versionshinweise zu App Service zu Azure Stack Hub 2302

Artikel
03/29/2024

In diesen Versionshinweisen werden die Verbesserungen und Fehlerbehebungen in Azure App Service in Azure Stack Hub 2302 sowie alle bekannten Probleme beschrieben. Die bekannten Probleme sind in Probleme unterteilt, die sich direkt auf die Bereitstellung und den Updateprozess beziehen, und in Probleme mit dem Build (nach der Installation).

Wichtig

Aktualisieren Sie Azure Stack Hub bei Bedarf auf eine unterstützte Version, oder stellen Sie das neueste Azure Stack Development Kit bereit, bevor Sie den App Service-Ressourcenanbieter (Resource provider, RP) bereitstellen oder aktualisieren. Lesen Sie auch die RP-Versionshinweise, um weitere Informationen zu neuen Funktionen, Fehlerbehebungen und bekannten Problemen zu erhalten, die ggf. für Ihre Bereitstellung relevant sind.

Unterstützte Azure Stack Hub-Mindestversion App Service-RP-Version

2301 und höher Installationsprogramm 2302 (Versionshinweise)

Unterstützte Azure Stack Hub-Mindestversion	App Service-RP-Version
2301 und höher	Installationsprogramm 2302 (Versionshinweise)

Buildreferenz

Die App Service in Azure Stack Hub 2302-Buildnummer lautet 98.0.1.703.

Neuigkeiten

Azure App Service im Azure Stack Hub 2302-Release ersetzt das Release 2022 H1 und enthält Korrekturen für die folgenden Probleme:

CVE-2023-21703 Azure App Service sicherheitsanfälligkeit in Azure Stack Hub
Virtual Machine Scale Sets Benutzerfreundlichkeit kann nicht über die Administratorbenutzeroberfläche App Service Rollen im Azure Stack Hub-Verwaltungsportal geöffnet werden.
Alle anderen Updates sind in den Versionshinweisen zu Azure App Service von Azure Stack Hub 2022 H1-Updates dokumentiert.
Ab dem Update Azure App Service in Azure Stack Hub 2022 H1 ist der Buchstabe K jetzt ein reservierter SKU-Buchstabe. Wenn Sie eine benutzerdefinierte SKU definiert haben, die den Buchstaben K verwendet, wenden Sie sich an den Support, um diese Situation vor dem Upgrade zu beheben.

Voraussetzungen

Lesen Sie die Dokumentation Vor den ersten Schritten mit App Service in Azure Stack, bevor Sie mit der Bereitstellung beginnen.

Bevor Sie mit dem Upgrade von Azure App Service in Azure Stack Hub auf 2302 beginnen:

Stellen Sie sicher, dass Ihr Azure Stack Hub auf 1.2108.2.127 oder 1.2206.2.52 aktualisiert wurde.
Stellen Sie sicher, dass alle Rollen in der Azure App Service Verwaltung im Azure Stack Hub-Verwaltungsportal bereit sind.
Sichern Sie App Service Geheimnisse mithilfe der App Service-Verwaltung im Azure Stack Hub-Verwaltungsportal.
Sichern Sie die App Service und SQL Server master Datenbanken:
- AppService_Hosting
- AppService_Metering
- Master
Sichern Sie die Inhaltsdateifreigabe der Mandanten-App.

Wichtig

Cloudbetreiber sind für die Wartung und den Betrieb des Dateiservers und der SQL Server verantwortlich. Der Ressourcenanbieter verwaltet diese Ressourcen nicht. Der Cloudoperator ist für das Sichern der App Service-Datenbanken und der Mandanten-Inhaltsdateifreigabe verantwortlich.
Syndikat der benutzerdefinierten Skripterweiterung Version 1.9.3 aus dem Marketplace.

Schritte vor der Aktualisierung

Hinweis

Wenn Sie zuvor Azure App Service in Azure Stack Hub 2022 H1 für Ihren Azure Stack Hub-Stempel bereitgestellt haben, handelt es sich bei dieser Version um ein kleineres Upgrade auf 2022 H1, das zwei Probleme behebt.

Azure App Service in Azure Stack Hub 2302 ist ein erhebliches Update, das mehrere Stunden dauert. Die gesamte Bereitstellung wird aktualisiert, und alle Rollen werden mit dem Windows Server 2022 Datacenter-Betriebssystem neu erstellt. Daher empfehlen wir, Endbenutzer vor dem Anwenden des Updates über ein geplantes Update zu informieren.

Ab dem Update Azure App Service in Azure Stack Hub 2022 H1 ist der Buchstabe K jetzt ein reservierter SKU-Buchstabe. Wenn Sie eine benutzerdefinierte SKU definiert haben, die den Buchstaben K verwendet, wenden Sie sich an den Support, um diese Situation vor dem Upgrade zu beheben.

Überprüfen Sie die bekannten Probleme für die Aktualisierung , und führen Sie alle vorgeschriebenen Aktionen aus.

Schritte nach der Bereitstellung

Wichtig

Wenn Sie den App Service-Ressourcenanbieter mit einem SQL-Always On instance bereitgestellt haben, müssen Sie die appservice_hosting und appservice_metering Datenbanken zu einer Verfügbarkeitsgruppe hinzufügen und die Datenbanken synchronisieren, um bei einem Datenbankfailover einen Dienstausfall zu verhindern.

Bekannte Probleme (Update)

In Situationen, in denen Sie die appservice_hosting und appservice_metering Datenbanken in eigenständige Datenbanken konvertiert haben, kann das Upgrade fehlschlagen, wenn Anmeldungen nicht erfolgreich zu eigenständigen Benutzern migriert wurden.

Wenn Sie die appservice_hosting und appservice_metering Datenbanken nach der Bereitstellung in eigenständige Datenbanken konvertiert und die Datenbankanmeldungen nicht erfolgreich zu eigenständigen Benutzern migriert haben, treten möglicherweise Upgradefehler auf.

Sie müssen das folgende Skript für die SQL Server ausführen, die appservice_hosting und appservice_metering hosten, bevor Sie Ihr Azure App Service in Azure Stack Hub-Installation auf 2020 Q3 aktualisieren. Dieses Skript ist nicht destruktiv und führt nicht zu Ausfallzeiten.

Dieses Skript muss unter den folgenden Bedingungen ausgeführt werden:

Von einem Benutzer, der über die Systemadministratorberechtigung verfügt, z. B. das SQL SA-Konto.
Wenn Sie SQL Always On verwenden, stellen Sie sicher, dass das Skript von der SQL-Instanz ausgeführt wird, die alle App Service-Anmeldungen im folgenden Format enthält:
- appservice_hosting_FileServer
- appservice_hosting_HostingAdmin
- appservice_hosting_LoadBalancer
- appservice_hosting_Operations
- appservice_hosting_Publisher
- appservice_hosting_SecurePublisher
- appservice_hosting_WebWorkerManager
- appservice_metering_Common
- appservice_metering_Operations
- Alle WebWorker-Anmeldungen in der Form WebWorker_<Instanz-IP-Adresse>

      USE appservice_hosting
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

      USE appservice_metering
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

Mandantenanwendungen können nach dem Upgrade keine Zertifikate an Anwendungen binden.

Die Ursache für dieses Problem ist ein fehlendes Feature für Front-Ends nach dem Upgrade auf Windows Server 2022. Operatoren müssen dieses Verfahren befolgen, um das Problem zu beheben.
1. Navigieren Sie im Azure Stack Hub-Verwaltungsportal zu Netzwerksicherheitsgruppen , und zeigen Sie die Netzwerksicherheitsgruppe ControllerNSG an.
2. Standardmäßig ist Remotedesktop für alle App Service Infrastrukturrollen deaktiviert. Ändern Sie die Inbound_Rdp_3389 regelaktion in Zugriff zulassen .
3. Navigieren Sie zu der Ressourcengruppe, die die App Service Ressourcenanbieterbereitstellung enthält. Standardmäßig lautet der Name AppService.<Und> stellen Sie eine Verbindung mit CN0-VM her.
4. Kehren Sie zur CN0-VM-Remotedesktopsitzung zurück.
5. Führen Sie in einer PowerShell-Administratorsitzung Folgendes aus:
  
  Wichtig
  
  Während der Ausführung dieses Skripts gibt es eine Pause für jede instance in der Front-End-Skalierungsgruppe. Wenn eine Meldung angezeigt wird, die angibt, dass das Feature installiert wird, wird instance neu gestartet. Verwenden Sie die Pause im Skript, um die Front-End-Verfügbarkeit aufrechtzuerhalten. Operatoren müssen sicherstellen, dass mindestens ein Front-End-instance jederzeit bereit ist, um sicherzustellen, dass Mandantenanwendungen Datenverkehr empfangen können und keine Ausfallzeiten auftreten.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session

Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
```
6. Navigieren Sie im Azure Stack-Verwaltungsportal zurück zur Netzwerksicherheitsgruppe ControllersNSG .
7. Ändern Sie die Inbound_Rdp_3389-Regel , um den Zugriff zu verweigern.

Bekannte Probleme (nach der Installation)

Worker können den Dateiserver nicht erreichen, wenn App Service in einem vorhandenen virtuellen Netzwerk bereitgestellt wird und der Dateiserver nur im privaten Netzwerk verfügbar ist, wie in der Dokumentation zur bereitstellung von Azure App Service in Azure Stack beschrieben.

Wenn Sie sich für die Bereitstellung in einem bestehenden virtuellen Netzwerk und eine interne IP-Adresse für die Verbindung mit Ihrem Dateiserver entschieden haben, müssen Sie eine Sicherheitsregel für ausgehenden Datenverkehr hinzufügen, die den SMB-Verkehr zwischen dem Workersubnetz und dem Dateiserver ermöglicht. Wechseln Sie im Verwaltungsportal zu WorkersNsg, und fügen Sie eine Sicherheitsregel für ausgehenden Datenverkehr mit den folgenden Eigenschaften hinzu:
- Quelle: Any
- Quellportbereich: *
- Ziel: IP-Adressen
- IP-Zieladressbereich: Bereich der IPs für Ihren Dateiserver
- Zielportbereich: 445
- Protokoll: TCP
- Aktion: Allow
- Priorität: 700
- Name: Outbound_Allow_SMB445
Um die Latenz bei der Kommunikation von Workern mit dem Dateiserver zu vermeiden, empfehlen wir außerdem, der Worker-NSG die folgende Regel hinzuzufügen, um ausgehenden LDAP- und Kerberos-Datenverkehr an Ihre Active Directory-Controller zuzulassen, wenn der Dateiserver mithilfe von Active Directory gesichert wird. Beispielsweise, wenn Sie die Schnellstartvorlage verwendet haben, um einen Hochverfügbarkeitsdateiserver bereitzustellen und SQL Server.

Wechseln Sie im Verwaltungsportal zu WorkersNsg, und fügen Sie eine Sicherheitsregel für ausgehenden Datenverkehr mit den folgenden Eigenschaften hinzu:
- Quelle: Any
- Quellportbereich: *
- Ziel: IP-Adressen
- Ziel-IP-Adressbereich: IP-Adressbereich für Ihre AD-Server, z. B. mit der Schnellstartvorlage 10.0.0.100, 10.0.0.101
- Zielportbereich: 389,88
- Protokoll: Any
- Aktion: Allow
- Priorität: 710
- Name: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers
Mandantenanwendungen können nach dem Upgrade keine Zertifikate an Anwendungen binden.

Die Ursache für dieses Problem ist ein fehlendes Feature in Front-Ends nach dem Upgrade auf Windows Server 2022. Operatoren müssen dieses Verfahren befolgen, um das Problem zu beheben:
1. Navigieren Sie im Azure Stack Hub-Verwaltungsportal zu Netzwerksicherheitsgruppen , und zeigen Sie die Netzwerksicherheitsgruppe ControllerNSG an.
2. Standardmäßig ist Remotedesktop für alle App Service Infrastrukturrollen deaktiviert. Ändern Sie die Inbound_Rdp_3389 Regelaktion in Zugriff zulassen .
3. Navigieren Sie zu der Ressourcengruppe, die die App Service Ressourcenanbieterbereitstellung enthält. Standardmäßig lautet der Name AppService.<Region> und Herstellen einer Verbindung mit CN0-VM.
4. Kehren Sie zur CN0-VM-Remotedesktopsitzung zurück.
5. Führen Sie in einer PowerShell-Administratorsitzung Folgendes aus:
  
  Wichtig
  
  Während der Ausführung dieses Skripts gibt es eine Pause für jede instance im Front-End-Skalierungsset. Wenn eine Meldung angezeigt wird, dass das Feature installiert wird, wird instance neu gestartet. Verwenden Sie die Pause im Skript, um die Front-End-Verfügbarkeit aufrechtzuerhalten. Betreiber müssen sicherstellen, dass mindestens ein Front-End-instance jederzeit bereit ist, um sicherzustellen, dass Mandantenanwendungen Datenverkehr empfangen können und keine Ausfallzeiten auftreten können.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session      
```
6. Navigieren Sie im Azure Stack-Verwaltungsportal zurück zur Netzwerksicherheitsgruppe ControllerNSG .
7. Ändern Sie die Inbound_Rdp_3389 Regel, um den Zugriff zu verweigern.

Bekannte Probleme von Cloudadministratoren, die Azure App Service in Azure Stack betreiben

Benutzerdefinierte Domänen werden in nicht verbundenen Umgebungen nicht unterstützt.

App Service führt die Überprüfung des Domänenbesitzes für öffentliche DNS-Endpunkte durch. Daher werden benutzerdefinierte Domänen in nicht verbundenen Szenarien nicht unterstützt.
Virtual Network Integration für Web- und Funktions-Apps wird nicht unterstützt.

Die Möglichkeit zum Hinzufügen der Integration virtueller Netzwerke zu Web- und Funktions-Apps wird im Azure Stack Hub-Portal angezeigt. Wenn ein Mandant versucht, zu konfigurieren, wird ein interner Serverfehler angezeigt. Dieses Feature wird in Azure App Service in Azure Stack Hub nicht unterstützt.

Nächste Schritte

Einen Überblick über Azure App Service finden Sie unter Übersicht über App Service in Azure Stack.
Weitere Informationen zum Vorbereiten der Bereitstellung von App Service in Azure Stack finden Sie unter Vor den ersten Schritten mit App Service in Azure Stack.