訓練
認證
Microsoft Certified: Windows Server Hybrid Administrator Associate - Certifications
身為 Windows Server 混合式系統管理員,您會將 Windows Server 環境與 Azure 服務整合,並管理內部部署網路中的 Windows Server。
您現在可以在 Azure 入口網站中使用 Windows Admin Center 來管理 Azure VM 內的 Windows 作業系統。 從 Azure 入口網站管理作業系統功能,並在不使用遠端桌面或 PowerShell 的情況下使用 VM 中的檔案。
本文概述所提供的功能、需求,以及如何安裝 Windows Admin Center,並用它來管理單一 VM。 它也會回答常見問題,並提供已知問題和疑難排解提示的清單,以防無法運作。
Azure 入口網站中的 Windows Admin Center 提供一組基本管理工具,可在用戶端 Azure VM 中管理 Windows Server:
我們目前不支援 Azure 入口網站中 Windows Admin Center 的延伸模組。
如果您手動在 VM 中安裝 Windows Admin Center 來管理多個系統,則安裝此 VM 擴充功能可減少只管理安裝擴充功能的 VM。 卸載延伸模組以取得完整功能。
本節提供在 Azure 入口網站中使用 Windows Admin Center 來管理 Azure IaaS VM 的需求:
您需要具有作用中訂用帳戶的 Azure 帳戶,才能部署 Windows Admin Center。 如果您還沒有帳戶,您可以 免費 建立帳戶。
若要在 IaaS VM 上安裝 Windows Admin Center 擴充功能,您的帳戶必須在 Azure 中獲授與 擁有者 或 參與者 角色。
連線到 Windows Admin Center 需要您具有 虛擬機器資源層級的讀者 和 Windows Admin Center 系統管理員登入 許可權。
深入瞭解如何 設定 VM 的角色指派。
若要在 Azure 入口網站中使用 Windows Admin Center,我們會在您想要用來管理的每個 Azure VM 中安裝 Windows Admin Center。 Azure VM 具有下列需求:
VM 也有下列網路需求,我們會在安裝程式期間逐步執行:
輸出網際網路存取或輸出連接埠規則,允許 HTTPS 流量到 WindowsAdminCenter
和 AzureActiveDirectory
服務標籤
如果使用公用 IP 位址連線到 VM 的輸入連接埠規則(不建議)
就像遠端桌面一樣,我們建議使用 VM 虛擬網路中的私人 IP 位址連線到 VM,以提高安全性。 使用私人 IP 位址不需要輸入連接埠規則,不過它確實需要虛擬網路的存取權(我們接下來將討論)。
注意
不支援由另一個服務重新導向的輸入連線能力(亦即 Azure 防火牆)。 您必須擁有從 Azure 入口網站到 VM 的其中一個直接 IP 位址的輸入連線(如安裝 Windows Admin Center 埠上 Azure VM 的 [網路] 索引標籤上所示。
您用來連線到 Azure 入口網站的管理電腦或其他系統具有下列需求:
您必須先在您想要管理的 VM 中安裝 Windows Admin Center,才能在 Azure 入口網站中使用 Windows Admin Center。 方式如下:
開啟 Azure 入口網站並流覽至 VM 的設定。
如果 VM 已封鎖所有輸出網際網路流量,請建立輸出連接埠規則以連線到 Windows Admin Center 服務。
若要這樣做,請流覽至 Windows Admin Center(在 [設定] 群組中找到),然後在 Windows Admin Center 的 [安裝] 畫面上選取標題為 [開啟要安裝的 Windows Admin Center 輸出埠] 核取方塊。 或者,您可以執行下列 PowerShell 命令:
$allowWindowsAdminCenter = New-AzNetworkSecurityRuleConfig -Name "PortForWACService" -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -DestinationAddressPrefix WindowsAdminCenter -SourcePortRange * -SourceAddressPrefix * -DestinationPortRange 443
$allowAAD = New-AzNetworkSecurityRuleConfig -Name "PortForAADService" -Access Allow -Protocol Tcp -Direction Outbound -Priority 101 -DestinationAddressPrefix AzureActiveDirectory -SourcePortRange * -SourceAddressPrefix * -DestinationPortRange 443
在虛擬機器設定中,流覽至 Windows Admin Center (在 [設定 ] 群組中找到 )。
若要選擇性地從任何 IP 位址提供透過公用網際網路存取 VM 的存取權(方便測試,但會將 VM 公開為網際網路上任何主機的攻擊),您可以選取 [開啟此埠給我 ]。
不過,建議您改為使用私人 IP 位址來連線,或至少 手動建立鎖定的輸入連接埠規則 ,以只接受您指定的 IP 位址的流量。
選取 [安裝] 。
安裝需要幾分鐘的時間。 如果您為我 選取 [ 開啟此埠],或在過去幾分鐘內手動建立輸入連接埠規則,可能需要幾分鐘的時間才能與 Windows Admin Center 連線。
在 Azure VM 中安裝 Windows Admin Center 之後,以下說明如何連線並用來管理 Windows:
Windows Admin Center 會在入口網站中開啟,讓您能夠存取您可能熟悉在內部部署部署中使用 Windows Admin Center 的相同工具。
注意
自 2022 年八月起,Windows Admin Center 允許您為您的 Azure IaaS VM 使用 Microsoft Entra ID 型驗證。 系統將不再提示您輸入本機系統管理員帳戶的認證。
如果您看到「無法連線」訊息,請確定您的帳戶是 VM 資源上 Windows Admin Center 系統管理員登入 角色的成員 。
就像遠端桌面一樣,在 VM 的公用 IP 位址上開啟輸入連接埠規則會公開您的 VM,使其受到來自網際網路上任何主機的潛在攻擊,因此我們建議改為使用私人 IP 位址存取 VM。
不過,如果您需要使用公用 IP 位址,您可以將可連線到 VM 的 IP 位址限制為您用來連線到 Azure 入口網站的系統所使用的 IP 位址,以改善安全性。 方式如下:
開啟 Azure 入口網站,並流覽至您的 VM > 網路輸入 > 連接埠規則 。
如果您已安裝 Windows Admin Center,並將其設定為開啟公用 IP 位址的輸入埠,請選取 [PortForWAC ]。 否則,請選取 [ 新增輸入連接埠規則 ]。
提供下列值,指定管理系統的公用 IP 位址(以逗號分隔),並選擇性地從埠 6516 變更目的地埠。 然後選取 [新增]。
欄位 | 值 |
---|---|
Source | IP 位址 |
來源 IP 位址 | 管理系統 IP |
來源連接埠範圍 | * |
目的地 | 任意 |
目的地連接埠範圍 | 6516 |
通訊協定 | 任意 |
動作 | 允許 |
您可能需要使用非 Microsoft 網站或應用程式來尋找您用來連線到 Azure 入口網站之系統的公用 IP 位址。
Windows Admin Center 的存取權是由 Windows Admin Center 系統管理員登入 Azure 角色所控制。
注意
Windows Admin Center 系統管理員登入角色使用 dataActions,因此無法在管理群組範圍指派。 目前,這些角色只能在訂用帳戶、資源群組或資源範圍指派。
若要使用 Microsoft Entra 管理中心經驗為您的 VM 配置角色指派:
選取包含 VM 及其相關聯虛擬網路、網路介面、公用 IP 位址或 Load Balancer 資源的資源群組 。
選取 [存取控制 (IAM)]。
選取 [新增 > 角色指派 ] 以開啟 [新增角色指派] 頁面。
指派下列角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
設定 | 值 |
---|---|
角色 | Windows Admin Center 系統管理員登入 |
存取權指派對象為 | 使用者、群組、服務主體或受控識別 |
如需如何使用 Azure RBAC 來管理 Azure 訂用帳戶資源存取權的詳細資訊,請參閱下列文章:
如果電腦透過 Proxy 伺服器連線以透過網際網路進行通訊,請檢閱下列需求以瞭解所需的網路設定。
Windows Admin Center 延伸模組可以使用 HTTPS 通訊協定透過 Proxy 伺服器進行通訊。 使用設定的擴充功能設定,如下列步驟所述。 不支援已驗證的 Proxy。
注意
只有大於 0.0.0.321 的擴充功能版本才支援 Proxy 設定。
在您判斷 Settings
參數值之後,請在部署 AdminCenter Agent 時提供這些其他參數。 使用 PowerShell 命令,如下列範例所示:
$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
Set-AzVMExtension -ExtensionName AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location> -TypeHandlerVersion "0.0" -settings $settings
我們不斷發行新版本的 Windows Admin Center。 若要讓 Windows Admin Center 自動更新至最新版本,Azure 虛擬機器需要執行控制平面作業。 如果您想要更快更新,您可以執行下列命令:
Set-AzContext <subscription_id>
Set-AzVMExtension -ExtensionName "AdminCenter" -Publisher "Microsoft.AdminCenter" -ExtensionType "AdminCenter" -ResourceGroupName <RG_name> -VMName <VM_name>
Windows Admin Center 目前會以我們在您想要使用 Windows Admin Center 的每個 Azure VM 上安裝的擴充功能形式在 Azure 入口網站中實作。
此延伸模組會連線到管理憑證與 DNS 記錄的外部服務,以便讓您輕鬆連線到 VM。
每個使用 Windows Admin Center 擴充功能的 Azure VM 都會取得 Microsoft 在 Azure DNS 中維護的公用 DNS 記錄。 我們會對記錄名稱進行雜湊處理,以在 DNS 中儲存 VM 的 IP 位址時匿名,IP 位址不會以純文字形式儲存在 DNS 中。 此 DNS 記錄可用來在 VM 上發行 Windows Admin Center 的憑證,以啟用與 VM 的加密通訊。
將 Azure VM 連線到 Windows Admin Center 會在系統管理員群組中部署虛擬帳戶,讓您在 VM 上擁有完整的系統管理員存取權。 VM 的存取權是由 Azure 中的 Windows Admin Center 系統管理員登入 角色所控制。 為 VM 指派擁有者 或 參與者 角色的 Azure 使用者不會自動擁有登入 VM 的許可權。
以下是一些嘗試的秘訣,以防某個專案無法運作。 如需針對 Windows Admin Center 進行疑難排解的一般說明(並非特別在 Azure 中),請參閱 針對 Windows Admin Center 進行疑難排解。
在新的索引標籤中開啟 https://<ip_address>:<port>
。 如果此頁面成功載入,但出現憑證錯誤,請建立支援要求。
如果此頁面無法成功載入,則表示 Windows Admin Center 連線本身發生問題。 在嘗試進一步疑難排解之前,請確定您已連線到正確的 Vnet,並使用正確的 IP 位址。
如果您使用公用 IP 位址,請確定您在安裝時選取的埠已開啟至網際網路。 根據預設,此連接埠設為 6516。 在您的虛擬機器中,流覽至 [網路] > [新增輸入連接埠規則]。
請確認此連接埠可連線。
請確定虛擬機器上允許輸出流量至 Windows Admin Center
在 Azure 入口網站中,流覽至 [網路] 和 [輸出連接埠規則]。
建立 和 Azure Active Directory
服務標籤的新連接埠規則 Windows Admin Center
。
您可以在虛擬機器內使用 PowerShell 執行下列命令來測試此問題:
Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
如果您已允許所有輸出流量,但仍看到上述命令的錯誤,請檢查是否有防火牆規則封鎖連線。 如果看似沒有任何錯誤,請建立支援要求,以免服務可能發生問題。
確認 Windows Admin Center 服務正在您的 VM 執行。
檢查您的安裝是否處於良好狀態。
https://localhost:<port>
取代 <port>
為您安裝 Windows Admin Center 的埠。 不確定您安裝的連結埠為何? 請參閱本文稍後的常見問題。檢查 SmeInboundOpenException 是否開啟防火牆規則。
如果您的瀏覽器封鎖協力廠商 Cookie,可能會發生這種情況。 目前,Windows Admin Center 會要求您不要封鎖協力廠商 Cookie,而我們正積極努力移除這項需求。 同時,請在瀏覽器中允許協力廠商 Cookie。
在 Edge 上 :
在 Chrome 上
流覽至 Windows Admin Center 中的任何其他工具,然後流覽回未載入的工具。
如果沒有其他工具正在載入,可能是您的網路連線有問題。 請嘗試關閉刀鋒視窗,然後再連線一次。 如果無法運作,請開立支援票證。
請仔細檢查以確定 VM 符合 需求 。
確認虛擬機器允許 Windows Admin Center 的輸出流量。
在 Azure 入口網站中,流覽至 [網路] 和 [輸出連接埠規則]。
建立 Windows Admin Center 的新輸出連接埠規則。
使用虛擬機器內的 PowerShell 執行下列命令來測試連線能力:
Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
如果您已允許所有輸出流量,而且收到上述命令的錯誤,請檢查是否有封鎖連線的防火牆規則。
如果看似沒有任何錯誤,卻仍無法安裝 Windows Admin Center,請提出支援要求,並提供下列資訊:
您可以使用此 Azure Resource Manager 範本,在 Azure 入口網站中自動化 Windows Admin Center 部署。
const deploymentTemplate = {
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"type": "string"
},
"location": {
"type": "string"
},
"extensionName": {
"type": "string"
},
"extensionPublisher": {
"type": "string"
},
"extensionType": {
"type": "string"
},
"extensionVersion": {
"type": "string"
},
"port": {
"type": "string"
},
"salt": {
"type": "string"
}
},
"resources": [
{
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat( parameters('vmName'), '/' , parameters('extensionName') )]",
"apiVersion": "2018-10-01",
"location": "[parameters('location')]",
"properties": {
"publisher": "[parameters('extensionPublisher')]",
"type": "[parameters('extensionType')]",
"typeHandlerVersion": "[parameters('extensionVersion')]",
"autoUpgradeMinorVersion": true,
"settings": {
"port": "[parameters('port')]",
"salt": "[parameters('salt')]",
}
}
}
];
const parameters = {
vmName: <VM name>,
location: <VM location>,
extensionName: "AdminCenter",
extensionPublisher: "Microsoft.AdminCenter",
extensionType: "AdminCenter",
extensionVersion: "0.0",
port: "6516",
salt: ""
}
您也可以使用此 PowerShell 腳本,在 Azure 入口網站中自動化 Windows Admin Center 部署。
$resourceGroupName = <get VM's resource group name>
$vmLocation = <get VM location>
$vmName = <get VM name>
$vmNsg = <get VM's primary nsg>
$salt = ""
$wacPort = "6516"
$Settings = @{"port" = $wacPort; "salt" = $salt}
# Open outbound port rule for WAC service
Get-AzNetworkSecurityGroup -Name $vmNsg -ResourceGroupName $resourceGroupName | Add-AzNetworkSecurityRuleConfig -Name "PortForWACService" -Access "Allow" -Direction "Outbound" -SourceAddressPrefix "VirtualNetwork" -SourcePortRange "*" -DestinationAddressPrefix "WindowsAdminCenter" -DestinationPortRange "443" -Priority 100 -Protocol Tcp | Set-AzNetworkSecurityGroup
# Open outbound port rule for AAD
Get-AzNetworkSecurityGroup -Name $vmNsg -ResourceGroupName $resourceGroupName | Add-AzNetworkSecurityRuleConfig -Name "PortForAADService" -Access "Allow" -Direction "Outbound" -SourceAddressPrefix "VirtualNetwork" -SourcePortRange "*" -DestinationAddressPrefix "AzureActiveDirectory" -DestinationPortRange "443" -Priority 101 -Protocol Tcp | Set-AzNetworkSecurityGroup
# Install VM extension
Set-AzVMExtension -ResourceGroupName $resourceGroupName -Location $vmLocation -VMName $vmName -Name "AdminCenter" -Publisher "Microsoft.AdminCenter" -Type "AdminCenter" -TypeHandlerVersion "0.0" -settings $Settings
# Open inbound port rule on VM to be able to connect to WAC
Get-AzNetworkSecurityGroup -Name $vmNsg -ResourceGroupName $resourceGroupName | Add-AzNetworkSecurityRuleConfig -Name "PortForWAC" -Access "Allow" -Direction "Inbound" -SourceAddressPrefix "*" -SourcePortRange "*" -DestinationAddressPrefix "*" -DestinationPortRange $wacPort -Priority 100 -Protocol Tcp | Set-AzNetworkSecurityGroup
在 Azure 入口網站中使用 Windows Admin Center 不需要任何費用。
您可以使用角色和功能擴充功能來安裝 Hyper-V 角色。 安裝之後,請重新整理瀏覽器,Windows Admin Center 會顯示虛擬機器和切換延伸模組。
您可以使用延伸模組來管理執行 Windows Server 2016 或更高版本,或執行 Windows 10/11 的 VM。
從 Azure 入口網站到 VM 上執行的 Windows Admin Center 流量會使用 HTTPS。 您的 Azure VM 是使用 PowerShell 和 WMI over WinRM 來管理。
Windows Admin Center 會在您的 Azure 虛擬機器上安裝。 安裝是由網頁伺服器和閘道所組成。 藉由將網頁伺服器發佈至 DNS 並開啟防火牆(VM 中的輸入埠),您可以從 Azure 入口網站存取 Windows Admin Center。 此埠的規則會執行非常類似于 「RDP」 埠。 如果您不想將此埠開啟為「任何」,建議您將規則指定為用來開啟 Azure 入口網站之電腦的 IP 位址。
有一個外部 Windows Admin Center 服務會為您管理憑證和 DNS 記錄。 若要讓您的 VM 能夠與我們的服務互動,您必須建立輸出連接埠規則。
是的:
是,不過您仍然需要 安裝擴充功能 。
是,請參閱 Windows Admin Center 概觀 和管理 伺服器 。
是,針對我們的初始實作,Windows Admin Center 必須安裝在您想要使用它的每個 Azure VM 上。
是,您可以使用 Windows Admin Center 內部部署來管理內部部署和 Azure 中的伺服器和虛擬機器。 如需詳細資訊,請參閱 使用 Windows Admin Center 管理 Azure VM。
不,不幸的是不是。
是。
訓練
認證
Microsoft Certified: Windows Server Hybrid Administrator Associate - Certifications
身為 Windows Server 混合式系統管理員,您會將 Windows Server 環境與 Azure 服務整合,並管理內部部署網路中的 Windows Server。