Развертывание Windows Администратор Center вручную в Azure для управления несколькими серверами

В этой статье описывается, как вручную развернуть Центр Администратор Windows на виртуальной машине Azure для управления несколькими виртуальными машинами Azure. Для управления одной виртуальной машиной вместо этого используйте функции Центра Администратор Windows, встроенные в портал Azure, как описано в разделе "Использование Центра Администратор Windows в портал Azure").

Развертывание с помощью скрипта

Вы можете скачать Deploy-WACAzVM.ps1, который вы будете запускать из Azure Cloud Shell, чтобы настроить шлюз Центра Администратор Windows в Azure. Этот скрипт может создать всю среду, включая группу ресурсов.

Переход к инструкциям по развертыванию вручную

Необходимые компоненты

  • Настройте учетную запись в Azure Cloud Shell. Если вы впервые используете Cloud Shell, вам будет предложено связать или создать учетную запись хранения Azure с Cloud Shell.
  • В PowerShell Cloud Shell перейдите к домашнему каталогу:PS Azure:\> cd ~
  • Чтобы отправить Deploy-WACAzVM.ps1 файл, перетащите его с локального компьютера в любое место в окне Cloud Shell.

Если указать собственный сертификат, выполните указанные действия.

  • Отправьте сертификат в Azure Key Vault. Сначала создайте хранилище ключей в портал Azure, а затем отправьте сертификат в хранилище ключей. Кроме того, можно использовать портал Azure для создания сертификата.

Параметры скрипта

  • ResourceGroupName — [Строка] Указывает имя группы ресурсов, в которой будет создана виртуальная машина.

  • Имя — [Строка] Указывает имя виртуальной машины.

  • Учетные данные — [PSCredential] — указывает учетные данные для виртуальной машины.

  • MsiPath — [String] Указывает локальный путь к MSI центра Windows Администратор Center при развертывании Центра Администратор Windows на существующей виртуальной машине. Значение по умолчанию для версии, https://aka.ms/WACDownload если опущено.

  • VaultName — [String] Указывает имя хранилища ключей, содержащего сертификат.

  • CertName — [Строка] Указывает имя сертификата, используемого для установки MSI.

  • GenerateSslCert — [Switch] True, если MSI должен создать самозаверяющий ssl-сертификат.

  • PortNumber — [int] Указывает номер ssl-порта для службы Центра Администратор Windows. Значение по умолчанию — 443, если опущено.

  • OpenPorts — [int[]] — указывает открытые порты для виртуальной машины.

  • Расположение — [Строка] Указывает расположение виртуальной машины.

  • Размер — [Строка] Указывает размер виртуальной машины. Значение по умолчанию —Standard_DS1_v2, если опущено.

  • Образ — [Строка] Указывает образ виртуальной машины. Значение по умолчанию —Win2016Datacenter, если опущено.

  • VirtualNetworkName — [String] Указывает имя виртуальной сети для виртуальной машины.

  • SubnetName — [String] Указывает имя подсети для виртуальной машины.

  • SecurityGroupName — [String] Указывает имя группы безопасности для виртуальной машины.

  • PublicIpAddressName — [String] Указывает имя общедоступного IP-адреса виртуальной машины.

  • InstallWACOnly — [Switch] Установите значение True, если WAC должен быть установлен на предварительно существующей виртуальной машине Azure.

Существует 2 различных варианта развертывания MSI и сертификата, используемого для установки MSI. MSI можно скачать из aka.ms/WACDownload или, если развертывание на существующей виртуальной машине, файловый путь MSI локально на виртуальной машине можно получить. Сертификат можно найти в Azure Key Vault или самозаверяющий сертификат будет создан MSI.

Примеры сценариев

Сначала определите общие переменные, необходимые для параметров скрипта.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Пример 1. Используйте сценарий для развертывания шлюза WAC на новой виртуальной машине в новой виртуальной сети и группе ресурсов. Используйте MSI из aka.ms/WACDownload и самозаверяющий сертификат из MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Пример 2. То же, что и #1, но с помощью сертификата из Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Пример 3. Использование локального MSI на существующей виртуальной машине для развертывания WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Требования к виртуальной машине под управлением шлюза Windows Администратор Center

Должен быть открыт порт 443 (HTTPS). Используя те же переменные, определенные для скрипта, можно использовать приведенный ниже код в Azure Cloud Shell для обновления группы безопасности сети:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Требования к управляемой виртуальной машине Azure

Порт 5985 (WinRM по протоколу HTTP) должен быть открыт и иметь активный прослушиватель. Для обновления управляемых узлов можно использовать приведенный ниже код в Azure Cloud Shell. $ResourceGroupName используйте те же переменные, что и $Name сценарий развертывания, но вам потребуется использовать конкретную $Credential виртуальную машину, управляемую вами.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Развертывание вручную на существующей виртуальной машине Azure

Перед установкой Центра Администратор Windows на нужной виртуальной машине шлюза установите SSL-сертификат для обмена данными ПО HTTPS или вы можете использовать самозаверяющий сертификат, созданный Центром Администратор Windows. Однако при попытке подключиться из браузера вы получите предупреждение при выборе последнего варианта. Это предупреждение можно обойти в Edge, нажав кнопку "Сведения>" перейти на веб-страницу или в Chrome, выбрав "Дополнительно > перейти к [веб-странице]. Рекомендуется использовать только самозаверяющий сертификат для тестовых сред.

Примечание.

Эти инструкции предназначены для установки на Windows Server с рабочим столом, а не на установке основных серверных компонентов.

  1. Скачайте Центр windows Администратор на локальный компьютер.

  2. Установите подключение удаленного рабочего стола к виртуальной машине, а затем скопируйте MSI с локального компьютера и вставьте его в виртуальную машину.

  3. Дважды щелкните MSI, чтобы начать установку, и следуйте инструкциям мастера. Обратите внимание на такие моменты:

    • По умолчанию установщик использует рекомендуемый порт 443 (HTTPS). Если вы хотите выбрать другой порт, обратите внимание, что необходимо также открыть этот порт в брандмауэре.

    • Если на виртуальной машине уже установлен SSL-сертификат, выберите этот параметр и введите отпечаток.

  4. Запустите службу Центра Администратор Windows (запустите C:/Program Files/Windows Администратор Center/sme.exe)

Дополнительные сведения о развертывании Windows Администратор Center.

Настройте виртуальную машину шлюза для включения доступа к порту HTTPS:

  1. Перейдите к виртуальной машине в портал Azure и выберите "Сеть".

  2. Выберите "Добавить правило входящего порта" и выберите HTTPS в разделе "Служба".

Примечание.

Если вы выбрали порт, отличный от стандартного 443, выберите "Пользователь " в разделе "Служба" и введите порт, выбранный на шаге 3 в диапазоне портов.

Доступ к шлюзу Windows Администратор Center, установленному на виртуальной машине Azure

На этом этапе вы сможете получить доступ к Центру Администратор Windows из современного браузера (Edge или Chrome) на локальном компьютере, перейдя к DNS-имени виртуальной машины шлюза.

Примечание.

Если выбран порт, отличный от 443, вы можете получить доступ к Центру Администратор Windows, перейдя к имени https://< DNS виртуальной машины>:<custom port>

При попытке доступа к Центру Администратор Windows браузер запросит учетные данные для доступа к виртуальной машине, на которой установлен Центр Администратор Windows. Здесь необходимо ввести учетные данные, которые находятся в группе локальных пользователей или локальных администраторов виртуальной машины.

Чтобы добавить другие виртуальные машины в виртуальную сеть, убедитесь, что WinRM запущен на целевых виртуальных машинах, выполнив следующую команду в PowerShell или командную строку на целевой виртуальной машине: winrm quickconfig

Если вы не присоединились к виртуальной машине Azure, виртуальная машина работает как сервер в рабочей группе, поэтому необходимо убедиться, что вы используете Windows Администратор Center в рабочей группе.