  • agentImageDigest: sha256:17158c73750ff2c7157e979c2f4ff4e175318730c16aa8d0ee6526a969c37c59

  • serverImageDigest: sha256:6484d311d1bd6cbe55d71306595715bafa6a20a000be6fd6f9e530716cef6c16

Änderungen in diesem Release:

  • Hinzufügen von Diagnosetools für die Hostproblembehandlung
  • Upgrade des Azure Linux-Images auf 2.0.20240829

Dienstag, 12. August 2024

Image-Hashwerte:

  • agentImageDigest: sha256:4d16b1f458c69c3423626906b0b577cb42c8d22f4240205299355c6217e08a6b

  • serverImageDigest: sha256:66559e142d489491ca8f090b50f4a444a3394f850a5ec09fb9f3e6f986d93c46

Änderungen in diesem Release:

  • Unterstützung der Anpassung der Containerregistrierung während der Installation
  • Unterstützung des Anpassens von Optionen zum Erstellen von Containern während der Installation
  • Sicherheitsupdates für das Basisimage

20. Juni 2024

Image-Hashwerte:

  • agentImageDigest: sha256:2c700282bbb525ca42c4da0827a62bee6e8079b36572cf777db72810dac3a788

  • serverImageDigest: sha256:5ba3c960be6b9da4569a019fcd57509c25a89106fc689fbff4fe38f0bdb98fbdd

Änderungen in diesem Release:

  • AL-Basisimage: Verwenden von Azure Linux als Basisimage für die Tunnelcontainer
  • Verbesserung der Zertifikatsperrprüfung

16. Mai 2024

Image-Hashwerte:

  • agentImageDigest: sha256:50b62c1d7f81e2941fc73a09856583ea752fe821e9fef448114fe7e00f90f25a

  • serverImageDigest: sha256:f6249bc16f90abc9e6fb278c74e07b1c3e295cc0614d38ae20036cee50ff5c56

Änderungen in diesem Release:

  • Gehärtete Container durch Reduzierung der Containerfunktionen auf ein Minimum
  • Sicherheitsupdates für das Basisimage

22. April 2024

Image-Hashwerte:

  • agentImageDigest: sha256:987028e043434cabf9a85a8be232a35cb10d6499ab9fa2b0ac33bd214455cdf6

  • serverImageDigest: sha256:95106796faa4648ffe877c1ae4635037fd8bd630498bb3caea366e3c832f84cc

Änderungen in diesem Release:

  • Unterstützung für podman-Container ohne Stamm hinzugefügt
  • Der Befehl "mst-cli server capture" wurde korrigiert.
  • Einige Fehler bei der Überprüfung der TLS-Zertifikatsperrung wurden behoben.

14. März 2024

Image-Hashwerte:

  • agentImageDigest: sha256:a0fa473b477c051445548f9e024cd58b3f87b0a87da7bafdf0d71ad6bb49a7c5

  • serverImageDigest: sha256:5f3f34f3f11a4d45efdd369e86d183cae0fafdd78c9c1d0a9275f26ce64e5510

Änderungen in diesem Release:

  • Fehlerbehebung: Erstellen Sie den Ordner /tmp/mstunnel während des Upgrades neu, wenn er fehlt.
  • Aktualisieren Sie OpenConnect VPN Server auf Version 1.2.3.
  • Verbesserungen am Diagnosetool.
  • Sicherheitsupdates für das Basisimage.

1. Februar 2024

Image-Hashwerte:

  • agentImageDigest: sha256:845aee9cbe3e4c9bd70b1b8108cd5108e454aff38237b236f75092164c885023

  • serverImageDigest: sha256:6f444d251b56e467b8791201f554b2d1431a135a5f66bc45638cec453e22b47

Änderungen in diesem Release:

  • Fehlerbehebung: Führen Sie den Befehl "docker network reload" nicht aus, um das Netzwerk zurückzusetzen. Der Befehl wird in Docker nicht unterstützt.
  • Sicherheitsupdates für das Basisimage.

4. Januar 2024

Image-Hashwerte:

  • agentImageDigest: sha256:9cd55c3f4ea4b4ff8212db46a81a0ceda29c3e9c534226eee4d0ce896bcc32596

  • serverImageDigest: sha256:0389d8c16794cf2f982a955a528b0bbba79b7c7180fd5706f44bb691ca61734d

Änderungen in diesem Release:

  • Fehlerbehebung: Fehlerbehebung für Rootless-Container
  • MTG-Behandlung für Diagnose- und Protokolluploadanforderung in HB-Antwort

14. November 2023

Image-Hashwerte:

  • agentImageDigest: sha256:fd64c2f2ae3c2f4111188a35da65e23385c9124c8f98b3614e0fb6500f59cf485

  • serverImageDigest: sha256:7385c838ed95f3f5fea48a3e277223e4faa502d64205f182cf43740ad4dd9573

Änderungen in diesem Release:

  • Fehlerbehebung: Es wurde das Problem behoben, das dazu führte, dass der MSTunnel-Servercontainer in einem falschen Zustand hängen blieb.
  • Erzwingen der Verwendung von TLS 1.2 in den Agent- und mstunnel-Apps

Dienstag, 4. Oktober 2023

Image-Hashwerte:

  • agentImageDigest: sha256:6c19b0aa077692b0d70ede9928f02b135122951708f83655041d0a40e8448039

  • serverImageDigest: sha256:9b477e6bc029d2ebadcafd4db3f516e87f0209b50d44fa2a5933aa7f17e9203b

Änderungen in diesem Release:

  • Fehlerbehebung: Hinzufügen von NAT-Legacytabellen für den mstunnel-server-Container auf Cent OS 7- und Red Hat 7-Hosts
  • Fehlerbehebung: Hinzufügen einer SELinux-Richtlinie zum Zulassen von TCP-DNS-Datenverkehr für die Container auf Red Hat-Hosts
  • Erhöhen des mstunnel-server-Container-PID-Grenzwerts auf 10000

Nächste Schritte

Referenz für Microsoft Tunnel