Manuelle Bereitstellung von Windows Admin Center in Azure zum Verwalten mehrerer Server

In diesem Artikel wird beschrieben, wie Sie Windows Admin Center manuell in einer Azure-VM bereitstellen, um mehrere Azure-VMs zu verwalten. Um einen einzelnen virtuellen Computer zu verwalten, verwenden Sie stattdessen die im Azure-Portal integrierte Windows Admin Center-Funktionalität, wie unter Verwendung von Windows Admin Center im Azure-Portal beschrieben).

Bereitstellen mithilfe von Skripts

Sie können Deploy-WACAzVM.ps1 herunterladen, die Sie von Azure Cloud Shell ausführen, um ein Windows Admin Center-Gateway in Azure einzurichten. Dieses Skript kann die gesamte Umgebung erstellen, einschließlich der Ressourcengruppe.

Springen zu manuellen Bereitstellungsschritten

Voraussetzungen

• Richten Sie Ihr Konto in Azure Cloud Shell ein. Wenn Sie Cloud Shell zum ersten Mal verwenden, werden Sie aufgefordert, ein Azure-Speicherkonto mit Cloud Shell zu verknüpfen oder zu erstellen.
• Navigieren Sie in einer PowerShell Cloud Shell zu Ihrem Startverzeichnis: PS Azure:\> cd ~
• Um die Deploy-WACAzVM.ps1 Datei hochzuladen, ziehen Sie sie von Ihrem lokalen Computer an eine beliebige Stelle im Cloud Shell-Fenster.

Wenn Sie Ihr eigenes Zertifikat angeben:

• Laden Sie das Zertifikat in Azure Key Vault hoch. Erstellen Sie zuerst einen Schlüsseltresor im Azure-Portal, und laden Sie das Zertifikat dann in den Schlüsseltresor hoch. Alternativ können Sie das Azure-Portal verwenden, um ein Zertifikat für Sie zu generieren.

Skriptparameter

• ResourceGroupName - [String] Gibt den Namen der Ressourcengruppe an, in der die VM erstellt wird.

• Name - [String] Gibt den Namen der VM an.

• Anmeldeinformationen – [PSCredential] Gibt die Anmeldeinformationen für den virtuellen Computer an.

• MsiPath – [Zeichenfolge] Gibt den lokalen Pfad der Windows Admin Center-MSI an, wenn Windows Admin Center auf einer vorhandenen VM bereitgestellt wird. Der Standardwert ist die Version von https://aka.ms/WACDownload, wenn nichts angegeben wird.

• VaultName - [String] Gibt den Namen des Schlüsseltresors an, der das Zertifikat enthält.

• CertName - [String] Gibt den Namen des Zertifikats an, das für die MSI-Installation verwendet werden soll.

• GenerateSslCert - [Switch] True, wenn die MSI ein selbstsigniertes SSL-Zertifikat generieren soll.

• PortNumber - [int] Gibt die SSL-Portnummer für den Windows Admin Center-Dienst an. Wenn nichts angegeben wird, lautet der Standardwert 443.

• OpenPorts - [int[]] Gibt die offenen Ports für die VM an.

• Speicherort - [Zeichenfolge] Gibt den Speicherort der VM an.

• Size - [String] Gibt die Größe des virtuellen Computers an. Wenn nichts angegeben wird, lautet der Standardwert „Standard_DS1_v2“.

• Image - [String] Gibt das Image der VM an. Wenn nichts angegeben wird, lautet der Standardwert „Win2016Datacenter“.

• VirtualNetworkName - [String] Gibt den Namen des virtuellen Netzwerks für die VM an.

• Subnetzname - [Zeichenfolge] Gibt den Namen des Subnetzes für den virtuellen Computer an.

• SecurityGroupName - [String] Gibt den Namen der Sicherheitsgruppe für die VM an.

• PublicIpAddressName - [String] Gibt den Namen der öffentlichen IP-Adresse für den virtuellen Computer an.

• InstallWACOnly - [Schalter] Auf True setzen, wenn WAC auf einer bereits existierenden Azure-VM installiert werden soll.

Es gibt zwei verschiedene Optionen für die Bereitstellung des MSI und das Zertifikat, das für die MSI-Installation verwendet wird. Die MSI-Datei kann entweder von aka.ms/WACDownload heruntergeladen werden, oder, wenn sie auf einer vorhandenen VM bereitgestellt wird, kann der Dateipfad eines lokalen MSI auf dem virtuellen Computer angegeben werden. Das Zertifikat befindet sich entweder im Azure Key Vault oder in einem selbstsignierten Zertifikat, das von der MSI generiert wird.

Skriptbeispiele

Definieren Sie zunächst allgemeine Variablen, die für die Parameter des Skripts erforderlich sind.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Beispiel 1: Verwenden Sie das Skript zum Bereitstellen des WAC-Gateways auf einer neuen VM in einem neuen virtuellen Netzwerk und einer neuen Ressourcengruppe. Verwenden Sie die MSI-Datei aus aka.ms/WACDownload und ein selbstsigniertes Zertifikat aus der MSI.Use the MSI from aka.ms/WACDownload and a self-signed cert from the MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Beispiel 2: Identisch mit "#1", aber verwenden Sie ein Zertifikat aus Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Beispiel 3: Verwenden einer lokalen MSI-Datei auf einer vorhandenen VM zum Bereitstellen von WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Anforderungen für den virtuellen Computer, auf dem das Windows Admin Center-Gateway ausgeführt wird

Port 443 (HTTPS) muss geöffnet sein. Mit denselben variablen, die für skripts definiert sind, können Sie den folgenden Code in Azure Cloud Shell verwenden, um die Netzwerksicherheitsgruppe zu aktualisieren:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Anforderungen für verwaltete Azure-VM

Port 5985 (WinRM über HTTP) muss geöffnet sein und über einen aktiven Listener verfügen. Sie können den folgenden Code in Azure Cloud Shell verwenden, um die verwalteten Knoten zu aktualisieren. $ResourceGroupName und $Name verwenden dieselben Variablen wie das Bereitstellungsskript, aber Sie müssen den $Credential spezifischen für den virtuellen Computer verwenden, den Sie verwalten.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Manuelle Bereitstellung auf einem vorhandenen virtuellen Azure-Computer

Bevor Sie Windows Admin Center auf Ihrer gewünschten Gateway-VM installieren, installieren Sie ein SSL-Zertifikat, das für die HTTPS-Kommunikation verwendet werden soll, oder Sie können ein selbstsigniertes Zertifikat verwenden, das von Windows Admin Center generiert wird. Sie erhalten jedoch eine Warnung, wenn Sie versuchen, eine Verbindung über einen Browser herzustellen, wenn Sie die letztere Option auswählen. Sie können diese Warnung in Edge umgehen, indem Sie auf Details > Weiter zur Webseite klicken oder in Chrome Erweitert > Weiter zu [Webseite] auswählen. Es wird empfohlen, nur selbstsignierte Zertifikate für Testumgebungen zu verwenden.

Hinweis

Diese Anweisungen gelten für die Installation auf Windows Server mit Desktopdarstellung und nicht für eine Server Core-Installation.

1. Laden Sie Windows Admin Center auf Ihren lokalen Computer herunter.

2. Richten Sie eine Remotedesktopverbindung mit dem virtuellen Computer ein, kopieren Sie dann die MSI-Datei von Ihrem lokalen Computer, und fügen Sie sie in den virtuellen Computer ein.

3. Doppelklicken Sie auf die MSI-Datei, um mit der Installation zu beginnen, und folgen Sie den Anweisungen im Assistenten. Bedenken Sie dabei Folgendes:

   • Standardmäßig verwendet das Installationsprogramm den empfohlenen Port 443 (HTTPS). Wenn Sie einen anderen Port auswählen möchten, beachten Sie, dass Sie diesen Port auch in Ihrer Firewall öffnen müssen.

   • Wenn Sie bereits ein SSL-Zertifikat auf dem virtuellen Computer installiert haben, stellen Sie sicher, dass Sie diese Option auswählen und den Fingerabdruck eingeben.

4. Starten Sie den Windows Admin Center-Dienst (führen Sie C:/Programme/Windows Admin Center/sme.exe) aus.

Erfahren Sie mehr über die Bereitstellung von Windows Admin Center.

Konfigurieren Sie die Gateway-VM, um den HTTPS-Portzugriff zu aktivieren:

1. Navigieren Sie im Azure-Portal zu Ihrer VM, und wählen Sie "Netzwerk" aus.

2. Wählen Sie Regel für eingehenden Port hinzufügen und dann unter Dienst die Option HTTPS aus.

Hinweis

Wenn Sie einen anderen Port als die Standardeinstellung 443 ausgewählt haben, wählen Sie "Benutzerdefiniert" unter "Dienst" aus, und geben Sie den port ein, den Sie in Schritt 3 unter Portbereichen ausgewählt haben.

Zugreifen auf ein Windows Admin Center-Gateway, das auf einer Azure-VM installiert ist

Zu diesem Zeitpunkt sollten Sie über einen modernen Browser (Edge oder Chrome) auf Ihrem lokalen Computer auf Windows Admin Center zugreifen können, indem Sie zum DNS-Namen Ihrer Gateway-VM navigieren.

Hinweis

Wenn Sie einen anderen Port als 443 ausgewählt haben, können Sie auf Windows Admin Center zugreifen, indem Sie zu https://< DNS-Namen Ihres VM>:custom-Ports navigieren.<>

Wenn Sie versuchen, auf Windows Admin Center zuzugreifen, fordert der Browser Anmeldeinformationen für den Zugriff auf den virtuellen Computer auf, auf dem Windows Admin Center installiert ist. Hier müssen Sie Anmeldeinformationen eingeben, die sich in der Gruppe "Lokale Benutzer" oder "Lokale Administratoren" des virtuellen Computers befinden.

Um weitere VMs im VNet hinzuzufügen, stellen Sie sicher, dass WinRM auf den Ziel-VMs ausgeführt wird, indem Sie folgendes in PowerShell oder der Eingabeaufforderung auf der Ziel-VM ausführen: winrm quickconfig

Wenn Sie die Azure-VM nicht in eine Domäne eingebunden haben, verhält sich der virtuelle Computer wie ein Server in einer Arbeitsgruppe. Daher müssen Sie sicherstellen, dass Sie Windows Admin Center in einer Arbeitsgruppe verwenden.