App Service op Azure Stack Hub 2302 releaseopmerkingen

In deze releaseopmerkingen worden de verbeteringen en oplossingen in Azure App Service op Azure Stack Hub 2302 en bekende problemen beschreven. Bekende problemen zijn onderverdeeld in problemen die rechtstreeks verband houden met de implementatie, het updateproces en problemen met de build (na de installatie).

Belangrijk

Werk Azure Stack Hub zo nodig bij naar een ondersteunde versie (of implementeer de nieuwste Azure Stack Development Kit) voordat u de App Service resourceprovider (RP) implementeert of bijwerkt. Lees de opmerkingen bij de RP-release voor meer informatie over nieuwe functionaliteit, oplossingen en bekende problemen die van invloed kunnen zijn op uw implementatie.

Ondersteunde minimale Versie van Azure Stack Hub	App Service RP-versie
2301 en hoger	2302 Installer (opmerkingen bij de release)

Build-verwijzing

Het buildnummer App Service op Azure Stack Hub 2302 is 98.0.1.703

Wat is er nieuw?

Azure App Service op Azure Stack Hub 2302 vervangt de 2022 H1-release en bevat oplossingen voor de volgende problemen:

• CVE-2023-21703 Azure App Service op een beveiligingsprobleem met betrekking tot onrechtmatige uitbreiding van toegangsrechten in Azure Stack Hub.

• Kan Virtual Machine Scale Sets Gebruikerservaring niet openen vanuit de gebruikerservaring App Service Rollen-beheerder in de Azure Stack Hub-beheerportal.

• Alle andere updates worden beschreven in de releaseopmerkingen bij de Azure App Service op Azure Stack Hub 2022 H1.

• Vanaf de Azure App Service op Azure Stack Hub 2022 H1-update is de letter K nu een gereserveerde SKU-letter. Als u een aangepaste SKU hebt gedefinieerd die gebruikmaakt van de letter K, neemt u contact op met de ondersteuning voor hulp bij het oplossen van deze situatie vóór de upgrade.

Vereisten

Raadpleeg de documentatie Voordat u aan de slag gaat voordat u begint met de implementatie.

Voordat u begint met de upgrade van Azure App Service op Azure Stack Hub naar 2302:

• Zorg ervoor dat uw Azure Stack Hub is bijgewerkt naar 1.2108.2.127 of 1.2206.2.52.

• Zorg ervoor dat alle rollen gereed zijn in de Azure App Service beheer in de Azure Stack Hub-beheerportal.

• Maak een back-up van App Service geheimen met behulp van het App Service-beheer in de Azure Stack Hub-beheerportal.

• Maak een back-up van de App Service en SQL Server hoofddatabases:

  • AppService_Hosting;
  • AppService_Metering;
  • Master

• Maak een back-up van de inhoudsbestandsshare van de tenant-app.

  Belangrijk

  Cloudoperators zijn verantwoordelijk voor het onderhoud en de werking van de bestandsserver en SQL Server. Deze resources worden niet beheerd door de resourceprovider. De cloudoperator is verantwoordelijk voor het maken van back-ups van de App Service databases en de bestandsshare voor tenantinhoud.

• Gebruik de aangepaste scriptextensie versie 1.9.3 vanuit Marketplace.

Stappen vóór bijwerken

Notitie

Als u eerder Azure App Service op Azure Stack Hub 2022 H1 hebt geïmplementeerd in uw Azure Stack Hub-stempel, is deze release een kleine upgrade naar 2022 H1, waarmee twee problemen worden opgelost.

Azure App Service op Azure Stack Hub 2302 is een belangrijke update die meerdere uren in beslag neemt. De hele implementatie wordt bijgewerkt en alle rollen worden opnieuw gemaakt met het Besturingssysteem Windows Server 2022 Datacenter. Daarom raden we u aan eindgebruikers te informeren over een geplande update voordat u de update toepast.

• Vanaf de Azure App Service op Azure Stack Hub 2022 H1-update is de letter K nu een gereserveerde SKU-letter. Als u een aangepaste SKU hebt gedefinieerd die gebruikmaakt van de letter K, neemt u contact op met de ondersteuning voor hulp bij het oplossen van deze situatie vóór de upgrade.

Bekijk de bekende problemen voor bijwerken en voer de voorgeschreven acties uit.

Stappen na implementatie

Belangrijk

Als u de App Service resourceprovider hebt voorzien van een SQL AlwaysOn-exemplaar, moet u de appservice_hosting- en appservice_metering-databases toevoegen aan een beschikbaarheidsgroep en de databases synchroniseren om te voorkomen dat de service verloren gaat in het geval van een databasefailover.

Bekende problemen (update)

• In situaties waarin u de appservice_hosting en appservice_metering databases hebt geconverteerd naar ingesloten databases, kan de upgrade mislukken als aanmeldingen niet zijn gemigreerd naar ingesloten gebruikers.

  Als u de appservice_hosting en appservice_metering databases hebt geconverteerd naar de ingesloten database na de implementatie en de aanmeldingen van de database niet hebt gemigreerd naar ingesloten gebruikers, kunnen er upgradefouten optreden.

  U moet het volgende script uitvoeren voor de SQL Server die als host fungeert voor appservice_hosting en appservice_metering voordat u uw Azure App Service op Azure Stack Hub-installatie upgradet naar het derde kwartaal van 2020. Dit script is niet-destructief en veroorzaakt geen downtime.

  Dit script moet worden uitgevoerd onder de volgende voorwaarden:

  • Door een gebruiker met de bevoegdheid van de systeembeheerder, bijvoorbeeld het SQL SA-account.
  • Als u SQL AlwaysOn gebruikt, moet u ervoor zorgen dat het script wordt uitgevoerd vanuit het SQL-exemplaar dat alle App Service aanmeldingen in het formulier bevat:
    • appservice_hosting_FileServer
    • appservice_hosting_HostingAdmin
    • appservice_hosting_LoadBalancer
    • appservice_hosting_Operations
    • appservice_hosting_Publisher
    • appservice_hosting_SecurePublisher
    • appservice_hosting_WebWorkerManager
    • appservice_metering_Common
    • appservice_metering_Operations
    • Alle WebWorker-aanmeldingen: deze zijn in de vorm WebWorker_<instance IP-adres>

        USE appservice_hosting
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  
        USE appservice_metering
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  

• Tenanttoepassingen kunnen na de upgrade geen certificaten binden aan toepassingen.

  De oorzaak van dit probleem wordt veroorzaakt door een ontbrekende functie op front-ends na de upgrade naar Windows Server 2022. Operators moeten deze procedure volgen om het probleem op te lossen.

  1. Navigeer in de Azure Stack Hub-beheerportal naar Netwerkbeveiligingsgroepen en bekijk de ControllersNSG-netwerkbeveiligingsgroep .

  2. Extern bureaublad is standaard uitgeschakeld voor alle App Service infrastructuurrollen. Wijzig de actie Inbound_Rdp_3389 regel in Toegang toestaan .

  3. Navigeer naar de resourcegroep met de App Service resourceproviderimplementatie. De naam is standaard AppService.<regio> en verbinding maken met CN0-VM.

  4. Ga terug naar de sessie cn0-VM extern bureaublad.

  5. Voer in een PowerShell-sessie voor beheerders het volgende uit:

     Belangrijk

     Tijdens de uitvoering van dit script is er een onderbreking voor elk exemplaar in de front-endschaalset. Als er een bericht is dat aangeeft dat de functie wordt geïnstalleerd, wordt dat exemplaar opnieuw opgestart. Gebruik de pauze in het script om de beschikbaarheid van de front-end te behouden. Operators moeten ervoor zorgen dat ten minste één front-endexemplaren te allen tijde gereed is om ervoor te zorgen dat tenanttoepassingen verkeer kunnen ontvangen en geen downtime ervaren.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session
     
     Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
     

  6. Ga in de Azure Stack-beheerportal terug naar de Netwerkbeveiligingsgroep ControllersNSG .

  7. Wijzig de regel Inbound_Rdp_3389 om toegang te weigeren.

Bekende problemen (na installatie)

• Werkrollen kunnen de bestandsserver niet bereiken wanneer App Service is geïmplementeerd in een bestaand virtueel netwerk en de bestandsserver alleen beschikbaar is in het particuliere netwerk, zoals wordt opgegeven in de documentatie over de Azure App Service in Azure Stack-implementatie.

  Als u ervoor kiest om te implementeren in een bestaand virtueel netwerk en een intern IP-adres om verbinding te maken met uw bestandsserver, moet u een uitgaande beveiligingsregel toevoegen om SMB-verkeer tussen het werkrolsubnet en de bestandsserver in te schakelen. Ga naar de WorkersNsg in de beheerportal en voeg een uitgaande beveiligingsregel toe met de volgende eigenschappen:

  • Bron: Alle
  • Bronpoortbereik: *
  • Doel: IP-adressen
  • Doel-IP-adresbereik: bereik van IP-adressen voor uw bestandsserver
  • Doelpoortbereik: 445
  • Protocol: TCP
  • Actie: Toestaan
  • Prioriteit: 700
  • Naam: Outbound_Allow_SMB445

• Als u latentie wilt verwijderen wanneer werkrollen communiceren met de bestandsserver, raden we u ook aan de volgende regel toe te voegen aan de werkrol-NSG om uitgaand LDAP- en Kerberos-verkeer naar uw Active Directory-controllers toe te staan als u de bestandsserver beveiligt met Behulp van Active Directory; bijvoorbeeld als u de quickstart-sjabloon hebt gebruikt om een hoge-beschikbaarheidsserver te implementeren en SQL Server.

  Ga naar de WorkersNsg in de beheerportal en voeg een uitgaande beveiligingsregel toe met de volgende eigenschappen:

  • Bron: Alle
  • Bronpoortbereik: *
  • Doel: IP-adressen
  • Doel-IP-adresbereik: bereik van IP-adressen voor uw AD-servers, bijvoorbeeld met de quickstartsjabloon 10.0.0.100, 10.0.0.101
  • Doelpoortbereik: 389,88
  • Protocol: elk
  • Actie: Toestaan
  • Prioriteit: 710
  • Naam: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers

• Tenanttoepassingen kunnen na de upgrade geen certificaten binden aan toepassingen.

  De oorzaak van dit probleem wordt veroorzaakt door een ontbrekende functie op front-ends na de upgrade naar Windows Server 2022. Operators moeten deze procedure volgen om het probleem op te lossen:

  1. Navigeer in de Azure Stack Hub-beheerportal naar Netwerkbeveiligingsgroepen en bekijk de ControllersNSG-netwerkbeveiligingsgroep .

  2. Extern bureaublad is standaard uitgeschakeld voor alle App Service infrastructuurrollen. Wijzig de actie Inbound_Rdp_3389 regel in Toegang toestaan .

  3. Navigeer naar de resourcegroep met de App Service resourceproviderimplementatie. De naam is standaard AppService.<regio> en verbinding maken met CN0-VM.

  4. Ga terug naar de sessie cn0-VM extern bureaublad.

  5. Voer in een PowerShell-sessie voor beheerders het volgende uit:

     Belangrijk

     Tijdens de uitvoering van dit script is er een onderbreking voor elk exemplaar in de front-endschaalset. Als er een bericht is dat aangeeft dat de functie wordt geïnstalleerd, wordt dat exemplaar opnieuw opgestart. Gebruik de pauze in het script om de beschikbaarheid van de front-end te behouden. Operators moeten ervoor zorgen dat ten minste één front-endexemplaren te allen tijde gereed is om ervoor te zorgen dat tenanttoepassingen verkeer kunnen ontvangen en geen downtime ervaren.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session      
     

  6. Ga in de Azure Stack-beheerportal terug naar de Netwerkbeveiligingsgroep ControllersNSG .

  7. Wijzig de regel Inbound_Rdp_3389 om toegang te weigeren.

Bekende problemen voor cloudbeheerders die Azure App Service op Azure Stack uitvoeren

• Aangepaste domeinen worden niet ondersteund in niet-verbonden omgevingen.

  App Service voert verificatie van domeineigendom uit op openbare DNS-eindpunten. Als gevolg hiervan worden aangepaste domeinen niet ondersteund in niet-verbonden scenario's.

• Virtual Network integratie voor web- en functie-apps wordt niet ondersteund.

  De mogelijkheid om integratie van virtuele netwerken toe te voegen aan web- en functie-apps wordt weergegeven in de Azure Stack Hub-portal. Als een tenant probeert te configureren, ontvangt deze een interne serverfout. Deze functie wordt niet ondersteund in Azure App Service in Azure Stack Hub.

Volgende stappen

• Zie overzicht van Azure App Service op Azure Stack voor een overzicht van Azure App Service.
• Zie Voordat u aan de slag gaat met App Service in Azure Stack voor meer informatie over het voorbereiden van de implementatie van App Service op Azure Stack.