Поделиться через

Развертывание Windows Admin Center вручную в Azure для управления несколькими серверами

  • Статья
  • Применяется к: ✅ Windows Admin Center, ✅ Windows Admin Center Preview

В этой статье описывается, как вручную развернуть Windows Admin Center на виртуальной машине Azure для управления несколькими виртуальными машинами Azure. Для управления одной виртуальной машиной вместо этого используйте функции Windows Admin Center, встроенные на портал Azure, как описано в разделе Использование Центра администрирования Windows на портале Azure).

Развертывание с помощью скрипта

Вы можете скачать Deploy-WACAzVM.ps1, которые вы будете запускать из Azure Cloud Shell, чтобы настроить шлюз Windows Admin Center в Azure. Этот скрипт может создать всю среду, включая группу ресурсов.

Переход к инструкциям по развертыванию вручную

Предпосылки

  • Настройте учетную запись в Azure Cloud Shell. Если вы впервые используете Cloud Shell, вам будет предложено связать или создать учетную запись хранения Azure с Cloud Shell.
  • В PowerShell Cloud Shell перейдите к домашнему каталогу: PS Azure:\> cd ~
  • Чтобы отправить файл Deploy-WACAzVM.ps1, перетащите его с локального компьютера в любое место в окне Cloud Shell.

Если вы указываете собственный сертификат, следуйте этим указаниям.

  • Отправьте сертификат в Azure Key Vault. Сначала создайте хранилище ключей на портале Azure, а затем отправьте сертификат в хранилище ключей. Кроме того, вы можете использовать портал Azure для создания сертификата.

Параметры скрипта

  • ResourceGroupName — [Строка] Указывает имя группы ресурсов, в которой будет создана виртуальная машина.

  • Имя — [Строка] Определяет имя виртуальной машины.

  • учетные данные - [PSCredential] указывает учетные данные для виртуальной машины.

  • MsiPath — [Строка] Указывает локальный путь MSI Центра администрирования Windows при развертывании Центра администрирования Windows на существующей виртуальной машине. Значение по умолчанию для версии из https://aka.ms/WACDownload, если опущено.

  • VaultName — [Строка] Указывает имя хранилища ключей, содержащего сертификат.

  • CertName — [Строка] Указывает имя сертификата, который будет использоваться для установки MSI.

  • GenerateSslCert — [Switch] True, если MSI должен создать самозаверенный SSL-сертификат.

  • номер порта — [int] Указывает номер порта SSL для службы Центра администрирования Windows. Значение по умолчанию — 443, если не указано.

  • OpenPorts — [int[]] Указывает открытые порты для виртуальной машины.

  • Расположение — [Строка] Указывает местоположение виртуальной машины.

  • Размер — [Тип данных: Строка] Определяет размер виртуальной машины. Значение по умолчанию — «Standard_DS1_v2», если опущено.

  • образ — [Строка] Указывает образ виртуальной машины. Значение по умолчанию — «Win2016Datacenter», если параметр не указан.

  • VirtualNetworkName — [String] Указывает имя виртуальной сети для виртуальной машины.

  • имя подсети — [Строка] Задает имя подсети для виртуальной машины.

  • SecurityGroupName — [Строка] Указывает имя группы безопасности для виртуальной машины.

  • PublicIpAddressName — [Строка] Указывает имя общедоступного IP-адреса виртуальной машины.

  • InstallWACOnly — параметр [Switch] Имеет значение True, если WAC должен быть установлен на предварительно существующей виртуальной машине Azure.

Существует 2 различных варианта развертывания MSI и сертификата, используемого для установки MSI. MSI можно скачать с сайта aka.ms/WACDownload, или, если развертывание происходит на существующей виртуальной машине, можно указать путь к файлу MSI, который находится локально на этой виртуальной машине. Сертификат можно найти в Azure Key Vault или самозаверяющий сертификат будет создан MSI.

Примеры скриптов

Сначала определите общие переменные, необходимые для параметров скрипта.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Пример 1. Используйте сценарий для развертывания шлюза WAC на новой виртуальной машине в новой виртуальной сети и группе ресурсов. Используйте MSI из aka.ms/WACDownload и самозаверяющий сертификат из MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Пример 2. То же, что и #1, но с помощью сертификата из Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Пример 3. Использование локального MSI на существующей виртуальной машине для развертывания WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Требования к виртуальной машине под управлением шлюза Windows Admin Center

Должен быть открыт порт 443 (HTTPS). Используя те же переменные, определенные для скрипта, можно использовать приведенный ниже код в Azure Cloud Shell для обновления группы безопасности сети:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Требования к управляемой виртуальной машине Azure

Порт 5985 (WinRM по протоколу HTTP) должен быть открыт и иметь активный прослушиватель. Для обновления управляемых узлов можно использовать приведенный ниже код в Azure Cloud Shell. $ResourceGroupName и $Name используют те же переменные, что и сценарий развертывания, но вам потребуется использовать $Credential, который относится к управляемой вами виртуальной машине.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Развертывание вручную на существующей виртуальной машине Azure

Перед установкой Windows Admin Center на нужной виртуальной машине шлюза установите SSL-сертификат для обмена данными ПО HTTPS или вы можете использовать самозаверяющий сертификат, созданный Windows Admin Center. Однако при попытке подключиться из браузера вы получите предупреждение при выборе последнего варианта. Это предупреждение можно обойти в Edge, щелкнув Сведения > Перейти на веб-страницу или в Chrome, выбрав Дополнительно > Перейти на[веб-страница]. Рекомендуется использовать только самозаверяющий сертификат для тестовых сред.

Примечание.

Эти инструкции предназначены для установки на Windows Server с функцией Desktop Experience, а не для установки Server Core.

  1. скачать Windows Admin Center на локальный компьютер.

  2. Установите подключение удаленного рабочего стола к виртуальной машине, а затем скопируйте MSI с локального компьютера и вставьте его в виртуальную машину.

  3. Дважды щелкните MSI, чтобы начать установку, и следуйте инструкциям мастера. Имейте в виду следующее:

    • По умолчанию установщик использует рекомендуемый порт 443 (HTTPS). Если вы хотите выбрать другой порт, обратите внимание, что необходимо также открыть этот порт в брандмауэре.

    • Если на виртуальной машине уже установлен SSL-сертификат, выберите этот параметр и введите отпечаток.

  4. Запустите службу Windows Admin Center (запустите C:/Program Files/Windows Admin Center/sme.exe)

Дополнительные сведения о развертывании Windows Admin Center.

Настройте виртуальную машину шлюза для включения доступа к порту HTTPS:

  1. Перейдите к вашей виртуальной машине в портале Azure и выберите Сетевые подключения.

  2. Выберите Добавить правило входящего порта и выберите HTTPS в разделе Service.

Примечание.

Если вы выбрали порт, отличный от стандартного 443, выберите "Настраиваемые" в разделе "Служба" и введите порт, выбранный на шаге 3, в разделе "Диапазон портов".

Доступ к шлюзу Windows Admin Center, установленному на виртуальной машине Azure

На этом этапе вы сможете получить доступ к Центру администрирования Windows из современного браузера (Edge или Chrome) на локальном компьютере, перейдя по DNS-имени виртуальной машины шлюза.

Примечание.

Если вы выбрали порт, отличный от 443, вы можете получить доступ к Центру администрирования Windows, перейдя к https://<DNS-имени виртуальной машины>:<настраиваемый порт>

При попытке доступа к Windows Admin Center браузер запрашивает учетные данные для доступа к виртуальной машине, на которой установлен Центр администрирования Windows. Здесь необходимо ввести учетные данные, которые находятся в группе локальных пользователей или локальных администраторов виртуальной машины.

Чтобы добавить другие виртуальные машины в виртуальную сеть, убедитесь, что WinRM запущен на целевых виртуальных машинах, выполнив следующую команду в PowerShell или командную строку на целевой виртуальной машине: winrm quickconfig

Если вы не добавили виртуальную машину Azure в домен, виртуальная машина будет работать как сервер в рабочей группе, поэтому необходимо убедиться, что учетная запись настроена с помощью Windows Admin Center в рабочей группе.