Управление серверами с поддержкой Azure Arc с помощью Windows Admin Center в Azure (предварительная версия)

  • Статья

Внимание

Центр windows Администратор в портал Azure в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Внимание

Версия 1.36 и 1.35 агента машин Azure Подключение (агент Arc) прерывает подключение к Центру Администратор Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

С помощью Центра Администратор Windows в портал Azure вы можете управлять операционной системой Windows Server серверов с поддержкой Arc, известной как гибридные компьютеры. Вы можете безопасно управлять гибридными компьютерами из любого места, не нуждаясь в VPN, общедоступном IP-адресе или другом входящего подключения к вашему компьютеру.

С помощью расширения Центра Администратор Windows в Azure вы получаете функции управления, настройки, устранения неполадок и обслуживания для управления серверами с поддержкой Arc в портал Azure. Для управления инфраструктурой и рабочей нагрузкой Windows Server больше не требуется устанавливать протокол удаленного рабочего стола или протокол удаленного рабочего стола (RDP) — все это можно сделать в собственном коде из портал Azure. Центр windows Администратор предоставляет средства, которые обычно находятся в диспетчер сервера, диспетчер устройств, диспетчере задач, диспетчере задач, диспетчере Hyper-V и большинстве других средств консоли управления Майкрософт (MMC).

В этой статье представлен обзор использования Центра Администратор Windows в портал Azure, требованиях и установке Windows Администратор Center в портал Azure и использовании его для управления гибридным компьютером. Он также отвечает на часто задаваемые вопросы и предоставляет список известных проблем и советов по устранению неполадок в случае, если что-то не работает.

Screenshot showing Windows Admin Center in the Azure portal for Arc-enabled server, displaying the Windows admin Center Overview page.

Обзор Центра Администратор Windows в Azure

Центр Windows Администратор в портал Azure предоставляет основные средства управления Windows Server, работающих на одном гибридном компьютере. Вы можете управлять гибридными компьютерами без необходимости открывать все входящие порты на брандмауэре.

С помощью Центра Администратор Windows в портал Azure можно управлять:

  • Сертификаты
  • .
  • События
  • Файлы и общий доступ к файлам
  • Брандмауэр
  • Установленные приложения
  • Локальные пользователи и группы
  • Монитор производительности
  • PowerShell
  • Процессы
  • Реестр
  • Удаленный рабочий стол
  • Роли и компоненты
  • Запланированные задачи
  • Службы
  • Память
  • Обновления
  • Виртуальные машины
  • Виртуальные коммутаторы

В настоящее время мы не поддерживаем другие расширения для Центра Администратор Windows в портал Azure.

Предупреждение

Если вы вручную установили Центр Windows Администратор на гибридном компьютере для управления несколькими системами, включение Центра Windows Администратор в Azure заменит существующий экземпляр Центра Windows Администратор и удаляет возможность управления другими компьютерами. Вы потеряете доступ к ранее развернутом экземпляру Центра windows Администратор.

Требования

В этом разделе приведены требования к использованию Центра Администратор Windows в портал Azure для управления гибридным компьютером:

учетная запись Azure с активной подпиской.

Для развертывания Центра Администратор Windows потребуется учетная запись Azure с активной подпиской. Если ее еще нет, можно создать учетную запись бесплатно.

Во время развертывания Центра Администратор Windows мы попытаемся зарегистрировать поставщик ресурсов Microsoft.Hybrid Подключение ivity для вашей подписки.

Внимание

Вам нужно получить разрешение на регистрацию поставщика ресурсов. Для этого выполните операцию */register/action. Разрешение входит в подписку, если вам назначена роль участника или владельца.

Примечание.

Регистрация поставщика ресурсов — это одна задача для каждой подписки.

Чтобы проверить состояние поставщика ресурсов и при необходимости зарегистрировать его, сделайте следующее:

  1. Войдите на портал Azure.
  2. Выберите Подписки.
  3. Выберите имя подписки.
  4. Выберите параметр Поставщики ресурсов.
  5. Найдите Microsoft.Hybrid Подключение ivity.
  6. Убедитесь, что состояние Microsoft.Hybrid Подключение ivity зарегистрировано.
    1. Если состояние не зарегистрировано, выберите Microsoft.Hybrid Подключение ivity и нажмите кнопку "Регистрация".

Разрешения Azure

Чтобы установить расширение Центра windows Администратор для ресурса сервера с поддержкой Arc, ваша учетная запись должна быть предоставлена роли "Владелец", "Участник" или "Роль входа в Центр Администратор Центра windows Администратор istrator" в Azure.

Подключение в центр windows Администратор требуется разрешение читателя и Центра Администратор Центра Администратор Центра Администратор istrator Login на ресурсе сервера с поддержкой Arc.

Дополнительные сведения о назначении ролей Azure с помощью портал Azure

Доступность по регионам Azure

Центр windows Администратор поддерживается в следующих регионах Azure:

  • Восточная Австралия
  • Южная Бразилия
  • Центральная Канада
  • Восточная Канада
  • Центральная Индия
  • Центральная часть США
  • Восточная Азия
  • Восточная часть США
  • Восточная часть США 2
  • Центральная Франция
  • Восточная Япония
  • Республика Корея, центральный регион
  • Центрально-северная часть США
  • Северная Европа
  • Северная часть ЮАР;
  • Центрально-южная часть США
  • Юго-Восточная Азия
  • Центральная Швеция
  • Северная Швейцария
  • Северная часть ОАЭ;
  • южная часть Соединенного Королевства
  • западная часть Соединенного Королевства
  • центрально-западная часть США
  • Западная Европа
  • Западная часть США
  • западная часть США 2
  • Западная часть США — 3

Примечание.

Центр windows Администратор не поддерживается в Azure China 21Vianet, Azure для государственных организаций или других недоступных облаках

Требования к гибридному компьютеру

Чтобы использовать Центр windows Администратор в портал Azure, агент Центра windows Администратор должен быть установлен на каждом гибридном компьютере, который вы хотите управлять с помощью расширения виртуальной машины Azure. Гибридный компьютер должен отвечать следующим требованиям:

  • Windows Server 2016 или более поздней версии.
  • 3 ГБ ОЗУ или больше
  • Агент Azure Arc версии 1.13.21320.014 или более поздней

Требования к сети

Гибридный компьютер должен соответствовать следующим требованиям к сети:

  • Исходящий доступ к Интернету или правило исходящего порта, разрешающее трафик HTTPS к следующим конечным точкам:

Примечание.

Для использования Центра Администратор Windows не требуются входящие порты.

Компьютер управления, на котором запущен портал Azure, должен соответствовать следующим требованиям к сети:

  • Исходящий доступ к Интернету через порт 443

Перед доступом к порталу Azure с компьютера или системы управления проверьте список поддерживаемых устройств и рекомендуемых браузеров.

Установка Центра Администратор Windows в портал Azure

Прежде чем использовать Центр Администратор Windows в портал Azure, необходимо развернуть расширение виртуальной машины Центра Администратор Windows, выполнив следующие действия.

  1. Откройте портал Azure и перейдите на сервер с поддержкой Arc.
  2. В группе Параметры выберите Центр Администратор Windows.
  3. Укажите порт, на котором вы хотите установить Центр Администратор Windows, а затем нажмите кнопку "Установить".

Screenshot showing the install button for Windows Admin Center on an Arc-enabled server.

Подключение в Центр Администратор Windows в портал Azure

После установки Центра Администратор Windows на гибридном компьютере выполните следующие действия, чтобы подключиться к нему и использовать его для управления Windows Server:

  1. Откройте портал Azure и перейдите на сервер с поддержкой Arc, а затем в группе Параметры выберите Центр Администратор Windows (предварительная версия).
  2. Нажмите Подключиться.

Примечание.

Начиная с августа 2022 года Windows Администратор Center теперь позволяет использовать проверку подлинности на основе идентификатора Microsoft Entra для гибридного компьютера. Вам больше не будет предложено указать учетные данные учетной записи локального администратора.

Windows Admin Center открывается на портале, предоставляя вам доступ к тем же средствам, с которыми вы могли ознакомиться с помощью Windows Admin Center в локальном развертывании.

Screenshot showing the Connect button for Windows Admin Center on an Arc-enabled server.

Настройка назначений ролей

Доступ к Центру администрирования Windows управляется ролью администратора Центра администрирования Windows.

Примечание.

Роль входа администратора Windows Admin Center использует dataActions и поэтому не может быть назначена в области группы управления. В настоящее время эти роли можно назначать только в области подписки, группы ресурсов или ресурсов.

Чтобы настроить назначения ролей для гибридных компьютеров с помощью интерфейса Центра администрирования Microsoft Entra:

  1. Откройте гибридный компьютер, который вы хотите управлять с помощью Центра Администратор Windows

  2. Выберите Управление доступом (IAM) .

  3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

  4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    Параметр Значение
    Роль Вход администратора Windows Admin Center
    Назначить доступ для Пользователь, группа, субъект-служба или управляемое удостоверение

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

настройки прокси-сервера;

Если компьютер подключен к прокси-серверу для обмена данными через Интернет, ознакомьтесь со следующими требованиями по настройке сети.

Расширение Windows Admin Center может взаимодействовать через прокси-сервер с помощью протокола HTTPS. Используйте параметры расширений для конфигурации, как описано ниже. Доверенные прокси-серверы, прошедшие проверку подлинности, не поддерживаются.

Примечание.

Конфигурация прокси-сервера поддерживается только для версий расширений, превышающих 0.0.0.321.

  1. Используйте эту блок-схему для определения значений Settings параметров Workflow for customers to understand the configuration needed to use proxies with Windows Admin Center.

  2. После определения значений Settings параметров укажите эти другие параметры при развертывании агента AdminCenter. Используйте команды PowerShell, как показано в следующем примере:

$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
New-AzConnectedMachineExtension -Name AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -SubscriptionId <subscription-id>

Как это работает

Используя Windows Admin Center в Azure, вы можете подключиться к гибридному компьютеру без необходимости включения какого-либо входящего порта в брандмауэре. Центр windows Администратор через агент Arc может безопасно установить подключение обратного прокси-сервера со службой Azure Arc в исходящем режиме.

Для каждого гибридного компьютера, которым требуется управлять с помощью Центра Администратор Windows в портал Azure, необходимо развернуть агент на каждом компьютере.

Агент взаимодействует с внешней службой, которая управляет сертификатами, чтобы можно было легко подключиться к гибридному компьютеру.

При нажатии кнопки "Установить" выполняются следующие действия:

  1. Регистрирует поставщик ресурсов Microsoft.Hybrid Подключение ivity в подписке. Поставщик ресурсов размещает прокси-сервер, используемый для связи с сервером с поддержкой Arc.
  2. Развертывает ресурс конечной точки Azure на вершине ресурса с поддержкой Arc, который включает обратное прокси-подключение на указанном порту. Это просто логический ресурс в Azure и не развертывает ничего на самом сервере.
  3. На гибридном компьютере с действительным сертификатом TLS устанавливается агент Windows Admin Center.

Примечание.

Удаление Windows Администратор Center не удаляет ресурс логической конечной точки Azure. Он сохраняется для других возможностей, которые могут использовать этот ресурс, например SSH.

Щелкнув Подключение выполните следующие действия:

  1. Портал Azure запрашивает поставщик ресурсов Microsoft.Hybrid Подключение ivity для доступа к серверу с поддержкой Arc.
  2. Поставщик ресурсов взаимодействует с прокси-сервером SNI уровня 4, чтобы установить короткий доступ к серверу с поддержкой Arc на порту Центра Windows Администратор Center.
  3. Создается уникальный короткий URL-адрес, а подключение к Центру Администратор Windows устанавливается из портал Azure.

Подключение к Windows Admin Center полностью зашифровано с завершением сеанса SSL на гибридном компьютере.

Автоматизация развертывания Windows Admin Center с помощью PowerShell

Развертывание Центра Администратор Windows можно автоматизировать в портал Azure с помощью этого примера скрипта PowerShell.

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
        
#Deploy Windows Admin Center
$Setting = @{"port" = $port; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}} #proxy configuration is optional
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15" -Payload $putPayload

$patch = @{ "properties" =  @{ "serviceName" = "WAC"; "port" = $port}} 
$patchPayload = ConvertTo-Json $patch 
Invoke-AzRestMethod -Method PUT -Path /subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/WAC?api-version=2023-03-15 -Payload $patchPayload

Устранение неполадок

Ниже приведены некоторые советы, чтобы попробовать в случае, если что-то не работает. Общие сведения об устранении неполадок в Центре Администратор Windows (не в Azure) см. в разделе "Устранение неполадок Windows Администратор Center".

Не удалось подключиться к "404 конечной точке не найдена"

  1. Версия 1.36 и 1.35 агента машин Azure Подключение (агент Arc) прерывает подключение к Центру Администратор Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

Не удалось подключиться к ошибке

  1. Перезапустите службу HIMDS.

    1. RDP на сервере.

    2. Откройте PowerShell от имени администратора и выполните следующую команду:

      Restart-Service -Name himds

  2. Убедитесь, что версия расширения — 0.0.0.169 или более поздняя.

    1. Перейдите к разделу "Расширения"
    2. Убедитесь, что расширение "Администратор Center" версии 0.0.0.169 или выше
    3. Если нет, удалите расширение и переустановите его.

  3. Убедитесь, что служба Центра windows Администратор запущена на компьютере.

    1. RDP на сервере.
    2. Откройте диспетчер задач (CTRL+SHIFT+ESC) и перейдите к службам.
    3. Убедитесь, что serverManagementGateway или Windows Администратор Center запущен.
    4. Если она не запущена, запустите службу.

  4. Убедитесь, что порт включен для сеанса обратного прокси.

    1. RDP на сервере.

    2. Откройте PowerShell от имени администратора и выполните следующую команду:

      azcmagent config list

    3. В результате должен вернуться список портов в конфигурации incomingconnections.ports (предварительная версия), которые будут подключены из Azure. Убедитесь, что порт, на котором установлен Центр Администратор Windows, находится в этом списке. Например, если Центр windows Администратор установлен на порте 443, результатом будет:

      Local configuration setting
incomingconnections.ports (preview): 443

    4. В случае, если он не указан в этом списке, выполните команду

      azcmagent config set incomingconnections.ports <port>

      Если вы используете другой интерфейс (например, SSH) с помощью этого решения, можно указать несколько портов, разделенных запятой.

  5. Убедитесь, что у вас есть исходящее подключение к необходимым портам

    1. Гибридный компьютер должен иметь исходящее подключение к следующим конечным точкам:
      • *.wac.azure.comили*.waconazure.com Windows Администратор Center ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Одно из средств Windows Admin Center не загружается или возвращает ошибку

  1. Перейдите к любому другому инструменту в Windows Admin Center и вернитесь к другому инструменту, который не загружается.

  2. Если другое средство не загружается, проблема может быть связана с сетевым подключением. Попробуйте закрыть колонку и снова подключиться. Если это не поможет, отправьте запрос в службу поддержки.

Сбой установки расширения Windows Admin Center

  1. Двойная проверка, чтобы убедиться, что гибридный компьютер соответствует требованиям.

  2. Убедитесь, что исходящий трафик в Центр Администратор Windows разрешен на гибридном компьютере

    1. Проверьте подключение, выполнив следующую команду с помощью PowerShell в виртуальной машине:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal

  3. Если вы разрешили весь исходящий трафик и получили ошибку из приведенной выше команды, проверка, что правила брандмауэра не блокируют подключение.

Если вам кажется, что все в порядке, но Windows Admin Center все равно не устанавливается, отправьте запрос в службу поддержки, указав в нем следующую информацию:

  • Журналы из портал Azure. Журналы Центра Администратор Windows можно найти в разделе Параметры> Extensions> Администратор Center>View Detailed Status.

  • Журналы на гибридном компьютере. Выполните следующую команду PowerShell и поделитесь результирующей .zip файлом.

    azcmagent logs

  • Журналы сетевой трассировки, если это целесообразно. Журналы сетевой трассировки могут содержать данные клиента и конфиденциальные сведения о безопасности, такие как пароли, поэтому перед отправкой мы рекомендуем просмотреть их и удалить всю конфиденциальную информацию.

Известные проблемы

  • Режим инкогнито Chrome не поддерживается.
  • портал Azure классическое приложение не поддерживается.
  • Подробные сообщения об ошибках для неудачных подключений пока недоступны.

Часто задаваемые вопросы

Найдите ответы на часто задаваемые вопросы об использовании Центра Администратор Windows в Azure.

Сколько стоит использование Windows Admin Center?

Нет связанных затрат с помощью Центра Администратор Windows в портал Azure.

Можно ли использовать Центр Администратор Windows для управления виртуальными машинами, работающими на моем сервере?

Роль Hyper-V можно установить с помощью расширения "Роли и компоненты". После установки обновите браузер, а Центр администрирования Windows отобразит расширения виртуальной машины и коммутатора.

Какие серверы можно управлять с помощью этого расширения?

Вы можете использовать возможность управления Windows Server 2016 с поддержкой Arc и более поздних версий. Вы также можете использовать Центр Windows Администратор в Azure для управления Azure Stack HCI.

Как в Windows Admin Center осуществляется обеспечение безопасности?

Трафик из портал Azure в Центр Администратор Windows шифруется сквозным шифрованием. Сервер с поддержкой Arc управляется с помощью PowerShell и WMI через WinRM.

Требуется ли входящий порт для использования Центра Администратор Windows?

Для использования Центра Администратор Windows не требуется входящего подключения.

Почему необходимо создать правило исходящего порта?

Для службы, созданной для взаимодействия с сервером, требуется правило исходящего порта. Наша служба выдает вам сертификат бесплатной стоимости для вашего экземпляра Windows Администратор Center. Эта служба гарантирует, что вы всегда можете подключиться к экземпляру Центра windows Администратор из портал Azure, сохраняя сертификат WAC в актуальном состоянии.

Кроме того, для доступа к Центру Администратор Windows из Azure не требуется входящий порт и только исходящее подключение через решение обратного прокси-сервера. Эти правила исходящего трафика необходимы для установления подключения.

Как найти порт, используемый для установки Windows Admin Center?

Чтобы проверить значение параметра реестра SmePort, выполните следующие действия.

  1. RDP на сервере
  2. Открытие редактора реестра
  3. Перейдите к ключу \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
  4. Чтение значения для поиска используемого SmePort порта

Можно ли использовать PowerShell или Azure CLI для установки расширения на виртуальной машине?

Да, чтобы установить расширение с помощью Azure CLI, выполните следующую команду из командной строки:

az connectedmachine extension create

Вы также можете установить расширение с помощью PowerShell. Дополнительные сведения об автоматизации развертывания Windows Администратор Center с помощью PowerShell.

На сервере Arc уже установлен Центр Администратор Windows. Можно ли получить доступ к нему с портала?

Да. Вы можете выполнить те же действия, описанные в этом документе.

Предупреждение

Включение этой возможности заменит существующий экземпляр Центра Администратор Windows и удаляет возможность управления другими компьютерами. Ранее развернутый экземпляр Центра Администратор Windows больше не будет использоваться. Не делайте этого, если вы используете экземпляр центра Администратор для управления несколькими серверами.

Следующие шаги