通过

为 Microsoft Intune 升级 Microsoft Tunnel

  • 项目

Microsoft Tunnel 是一种用于 Microsoft Intune 的 VPN 网关解决方案,会定期接收软件升级,你必须将这些升级安装在隧道服务器上以使它们持续受到支持。 若要持续受到支持,服务器必须运行最新版本,或至少运行上一个旧版本。 本文中的信息介绍了:

  • 升级过程
  • 升级控件
  • 可用于了解隧道服务器软件版本的状态报告
  • 升级可用时
  • 如何控制何时进行升级。

Intune 会为你处理分配给每个隧道站点的服务器升级。 站点升级开始时,站点中的所有服务器一次升级一个,这称为升级周期。 服务器升级过程中,服务器上的 Microsoft Tunnel 不可用。 站点包含多个服务器时,一次升级一台服务器有助于最大程度减少对用户造成的干扰。

升级周期运作期间:

  • Intune 首先升级站点中的一台服务器。 版本开放使用 10 分钟后,就可以开始升级。
  • 如果服务器已关闭,则会在服务器打开后开始升级。
  • 成功升级站点上的一台服务器后,Intune 会等待一小段时间,然后再开始升级下一台服务器。

使用升级控件

若要帮助控制 Intune 开始升级周期的时间,请在每个站点配置以下设置。 你可以在创建新站点时配置设置,或通过编辑现有站点的属性来配置这些设置:

  • 在此站点自动升级服务器
  • 将服务器升级限制在维护时段

在此站点上自动升级服务器

此设置可确定站点的升级周期是否能自动开始,或在升级周期开始前是否必须获得管理员明确批准。

  • (默认) – 设置为 “是”时,站点会在新的隧道版本可用后尽快自动升级服务器。 无需管理员介入即可开始升级。

    如果为站点设置了维护时段,则升级周期会在时段开始和结束之间的某个时间点开始。 如果未设置维护时段,则升级周期会尽快启动。

  • – 设置为“否”时,Intune在管理员明确选择开始升级周期之前不会升级服务器。

    设置维护时段的站点获准进行升级后,升级周期会在时段开始和结束之间的某个时间段开始。 如果未设置维护时段,升级周期将会尽快开始。

    重要

    当配置站点以手动升级时,请定期查看“运行状况检查”选项卡以了解新版 Microsoft Tunnel 何时可供安装。 该报表还标识了站点上的现有隧道版本何时不受支持。

将服务器升级限制在维护时段

使用此设置来定义站点的维护时段。

为站点配置服务器升级周期时,该周期只能在配置的时间段内开始。 一旦开始后,该周期便会继续逐个更新服务器,直到分配到站点的所有服务器都完成升级。

  • 默认 () – 未设置维护时段。 配置为升级的站点会尽快自动进行升级。 如果配置为需要明确操作以开始升级,则站点会在升级获准“后”尽快执行升级作业。

  • – 设置维护时段。 此时段会限制站点开始服务器升级周期的时间。 此维护时段不会定义分配到站点的单台服务器可能会开始升级的时间。

    配置为升级的站点仅在配置的时间段内自动启动升级周期。 如果配置为需要在升级开始前获得管理员批准,则站点将在升级获得批准“后”,在下一个维护时段执行升级作业。

    如果设为“是”,请配置以下选项:

    • 时区 – 所选时区决定了维护时段在站点所有服务器上开始和结束的时间。 不使用单台服务器的时区。
    • 开始时间 – 根据所选时区指定升级周期最早可以开始的时间。
    • 结束时间 - 根据所选时区指定升级周期最晚可以开始的时间。 此时间之前开始的升级周期将继续运行,并可在此时间后完成。

查看隧道服务器状态

你可以查看 Microsoft Tunnel 服务器状态的信息,包括服务器上 Microsoft Tunnel 的版本。

对于不支持自动升级的站点,你也能查看升级到新版本的时间。

登录到 Microsoft Intune 管理中心>租户管理>Microsoft Tunnel 网关>运行状况状态。 选择服务器并打开“运行状况检查”选项卡,以查看下列相关信息:

  • 服务器版本 - 与最新发布版服务器对应的 Tunnel 网关服务器软件的状态。

    • 正常 - 已更新到最新的软件版本。
    • 警告 - 落后一个版本。
    • 不正常 - 落后两个或更多版本,且不受支持。

当服务器未运行最新的软件版本时,请安排安装可用的升级,以确保持续支持 Microsoft Tunnel。

批准升级

将“ 自动升级此站点上的服务器 ”设置为“ ”的站点不会自动升级服务器。 相反,管理员必须在升级周期开始之前批准该站点的服务器进行升级。

若要了解服务器的升级时间,请使用“运行状况检查”选项卡查看服务器状态。

批准升级

  1. 登录到 Microsoft Intune 管理中心>租户管理>Microsoft Tunnel 网关>站点

  2. 选择“升级类型”为“手动”的站点。

  3. 在站点的属性中,选择“升级服务器”

选择升级服务器后,Intune启动过程以执行此操作,这无法取消。 站点开始升级的时间取决于站点的维护时段配置。

Microsoft Tunnel 更新历史记录

Microsoft Tunnel 更新会定期发布。 当有新版本可用时,可在此处了解相关更改。

更新发布后,我们会在以下日期向租户推出。 此发布时间表示数天之内可能无法为隧道服务器提供新的更新。

当前在 Intune UI 中无法使用服务器的 Microsoft Tunnel 版本。 相反,请在托管隧道的 Linux 服务器上运行以下命令,以标识 agentImageDigestserverImageDiegest 的哈希值: cat /etc/mstunnel/images_configured

重要

容器发布分阶段进行。 如果你注意到容器映像不是最新的,请放心,它们将在下周内更新并交付。

2024 年 10 月 2 日

映像哈希值:

  • agentImageDigest: sha256:7921c2e97217fa17de4ab69396d943e4975d323417b8b813211e2f8b639f64e1

  • serverImageDigest:sha256:0efab5013351bcd81f186973e75ed5d9f91bbe6271e3be481721500f946fc9ec

此版本中的更改:-从 .NET 6 升级到 .NET 8

  • 将 ocserv 升级到版本 1.3.0
  • 修复安装程序中的无根容器 bug

2024 年 9 月 12 日

映像哈希值:

  • agentImageDigest: sha256:17158c73750ff2c7157e979c2f4ff4e175318730c16aa8d0ee6526a969c37c59

  • serverImageDigest:sha256:6484d311d1bd6cbe55d71306595715bafa6a20a000be6fd6f9e530716cef6c16

此版本中的更改:

  • 添加用于主机故障排除的诊断工具
  • 将 Azure Linux 映像升级到 2.0.20240829

2024 年 8 月 12 日

映像哈希值:

  • agentImageDigest: sha256:4d16b1f458c69c3423626906b0b577cb42c8d22f4240205299355c6217e08a6b

  • serverImageDigest:sha256:66559e142d489491ca8f090b50f4a444a3394f850a5ec09fb9f3e6f986d93c46

此版本中的更改:

  • 支持在安装期间自定义容器注册表
  • 支持在安装期间自定义容器创建选项
  • 基础映像上的安全更新

2024 年 6 月 20 日

映像哈希值:

  • agentImageDigest: sha256:2c700282bbb525ca42c4da0827a62bee6e8079b36572cf777db72810dac3a788

  • serverImageDigest:sha256:5ba3c960be6b9da4569a019fcd57509c25a89106fc689fbf4fe38f0bdb98fbdd

此版本中的更改:

  • AL 基础映像 - 使用 Azure Linux 作为 Tunnel 容器的基础映像
  • 证书吊销检查改进

2024 年 5 月 16 日

映像哈希值:

  • agentImageDigest: sha256:50b62c1d7f81e2941fc73a09856583ea752fe821e9fef448114fe7e00f90f25a

  • serverImageDigest:sha256:f6249bc16f90abc9e6fb278c74e07b1c3e295cc0614d38ae20036cee50ff5c56

此版本中的更改:

  • 通过将容器功能减少到最小来强化容器
  • 基础映像上的安全更新

2024 年 4 月 22 日

映像哈希值:

  • agentImageDigest: sha256:987028e043434cabf9a85a8be232a35cb10d6499ab9fa2b0ac33bd214455cdf6

  • serverImageDigest: sha256:95106796faa4648ffe877c1ae4635037fd8bd630498bb3caea366e3c832f84cc

此版本中的更改:

  • 添加了无根 Podman 容器支持
  • 修复了“mst-cli 服务器捕获”命令
  • 修复了一些 TLS 证书吊销检查失败的问题

2024 年 3 月 14 日

映像哈希值:

  • agentImageDigest: sha256:a0fa473b477c051445548f9e024cd58b3f87b0a87da7bafdf0d71ad6bb49a7c5

  • serverImageDigest:sha256:5f3f34f3f11a4d45efdd369e86d183cae0fafdd78c9c1d0a9275f26ce64e5510

此版本中的更改:

  • Bug 修复:在升级期间重新创建 /tmp/mstunnel 文件夹(如果缺失)。
  • 将 OpenConnect VPN 服务器更新到版本 1.2.3。
  • 诊断工具的增强功能。
  • 基础映像上的安全更新。

2024 年 2 月 1 日

映像哈希值:

  • agentImageDigest: sha256:845aee9cbe3e4c9bd70b1b8108cd5108e454aff38237b236f75092164c885023

  • serverImageDigest:sha256:6f444d251b56e467b8791201f554b22d1431a135a5f66bc45638cec453e22b47

此版本中的更改:

  • Bug 修复:不要发出“docker 网络重载”命令来重置网络。 Docker 不支持命令。
  • 基础映像上的安全更新。

2024 年 1 月 4 日

映像哈希值:

  • agentImageDigest: sha256:9cd55c3f4ea4b4ff8212db46a81a0ceda29c3e9c534226ee4d0ce896bcc32596

  • serverImageDigest:sha256:0389d8c16794cf2f982a955a528b0bbba79b7c7180fd5706f44bb691ca61734d

此版本中的更改:

  • Bug 修复:无根容器修复
  • HB 响应中诊断和日志上传请求的 MTG 处理

2023 年 11 月 14 日

映像哈希值:

  • agentImageDigest: sha256:fd64c2f2ae3c2f411188a35da65e23385c9124c8f98b3614e0fb6500f59cf485

  • serverImageDigest:sha256:7385c838ed95f3f5fea48a3e277223e4faa502d64205f182cf43740ad4dd9573

此版本中的更改:

  • Bug 修复:解决了导致 MSTunnel 服务器容器停滞在错误状态的问题
  • 在代理和 mstunnel 应用中强制使用 TLS 1.2

2023 年 10 月 4 日

映像哈希值:

  • agentImageDigest: sha256:6c19b0aa077692b0d70ede9928f02b135122951708f83655041d0a40e8448039

  • serverImageDigest:sha256:9b477e6bc029d2ebadcafd4db3f516e87f0209b50d44fa2a5933aa7f17e9203b

此版本中的更改:

  • Bug 修复:为 Cent OS 7 和 Red Hat 7 主机上的 mstunnel-server 容器添加旧版 NAT 表
  • Bug 修复:添加 SELinux 策略以允许 Red Hat 主机上容器的 TCP DNS 流量
  • 将 mstunnel-server 容器 pid 限制增加到 10000

后续步骤

Microsoft Tunnel 参考