Menyebarkan Windows Admin Center secara manual di Azure untuk mengelola beberapa server

Artikel ini menjelaskan cara menyebarkan Pusat Admin Windows secara manual di Azure VM untuk digunakan dalam mengelola beberapa Azure VM. Untuk mengelola satu VM, sebagai gantinya gunakan fungsionalitas Pusat Admin Windows yang disertakan dalam portal Azure, seperti yang dijelaskan dalam Menggunakan Pusat Admin Windows di portal Azure).

Menyebarkan menggunakan skrip

Anda dapat mengunduh Deploy-WACAzVM.ps1 yang akan Anda jalankan dari Azure Cloud Shell untuk menyiapkan gateway Pusat Admin Windows di Azure. Skrip ini dapat membuat seluruh lingkungan, termasuk grup sumber daya.

Lompat ke langkah-langkah penyebaran manual

Prasyarat

• Siapkan akun Anda di Azure Cloud Shell. Jika ini pertama kalinya Anda menggunakan Cloud Shell, Anda akan diminta untuk mengaitkan atau membuat akun penyimpanan Azure dengan Cloud Shell.
• Di PowerShell Cloud Shell, navigasikan ke direktori beranda Anda:PS Azure:\> cd ~
• Untuk mengunggah Deploy-WACAzVM.ps1 file, seret dan letakkan dari komputer lokal Anda ke mana saja di jendela Cloud Shell.

Jika menentukan sertifikat Anda sendiri:

• Unggah sertifikat ke Azure Key Vault. Pertama, buat brankas kunci di portal Azure, lalu unggah sertifikat ke brankas kunci. Atau, Anda dapat menggunakan portal Azure untuk membuat sertifikat untuk Anda.

Parameter skrip

• ResourceGroupName - [String] Menentukan nama grup sumber daya tempat VM akan dibuat.

• Nama - [String] Menentukan nama VM.

• Kredensial - [PSCredential] Menentukan kredensial untuk VM.

• MsiPath - [String] Menentukan jalur lokal MSI Pusat Admin Windows saat menyebarkan Pusat Admin Windows pada VM yang ada. Default ke versi dari https://aka.ms/WACDownload jika dihilangkan.

• VaultName - [String] Menentukan nama brankas kunci yang berisi sertifikat.

• CertName - [String] Menentukan nama sertifikat yang akan digunakan untuk penginstalan MSI.

• GenerateSslCert - [Switch] True jika MSI harus menghasilkan sertifikat ssl yang ditandatangani sendiri.

• PortNumber - [int] Menentukan nomor port ssl untuk layanan Pusat Admin Windows. Default ke 443 jika dihilangkan.

• OpenPorts - [int[]] Menentukan port terbuka untuk VM.

• Location - [String] Menentukan lokasi VM.

• Ukuran - [String] Menentukan ukuran VM. Default ke "Standard_DS1_v2" jika dihilangkan.

• Gambar - [String] Menentukan gambar VM. Default ke "Win2016Datacenter" jika dihilangkan.

• VirtualNetworkName - [String] Menentukan nama jaringan virtual untuk VM.

• SubnetName - [String] Menentukan nama subnet untuk VM.

• SecurityGroupName - [String] Menentukan nama grup keamanan untuk VM.

• PublicIpAddressName - [String] Menentukan nama alamat IP publik untuk VM.

• InstallWACOnly - [Switch] Atur ke True jika WAC harus diinstal pada Azure VM yang sudah ada sebelumnya.

Ada 2 opsi berbeda untuk disebarkan MSI dan sertifikat yang digunakan untuk penginstalan MSI. MSI dapat diunduh dari aka.ms/WACDownload atau, jika menyebarkan ke VM yang ada, filepath MSI secara lokal pada VM dapat diberikan. Sertifikat dapat ditemukan di Azure Key Vault atau sertifikat yang ditandatangani sendiri akan dihasilkan oleh MSI.

Contoh Skrip

Pertama, tentukan variabel umum yang diperlukan untuk parameter skrip.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Contoh 1: Gunakan skrip untuk menyebarkan gateway WAC pada VM baru di jaringan virtual dan grup sumber daya baru. Gunakan MSI dari aka.ms/WACDownload dan sertifikasi yang ditandatangani sendiri dari MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Contoh 2: Sama seperti #1, tetapi menggunakan sertifikat dari Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Contoh 3: Menggunakan MSI lokal pada VM yang ada untuk menyebarkan WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Persyaratan untuk VM yang menjalankan gateway Pusat Admin Windows

Port 443 (HTTPS) harus terbuka. Dengan menggunakan variabel yang sama yang ditentukan untuk skrip, Anda dapat menggunakan kode di bawah ini di Azure Cloud Shell untuk memperbarui grup keamanan jaringan:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Persyaratan untuk Azure VM terkelola

Port 5985 (WinRM melalui HTTP) harus terbuka dan memiliki pendengar aktif. Anda dapat menggunakan kode di bawah ini di Azure Cloud Shell untuk memperbarui simpul terkelola. $ResourceGroupName dan $Name gunakan variabel yang sama dengan skrip penyebaran, tetapi Anda harus menggunakan $Credential khusus untuk VM yang Anda kelola.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Menyebarkan secara manual pada komputer virtual Azure yang ada

Sebelum menginstal Windows Admin Center pada VM gateway yang Anda inginkan, instal sertifikat SSL yang akan digunakan untuk komunikasi HTTPS, atau Anda dapat memilih untuk menggunakan sertifikat yang ditandatangani sendiri yang dihasilkan oleh Pusat Admin Windows. Namun, Anda akan mendapatkan peringatan saat mencoba terhubung dari browser jika Anda memilih opsi terakhir. Anda dapat melewati peringatan ini di Edge dengan mengklik Detail Buka halaman web atau, di Chrome, dengan memilih Lanjutkan > ke [halaman web]>. Sebaiknya Anda hanya menggunakan sertifikat yang ditandatangani sendiri untuk lingkungan pengujian.

Catatan

Instruksi ini untuk menginstal di Windows Server dengan Pengalaman Desktop, bukan pada penginstalan Server Core.

1. Unduh Pusat Admin Windows ke komputer lokal Anda.

2. Buat koneksi desktop jarak jauh ke VM, lalu salin MSI dari komputer lokal Anda dan tempelkan ke VM.

3. Klik dua kali MSI untuk memulai penginstalan, dan ikuti instruksi dalam wizard. Perhatikan hal-hal berikut:

   • Secara default, alat penginstal menggunakan port 443 (HTTPS) yang direkomendasikan. Jika Anda ingin memilih port yang berbeda, perhatikan bahwa Anda juga perlu membuka port tersebut di firewall Anda.

   • Jika Anda telah menginstal sertifikat SSL pada VM, pastikan Anda memilih opsi tersebut dan memasukkan thumbprint.

4. Mulai layanan Pusat Admin Windows (jalankan C:/Program Files/Windows Admin Center/sme.exe)

Pelajari selengkapnya tentang menyebarkan Pusat Admin Windows.

Konfigurasikan VM gateway untuk mengaktifkan akses port HTTPS:

1. Navigasi ke VM Anda di portal Azure dan pilih Jaringan.

2. Pilih Tambahkan aturan port masuk dan pilih HTTPS di bawah Layanan.

Catatan

Jika Anda memilih port selain default 443, pilih Kustom di bawah Layanan dan masukkan port yang Anda pilih di langkah 3 di bawah Rentang port.

Mengakses gateway Pusat Admin Windows yang diinstal pada Azure VM

Pada titik ini, Anda harus dapat mengakses Pusat Admin Windows dari browser modern (Edge atau Chrome) di komputer lokal Anda dengan menavigasi ke nama DNS VM gateway Anda.

Catatan

Jika Anda memilih port selain 443, Anda dapat mengakses Pusat Admin Windows dengan menavigasi ke nama https://< DNS VM>:<port kustom Anda>

Ketika Anda mencoba mengakses Pusat Admin Windows, browser akan meminta kredensial untuk mengakses komputer virtual tempat Pusat Admin Windows diinstal. Di sini Anda harus memasukkan kredensial yang ada di grup Pengguna lokal atau Administrator lokal komputer virtual.

Untuk menambahkan VM lain di VNet, pastikan WinRM berjalan pada VM target dengan menjalankan yang berikut ini di PowerShell atau prompt perintah pada VM target: winrm quickconfig

Jika Anda belum bergabung dengan domain Azure VM, VM berperilaku seperti server dalam grup kerja, jadi Anda harus memastikan akun Anda untuk menggunakan Pusat Admin Windows dalam grup kerja.