Usare Windows'interfaccia di amministrazione nella portale di Azure per gestire una macchina virtuale Windows Server

È ora possibile usare l Windows admin center (anteprima) nel portale di Azure per gestire il sistema operativo Windows Server all'interno di una macchina virtuale di Azure. Gestire le funzioni del sistema operativo portale di Azure e usare i file nella macchina virtuale senza usare Desktop remoto o PowerShell.

Questo articolo offre una panoramica delle funzionalità fornite, dei requisiti e di come installare Windows Admin Center e usarla per gestire una singola macchina virtuale. Risponde anche alle domande frequenti e fornisce un elenco di problemi noti e suggerimenti per la risoluzione dei problemi nel caso in cui qualcosa non funzioni.

Screenshot che Windows'interfaccia di amministrazione nel portale di Azure, che mostra i file e le cartelle nel sistema operativo in esecuzione.

Panoramica delle funzionalità

Windows'interfaccia di amministrazione nella portale di Azure fornisce il set essenziale di strumenti di gestione per la gestione di Windows Server in una singola macchina virtuale di Azure:

  • Certificati
  • Dispositivi
  • Eventi
  • File e condivisione file
  • Firewall
  • App installate
  • Utenti e gruppi locali
  • Monitoraggio delle prestazioni
  • PowerShell
  • Processi
  • Registro
  • Desktop remoto
  • Ruoli e funzionalità
  • Attività pianificate
  • Servizi
  • Archiviazione
  • Aggiornamenti

Al momento non sono supportate le estensioni Windows'interfaccia di amministrazione portale di Azure lavoro.

Se è stato installato manualmente Windows Admin Center nella macchina virtuale per gestire più sistemi, l'installazione di questa estensione della macchina virtuale riduce la funzionalità di gestione solo della macchina virtuale in cui è installata l'estensione. Disinstallare l'estensione per ottenere tutte le funzionalità.

Requisiti

Per usare Windows'interfaccia di amministrazione nel portale di Azure, viene installata l'interfaccia di amministrazione di Windows in ogni macchina virtuale di Azure che si vuole usare per la gestione. La macchina virtuale di Azure presenta i requisiti seguenti:

  • Windows Server 2022, Windows Server 2019 o Windows Server 2016
  • Almeno 3 GiB di memoria
  • Essere in qualsiasi area di un cloud pubblico di Azure (non è supportato in Azure Cina, Azure per enti pubblici o in altri cloud non pubblici)

La macchina virtuale presenta anche i requisiti di rete seguenti, che vengono completati durante la procedura di installazione:

  • Accesso a Internet in uscita o regola di porta in uscita che consente il traffico HTTPS Windows tag del servizio dell'interfaccia di amministrazione

  • Una regola di porta in ingresso se si usa un indirizzo IP pubblico per connettersi alla macchina virtuale (scelta non consigliata)
    Proprio come con Desktop remoto, è consigliabile connettersi alla macchina virtuale usando un indirizzo IP privato nella rete virtuale della macchina virtuale per aumentare la sicurezza. L'uso di un indirizzo IP privato non richiede una regola di porta in ingresso, anche se richiede l'accesso alla rete virtuale (che verrà illustrata più avanti).

Il PC di gestione o un altro sistema che si usa per connettersi al portale di Azure ha i requisiti seguenti:

  • Web browser Microsoft Edge o Google Chrome
  • Accesso alla rete virtuale connessa alla macchina virtuale (questa operazione è più sicura rispetto all'uso di un indirizzo IP pubblico per la connessione). Esistono diversi modi per connettersi a una rete virtuale, incluso l'uso di un gateway VPN.

Installazione in una macchina virtuale

Prima di poter usare Windows'interfaccia di amministrazione nel portale di Azure, è necessario installarlo nella macchina virtuale che si vuole gestire. Ecco come:

  1. Aprire il portale di Azure e passare alle impostazioni della macchina virtuale.

  2. Se la macchina virtuale ha tutto il traffico Internet in uscita bloccato, creare una regola di porta in uscita per connettersi al Windows admin center.

    A tale scopo, passare all'interfaccia di amministrazione di Windows (disponibile nel gruppo Impostazioni) e selezionare la casella di controllo "Open an outbound port for Windows Admin Center to install" (Apri una porta in uscita per l'installazione dell'interfaccia di amministrazione di Windows) nella schermata Installa dell'interfaccia di amministrazione di Windows. In alternativa, è possibile eseguire il comando di PowerShell seguente:

    $allowWindowsAdminCenter = New-AzNetworkSecurityRuleConfig  -Name "PortForWACService"  -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -DestinationAddressPrefix WindowsAdminCenter -SourcePortRange * -SourceAddressPrefix * -DestinationPortRange 443
    
  3. Nelle impostazioni della macchina virtuale passare a Windows admin center (disponibile nel gruppo Impostazioni macchine virtuali).

  4. Per fornire facoltativamente l'accesso alla macchina virtuale tramite internet pubblico da qualsiasi indirizzo IP (utile per il test ma espone la macchina virtuale ad attacchi da qualsiasi host su Internet), è possibile selezionare Apri questa porta per l'utente.
    Tuttavia, è consigliabile usare invece un indirizzo IP privato per connettersi o almeno creare manualmente una regola di porta in ingresso bloccata per accettare il traffico solo dagli indirizzi IP specificati.

  5. Selezionare Installa.
    L'installazione richiede alcuni minuti. Se negli ultimi due minuti è stata selezionata l'opzione Open this port for me (Apri questa porta per me) o è stata creata manualmente una regola per la porta in ingresso, potrebbero essere necessario altri due minuti prima di potersi connettere con Windows Admin Center.

Screenshot che mostra il pulsante di installazione per Windows'interfaccia di amministrazione in una macchina virtuale.

Uso di con una macchina virtuale

Dopo aver installato l'interfaccia Windows in una macchina virtuale di Azure, ecco come connettersi e usarlo per gestire Windows Server:

  1. Aprire il portale di Azure e passare alla macchina virtuale, quindi Windows admin center.
  2. Se ci si connette usando un indirizzo IP privato, selezionare l'indirizzo IP da usare per la connessione alla macchina virtuale e quindi selezionare Connessione.
  3. Immettere le credenziali per un account con autorizzazioni di amministratore locale nel sistema operativo della macchina virtuale e quindi selezionare Accedi.
    Windows'interfaccia di amministrazione viene aperta nel portale, offrendo l'accesso agli stessi strumenti con cui si ha familiarità con l'uso di Windows Admin Center in una distribuzione locale.

Screenshot che mostra le impostazioni di una macchina virtuale e la connessione Windows'interfaccia di amministrazione tramite indirizzo IP privato.

Se viene visualizzato il messaggio "Non è stato possibile connettersi" ed è stata installata un'interfaccia di amministrazione di Windows o è stata creata una regola di porta in ingresso negli ultimi due minuti, attendere un altro minuto o due e riprovare. La propagazione della regola può richiedere alcuni minuti.

Creazione di una regola di porta in ingresso per la connessione da indirizzi IP pubblici specifici

Proprio come con Desktop remoto, l'apertura di una regola di porta in ingresso nell'indirizzo IP pubblico della macchina virtuale espone la macchina virtuale a potenziali attacchi da qualsiasi host su Internet, quindi è consigliabile accedere alla macchina virtuale usando un indirizzo IP privato.

Tuttavia, se è necessario usare un indirizzo IP pubblico, è possibile migliorare la sicurezza limitando gli indirizzi IP che possono raggiungere la macchina virtuale solo agli indirizzi IP usati dai sistemi usati per connettersi al portale di Azure. Ecco come:

  1. Aprire il portale di Azure e passare alle regole della porta in ingresso >>>>

  2. Se l'interfaccia di Windows è già stata installata e configurata per aprire una porta in ingresso per l'indirizzo IP pubblico, selezionare PortaForWAC. In caso contrario, selezionare Aggiungi regola porta in ingresso.

  3. Specificare i valori seguenti, specificando gli indirizzi IP pubblici dei sistemi di gestione (separati da virgole) e, facoltativamente, modificando la porta di destinazione dalla porta 6516. Quindi selezionare Aggiungi.

    Campo Valore
    Origine Indirizzo IP
    Indirizzi IP di origine IP del sistema di gestione
    Intervalli di porte di origine *
    Destinazione Qualsiasi
    Intervalli di porte di destinazione 6516
    Protocollo Qualsiasi
    Azione Allow

Potrebbe essere necessario usare un sito Web o un'app non Microsoft per trovare l'indirizzo IP pubblico del sistema in uso per connettersi al portale di Azure.

Dettagli dell'implementazione

Windows'interfaccia di amministrazione di Azure è attualmente implementata nel portale di Azure sotto forma di un'estensione che viene installata in ogni macchina virtuale di Azure con cui si vuole usare l Windows di amministrazione.

Questa estensione si connette a un servizio esterno che gestisce i certificati e i record DNS in modo che sia possibile connettersi facilmente alla macchina virtuale.

Ogni macchina virtuale di Azure che usa Windows'estensione dell'interfaccia di amministrazione ottiene un record DNS pubblico che Microsoft gestisce in DNS di Azure. Il nome del record viene hash con un salt per anonimizzare l'indirizzo IP della macchina virtuale quando lo si salva in DNS. Gli indirizzi IP non vengono salvati in testo normale in DNS. Questo record DNS viene usato per rilasciare un certificato per Windows admin center nella macchina virtuale, abilitando la comunicazione crittografata con la macchina virtuale.

Risoluzione dei problemi

Ecco alcuni suggerimenti da provare nel caso in cui qualcosa non funzioni. Per informazioni generali sulla risoluzione dei Windows'interfaccia di amministrazione (non in modo specifico in Azure), vedere Risoluzione dei problemi Windows Admin Center.

Errore di connessione non riuscita

  1. In una nuova scheda aprire https://<ip_address>:<port> . Se questa pagina viene caricata correttamente con un errore del certificato, creare una richiesta di supporto.
    Se questa pagina non viene caricata correttamente, si è verificato un errore di connessione all'interfaccia Windows admin center. Assicurarsi di essere connessi alla rete virtuale corretta e di usare l'indirizzo IP corretto prima di provare a risolvere il problema.
  2. Se si usa un indirizzo IP pubblico, assicurarsi che la porta selezionata al momento dell'installazione sia aperta a Internet. Per impostazione predefinita, la porta è impostata su 6516. Nella macchina virtuale passare a "Rete" > "Aggiungi regola porta in ingresso".
  3. Assicurarsi che la porta sia raggiungibile.
    1. Nel portale di Azure passare a "Rete" e assicurarsi che non siano presenti regole in conflitto con una priorità più alta che potrebbero bloccare la porta dell'interfaccia di amministrazione Windows
    2. Nel portale di Azure passare a "Risoluzione dei problemi di connessione" per verificare che la connessione funzioni e che sia possibile raggiungere la porta.
  4. Assicurarsi che il traffico in uscita verso Windows Admin Center sia consentito nella macchina virtuale
    1. Nel portale di Azure passare a "Rete" e "Regole di porta in uscita".

    2. Creare una nuova regola di porta per Windows Admin Center

    3. È possibile testare questa operazione eseguendo il comando seguente usando PowerShell all'interno della macchina virtuale:

      Invoke-RestMethod -Method GET -Uri https://wac.azure.com
      

      Verrà restituito:

      You've found the Windows Admin Center in Azure APIs' home page. Please use the Azure portal to manage your virtual machines with Windows Admin Center.

    4. Se è stato consentito tutto il traffico in uscita e viene ancora visualizzato un errore dal comando precedente, verificare che non siano presenti regole del firewall che bloccano la connessione. Se non sembra che si verifichino problemi, creare una richiesta di supporto, in quanto il servizio potrebbe riscontrare problemi.

  5. Assicurarsi che il servizio Windows Admin Center sia in esecuzione nella macchina virtuale.
    1. Nel portale di Azure passare a "Connessione" > "RDP" > "Scarica file RDP".
    2. Aprire il file RDP e accedere con le credenziali di amministratore.
    3. Aprire Gestione attività (CTRL+MAIUSC+ESC) e passare a "Servizi".
    4. Assicurarsi che ServerManagementGateway/Windows Admin Center sia in esecuzione. In caso contrario, avviare il servizio.
  6. Verificare che l'installazione sia in uno stato valido.
    1. Nel portale di Azure passare a "Connessione" > "RDP" > "Scarica file RDP".
    2. Aprire il file RDP e accedere con le credenziali di amministratore.
    3. Aprire un browser e digitare sostituendo con la porta in cui è https://localhost:<port> stato installato Windows Admin <port> Center. Non si è certi della porta in cui è stata installata? Vedere le domande frequenti più avanti in questo articolo.
    4. Se l'installazione non viene caricata, è possibile che si sia verificato un errore. Tornare alla pagina portale di Azure, passare a "Estensioni" e disinstallare l'estensione dell'interfaccia di amministrazione. Tornare a "Windows Admin Center (anteprima) e reinstallare l'estensione.
  7. Verificare che la regola del firewall sia aperta per SmeInboundOpenException.
    1. Nel portale di Azure passare a "Connessione" > "RDP" > "Scarica file RDP".
    2. Aprire il file RDP e accedere con le credenziali di amministratore.
    3. Aprire il Pannello di controllo e passare a Pannello di controllo\System and Security\Windows Defender Firewall\Allowed apps(App consentite\System and Security\Windows Defender Firewall\Allowed).
    4. Assicurarsi che la regola SmeInboundOpenException sia abilitata sia per Private che per Public, quindi provare a connettersi di nuovo.

Uno degli strumenti Windows Admin Center non viene caricato o restituisce un errore

Passare a qualsiasi altro strumento nell Windows Admin Center e tornare a quello che non viene caricato.

Se non è in corso il caricamento di altri strumenti, è possibile che si sia verificato un problema di connettività di rete. Provare a chiudere il pannello e quindi a connettersi di nuovo. Se non funziona, aprire un ticket di supporto.

Impossibile Windows'estensione dell'interfaccia di amministrazione

  1. Verificare che la macchina virtuale soddisfi i requisiti.
  2. Assicurarsi che il traffico in uscita Windows Admin Center sia consentito nella macchina virtuale.
    1. Nel portale di Azure passare a "Rete" e "Regole di porta in uscita".

    2. Creare una nuova regola di porta in uscita per Windows Admin Center.

    3. Testare la connettività eseguendo il comando seguente usando PowerShell all'interno della macchina virtuale:

      Invoke-RestMethod -Method GET -Uri https://wac.azure.com
      

      Verrà restituito:

      You've found the Windows Admin Center in Azure APIs' home page. Please use the Azure portal to manage your virtual machines with Windows Admin Center.

  3. Se è stato consentito tutto il traffico in uscita e viene visualizzato un errore dal comando precedente, verificare che non siano presenti regole del firewall che bloccano la connessione.

Se non si verificano problemi e Windows'interfaccia di amministrazione non viene ancora installata, aprire una richiesta di supporto con le informazioni seguenti:

  • Log nel portale di Azure. Questa opzione è disponibile in Impostazioni > Estensioni > AdminCenter > Visualizza stato dettagliato
  • Log nella macchina virtuale. Condividere i log dai percorsi seguenti:
    • C:\WindowsAzure\Logs\Plugins\AdminCenter
    • C:\Packages\Plugins\AdminCenter
  • Traccia di rete, se appropriato. Le tracce di rete possono contenere dati dei clienti e dettagli di sicurezza sensibili, ad esempio le password, quindi è consigliabile esaminare la traccia e rimuovere eventuali dettagli sensibili prima di condividerla.

Automatizzare la Windows di Admin Center usando un modello di Gestione risorse di Microsoft Windows

È possibile automatizzare Windows di Admin Center in portale di Azure usando questo Azure Resource Manager modello.

const deploymentTemplate = {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {
            "vmName": {
                "type": "string"
            },
            "location": {
                "type": "string"
            },
            "extensionName": {
                "type": "string"
            },
            "extensionPublisher": {
                "type": "string"
            },
            "extensionType": {
                "type": "string"
            },
            "extensionVersion": {
                "type": "string"
            },
            "port": {
                "type": "string"
            },
            "salt": {
                "type": "string"
            }
        },
        "resources": [
            {
                "type": "Microsoft.Compute/virtualMachines/extensions",
                "name": "[concat( parameters('vmName'), '/' , parameters('extensionName') )]",
                "apiVersion": "2018-10-01",
                "location": "[parameters('location')]",
                "properties": {
                    "publisher": "[parameters('extensionPublisher')]",
                    "type": "[parameters('extensionType')]",
                    "typeHandlerVersion": "[parameters('extensionVersion')]",
                    "autoUpgradeMinorVersion": true,
                    "settings": {
                        "port": "[parameters('port')]",
                        "salt": "[parameters('salt')]",
                        "cspFrameAncestors": ["https://*.hosting.portal.azure.net", "https://localhost:1340", "https://ms.portal.azure.com", "https://portal.azure.com", "https://preview.portal.azure.com"],
                        "corsOrigins": ["https://ms.portal.azure.com", "https://portal.azure.com", "https://preview.portal.azure.com", "https://waconazure.com"]
                    }
                }
            }
        ];

const parameters = {
    vmName: <VM name>, 
    location: <VM location>, 
    extensionName: "AdminCenter", 
    extensionPublisher: "Microsoft.AdminCenter", 
    extensionType: "AdminCenter", 
    extensionVersion: "0.0", 
    port: "6516", 
    salt: <unique string used for hashing>
}

Automatizzare la Windows dell'interfaccia di amministrazione con PowerShell

È anche possibile automatizzare Windows di Admin Center in portale di Azure usando questo script di PowerShell.

$resourceGroupName = <get VM's resource group name>
$vmLocation = <get VM location>
$vmName = <get VM name>
$vmNsg = <get VM's primary nsg>
$salt = <unique string used for hashing>

$wacPort = "6516"
$Settings = @{"port" = $wacPort; "salt" = $salt}

# Open outbound port rule for WAC service
Get-AzNetworkSecurityGroup -Name $vmNsg -ResourceGroupName $resourceGroupName | Add-AzNetworkSecurityRuleConfig -Name "PortForWACService" -Access "Allow" -Direction "Outbound" -SourceAddressPrefix "VirtualNetwork" -SourcePortRange "*" -DestinationAddressPrefix "WindowsAdminCenter" -DestinationPortRange "443" -Priority 100 -Protocol Tcp | Set-AzNetworkSecurityGroup

# Install VM extension
Set-AzVMExtension -ResourceGroupName $resourceGroupName -Location $vmLocation -VMName $vmName -Name "AdminCenter" -Publisher "Microsoft.AdminCenter" -Type "AdminCenter" -TypeHandlerVersion "0.0" -settings $Settings

# Open inbound port rule on VM to be able to connect to WAC
Get-AzNetworkSecurityGroup -Name $vmNsg -ResourceGroupName $resourceGroupName | Add-AzNetworkSecurityRuleConfig -Name "PortForWAC" -Access "Allow" -Direction "Inbound" -SourceAddressPrefix "*" -SourcePortRange "*" -DestinationAddressPrefix "*" -DestinationPortRange $wacPort -Priority 100 -Protocol Tcp | Set-AzNetworkSecurityGroup

Problemi noti

  • Se si modifica una delle regole di rete, è necessario Windows admin center circa un minuto per aggiornarne la rete. La connessione potrebbe non riuscire per alcuni minuti.
  • Se la macchina virtuale è stata appena avviata, l'indirizzo IP da registrare con l'interfaccia di amministrazione di Windows richiede circa un minuto e pertanto potrebbe non essere caricato.
  • Il primo tempo di caricamento Windows Admin Center potrebbe essere un po' più lungo. Qualsiasi caricamento successivo sarà di pochi secondi.
  • La modalità Chrome Incognito non è supportata.
  • portale di Azure'app desktop non è supportata.

Domande frequenti

Quanto costa usare Windows Admin Center?

L'uso dell'interfaccia Windows admin center nel portale di Azure non è portale di Azure.

È possibile usare Windows Admin Center per gestire le macchine virtuali in esecuzione nella macchina virtuale di Azure?

È possibile installare il ruolo Hyper-V usando l'estensione Ruoli e funzionalità. Dopo l'installazione, aggiornare il browser e Windows Admin Center mostrerà le estensioni macchina virtuale e commutatore.

Quali server è possibile gestire usando questa estensione?

È possibile usare l'estensione per gestire le macchine virtuali che eseguono Windows Server 2016 o versioni successive.

In che modo Windows Admin Center gestisce la sicurezza?

Il traffico dal portale di Azure a Windows Admin Center in esecuzione nella macchina virtuale usa HTTPS. La macchina virtuale di Azure viene gestita tramite PowerShell e WMI tramite WinRM.

Per una porta in ingresso, perché è necessario aprire una porta e perché l'origine deve essere impostata su "Qualsiasi"?

Windows Admin Center viene installato nella macchina virtuale di Azure. L'installazione è costituita da un server Web e un gateway. Pubblicando il server Web in DNS e aprendo il firewall (la porta in ingresso nella macchina virtuale), è possibile accedere Windows Admin Center dal portale di Azure. Le regole per questa porta sono molto simili alla porta "RDP". Se non si vuole aprire questa porta fino a "Qualsiasi", è consigliabile specificare la regola per l'indirizzo IP del computer usato per aprire il portale di Azure.

Perché è necessario creare una regola di porta in uscita?

È disponibile un servizio Windows Admin Center esterno che gestisce i certificati e i record DNS per l'utente. Per consentire alla macchina virtuale di interagire con il servizio, è necessario creare una regola di porta in uscita.

Ricerca per categorie la porta usata per l'installazione dell Windows installazione dell'interfaccia di amministrazione?

Esistono due modi per individuare la porta:

  • Passare all'estensione Windows Admin Center (anteprima) nel portale di Azure. Provare a connettersi tramite un indirizzo IP che causa una connessione non riuscita.
  • Per verificare questo valore nella macchina virtuale, aprire l'editor del Registro di sistema nella macchina virtuale e cercare la chiave del Registro di sistema "SmePort" in "\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway"

È possibile usare PowerShell o l'interfaccia della riga di comando di Azure per installare l'estensione nella macchina virtuale?

Yes:

L'interfaccia di Windows è già installata nella macchina virtuale. È possibile accedervi dal portale?

Sì, tuttavia sarà comunque necessario installare l'estensione.

È disponibile documentazione sulle funzionalità generali dell'interfaccia di Windows e dei relativi strumenti?

Sì, vedere panoramica Windows'interfaccia di amministrazione eGestire i server.

È necessario installare l Windows intervaio di amministrazione in ognuna delle macchine virtuali di Azure?

Sì, per l'implementazione iniziale, Windows'interfaccia di amministrazione deve essere installata in ogni macchina virtuale di Azure in cui si vuole usarla.

È possibile usare l Windows di amministrazione per gestire tutti i server e le macchine virtuali?

Sì, è possibile usare Windows'interfaccia di amministrazione locale per gestire server e macchine virtuali in locale e in Azure. Per informazioni dettagliate, vedere Gestire le macchine virtuali di Azure con Windows admin center.

L Windows interno dell'interfaccia di portale di Azure funziona con Azure Bastion?

No, purtroppo no.

L Windows di amministrazione è supportata per le macchine virtuali dietro un servizio di bilanciamento del carico?

Sì.