在 Azure 中使用 Windows Admin Center 管理已啟用 Azure Arc 的伺服器 (預覽)

重要

Azure 入口網站中的 Windows Admin Center 目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。

重要

1.36 版和 1.35 版的 Azure Connected Machine Agent (Arc 代理程式) 會中斷與 Windows Admin Center 的連線。 在更新版本的 Arc 代理程式 (1.37+) 中已修正此問題，您可以在這裡下載。

在 Azure 入口網站中使用 Windows Admin Center，您可以管理已啟用 Arc 的伺服器 Windows Server 作業系統，稱為混合式機器。 您可以從任何地方安全地管理混合式機器，而不需要 VPN、公用 IP 位址或其他連入電腦連線。

在 Azure 中使用 Windows Admin Center 擴充功能，您可以在 Azure 入口網站中取得管理、設定、疑難排解和維護功能，以管理已啟用 Arc 的伺服器。 Windows Server 基礎結構和工作負載管理不再需要您建立視線通訊協定或遠端桌面通訊協定 （RDP）–其全都可以從 Azure 入口網站原生完成。 Windows Admin Center 提供您在伺服器管理員、裝置管理員、工作管理員、Hyper-V 管理員和其他大部分 Microsoft Management Console （MMC） 工具中通常會找到的工具。

本文提供在 Azure 入口網站中使用 Windows Admin Center 的概觀、需求，以及如何在 Azure 入口網站中安裝 Windows Admin Center，並用它來管理混合式電腦。 它也會回答常見問題，並提供已知問題和疑難排解提示的清單，以防無法運作。

Azure 中的 Windows Admin Center 概觀

Azure 入口網站中的 Windows Admin Center 提供管理在單一混合式電腦上執行的 Windows Server 的基本工具。 您可以管理混合式機器，而不需要在防火牆上開啟任何輸入埠。

在 Azure 入口網站中使用 Windows Admin Center，您可以管理：

• 憑證
• 裝置
• 事件
• 檔案和檔案共用
• 防火牆
• 已安裝的應用程式
• 本機使用者和群組
• 效能監視器
• PowerShell
• 程序
• 登錄
• 遠端桌面
• 角色和功能
• 排定的工作
• 服務
• 儲存體
• 更新
• 虛擬機器
• 虛擬交換器

我們目前不支援 Azure 入口網站中 Windows Admin Center 的其他延伸模組。

警告

如果您在混合式電腦上手動安裝 Windows Admin Center 來管理多個系統，在 Azure 中啟用 Windows Admin Center 將會取代您現有的 Windows Admin Center 實例，並移除管理其他電腦的功能。 您將無法存取先前部署的 Windows Admin Center 實例。

需求

本節提供在 Azure 入口網站中使用 Windows Admin Center 來管理混合式電腦的需求：

• 具有作用中訂用帳戶的 Azure 帳戶
• Azure 許可權
• Azure 區域可用性
• 混合式電腦需求
• 網路需求

具有作用中訂用帳戶的 Azure 帳戶

您需要具有作用中訂用帳戶的 Azure 帳戶，才能部署 Windows Admin Center。 如果您還沒有帳戶，您可以 免費 建立帳戶。

在部署 Windows Admin Center 期間，我們會嘗試為您的訂用帳戶註冊 Microsoft.HybridConnectivity 資源提供者。

重要

您必須具有註冊資源提供者的許可權，這需要 */register/action 作業。 如果您已獲指派訂用帳戶上的參與者或擁有者角色 ， 則會包含此專案。

注意

資源提供者註冊是每個訂用帳戶的一次性工作。

若要檢查資源提供者的狀態，並視需要註冊：

1. 登入 Azure 入口網站。
2. 選取 訂用帳戶 。
3. 選取您的訂用帳戶名稱。
4. 選取 [資源提供者 ]。
5. 搜尋 Microsoft.HybridConnectivity 。
6. 確認 Microsoft.HybridConnectivity 的狀態為 [已註冊 ]。
   1. 如果狀態為 NotRegistered ，請選取 [Microsoft.HybridConnectivity ]，然後選取 [ 註冊 ]。

Azure 許可權

若要安裝已啟用 Arc 的伺服器資源的 Windows Admin Center 延伸模組，您的帳戶必須在 Azure 中獲得 擁有者 、 參與者 或 Windows Admin Center 系統管理員登入 角色。

連線到 Windows Admin Center 需要您在已啟用 Arc 的伺服器資源上擁有 讀者 和 Windows Admin Center 系統管理員登入 許可權。

深入瞭解如何使用 Azure 入口網站指派 Azure 角色

Azure 區域可用性

下列 Azure 區域支援 Windows Admin Center：

• 澳大利亞東部
• 巴西南部
• 加拿大中部
• 加拿大東部
• 印度中部
• 美國中部
• 東亞
• 美國東部
• 美國東部 2
• 法國中部
• 日本東部
• 南韓中部
• 美國中北部
• 北歐
• 南非北部
• 美國中南部
• 東南亞
• 瑞典中部
• 瑞士北部
• 阿拉伯聯合大公國北部
• 英國南部
• 英國西部
• 美國中西部
• 西歐
• 美國西部
• 美國西部 2
• 美國西部 3

注意

Azure China 21Vianet、Azure Government 或其他非公用雲端不支援 Windows Admin Center

混合式機器需求

若要在 Azure 入口網站中使用 Windows Admin Center，您必須在您想要透過 Azure VM 擴充功能管理的每個混合式電腦上安裝 Windows Admin Center 代理程式。 混合式機器應符合下列需求：

• Windows Server 2016 或更新版本
• 3 GB 的 RAM 或更多
• Azure Arc 代理程式 1.13.21320.014 版或更新版本

網路連線需求

混合式機器必須符合下列網路需求：

• 輸出網際網路存取或輸出連接埠規則允許 HTTPS 流量流向下列端點：

  • *service.waconazure.comWindowsAdminCenter 或服務標籤
  • pas.windows.net
  • *.servicebus.windows.net

注意

不需要輸入埠，才能使用 Windows Admin Center。

執行 Azure 入口網站的管理電腦必須符合下列網路需求：

• 透過埠的輸出網際網路存取 443

請務必先檢閱支援的裝置和建議的瀏覽器，再從管理機器或系統存取 Azure 入口網站。

在 Azure 入口網站中安裝 Windows Admin Center

在 Azure 入口網站中使用 Windows Admin Center 之前，您必須使用下列步驟來部署 Windows Admin Center VM 擴充功能：

1. 開啟 Azure 入口網站，並流覽至已啟用 Arc 的伺服器。
2. 在 [設定] 群組底 下，選取 [Windows Admin Center ]。
3. 指定您要安裝 Windows Admin Center 的埠，然後選取 [ 安裝 ]。

在 Azure 入口網站中連線到 Windows Admin Center

在混合式電腦上安裝 Windows Admin Center 之後，請執行下列步驟來連線到它，並使用它來管理 Windows Server：

1. 開啟 Azure 入口網站並流覽至已啟用 Arc 的伺服器，然後在 [設定 ] 群組底下 ，選取 [Windows Admin Center][預覽]。
2. 選取 [連線]。

注意

從 2022 年 8 月開始，Windows Admin Center 現在可讓您針對混合式電腦使用 Microsoft Entra ID 型驗證。 系統將不再提示您輸入本機系統管理員帳戶的認證。

Windows Admin Center 會在入口網站中開啟，讓您能夠存取您可能熟悉在內部部署部署中使用 Windows Admin Center 的相同工具。

設定角色指派

Windows Admin Center 的存取權是由 Windows Admin Center 系統管理員登入 Azure 角色所控制。

注意

Windows Admin Center 系統管理員登入角色使用 dataActions，因此無法在管理群組範圍指派。 目前，這些角色只能在訂用帳戶、資源群組或資源範圍指派。

若要使用 Microsoft Entra 管理中心經驗為您的混合式機器配置角色指派：

1. 開啟您想要使用 Windows Admin Center 管理的混合式電腦

2. 選取 [存取控制 (IAM)]。

3. 選取 [新增 > 角色指派 ] 以開啟 [新增角色指派] 頁面。

4. 指派下列角色。 如需詳細步驟，請參閱使用 Azure 入口網站指派 Azure 角色。

   設定	值
   角色	Windows Admin Center 系統管理員登入
   存取權指派對象為	使用者、群組、服務主體或受控識別

如需如何使用 Azure RBAC 來管理 Azure 訂用帳戶資源存取權的詳細資訊，請參閱下列文章：

• 使用 Azure CLI 指派 Azure 角色
• 使用 Azure CLI 範例 指派 Azure 角色。 Azure CLI 也可用於 Azure Cloud Shell 體驗。
• 使用 Azure 入口網站指派 Azure 角色
• 使用 Azure PowerShell 指派 Azure 角色。

Proxy 組態

如果電腦透過 Proxy 伺服器連線以透過網際網路進行通訊，請檢閱下列需求以瞭解所需的網路設定。

Windows Admin Center 延伸模組可以使用 HTTPS 通訊協定透過 Proxy 伺服器進行通訊。 使用設定的擴充功能設定，如下列步驟所述。 不支援已驗證的 Proxy。

注意

只有大於 0.0.0.321 的擴充功能版本才支援 Proxy 設定。

1. 使用此流程圖來判斷參數的值 Settings

2. 在您判斷 Settings 參數值之後，請在部署 AdminCenter Agent 時提供這些其他參數。 使用 PowerShell 命令，如下列範例所示：

$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
New-AzConnectedMachineExtension -Name AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -SubscriptionId <subscription-id>

運作方式

在 Azure 中使用 Windows Admin Center 時，您可以直接連線至混合式機器，而無須在防火牆上啟用任何輸入連接埠。 透過 Arc 代理程式，Windows Admin Center 能夠以輸出方式安全地建立與 Azure Arc 服務的反向 Proxy 會話連線。

針對您想要在 Azure 入口網站中使用 Windows Admin Center 管理的每個混合式電腦，您必須將代理程式部署到每部電腦。

代理程式會與管理憑證的外部服務通訊，以便您可以輕鬆地連線到混合式電腦。

按一下 [ 安裝 ] 會執行下列動作：

1. 在您的訂用帳戶上註冊 Microsoft.HybridConnectivity 資源提供者。 資源提供者會裝載 Proxy，用來與已啟用 Arc 的伺服器通訊。
2. 在已啟用 Arc 的資源之上部署 Azure 端點 資源，以在指定的埠上啟用反向 Proxy 連線。 這只是 Azure 中的邏輯資源，而且不會在伺服器本身上部署任何專案。
3. 使用有效的 TLS 憑證，在您的混合式機器上安裝 Windows Admin Center 代理程式。

注意

卸載 Windows Admin Center 並不會刪除邏輯 Azure 端點資源。 這是為了可能使用此資源的其他體驗而保留的，例如 SSH。

按一下 [ 連線 ] 會執行下列動作：

1. Azure 入口網站會 要求 Microsoft.HybridConnectivity 資源提供者存取已啟用 Arc 的伺服器。
2. 資源提供者會與第 4 層 SNI Proxy 通訊，以在 Windows Admin Center 埠上建立已啟用 Arc 之伺服器的短期會話特定存取權。
3. 系統會產生唯一的短期 URL，並從 Azure 入口網站建立與 Windows Admin Center 的連線。

Windows Admin Center 的連線會在混合式機器上發生 SSL 終止時進行端對端加密。

使用 PowerShell 將 Windows Admin Center 部署自動化

您可以使用此範例 PowerShell 腳本，在 Azure 入口網站中自動化 Windows Admin Center 部署。

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
$portint = 6516
        
#Deploy Windows Admin Center
$Setting = @{"port" = $port; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}} #proxy configuration is optional
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15" -Payload $putPayload

$patch = @{ "properties" =  @{ "serviceName" = "WAC"; "port" = $portint}} 
$patchPayload = ConvertTo-Json $patch 
Invoke-AzRestMethod -Method PUT -Path /subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/WAC?api-version=2023-03-15 -Payload $patchPayload

疑難排解

以下是一些嘗試的秘訣，以防某個專案無法運作。 如需一般 Windows Admin Center 疑難排解（並非在 Azure 中特別），請參閱 針對 Windows Admin Center 進行疑難排解。

連線失敗，提示「未找到 404 端點」

1. 1.36 版和 1.35 版的 Azure Connected Machine Agent (Arc 代理程式) 會中斷與 Windows Admin Center 的連線。 在更新版本的 Arc 代理程式 (1.37+) 中已修正此問題，您可以在這裡下載。

無法連線錯誤

1. 重新啟動 HIMDS 服務。

   1. RDP 到您的伺服器。

   2. 以系統管理員身分開啟 PowerShell 並執行：

      Restart-Service -Name himds
      

2. 檢查您的延伸模組版本是否為 0.0.0.169 或更高版本。

   1. 流覽至 [擴充功能]
   2. 檢查 「AdminCenter」 延伸模組版本為 0.0.0.169 或更高版本
   3. 如果沒有，請卸載延伸模組並重新安裝

3. 請確定 Windows Admin Center 服務正在您的電腦上執行。

   1. RDP 到您的伺服器。
   2. 開啟 [工作管理員] [Ctrl+Shift+Esc]， 然後流覽至 [ 服務 ]。
   3. 請確定 ServerManagementGateway / Windows Admin Center 正在執行中。
   4. 如果它未執行，請啟動服務。

4. 確認已為反向 Proxy 工作階段啟用了連接埠。

   1. RDP 到您的伺服器。

   2. 以系統管理員身分開啟 PowerShell 並執行：

      azcmagent config list
      

   3. 此時應該會傳回 incomingconnections.ports (預覽) 設定下已可從 Azure 連線的連接埠清單。 確認您安裝 Windows Admin Center 的埠在此清單中。 例如，如果 Windows Admin Center 安裝在埠 443 上，結果會是：

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. 如果不在這份清單中，請執行

      azcmagent config set incomingconnections.ports <port>
      

      如果您使用此解決方案的另一個體驗（例如 SSH），您可以指定以逗號分隔的多個埠。

5. 請確定您具有必要端口的輸出連線能力

   1. 混合式機器應該具有下列端點的輸出連線：
      • *.wac.azure.com或 *.waconazure.com WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

其中一個 Windows Admin Center 未載入或發生錯誤

1. 流覽至 Windows Admin Center 中的任何其他工具，然後流覽回未載入的工具。

2. 如果沒有其他工具正在載入，可能是您的網路連線有問題。 請嘗試關閉刀鋒視窗，然後再連線一次。 如果無法運作，請開立支援票證。

無法安裝 Windows Admin Center 延伸模組

1. 請仔細檢查以確定混合式電腦符合 需求 。

2. 請確定混合式電腦上允許輸出流量至 Windows Admin Center

   1. 使用虛擬機器內的 PowerShell 執行下列命令來測試連線能力：

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. 如果您已允許所有輸出流量，並從上述命令收到錯誤，請檢查是否有封鎖連線的防火牆規則。

如果看似沒有任何錯誤，卻仍無法安裝 Windows Admin Center，請提出支援要求，並提供下列資訊：

• 來自 Azure 入口網站的記錄。 您可以在 [設定 > 延伸模組 > ] [系統管理中心檢視詳細狀態 ] 底下 找到 Windows Admin > Center 記錄。

• 在混合式機器中記錄。 執行下列 PowerShell 命令，並共用產生的 .zip 檔案。

  azcmagent logs
  

• 網路追蹤 (若適用)。 網路追蹤可能包含客戶資料和敏感性安全詳細資料 (例如密碼)，因此建議您先檢閱追蹤並移除任何敏感性詳細資料，再共用。

已知問題

• 不支援 Chrome incognito 模式。
• 不支援 Azure 入口網站傳統型應用程式。
• 尚未提供失敗連線的詳細錯誤訊息。

常見問題集

尋找在 Azure 中使用 Windows Admin Center 的常見問題解答。

使用 Windows Admin Center 需要多少費用？

在 Azure 入口網站中使用 Windows Admin Center 沒有任何相關聯的成本。

我可以使用 Windows Admin Center 管理伺服器上執行的虛擬機器嗎？

您可以使用角色和功能擴充功能來安裝 Hyper-V 角色。 安裝之後，請重新整理瀏覽器，Windows Admin Center 會顯示虛擬機器和切換延伸模組。

我可以使用此擴充功能管理哪些伺服器？

您可以使用 功能來管理已啟用 Arc 的 Windows Server 2016 和更新版本。 您也可以 在 Azure 中使用 Windows Admin Center 來管理 Azure Stack HCI 。

Windows Admin Center 如何處理安全性？

從 Azure 入口網站到 Windows Admin Center 的流量會以端對端加密。 已啟用 Arc 的伺服器是使用 PowerShell 和 WMI over WinRM 來管理。

我需要輸入埠才能使用 Windows Admin Center 嗎？

不需要輸入連線才能使用 Windows Admin Center。

為何必須建立輸出連接埠規則？

為了與您的伺服器通訊，我們建置的服務需要輸出連接埠規則。 我們的服務會為您 Windows Admin Center 的實例發出免費憑證。 此服務可確保您一律可以從 Azure 入口網站連線到 Windows Admin Center 實例，方法是將您的 WAC 憑證保持在最新狀態。

此外，從 Azure 存取 Windows Admin Center 不需要輸入埠，而且只需要透過反向 Proxy 解決方案進行輸出連線。 為了建立連線，需要這些輸出規則。

如何尋找用於 Windows Admin Center 安裝的埠？

若要確認 SmePort 登錄設定的值：

1. RDP 到您的伺服器
2. 開啟註冊表 編輯器
3. 流覽至金鑰 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
4. 讀取 的值 SmePort 以尋找使用的埠

我可以使用 PowerShell 或 Azure CLI 在 VM 上安裝擴充功能嗎？

是，若要使用 Azure CLI 安裝擴充功能，請從命令提示字元執行下列命令：

az connectedmachine extension create

您也可以使用 PowerShell 安裝擴充功能。 深入瞭解如何使用 PowerShell 將 Windows Admin Center 部署自動化。

我已在 Arc 伺服器上安裝 Windows Admin Center。 我可以從入口網站存取嗎？

是。 您可以遵循本檔中所述的相同步驟。

警告

啟用此功能將會取代您現有的 Windows Admin Center 實例，並移除管理其他電腦的功能。 您先前部署的 Windows Admin Center 實例將無法再使用。 如果您使用系統管理中心的實例來管理多部伺服器，請不要這麼做。

下一步

• 瞭解 Windows Admin Center
• 瞭解如何 使用 Windows Admin Center 管理伺服器
• 瞭解 Azure Arc