Gestire i server abilitati per Azure Arc usando Windows Admin Center in Azure

L'uso di Windows Admin Center nella portale di Azure consente di gestire il sistema operativo Windows Server dei server abilitati per Arc, noti come macchine ibride. È possibile gestire in modo sicuro i computer ibridi da qualsiasi posizione senza la necessità di una VPN, un indirizzo IP pubblico o un'altra connettività in ingresso al computer. Per altre informazioni sui server con abilitazione di Arc, vedere Informazioni sui server abilitati per Azure Arc.

Con l'estensione Windows Admin Center in Azure, si ottengono funzionalità di gestione, configurazione, risoluzione dei problemi e manutenzione per la gestione dei server abilitati per Arc nel portale di Azure. La gestione dell'infrastruttura e del carico di lavoro di Windows Server non richiede più di stabilire la modalità line-of-sight o RDP (Remote Desktop Protocol)– che può essere eseguita in modo nativo dal portale di Azure. Windows Admin Center offre strumenti che normalmente si trovano in Server Manager, Gestione dispositivi, Gestione attività, Gestione Hyper-V e nella maggior parte degli altri strumenti di Microsoft Management Console (MMC).

Questo articolo offre una panoramica sull'uso di Windows Admin Center nel portale di Azure, sui requisiti e su come installare Windows Admin Center nel portale di Azure e usarlo per gestire il computer ibrido. Inoltre, risponde alle domande più frequenti e fornisce un elenco di problemi noti e suggerimenti per la risoluzione dei problemi nel caso in cui qualcosa non funzioni.

Panoramica di Windows Admin Center in Azure

Windows Admin Center nel portale di Azure offre strumenti essenziali per la gestione di Windows Server in esecuzione in un singolo computer ibrido. È possibile gestire i computer ibridi senza dover aprire alcuna porta in ingresso nel firewall.

Usando Windows Admin Center nel portale di Azure, è possibile gestire:

• Certificates
• Devices
• Events
• File e condivisione di file
• Firewall
• Installed apps
• Utenti e gruppi locali
• Performance Monitor
• PowerShell
• Processes
• Registry
• Remote Desktop
• Ruoli e funzionalità
• Scheduled tasks
• Services
• Storage
• Updates
• Virtual machines
• Virtual switches

Attualmente non sono supportate altre estensioni per Windows Admin Center nel portale di Azure.

Requirements

Questa sezione fornisce i requisiti per l'uso di Windows Admin Center nel portale di Azure per gestire un computer ibrido:

• Account Azure con una sottoscrizione attiva
• Azure permissions
• Disponibilità della regione di Azure
• Requisiti dei computer ibridi
• Networking requirements

Account Azure con una sottoscrizione attiva

Per distribuire Windows Admin Center, è necessario un account di Azure con una sottoscrizione attiva. Se non se ne ha già uno, è possibile creare un account gratuitamente.

During the deployment of Windows Admin Center, we'll attempt to register the Microsoft.HybridConnectivity resource provider for your subscription.

Per controllare lo stato del provider di risorse e registrarsi, se necessario:

1. Sign in to the Azure portal.
2. Select Subscriptions.
3. Selezionare il nome della sottoscrizione.
4. Select Resource providers.
5. Search for Microsoft.HybridConnectivity.
6. Verify that the status of Microsoft.HybridConnectivity is Registered.
   1. If the status is NotRegistered, select Microsoft.HybridConnectivity, and then select Register.

Azure permissions

To install the Windows Admin Center extension for an Arc-enabled server resource, your account must be granted the Owner, Contributor, or Windows Admin Center Administrator Login role in Azure.

Connecting to Windows Admin center requires you to have Reader and Windows Admin Center Administrator Login permissions at the Arc-enabled server resource.

Altre informazioni sull'assegnazione dei ruoli di Azure tramite il portale di Azure

Disponibilità a livello di area di Azure

Windows Admin Center è supportato nelle aree di Azure seguenti:

• Australia East
• Brazil South
• Canada Central
• Canada East
• Central India
• Central US
• East Asia
• East US
• Stati Uniti orientali 2
• France Central
• Japan East
• Korea Central
• Stati Uniti centro-settentrionali
• North Europe
• Sudafrica settentrionale
• Stati Uniti centro-meridionali
• Southeast Asia
• Sweden Central
• Switzerland North
• UAE North
• UK South
• UK West
• Stati Uniti centro-occidentali
• West Europe
• West US
• West US 2 (Regione Ovest degli Stati Uniti 2)
• Stati Uniti occidentali 3

Requisiti del computer ibrido

Per usare Windows Admin Center nel portale di Azure, l'agente di Windows Admin Center deve essere installato su ogni computer ibrido da gestire tramite un'estensione della macchina virtuale di Azure. Assicurarsi che il computer sia connesso ad Azure Arc prima di procedere. Per altre informazioni sull'onboarding del computer in Azure Arc, vedere Connettere i computer Windows Server ad Azure tramite il programma di installazione di Azure Arc. Il computer ibrido deve soddisfare i requisiti seguenti:

• Windows Server 2016 o versione successiva
• 3 GB di RAM o più
• Versione 1.13.21320.014 o successiva dell'agente Azure Arc
• È necessario usare i tipi di licenza Con pagamento in base al consumo di Windows Server o Software Assurance

Networking requirements

Il computer ibrido deve soddisfare i requisiti di rete seguenti:

• Accesso Internet in uscita o regola di porta in uscita che consente il traffico HTTPS agli endpoint seguenti:

  • *service.waconazure.com or the WindowsAdminCenterservice tag
  • pas.windows.net
  • *.servicebus.windows.net

Il computer di gestione in cui è in esecuzione il portale di Azure deve soddisfare i requisiti di rete seguenti:

• Accesso a Internet in uscita sulla porta 443

Prima di accedere al portale di Azure dal computer o dal sistema di gestione, assicurarsi di esaminare i dispositivi supportati e i browser consigliati.

Installare Windows Admin Center nel portale di Azure

Prima di poter usare Windows Admin Center nel portale di Azure, è necessario distribuire l'estensione vm di Windows Admin Center seguendo questa procedura:

1. Aprire il portale di Azure e passare al server abilitato per Arc.
2. Under the Settings group, select Windows Admin Center.
3. Specify the port on which you wish to install Windows Admin Center, and then select Install.

Connessione a Windows Admin Center nel portale di Azure

Dopo aver installato Windows Admin Center nel computer ibrido, eseguire le seguenti operazioni per connettersi e usarlo per gestire Windows Server:

1. Open the Azure portal and navigate to your Arc-enabled server, and then under the Settings group, select Windows Admin Center (preview).
2. Select Connect.

Windows Admin Center si apre nel portale, consentendo l’accesso agli stessi strumenti già noti per l'uso di Windows Admin Center in una distribuzione locale.

Configurazione delle assegnazioni di ruolo

L'accesso a Windows Admin Center è controllato dal ruolo di Azure Accesso amministratore Windows Admin Center.

Configurare le assegnazioni di ruolo per le macchine ibride che usano Microsoft Entra admin:

1. Aprire il computer ibrido che si vuole gestire con Windows Admin Center.

2. Seleziona Controllo di accesso (IAM).

3. Select Add>Add role assignment to open the Add role assignment page.

4. Assegnare il ruolo seguente. Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

   Setting	Value
   Role	Accesso amministratore di Windows Admin Center
   Assegna accesso a	Utente, gruppo, entità servizio o identità gestita

Per altre informazioni su come usare il controllo degli accessi in base al ruolo di Azure per gestire l'accesso alle risorse della sottoscrizione di Azure, vedere i seguenti articoli:

• Assegnare i ruoli di Azure usando l'interfaccia della riga di comando di Azure
• Assegnare i ruoli di Azure usando gli esempi dell'interfaccia della riga di comando di Azure. L'interfaccia della riga di comando di Azure può essere usata anche nell'esperienza di Azure Cloud Shell.
• Assegnare ruoli di Azure usando il portale di Azure
• Assegnare i ruoli di Azure usando Azure PowerShell.

Proxy configuration

Se il computer si connette tramite un server proxy per comunicare su Internet, esaminare i seguenti requisiti per comprendere la configurazione di rete necessaria.

L'estensione Windows Admin Center può comunicare tramite un server proxy usando il protocollo HTTPS. Usare le impostazioni delle estensioni per la configurazione come descritto nei passaggi seguenti. I proxy autenticati non sono supportati.

1. Usare questo diagramma di flusso per determinare i valori dei parametri Settings

2. Dopo aver determinato i valori dei parametri Settings, specificare questi altri parametri quando si distribuisce l’agente AdminCenter. Usare i comandi di PowerShell, come illustrato nell'esempio seguente:

$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
New-AzConnectedMachineExtension -Name AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -SubscriptionId <subscription-id>

Funzionamento

Usando Windows Admin Center in Azure, è possibile connettersi al computer ibrido senza bisogno dell'abilitazione di una porta in ingresso nel firewall. Windows Admin Center, tramite l'agente Arc, è in grado di stabilire in modo sicuro una connessione di sessione del proxy inverso con il servizio Azure Arc in uscita.

Per ogni computer ibrido da gestire con Windows Admin Center nel portale di Azure, è necessario distribuire un agente in ogni computer.

L'agente comunica con un servizio esterno che gestisce i certificati, in modo che sia possibile connettersi facilmente al computer ibrido.

Clicking Install performs the following actions:

1. Registers the Microsoft.HybridConnectivity resource provider on your subscription. Il provider di risorse ospita il proxy usato per la comunicazione con il server abilitato per Arc.
2. Deploys an Azure endpoint resource on top of your Arc-enabled resource that enables a reverse proxy connection on the specified port. Si tratta semplicemente di una risorsa logica in Azure e non distribuisce nulla sul server stesso.
3. Installa l'agente di Windows Admin Center nel computer ibrido con un certificato TLS valido.

Clicking Connect performs the following actions:

1. The Azure portal asks the Microsoft.HybridConnectivity resource provider for access to the Arc-enabled server.
2. Il provider di risorse comunica con un proxy SNI di livello 4 per stabilire un accesso specifico di sessione di breve durata al server abilitato per Arc sulla porta di Windows Admin Center.
3. Viene generato un URL univoco di breve durata e viene stabilita la connessione a Windows Admin Center dal portale di Azure.

Per la connessione a Windows Admin Center viene usata la crittografia end-to-end con la terminazione SSL nel computer ibrido.

Automatizzare la distribuzione di Windows Admin Center con PowerShell

È possibile automatizzare la distribuzione di Windows Admin Center nel portale di Azure usando questo script di PowerShell di esempio.

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
$portint = 6516
        
#Deploy Windows Admin Center
$Setting = @{"port" = $port; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}} #proxy configuration is optional
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15" -Payload $putPayload

$patch = @{ "properties" =  @{ "serviceName" = "WAC"; "port" = $portint}} 
$patchPayload = ConvertTo-Json $patch 
Invoke-AzRestMethod -Method PUT -Path /subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/WAC?api-version=2023-03-15 -Payload $patchPayload

Troubleshooting

Di seguito sono elencati alcuni suggerimenti da provare nel caso in cui qualcosa non funzioni. Per informazioni generali sulla risoluzione dei problemi di Windows Admin Center (non specificamente in Azure), vedere Risoluzione dei problemi di Windows Admin Center.

Impossibile connettersi con l'endpoint "404 non trovato"

1. La versione 1.36 e 1.35 di Azure Connected Machine Agent (agente Arc) interrompe la connessione a Windows Admin Center. This has been fixed in later versions of the Arc agent (1.37+) This can be downloaded here.

Errore di connessione non riuscita

1. Riavviare il servizio HIMDS.

   1. RDP nel server.

   2. Aprire PowerShell come amministratore ed eseguire:

      Restart-Service -Name himds
      

2. Verificare che la versione dell'estensione sia 0.0.0.169 o successiva.

   1. Passare a "Estensioni"
   2. Verificare che la versione dell'estensione "AdminCenter" sia 0.0.0.169 o successiva
   3. In caso contrario, disinstallare l'estensione e reinstallarla

3. Assicurarsi che il servizio Windows Admin Center sia in esecuzione nel computer.

   1. RDP nel server.
   2. Aprire Gestione attività (CTRL+MAIUSC+ESC) e passare a Servizi.
   3. Assicurarsi che ServerManagementGateway/Windows Admin Center sia in esecuzione.
   4. Se non è in esecuzione, avviare il servizio.

4. Controllare che la porta sia abilitata per la sessione proxy inverso.

   1. RDP nel server.

   2. Aprire PowerShell come amministratore ed eseguire:

      azcmagent config list
      

   3. Nella configurazione incomingconnections.ports (anteprima) verrà restituito un elenco di porte abilitate per la connessione da Azure. Verificare che la porta in cui è installato Windows Admin Center sia presente in questo elenco. Ad esempio, se Windows Admin Center è installato nella porta 443, il risultato sarà:

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. Nel caso in cui non sia presente in questo elenco, eseguire

      azcmagent config set incomingconnections.ports <port>
      

      Se si usa un'altra esperienza (ad esempio SSH) con questa soluzione, è possibile specificare più porte separate da una virgola.

5. Assicurarsi di disporre della connettività in uscita alle porte necessarie

   1. Il computer ibrido deve avere connettività in uscita agli endpoint seguenti:
      • *.wac.azure.com,*.waconazure.com o windowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Uno degli strumenti di Windows Admin Center non viene caricato o restituisce un errore

1. Passare a qualsiasi altro strumento in Windows Admin Center e tornare a quello che non viene caricato.

2. Se non viene caricato alcun strumento, potrebbe trattarsi di un problema con la connettività di rete. Provare a chiudere il pannello e quindi connettersi di nuovo. Se non funziona, aprire un ticket di supporto.

L'installazione dell'estensione Windows Admin Center non è riuscita

1. Double-check to make sure that the hybrid machine meets the requirements.

2. Assicurarsi che il traffico in uscita verso Windows Admin Center sia consentito nel computer ibrido

   1. Verificare la connettività eseguendo il seguente comando con PowerShell all'interno della macchina virtuale:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. Se si è consentito tutto il traffico in uscita e si ottiene un errore dal comando precedente, verificare che non siano presenti regole del firewall che bloccano la connessione.

Se non viene visualizzato alcun errore e Windows Admin Center continua a non installarsi, aprire una richiesta di supporto con le informazioni seguenti:

• Log dal portale di Azure. Windows Admin Center logs can be found under Settings>Extensions>AdminCenter>View Detailed Status.

• Log nel computer ibrido. Eseguire il comando di PowerShell seguente e condividere il file ZIP risultante.

  azcmagent logs
  

• Traccia di rete, se appropriato. Le tracce di rete possono contenere dati dei clienti e dettagli di sicurezza sensibili, ad esempio le password, quindi è consigliabile esaminarle e rimuovere eventuali dettagli sensibili prima di condividerli.

Known issues

• La modalità in incognito di Chrome non è supportata.
• L'app desktop del portale di Azure non è supportata.
• I messaggi di errore dettagliati per le connessioni non riuscite non sono ancora disponibili.
• A partire dal 1° novembre 2024, alcuni clienti esistenti non possono usare Windows Admin Center per Azure Arc.
• A partire dal 1° novembre 2024, alcuni clienti non sono in grado di installare o usare Windows Admin Center per Azure Arc, anche con un'attestazione di licenza appropriata.

Domande frequenti

Trovare le risposte alle domande frequenti sull'uso di Windows Admin Center in Azure.

Quanto costa usare Windows Admin Center?

L'uso di Windows Admin Center nel portale di Azure non comporta costi associati.

È possibile usare Windows Admin Center per gestire le macchine virtuali in esecuzione nel server?

È possibile installare il ruolo Hyper-V usando l'estensione Ruoli e funzionalità. Dopo l'installazione, aggiornare il browser e Windows Admin Center visualizza le estensioni Macchina virtuale e Commutatore.

Quali server è possibile gestire usando questa estensione?

È possibile usare la funzionalità per gestire Windows Server 2016 e versioni successive abilitate per Arc. È anche possibile usare Windows Admin Center in Azure per gestirelocali di Azure.

In che modo Windows Admin Center gestisce la sicurezza?

Il traffico dal portale di Azure a Windows Admin Center è crittografato end-to-end. Il server abilitato per Arc viene gestito tramite PowerShell e WMI su WinRM.

È necessaria una porta in ingresso per l'uso di Windows Admin Center?

Non è necessaria alcuna connessione in ingresso per l'uso di Windows Admin Center.

Perché è necessario creare una regola di porta in uscita?

Per il servizio creato per comunicare con il server è necessaria una regola di porta in uscita. Il servizio invia un certificato gratuito per l'istanza di Windows Admin Center. Questo servizio garantisce che sia sempre possibile connettersi all'istanza di Windows Admin Center dal portale di Azure mantenendo aggiornato il certificato WAC.

Inoltre, l'accesso a Windows Admin Center da Azure non richiede alcuna porta in ingresso e solo la connettività in uscita tramite una soluzione di proxy inverso. Queste regole in uscita sono necessarie per stabilire la connessione.

Ricerca per categorie: trovare la porta usata per l'installazione di Windows Admin Center

Per verificare il valore dell'impostazione del Registro di sistema SmePort:

1. RDP nel server
2. Open the Registry Editor
3. Passare alla chiave \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
4. Leggere il valore di SmePort per trovare la porta usata

È possibile usare PowerShell o l'interfaccia della riga di comando di Azure per installare l'estensione nella macchina virtuale?

Sì, per installare l'estensione usando l'interfaccia della riga di comando di Azure, eseguire il comando seguente da un prompt dei comandi:

az connectedmachine extension create

È anche possibile installare l'estensione usando PowerShell. Altre informazioni su come automatizzare la distribuzione di Windows Admin Center con PowerShell.

Windows Admin Center è già installato nel server Arc. È possibile accedere al portale?

Yes. È possibile seguire gli stessi passaggi descritti in questo documento.

Next steps

• Informazioni su Windows Admin Center
• Informazioni sulla gestione dei server con Windows Admin Center
• Learn about Azure Arc