Manuelles Bereitstellen des Windows Admin Center in Azure zum Verwalten mehrerer Server

In diesem Artikel wird beschrieben, wie Sie Windows Admin Center manuell in einer Azure-VM bereitstellen, um mehrere Azure-VMs zu verwalten. Um einen einzelnen virtuellen Computer zu verwalten, verwenden Sie stattdessen die in der Azure-Portal integrierten Windows Admin Center Funktionalität, wie in "Verwenden Windows Admin Center" im Azure-Portal beschrieben).

Bereitstellen mithilfe des Skripts

Sie können Deploy-WACAzVM.ps1 herunterladen, die Sie von Azure Cloud Shell ausführen, um ein Windows Admin Center Gateway in Azure einzurichten. Dieses Skript kann die gesamte Umgebung erstellen, einschließlich der Ressourcengruppe.

Wechseln zu manuellen Bereitstellungsschritten

Voraussetzungen

  • Richten Sie Ihr Konto in Azure Cloud Shell ein. Wenn Sie Cloud Shell zum ersten Mal verwenden, werden Sie aufgefordert, ein Azure-Speicherkonto mit Cloud Shell zu verknüpfen oder zu erstellen.
  • Navigieren Sie in einer PowerShell-Cloud Shell zu Ihrem Startverzeichnis:PS Azure:\> cd ~
  • Um die Deploy-WACAzVM.ps1 Datei hochzuladen, ziehen Sie sie von Ihrem lokalen Computer an eine beliebige Stelle im fenster Cloud Shell.

Wenn Sie Ihr eigenes Zertifikat angeben:

  • Hochladen das Zertifikat an Azure Key Vault. Erstellen Sie zuerst einen Schlüsseltresor in Azure-Portal, und laden Sie das Zertifikat dann in den Schlüsseltresor hoch. Alternativ können Sie Azure-Portal verwenden, um ein Zertifikat für Sie zu generieren.

Skriptparameter

  • ResourceGroupName - [String] Gibt den Namen der Ressourcengruppe an, in der die VM erstellt wird.

  • Name - [Zeichenfolge] Gibt den Namen der VM an.

  • Anmeldeinformationen – [PSCredential ] Gibt die Anmeldeinformationen für den virtuellen Computer an.

  • MsiPath – [Zeichenfolge] Gibt den lokalen Pfad des Windows Admin Center MSI an, wenn Windows Admin Center auf einer vorhandenen VM bereitgestellt wird. Wird standardmäßig auf die Version https://aka.ms/WACDownload festgelegt, wenn sie nicht angegeben wird.

  • VaultName - [String] Gibt den Namen des Schlüsseltresors an, der das Zertifikat enthält.

  • CertName - [String] Gibt den Namen des Zertifikats an, das für die MSI-Installation verwendet werden soll.

  • GenerateSslCert - [Switch] True, wenn die MSI ein selbstsigniertes SSL-Zertifikat generieren soll.

  • PortNumber - [int] Gibt die SSL-Portnummer für den Windows Admin Center Dienst an. Standardwerte sind 443, wenn sie nicht angegeben werden.

  • OpenPorts - [int[]] Gibt die geöffneten Ports für die VM an.

  • Speicherort – [Zeichenfolge] Gibt den Speicherort der VM an.

  • Größe – [Zeichenfolge] Gibt die Größe des virtuellen Computers an. Wird standardmäßig auf "Standard_DS1_v2" festgelegt, wenn sie nicht angegeben wird.

  • Image - [String] Gibt das Image der VM an. Wird standardmäßig "Win2016Datacenter" angegeben.

  • VirtualNetworkName – [Zeichenfolge] Gibt den Namen des virtuellen Netzwerks für den virtuellen Computer an.

  • Subnetzname – [Zeichenfolge] Gibt den Namen des Subnetzs für den virtuellen Computer an.

  • SecurityGroupName - [String] Gibt den Namen der Sicherheitsgruppe für den virtuellen Computer an.

  • PublicIpAddressName – [Zeichenfolge] Gibt den Namen der öffentlichen IP-Adresse für den virtuellen Computer an.

  • InstallWACOnly – [Switch] Auf "True" festlegen, wenn WAC auf einer bereits vorhandenen Azure-VM installiert werden soll.

Es gibt 2 verschiedene Optionen für die MSI-Bereitstellung und das zertifikat, das für die MSI-Installation verwendet wird. Die MSI kann entweder aus aka.ms/WACDownload heruntergeladen werden oder wenn sie auf einer vorhandenen VM bereitgestellt werden, kann der Dateipfad einer MSI lokal auf dem virtuellen Computer angegeben werden. Das Zertifikat kann entweder in Azure Key Vault oder in einem selbstsignierten Zertifikat vom MSI generiert werden.

Skriptbeispiele

Definieren Sie zunächst allgemeine Variablen, die für die Parameter des Skripts erforderlich sind.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Beispiel 1: Verwenden Sie das Skript zum Bereitstellen des WAC-Gateways auf einem neuen virtuellen Computer in einer neuen virtuellen Netzwerk- und Ressourcengruppe. Verwenden Sie die MSI-Datei aus aka.ms/WACDownload und ein selbstsigniertes Zertifikat aus dem MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Beispiel 2: Identisch mit "#1", aber verwenden Sie ein Zertifikat aus Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Beispiel 3: Verwenden einer lokalen MSI-Datei auf einer vorhandenen VM zum Bereitstellen von WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Anforderungen für den virtuellen Computer, der das Windows Admin Center Gateway ausführt

Port 443 (HTTPS) muss geöffnet sein. Mit den für Skripts definierten Variablen können Sie den folgenden Code in Azure Cloud Shell verwenden, um die Netzwerksicherheitsgruppe zu aktualisieren:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Anforderungen für verwaltete Azure-VM

Port 5985 (WinRM over HTTP) muss geöffnet sein und über einen aktiven Listener verfügen. Sie können den folgenden Code in Azure Cloud Shell verwenden, um die verwalteten Knoten zu aktualisieren. $ResourceGroupName und $Name verwenden Sie dieselben Variablen wie das Bereitstellungsskript, aber Sie müssen den $Credential spezifischen Für den virtuellen Computer verwenden, den Sie verwalten.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Manuelles Bereitstellen auf einem vorhandenen virtuellen Azure-Computer

Bevor Sie Windows Admin Center auf Ihrer gewünschten Gateway-VM installieren, installieren Sie ein SSL-Zertifikat, das für die HTTPS-Kommunikation verwendet werden soll, oder Sie können ein selbstsigniertes Zertifikat verwenden, das von Windows Admin Center generiert wird. Sie erhalten jedoch eine Warnung, wenn Sie versuchen, eine Verbindung mit einem Browser herzustellen, wenn Sie die letztere Option auswählen. Sie können diese Warnung in Edge umgehen, indem Sie auf die Webseite klicken oder in Chrome auf "Weiter" klicken>, indem Sie "Weiter > zu [Webseite]" auswählen. Es wird empfohlen, nur selbstsignierte Zertifikate für Testumgebungen zu verwenden.

Hinweis

Diese Anweisungen gelten für die Installation auf Windows Server mit Desktoperfahrung, nicht auf einer Server Core-Installation.

  1. Laden Sie Windows Admin Center auf Ihren lokalen Computer herunter.

  2. Stellen Sie eine Remotedesktopverbindung mit dem virtuellen Computer her, kopieren Sie dann die MSI von Ihrem lokalen Computer, und fügen Sie sie in den virtuellen Computer ein.

  3. Doppelklicken Sie auf die MSI-Datei, um mit der Installation zu beginnen, und folgen Sie den Anweisungen im Assistenten. Bedenken Sie dabei Folgendes:

    • Standardmäßig verwendet das Installationsprogramm den empfohlenen Port 443 (HTTPS). Wenn Sie einen anderen Port auswählen möchten, beachten Sie, dass Sie diesen Port auch in Ihrer Firewall öffnen müssen.

    • Wenn Sie bereits ein SSL-Zertifikat auf dem virtuellen Computer installiert haben, stellen Sie sicher, dass Sie diese Option auswählen und den Fingerabdruck eingeben.

  4. Starten Sie den Windows Admin Center Dienst (führen Sie C:/Program Files/Windows Admin Center/sme.exe) aus.

Erfahren Sie mehr über die Bereitstellung von Windows Admin Center.

Konfigurieren Sie die Gateway-VM, um den HTTPS-Portzugriff zu aktivieren:

  1. Navigieren Sie zu Ihrem virtuellen Computer im Azure-Portal, und wählen Sie "Netzwerk" aus.

  2. Wählen Sie die Regel "Eingehenden Port hinzufügen" aus, und wählen Sie "HTTPS " unter "Dienst" aus.

Hinweis

Wenn Sie einen anderen Port als die Standardeinstellung 443 ausgewählt haben, wählen Sie "Benutzerdefiniert " unter "Dienst" aus, und geben Sie den Port ein, den Sie in Schritt 3 unter Portbereichen ausgewählt haben.

Zugreifen auf ein Windows Admin Center Gateway, das auf einer Azure-VM installiert ist

An diesem Punkt sollten Sie auf Windows Admin Center von einem modernen Browser (Edge oder Chrome) auf Ihrem lokalen Computer zugreifen können, indem Sie zum DNS-Namen Ihrer Gateway-VM navigieren.

Hinweis

Wenn Sie einen anderen Port als 443 ausgewählt haben, können Sie auf Windows Admin Center zugreifen, indem Sie zu https://< DNS-Namen Ihres virtuellen Computers>:<benutzerdefinierten Port navigieren.>

Wenn Sie versuchen, auf Windows Admin Center zuzugreifen, fordert der Browser die Anmeldeinformationen auf, um auf den virtuellen Computer zuzugreifen, auf dem Windows Admin Center installiert ist. Hier müssen Sie Anmeldeinformationen eingeben, die sich in der Gruppe "Lokale Benutzer" oder "Lokale Administratoren" des virtuellen Computers befinden.

Um andere VMs im VNet hinzuzufügen, stellen Sie sicher, dass WinRM auf den Ziel-VMs ausgeführt wird, indem Sie folgendes in PowerShell oder die Eingabeaufforderung auf der Ziel-VM ausführen: winrm quickconfig

Wenn Sie nicht mit der Domäne in die Azure-VM eingebunden sind, verhält sich die VM wie ein Server in Arbeitsgruppen, sodass Sie sicherstellen müssen, dass Sie Windows Admin Center in einer Arbeitsgruppe verwenden.