Viktig information om App Service på Azure Stack Hub 2302
Dessa viktig information beskriver förbättringar och korrigeringar i Azure App Service på Azure Stack Hub 2302 och eventuella kända problem. Kända problem är indelade i problem som är direkt relaterade till distributionen, uppdateringsprocessen och problem med bygget (efter installationen).
Viktigt!
Uppdatera Azure Stack Hub till en version som stöds (eller distribuera det senaste Azure Stack Development Kit) om det behövs innan du distribuerar eller uppdaterar App Service-resursprovidern (RP). Läs viktig information om RP om du vill veta mer om nya funktioner, korrigeringar och kända problem som kan påverka distributionen.
Lägsta Azure Stack Hub-version som stöds App Service RP-version 2301 och senare 2302 Installer (viktig information)
Build-referens
Versionsnumret för App Service på Azure Stack Hub 2302 är 98.0.1.703
Nyheter
Azure App Service på Azure Stack Hub 2302-versionen ersätter 2022 H1-versionen och innehåller korrigeringar för följande problem:
CVE-2023-21703 Azure App Service på Azure Stack Hub Elevation of Privilege Vulnerability.
Det går inte att öppna användarupplevelsen för vm-skalningsuppsättningar från Användarupplevelsen för App Service-roller för administratör i Azure Stack Hub-administrationsportalen.
Alla andra uppdateringar dokumenteras i Versionsanmärkningar för Azure App Service på Azure Stack Hub 2022 H1.
Från och med uppdateringen av Azure App Service på Azure Stack Hub 2022 H1 är bokstaven K nu ett reserverat SKU-brev. Om du har definierat en anpassad SKU som använder bokstaven K kontaktar du supporten för att lösa den här situationen före uppgraderingen.
Förutsättningar
Läs dokumentationen innan du kommer igång innan du påbörjar distributionen.
Innan du börjar uppgradera Azure App Service på Azure Stack Hub till 2302:
Kontrollera att Azure Stack Hub har uppdaterats till 1.2108.2.127 eller 1.2206.2.52.
Se till att alla roller är klara i Azure App Service-administrationen i Azure Stack Hub-administratörsportalen.
Säkerhetskopiera App Service-hemligheter med hjälp av App Service-administrationen i Azure Stack Hub-administratörsportalen.
Säkerhetskopiera Huvuddatabaserna för App Service och SQL Server:
- AppService_Hosting;
- AppService_Metering;
- Rubrik
Säkerhetskopiera klientappens innehållsfilresurs.
Viktigt!
Molnoperatörer ansvarar för underhåll och drift av filservern och SQL Server. Resursprovidern hanterar inte dessa resurser. Molnoperatören ansvarar för att säkerhetskopiera App Service-databaserna och klientinnehållsfilresursen.
Syndikera tillägget för anpassat skript version 1.9.3 från Marketplace.
Föruppdateringssteg
Kommentar
Om du tidigare har distribuerat Azure App Service på Azure Stack Hub 2022 H1 till din Azure Stack Hub-stämpel är den här versionen en mindre uppgradering till 2022 H1 som åtgärdar två problem.
Azure App Service på Azure Stack Hub 2302 är en betydande uppdatering som tar flera timmar att slutföra. Hela distributionen uppdateras och alla roller återskapas med operativsystemet Windows Server 2022 Datacenter. Därför rekommenderar vi att du informerar slutanvändarna om en planerad uppdatering innan uppdateringen tillämpas.
- Från och med uppdateringen av Azure App Service på Azure Stack Hub 2022 H1 är bokstaven K nu ett reserverat SKU-brev. Om du har definierat en anpassad SKU som använder bokstaven K kontaktar du supporten för att lösa den här situationen före uppgraderingen.
Granska kända problem för uppdatering och vidta de åtgärder som föreskrivs.
Åtgärder efter distributionen
Viktigt!
Om du har försett App Service-resursprovidern med en SQL AlwaysOn-instans måste du lägga till appservice_hosting- och appservice_metering-databaserna i en tillgänglighetsgrupp och synkronisera databaserna för att förhindra förlust av tjänsten i händelse av en databasredundansväxling.
Kända problem (uppdatering)
I situationer där du har konverterat appservice_hosting och appservice_metering databaser till inneslutna databaser kan uppgraderingen misslyckas om inloggningar inte har migrerats till inneslutna användare.
Om du konverterade appservice_hosting- och appservice_metering-databaserna till en innesluten databas efter distributionen och inte har migrerat databasinloggningarna till inneslutna användare kan det uppstå uppgraderingsfel.
Du måste köra följande skript mot SQL Server-värdtjänsten appservice_hosting och appservice_metering innan du uppgraderar Azure App Service på Azure Stack Hub-installationen till 2020 Q3. Det här skriptet är icke-destruktivt och orsakar inte stilleståndstid.
Det här skriptet måste köras under följande villkor:
- Av en användare som har systemadministratörsbehörighet, till exempel SQL SA-kontot.
- Om du använder SQL Always on kontrollerar du att skriptet körs från SQL-instansen som innehåller alla App Service-inloggningar i formuläret:
- appservice_hosting_FileServer
- appservice_hosting_HostingAdmin
- appservice_hosting_LoadBalancer
- appservice_hosting_Operations
- appservice_hosting_Publisher
- appservice_hosting_SecurePublisher
- appservice_hosting_WebWorkerManager
- appservice_metering_Common
- appservice_metering_Operations
- Alla WebWorker-inloggningar – som finns i formuläret WebWorker_<instance ip-adress>
USE appservice_hosting IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1) BEGIN DECLARE @username sysname ; DECLARE user_cursor CURSOR FOR SELECT dp.name FROM sys.database_principals AS dp JOIN sys.server_principals AS sp ON dp.sid = sp.sid WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA'); OPEN user_cursor FETCH NEXT FROM user_cursor INTO @username WHILE @@FETCH_STATUS = 0 BEGIN EXECUTE sp_migrate_user_to_contained @username = @username, @rename = N'copy_login_name', @disablelogin = N'do_not_disable_login'; FETCH NEXT FROM user_cursor INTO @username END CLOSE user_cursor ; DEALLOCATE user_cursor ; END GO USE appservice_metering IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1) BEGIN DECLARE @username sysname ; DECLARE user_cursor CURSOR FOR SELECT dp.name FROM sys.database_principals AS dp JOIN sys.server_principals AS sp ON dp.sid = sp.sid WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA'); OPEN user_cursor FETCH NEXT FROM user_cursor INTO @username WHILE @@FETCH_STATUS = 0 BEGIN EXECUTE sp_migrate_user_to_contained @username = @username, @rename = N'copy_login_name', @disablelogin = N'do_not_disable_login'; FETCH NEXT FROM user_cursor INTO @username END CLOSE user_cursor ; DEALLOCATE user_cursor ; END GOKlientprogram kan inte binda certifikat till program efter uppgraderingen.
Orsaken till det här problemet beror på att en funktion saknas i klientdelen efter uppgraderingen till Windows Server 2022. Operatorerna måste följa den här proceduren för att lösa problemet.
I administratörsportalen för Azure Stack Hub går du till Nätverkssäkerhetsgrupper och visar nätverkssäkerhetsgruppen ControllersNSG .
Som standard är fjärrskrivbord inaktiverat för alla App Service-infrastrukturroller. Ändra åtgärden Inbound_Rdp_3389 regel till Tillåt åtkomst.
Gå till resursgruppen som innehåller distributionen av App Service-resursprovidern. Som standard är namnet AppService.<och> ansluta till CN0-VM.
Gå tillbaka till CN0-VM-fjärrskrivbordssessionen .
I en powershell-administratörssession kör du:
Viktigt!
Under körningen av det här skriptet kommer det att finnas en paus för varje instans i frontend-skalningsuppsättningen. Om det finns ett meddelande om att funktionen installeras startas den instansen om. Använd pausen i skriptet för att upprätthålla tillgängligheten för klientdelen. Operatörerna måste se till att minst en klientdelsinstans alltid är "klar" för att säkerställa att klientprogram kan ta emot trafik och inte uppleva stilleståndstid.
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd) Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object { $lb = $_ $session = New-PSSession -ComputerName $lb.Name -Credential $cred Invoke-Command -Session $session { $f = Get-WindowsFeature -Name Web-CertProvider if (-not $f.Installed) { Write-Host Install feature on $env:COMPUTERNAME Install-WindowsFeature -Name Web-CertProvider Shutdown /t 5 /r /f } } } Remove-PSSession -Session $session Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"I Azure Stack-administratörsportalen går du tillbaka till nätverkssäkerhetsgruppen ControllersNSG .
Ändra regeln Inbound_Rdp_3389 för att neka åtkomst.
Kända problem (efter installationen)
Arbetare kan inte nå filservern när App Service distribueras i ett befintligt virtuellt nätverk och filservern endast är tillgänglig i det privata nätverket, enligt beskrivningen i dokumentationen för Azure App Service i Azure Stack-distributionen.
Om du väljer att distribuera till ett befintligt virtuellt nätverk och en intern IP-adress för att ansluta till filservern måste du lägga till en utgående säkerhetsregel som aktiverar SMB-trafik mellan arbetsundernätet och filservern. Gå till WorkersNsg i administratörsportalen och lägg till en utgående säkerhetsregel med följande egenskaper:
- Källa: Alla
- Källportintervall: *
- Mål: IP-adresser
- Mål-IP-adressintervall: Intervall med IP-adresser för filservern
- Målportintervall: 445
- Protokoll: TCP
- Åtgärd: Tillåt
- Prioritet: 700
- Namn: Outbound_Allow_SMB445
För att ta bort svarstiden när arbetare kommunicerar med filservern rekommenderar vi också att du lägger till följande regel i arbets-NSG för att tillåta utgående LDAP- och Kerberos-trafik till dina Active Directory-kontrollanter om du skyddar filservern med Hjälp av Active Directory. Om du till exempel har använt snabbstartsmallen för att distribuera en HA-filserver och SQL Server.
Gå till WorkersNsg i administratörsportalen och lägg till en utgående säkerhetsregel med följande egenskaper:
- Källa: Alla
- Källportintervall: *
- Mål: IP-adresser
- Mål-IP-adressintervall: Intervall med IP-adresser för dina AD-servrar, till exempel med snabbstartsmallen 10.0.0.100, 10.0.0.101
- Målportintervall: 389,88
- Protokoll: Valfritt
- Åtgärd: Tillåt
- Prioritet: 710
- Namn: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers
Klientprogram kan inte binda certifikat till program efter uppgraderingen.
Orsaken till det här problemet beror på att en funktion saknas i klientdelen efter uppgraderingen till Windows Server 2022. Operatorerna måste följa den här proceduren för att lösa problemet:
I administratörsportalen för Azure Stack Hub går du till Nätverkssäkerhetsgrupper och visar nätverkssäkerhetsgruppen ControllersNSG .
Som standard är fjärrskrivbord inaktiverat för alla App Service-infrastrukturroller. Ändra åtgärden Inbound_Rdp_3389 regel till Tillåt åtkomst.
Gå till resursgruppen som innehåller distributionen av App Service-resursprovidern. Som standard är namnet AppService.<och> ansluta till CN0-VM.
Gå tillbaka till CN0-VM-fjärrskrivbordssessionen .
I en powershell-administratörssession kör du:
Viktigt!
Under körningen av det här skriptet kommer det att finnas en paus för varje instans i frontend-skalningsuppsättningen. Om det finns ett meddelande om att funktionen installeras startas den instansen om. Använd pausen i skriptet för att upprätthålla tillgängligheten för klientdelen. Operatörerna måste se till att minst en klientdelsinstans alltid är "klar" för att säkerställa att klientprogram kan ta emot trafik och inte uppleva stilleståndstid.
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd) Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object { $lb = $_ $session = New-PSSession -ComputerName $lb.Name -Credential $cred Invoke-Command -Session $session { $f = Get-WindowsFeature -Name Web-CertProvider if (-not $f.Installed) { Write-Host Install feature on $env:COMPUTERNAME Install-WindowsFeature -Name Web-CertProvider Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue" Shutdown /t 5 /r /f } } } Remove-PSSession -Session $sessionI Azure Stack-administratörsportalen går du tillbaka till nätverkssäkerhetsgruppen ControllersNSG .
Ändra regeln Inbound_Rdp_3389 för att neka åtkomst.
Kända problem för molnadministratörer som kör Azure App Service på Azure Stack
Anpassade domäner stöds inte i frånkopplade miljöer.
App Service utför verifiering av domänägarskap mot offentliga DNS-slutpunkter. Därför stöds inte anpassade domäner i frånkopplade scenarier.
Integrering av virtuella nätverk för webb- och funktionsappar stöds inte.
Möjligheten att lägga till integrering av virtuella nätverk i webb- och funktionsappar visas i Azure Stack Hub-portalen och om en klient försöker konfigurera får de ett internt serverfel. Den här funktionen stöds inte i Azure App Service på Azure Stack Hub.
Nästa steg
- En översikt över Azure App Service finns i Översikt över Azure App Service på Azure Stack.
- Mer information om hur du förbereder distributionen av App Service på Azure Stack finns i Innan du kommer igång med App Service i Azure Stack.