在 Azure 中使用 Windows Admin Center 管理已启用 Azure Arc 的服务器(预览版)

重要

Azure 门户中的 Windows Admin Center 目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

重要

Azure Connected Machine 代理(Arc 代理)的版本 1.36 和 1.35 将断开与 Windows Admin Center 的连接。 此问题在 Arc 代理之后的版本 (1.37+) 中已经得到修复,可在此处下载

使用 Azure 门户中的 Windows Admin Center,可以管理已启用 Arc 的服务器(称为混合计算机)的 Windows Server 操作系统。 可以从任何位置安全地管理混合计算机,而无需使用 VPN、公共 IP 地址或与计算机建立其他入站连接。

通过 Azure 中的 Windows Admin Center 扩展,可以获得用于在 Azure 门户中管理已启用 Arc 的服务器的管理、配置、故障排除和维护功能。 不再需要建立直接连接或远程桌面协议 (RDP) 连接即可管理 Windows Server 基础结构和工作负载 – 所有管理操作都可以从 Azure 门户本地完成。 Windows Admin Center 提供通常可以在服务器管理器、设备管理器、任务管理器、Hyper-V 管理器及其他大多数 Microsoft 管理控制台 (MMC) 工具中找到的工具。

本文概述如何使用 Azure 门户中的 Windows Admin Center、要求以及如何安装 Azure 门户中的 Windows Admin Center 并使用它来管理混合计算机。 本文还回答了常见问题,并提供了已知问题的列表,以及在某项功能不起作用时进行故障排除的提示。

显示适用于已启用 Arc 的服务器的 Azure 门户中 Windows Admin Center 的屏幕截图,其中显示了 Windows Admin Center 概述页。

Azure 中的 Windows Admin Center 概述

Azure 门户中的 Windows Admin Center 提供了用于管理单个混合计算机上运行的 Windows Server 的基本工具。 无需在防火墙中打开任何入站端口即可管理混合计算机。

使用 Azure 门户中的 Windows Admin Center 可以管理:

  • 证书
  • 设备
  • 事件
  • 文件和文件共享
  • 防火墙
  • 已安装的应用
  • 本地用户和组
  • 性能监视器
  • PowerShell
  • 进程
  • 注册表
  • 远程桌面
  • 角色和功能
  • 计划任务
  • 服务
  • 存储
  • 更新
  • 虚拟机
  • 虚拟交换机

目前不支持 Azure 门户中 Windows Admin Center 的其他扩展。

警告

如果在混合计算机上手动安装 Windows Admin Center 以管理多个系统,则启用 Azure 中的 Windows Admin Center 会替换现有的 Windows Admin Center 实例,并删除用于管理其他计算机的功能。 你将无法访问以前部署的 Windows Admin Center 实例。

要求

本部分提供使用 Azure 门户中的 Windows Admin Center 管理混合计算机所要满足的要求:

具有有效订阅的 Azure 帐户

需要使用一个具有有效订阅的 Azure 帐户来部署 Windows Admin Center。 如果你没有帐户,可以免费创建一个帐户

在部署 Windows Admin Center 期间,我们将尝试为订阅注册 Microsoft.HybridConnectivity 资源提供程序。

重要

必须拥有注册资源提供程序(这需要执行 */register/action 操作)的权限。 如果你在自己的订阅中具有参与者或所有者角色,则已拥有此权限。

注意

资源提供程序注册是针对每个订阅的一次性任务。

若要检查资源提供程序的状态并根据需要进行注册,请执行以下操作:

  1. 登录到 Azure 门户
  2. 选择 订阅
  3. 选择你的订阅名称。
  4. 选择“资源提供程序”。
  5. 搜索 Microsoft.HybridConnectivity。
  6. 验证 Microsoft.HybridConnectivity 的状态是否为“已注册”。
    1. 如果状态为“未注册”,请选择“Microsoft.HybridConnectivity”,然后选择“注册”。

Azure 权限

若要为已启用 Arc 的服务器资源安装 Windows Admin Center 扩展,必须在 Azure 中为帐户授予“所有者”、“参与者”或“Windows Admin Center 管理员登录”角色。

连接到 Windows Admin Center 时要求你在已启用 Arc 的服务器资源上拥有“读取者”和“Windows Admin Center 管理员登录”权限。

了解有关使用 Azure 门户分配 Azure 角色的详细信息

Azure 区域可用性

以下 Azure 区域支持 Windows Admin Center:

  • 澳大利亚东部
  • 巴西南部
  • 加拿大中部
  • 加拿大东部
  • 印度中部
  • 美国中部
  • 东亚
  • 美国东部
  • 美国东部 2
  • 法国中部
  • 日本东部
  • 韩国中部
  • 美国中北部
  • 北欧
  • 南非北部
  • 美国中南部
  • 东南亚
  • 瑞典中部
  • 瑞士北部
  • 阿拉伯联合酋长国北部
  • 英国南部
  • 英国西部
  • 美国中西部
  • 西欧
  • 美国西部
  • 美国西部 2
  • 美国西部 3

注意

Azure 中国世纪互联、Azure 政府云或其他非公有云不支持 Windows Admin Center

混合计算机要求

若要使用 Azure 门户中的 Windows Admin Center,必须在你希望通过 Azure VM 扩展管理的每台混合计算机上安装 Windows Admin Center 代理。 混合计算机应满足以下要求:

  • Windows Server 2016 或更高版本
  • 3 GB 或更大的 RAM
  • Azure Arc 代理版本 1.13.21320.014 或更高版本

网络要求

混合计算机必须满足以下网络要求:

  • 出站 Internet 访问或出站端口规则允许 HTTPS 流量流向以下终结点:

    • *service.waconazure.comWindowsAdminCenter 或服务标记
    • pas.windows.net
    • *.servicebus.windows.net

注意

使用 Windows Admin Center 不需要入站端口。

运行 Azure 门户的管理计算机必须满足以下网络要求:

  • 通过端口 443 进行出站 Internet 访问

在从管理计算机或系统访问 Azure 门户之前,请确保查看支持的设备和推荐的浏览器

安装 Azure 门户中的 Windows Admin Center

必须先使用以下步骤部署 Windows Admin Center VM 扩展,才能使用 Azure 门户中的 Windows Admin Center:

  1. 打开 Azure 门户并导航到已启用 Arc 的服务器。
  2. 在“设置”组下,选择“Windows Admin Center”。
  3. 指定要在其上安装 Windows Admin Center 的端口,然后选择“安装”。

显示已启用 Arc 的服务器上的 Windows Admin Center 安装按钮的屏幕截图。

连接到 Azure 门户中的 Windows Admin Center

在混合计算机上安装 Windows Admin Center 后,执行以下步骤与它连接,然后使用它来管理 Windows Server:

  1. 打开 Azure 门户并导航到已启用 Arc 的服务器,然后在“设置”组下选择“Windows Admin Center (预览版)”。
  2. 选择“连接” 。

注意

从 2022 年 8 月开始,Windows Admin Center 允许对混合计算机使用基于 Microsoft Entra ID 的身份验证。 系统不再提示你输入本地管理员帐户的凭据。

此时 Windows Admin Center 在门户中打开,使你能够访问在本地部署中使用 Windows Admin Center 时可能熟悉的相同工具。

显示已启用 Arc 的服务器上的 Windows Admin Center 连接按钮的屏幕截图。

配置角色分配

对 Windows Admin Center 的访问是由“Windows Admin Center 管理员登录”Azure 角色控制的。

注意

“Windows Admin Center 管理员登录”角色使用 dataActions,因此无法在管理组范围内分配。 目前只能在订阅、资源组或资源范围中分配这些角色。

若要使用 Microsoft Entra 管理中心体验为混合计算机配置角色分配,请执行以下操作:

  1. 打开需要在 Windows Admin Center 管理的混合计算机

  2. 选择“访问控制 (IAM)”

  3. 选择“添加”>“添加角色分配”,打开“添加角色分配”页面 。

  4. 分配以下角色。 有关详细步骤,请参阅使用 Azure 门户分配 Azure 角色

    设置
    角色 Windows Admin Center 管理员登录
    将访问权限分配到 用户、组、服务主体或托管标识

有关如何使用 Azure RBAC 管理对 Azure 订阅资源的访问的详细信息,请参阅以下文章:

代理配置

如果计算机通过代理服务器建立连接并以此通过 Internet 进行通信,请查看以下要求,了解所需的网络配置。

Windows Admin Center 扩展可以使用 HTTPS 协议通过代理服务器进行通信。 将扩展设置用于配置,如以下步骤所述。 不支持经过身份验证的代理。

注意

只有高于 0.0.0.321 的扩展版本才支持代理配置。

  1. 使用此流程图确定Settings参数客户了解在 Windows Admin Center 中使用代理所需的配置工作流。

  2. 确定 Settings 参数值后,请在部署 AdminCenter 代理时提供这些其他参数。 使用 PowerShell 命令,如以下示例所示:

$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
New-AzConnectedMachineExtension -Name AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -SubscriptionId <subscription-id>

工作原理

通过在 Azure 中使用 Windows Admin Center,可以连接到混合计算机,而无需在防火墙上启用任何入站端口。 Windows Admin Center 可以通过 Arc 代理安全地以出站方式与 Azure Arc 服务建立反向代理会话连接。

对于你要使用 Azure 门户中的 Windows Admin Center 管理的每台混合计算机,必须将一个代理部署到每台计算机。

该代理与管理证书的外部服务通信,因此可以轻松连接到混合计算机。

单击“安装”会执行以下操作:

  1. 在订阅中注册 Microsoft.HybridConnectivity 资源提供程序。 该资源提供程序托管用来与已启用 Arc 的服务器通信的代理。
  2. 在已启用 Arc 的资源之上部署 Azure 终结点资源,以便在指定端口上启用反向代理连接。 这只是 Azure 中的一个逻辑资源,不会在服务器本身上部署任何组件。
  3. 使用有效的 TLS 证书在混合计算机上安装 Windows Admin Center 代理。

注意

卸载 Windows Admin Center 不会删除逻辑 Azure 终结点资源。 此终结点是为可能利用此资源的其他体验保留的,例如 SSH。

单击“连接”会执行以下操作:

  1. Azure 门户要求 Microsoft.HybridConnectivity 资源提供程序访问已启用 Arc 的服务器。
  2. 该资源提供程序与第 4 层 SNI 代理通信,以在 Windows Admin Center 端口上建立对已启用 Arc 的服务器的短期、特定于会话的访问。
  3. 生成唯一的短期 URL,并从 Azure 门户建立与 Windows Admin Center 的连接。

与 Windows Admin Center 的连接借助混合计算机上发生的 SSL 终止进行端到端加密。

使用 PowerShell 自动执行 Windows Admin Center 部署

可以使用此示例 PowerShell 脚本在 Azure 门户中自动完成 Windows Admin Center 部署。

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
$portint = 6516
        
#Deploy Windows Admin Center
$Setting = @{"port" = $port; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}} #proxy configuration is optional
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15" -Payload $putPayload

$patch = @{ "properties" =  @{ "serviceName" = "WAC"; "port" = $portint}} 
$patchPayload = ConvertTo-Json $patch 
Invoke-AzRestMethod -Method PUT -Path /subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/WAC?api-version=2023-03-15 -Payload $patchPayload

疑难解答

下面是一些提示,在某项功能不起作用时可以尝试操作。 有关一般性的 Windows Admin Center 故障排除方法(而不是专门在 Azure 中使用的方法),请参阅 Windows Admin Center 故障排除

连接失败,显示“404 找不到终结点”

  1. Azure Connected Machine 代理(Arc 代理)的版本 1.36 和 1.35 将断开与 Windows Admin Center 的连接。 此问题在 Arc 代理之后的版本 (1.37+) 中已经得到修复,可在此处下载

无法连接错误

  1. 重启 HIMDS 服务。

    1. 通过 RDP 连接到服务器。

    2. 以管理员身份打开 PowerShell 并运行:

      Restart-Service -Name himds
      
  2. 检查扩展版本是否为 0.0.0.169 或更高。

    1. 导航到“扩展”
    2. 检查“AdminCenter”扩展版本是否为 0.0.0.169 或更高
    3. 如果不是,请卸载该扩展,然后重新安装
  3. 确保 Windows Admin Center 服务正在你的计算机上运行​。

    1. 通过 RDP 连接到服务器。
    2. 打开“任务管理器”(Ctrl+Shift+Esc) 并导航到“服务”。
    3. 确保“ServerManagementGateway/Windows Admin Center”正在运行。
    4. 如果未运行,请启动该服务。
  4. 检查是否为反向代理会话启用了端口。

    1. 通过 RDP 连接到服务器。

    2. 以管理员身份打开 PowerShell 并运行:

      azcmagent config list
      
    3. 这应会在 incomingconnections.ports(预览版)配置下返回一个端口列表,这些端口已启用以便从 Azure 进行连接。 确认安装 Windows Admin Center 的端口包含在此列表中。 例如,如果 Windows Admin Center 是在端口 443 上安装的,则结果为:

      Local configuration setting
      incomingconnections.ports (preview): 443
      
    4. 如果此端口不包含在此列表中,请运行

      azcmagent config set incomingconnections.ports <port>
      

      如果使用的是其他体验(例如 SSH),使用此解决方案时可以指定多个端口(用逗号分隔)。

  5. 确保与所需端口建立出站连接

    1. 混合计算机应与以下终结点建立出站连接
      • *.wac.azure.com*.waconazure.com 或 WindowsAdminCenter 服务标记
      • pas.windows.net
      • *.servicebus.windows.net

某个 Windows Admin Center 工具未加载或出现错误

  1. 导航到 Windows Admin Center 中的任何其他工具,然后导航回未加载的工具。

  2. 如果没有加载其他工具,则网络连接可能存在问题。 尝试关闭边栏选项卡,然后重新连接。 如果该操作不起作用,请打开支持票证。

无法安装 Windows Admin Center 扩展

  1. 仔细检查并确保混合计算机满足要求

  2. 确保混合计算机允许将出站流量发送到 Windows Admin Center

    1. 为了测试连接性,可以在虚拟机内使用 PowerShell 运行以下命令:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      
      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      
  3. 如果已允许所有出站流量,但运行上述命令时仍出现错误,请检查是否有防火墙规则阻止连接。

如果没有任何问题但仍无法安装 Windows Admin Center,请使用以下信息创建支持请求:

  • Azure 门户中的日志。 可以在“设置”>“扩展”>“AdminCenter”>“查看详细状态”下找到 Windows Admin Center 日志。

  • 混合计算机中的日志。 运行以下 PowerShell 命令并共享生成的 .zip 文件。

    azcmagent logs
    
  • 网络跟踪(如果适用)。 网络跟踪可能包含客户数据和敏感的安全详细信息,例如密码,因此建议在共享之前查看跟踪并删除所有敏感详细信息。

已知问题

  • 不支持 Chrome 隐身模式。
  • 不支持 Azure 门户桌面应用。
  • 目前不会提供有关失败连接的详细错误消息。

常见问题

请查找有关使用 Azure 中的 Windows Admin Center 的常见问题解答。

使用 Windows Admin Center 需要多少费用?

使用 Azure 门户中的 Windows Admin Center 不会产生费用。

是否可以使用 Windows Admin Center 来管理服务器上运行的虚拟机?

可以使用角色和功能扩展来安装 Hyper-V 角色。 安装后,刷新浏览器,Windows Admin Center 将显示虚拟机和交换机扩展。

使用此扩展可以管理哪些服务器?

可以使用此功能来管理已启用 Arc 的 Windows Server 2016 及更高版本。 还可以使用 Azure 中的 Windows Admin Center 来管理 Azure Stack HCI

Windows Admin Center 如何处理安全问题?

从 Azure 门户到 Windows Admin Center 的流量经过端到端加密。 已启用 Arc 的服务器是通过 PowerShell 和基于 WinRM 的 WMI 管理的。

是否需要一个入站端口才能使用 Windows Admin Center?

使用 Windows Admin Center 无需建立入站连接。

为什么必须创建出站端口规则?

对于我们构建的、用来与服务器通信的服务,需要创建出站端口规则。 我们的服务将为 Windows Admin Center 实例颁发一个免费证书。 此服务可使 WAC 证书保持最新状态,确保你始终可以从 Azure 门户连接到 Windows Admin Center 的实例。

此外,从 Azure 访问 Windows Admin Center 不需要入站端口,而只需通过反向代理解决方案建立出站连接。 需要创建这些出站规则才能建立连接。

如何查找用于 Windows Admin Center 安装的端口?

若要验证 SmePort 注册表设置的值,请执行以下操作:

  1. 通过 RDP 连接到服务器
  2. 打开“注册表编辑器”
  3. 导航到注册表项 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
  4. 查看 SmePort 的值以找到使用的端口

是否可以使用 PowerShell 或 Azure CLI 在 VM 上安装扩展?

是,若要使用 Azure CLI 安装扩展,请在命令提示符下运行以下命令:

az connectedmachine extension create

还可以使用 PowerShell 安装扩展。 详细了解如何使用 PowerShell 自动完成 Windows Admin Center 部署

我的 Arc 服务器上已安装 Windows Admin Center。 是否可以从门户访问它?

是的。 可以按照本文档中所述的相同步骤进行操作。

警告

启用此功能会替换现有的 Windows Admin Center 实例,并删除用于管理其他计算机的功能。 以前部署的 Windows Admin Center 实例将不再可用。 如果你使用 Admin Center 实例来管理多个服务器,请不要执行此操作。

后续步骤