Déployer manuellement Windows Admin Center dans Azure pour la gestion de plusieurs serveurs

Cet article explique comment déployer manuellement Windows Admin Center dans une machine virtuelle Azure pour une utilisation dans la gestion de plusieurs machines virtuelles Azure. Pour gérer une seule machine virtuelle, utilisez plutôt les fonctionnalités Windows Admin Center intégrées au portail Azure, comme décrit dans Utiliser Windows Admin Center dans le portail Azure.

Déployer à l’aide d’un script

Vous pouvez télécharger Deploy-WACAzVM.ps1 que vous exécuterez à partir d’Azure Cloud Shell pour configurer une passerelle Windows Admin Center dans Azure. Ce script peut créer l’intégralité de l’environnement, ce qui inclut le groupe de ressources.

Passer aux étapes de déploiement manuel

Prérequis

• Configurez votre compte dans Azure Cloud Shell. Si c’est la première fois que vous utilisez Cloud Shell, vous serez invité à associer ou à créer un compte de stockage Azure avec Cloud Shell.
• Dans une instance Cloud Shell PowerShell, accédez à votre répertoire de base :PS Azure:\> cd ~
• Pour charger le fichier Deploy-WACAzVM.ps1, faites-le glisser à partir de votre machine locale et déposez-le n’importe où dans la fenêtre Cloud Shell.

Si vous spécifiez votre propre certificat :

• Chargez le certificat vers dans Azure Key Vault. Commencez par créer un coffre de clés dans le portail Azure, puis chargez le certificat dans ce coffre. Vous pouvez également utiliser le portail Azure pour générer automatiquement un certificat.

Paramètres de script

• ResourceGroupName : [String] Spécifie le nom du groupe de ressources dans lequel la machine virtuelle sera créée.

• Name : [String] Spécifie le nom de la machine virtuelle.

• Credential : [PSCredential] Spécifie les informations d’identification de la machine virtuelle.

• MsiPath : [String] Spécifie le chemin local de l’instance MSI Windows Admin Center lors du déploiement de Windows Admin Center sur une machine virtuelle existante. Si ce paramètre n’est pas spécifié, la valeur par défaut est la version de https://aka.ms/WACDownload.

• VaultName : [String] Spécifie le nom du coffre de clés qui contient le certificat.

• CertName : [String] Spécifie le nom du certificat à utiliser pour l’installation de MSI.

• GenerateSslCert : [Switch] True si le MSI doit générer un certificat SSL auto-signé.

• PortNumber : [int] Spécifie le numéro de port SSL pour le service Windows Admin Center. Si ce paramètre n’est pas spécifié, la valeur par défaut est 443.

• OpenPorts : [int[]] Spécifie les ports ouverts pour la machine virtuelle.

• Location : [String] Spécifie l’emplacement de la machine virtuelle.

• Size : [String] Spécifie la taille de la machine virtuelle. Si ce paramètre n’est pas spécifié, la valeur par défaut est « Standard_DS1_v2 ».

• Image : [String] Spécifie l’image de la machine virtuelle. Si ce paramètre n’est pas spécifié, la valeur par défaut est « Win2016Datacenter ».

• VirtualNetworkName : [String] Spécifie le nom du réseau virtuel de la machine virtuelle.

• SubnetName : [String] Spécifie le nom du sous-réseau de la machine virtuelle.

• SecurityGroupName : [String] Spécifie le nom du groupe de sécurité de la machine virtuelle.

• PublicIpAddressName : [String] Spécifie le nom de l’adresse IP publique de la machine virtuelle.

• InstallWACOnly : [Switch] Défini sur True si WAC doit être installé sur une machine virtuelle Azure préexistante.

Il existe 2 options différentes pour le déploiement de l’instance MSI et le certificat utilisé pour l’installation de MSI. L’instance de MSI peut être téléchargée à partir de aka.ms/WACDownload. Ou bien, si vous effectuez un déploiement sur une machine virtuelle existante, il est possible d’indiquer le chemin de fichier d’une instance MSI locale sur la machine virtuelle. Le certificat se trouve dans Azure Key Vault, sans quoi un certificat auto-signé sera généré par le MSI.

Exemples de scripts

Commencez par définir les variables courantes nécessaires pour les paramètres du script.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Exemple 1 : Utilisez le script pour déployer la passerelle WAC sur une nouvelle machine virtuelle dans un nouveau réseau virtuel et un nouveau groupe de ressources. Utilisez le MSI à partir de aka.ms/WACDownload et un certificat auto-signé émis par le MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Exemple 2 : Identique à l’exemple 1, mais en utilisant un certificat provenant d’Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Exemple 3 : Utilisation d’un MSI local sur une machine virtuelle existante pour déployer WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Exigences pour la machine virtuelle exécutant la passerelle Windows Admin Center

Le port 443 (HTTPS) doit être ouvert. En utilisant les mêmes variables que celles définies pour le script, vous pouvez utiliser le code ci-dessous dans Azure Cloud Shell pour mettre à jour le groupe de sécurité réseau :

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Exigences pour les machines virtuelles Azure managées

Le port 5985 (WinRM sur HTTP) doit être ouvert et avoir un écouteur actif. Vous pouvez utiliser le code ci-dessous dans Azure Cloud Shell pour mettre à jour les nœuds gérés. $ResourceGroupName et $Name utilisent les mêmes variables que le script de déploiement, mais vous devez utiliser la valeur $Credential spécifique à la machine virtuelle que vous gérez.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Déployer manuellement sur une machine virtuelle Azure existante

Avant d’installer Windows Admin Center sur la machine virtuelle de passerelle souhaitée, installez un certificat SSL à utiliser pour la communication HTTPS, ou vous pouvez choisir d’utiliser un certificat auto-signé généré par Windows Admin Center. Toutefois, si vous choisissez cette dernière option, vous recevrez un avertissement lorsque vous tenterez de vous connecter à partir d’un navigateur. Vous pouvez contourner cet avertissement dans Edge en cliquant sur Détails > Atteindre la page web, ou dans Chrome en sélectionnant Avancé > Passer à [page web]. Nous vous recommandons d’utiliser uniquement des certificats auto-signés pour les environnements de test.

Notes

Ces instructions concernent l’installation sur Windows Server avec Expérience utilisateur, et non sur une installation Server Core (minimale).

1. Téléchargez Windows Admin Center sur votre ordinateur local.

2. Établissez une connexion Bureau à distance à la machine virtuelle, puis copiez le MSI à partir de votre machine locale et collez-le dans la machine virtuelle.

3. Double-cliquez sur le MSI pour commencer l’installation, puis suivez les instructions fournies dans l’Assistant. Soyez conscient des éléments suivants :

   • Par défaut, le programme d’installation utilise le port 443 (HTTPS) recommandé. Si vous souhaitez sélectionner un autre port, notez que vous devez également ouvrir ce port dans votre pare-feu.

   • Si vous avez déjà installé un certificat SSL sur la machine virtuelle, veillez à sélectionner cette option et à entrer l’empreinte numérique.

4. Démarrez le service Windows Admin Center (exécutez C:/Program Files/Windows Admin Center/sme.exe).

Découvrez-en plus sur le déploiement de Windows Admin Center.

Configurer la machine virtuelle de passerelle pour activer l’accès au port HTTPS

1. Accédez à votre machine virtuelle dans le portail Azure, puis sélectionnez Mise en réseau.

2. Sélectionnez Ajouter une règle de port d’entrée, puis HTTPS sous Service.

Notes

Si vous avez choisi un port autre que le port 443 par défaut, choisissez Personnalisé sous Service et entrez le port que vous avez choisi à l’étape 3 sous Plages de ports.

Accès à une passerelle Windows Admin Center installée sur une machine virtuelle Azure

À ce stade, vous devez être en mesure d’accéder à Windows Admin Center à partir d’un navigateur moderne (Edge ou Chrome) sur votre ordinateur local en accédant au nom DNS de votre machine virtuelle de passerelle.

Notes

Si vous avez sélectionné un port autre que le port 443, vous pouvez accéder à Windows Admin Center en accédant à https://<nom DNS de votre machine virtuelle>:<port personnalisé>

Lorsque vous tentez d’accéder à Windows Admin Center, le navigateur vous invite à entrer des informations d’identification permettant d’accéder à la machine virtuelle sur laquelle Windows Admin Center est installé. Ici, vous devez entrer les informations d’identification qui se trouvent dans le groupe Utilisateurs locaux ou Administrateurs locaux de la machine virtuelle.

Pour ajouter d’autres machines virtuelles dans le réseau virtuel, vérifiez que WinRM s’exécute sur les machines virtuelles cibles en exécutant la commande suivante dans PowerShell ou à l’invite de commandes sur la machine virtuelle cible : winrm quickconfig

Si vous n’avez pas joint de domaine à la machine virtuelle Azure, cette dernière se comporte comme un serveur dans un groupe de travail. Vous devez donc vous assurer que vous prenez en compte l’utilisation de Windows Admin Center dans un groupe de travail.