Implantar manualmente o Windows Admin Center no Azure para gerenciar vários servidores

Este artigo descreve como implantar manualmente o Windows Admin Center em uma VM do Azure para uso no gerenciamento de várias VMs do Azure. Para gerenciar uma única VM, use a funcionalidade do Windows Admin Center incorporada ao portal do Azure, conforme descrito em Usar o Windows Admin Center no portal do Azure).

Implantar usando script

Você pode baixar Deploy-WACAzVM.ps1 que você executará no Azure Cloud Shell para configurar um gateway do Windows Admin Center no Azure. Esse script pode criar todo o ambiente, incluindo o grupo de recursos.

Ir para as etapas de implantação manual

Pré-requisitos

• Configure sua conta no Azure Cloud Shell. Se essa for a primeira vez que você usa o Cloud Shell, você será solicitado que se associe ou crie uma conta de armazenamento do Azure com o Cloud Shell.
• Em um Cloud Shell do PowerShell, navegue até o diretório base: PS Azure:\> cd ~
• Para carregar o arquivo Deploy-WACAzVM.ps1, arraste-o e solte-o do computador local para qualquer lugar na janela do Cloud Shell.

Se estiver especificando seu próprio certificado:

• Carregue o certificado no Azure Key Vault. Primeiro, crie um cofre de chaves no portal do Azure e carregue o certificado no cofre de chaves. Como alternativa, você pode usar o portal do Azure para gerar um certificado para você.

Parâmetros do script

• ResourceGroupName – [String] Especifica o nome do grupo de recursos em que a VM será criada.

• Name – [String] Especifica o nome da VM.

• Credencial – [PSCredential] Especifica as credenciais da VM.

• MsiPath – [String] Especifica o caminho local do MSI do Windows Admin Center ao implantar o Windows Admin Center em uma VM existente. Em caso de omissão desse valor, o padrão é a versão de https://aka.ms/WACDownload.

• VaultName – [String] Especifica o nome do cofre de chaves que contém o certificado.

• CertName – [String] Especifica o nome do certificado a ser usado para a instalação do MSI.

• GenerateSslCert - [Switch] True se o MSI deve gerar um certificado SSL autoassinado.

• PortNumber – [int] Especifica o número da porta SSL para o serviço Windows Admin Center. Em caso de omissão desse valor, o padrão é 443.

• OpenPorts – [int[]] Especifica as portas abertas para a VM.

• Location – [String] Especifica o local da VM.

• Size – [String] Especifica o tamanho da VM. Em caso de omissão desse valor, o padrão será "Standard_DS1_v2".

• Image – [String] Especifica a imagem da VM. Em caso de omissão desse valor, o padrão é "Win2016Datacenter".

• VirtualNetworkName – [String] Especifica o nome da rede virtual para a VM.

• SubnetName – [String] Especifica o nome da sub-rede para a VM.

• SecurityGroupName – [String] Especifica o nome do grupo de segurança para a VM.

• PublicIpAddressName – [String] Especifica o nome do endereço IP público para a VM.

• InstallWACOnly – [Switch] Definido como True se o WAC deve ser instalado em uma VM pré-existente do Azure.

Há duas opções diferentes para o MSI implantar e o certificado usado para a instalação do MSI. O MSI pode ser baixado de aka.ms/WACDownload ou, se estiver implantando em uma VM existente, o caminho de arquivo de um MSI localmente na VM poderá ser fornecido. O certificado pode ser encontrado no Azure Key Vault ou um certificado autoassinado será gerado pelo MSI.

Exemplos de script

Primeiro, defina variáveis comuns necessárias para os parâmetros do script.

$ResourceGroupName = "wac-rg1"
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Exemplo 1: use o script para implantar o gateway do WAC em uma nova VM em uma nova rede virtual e grupo de recursos. Use o MSI de aka.ms/WACDownload e um certificado autoassinado do MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Exemplo 2: o mesmo que o número 1, mas usando um certificado do Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Exemplo 3: usando um MSI local em uma VM existente para implantar o WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Requisitos para a VM que executa o gateway do Windows Admin Center

A porta 443 (HTTPS) deve estar aberta. Usando as mesmas variáveis definidas para script, você pode usar o código abaixo no Azure Cloud Shell para atualizar o grupo de segurança de rede:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Requisitos para VMs gerenciadas do Azure

A porta 5985 (WinRM por HTTP) deve estar aberta e ter um ouvinte ativo. Você pode usar o código abaixo no Azure Cloud Shell para atualizar os nós gerenciados. $ResourceGroupName e $Name usam as mesmas variáveis que o script de implantação, mas você precisará usar o $Credential específico para a VM que está gerenciando.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Implantar manualmente em uma máquina virtual existente do Azure

Antes de instalar o Windows Admin Center em sua VM de gateway desejada, instale um certificado SSL a ser usado para comunicação HTTPS ou você pode optar por usar um certificado autoassinado gerado pelo Windows Admin Center. No entanto, você receberá um aviso ao tentar se conectar de um navegador se escolher a última opção. Você pode ignorar esse aviso no Edge clicando em Detalhes > Vá para a página da Web ou, no Chrome, selecionando Avançado > Prosseguir para [página da Web]. Recomendamos que você use certificados autoassinados apenas para ambientes de teste.

Observação

Essas instruções são para instalar no Windows Server com Experiência Desktop, não em uma instalação Server Core.

1. Baixe o Windows Admin Center no computador local.

2. Estabeleça uma conexão de área de trabalho remota com a VM, copie o MSI do computador local e cole-o na VM.

3. Clique duas vezes no MSI para iniciar a instalação e siga as instruções no assistente. Esteja ciente do seguinte:

   • Por padrão, o instalador usa a porta recomendada 443 (HTTPS). Se você quiser selecionar uma porta diferente, você também precisa abrir essa porta no firewall.

   • Se você já instalou um certificado SSL na VM, selecione essa opção e insira a impressão digital.

4. Iniciar o serviço Windows Admin Center (executar C:/Arquivos de Programas/Windows Admin Center/sme.exe)

Saiba mais sobre como implantar o Windows Admin Center.

Configure a VM do gateway para habilitar o acesso à porta HTTPS:

1. Navegue até sua VM no portal do Azure e selecione Rede.

2. Selecione Adicionar regra de porta de entrada e selecione HTTPS em Serviço.

Observação

Se você escolher uma porta diferente da padrão 443, escolha Personalizada em Serviço e insira a porta escolhida na etapa 3 em Intervalos de portas.

Acessando um gateway do Windows Admin Center instalado em uma VM do Azure

Neste ponto, você deve ser capaz de acessar o Windows Admin Center de um navegador moderno (Edge ou Chrome) em seu computador local navegando até o nome DNS da VM do gateway.

Observação

Se você selecionou uma porta diferente de 443, poderá acessar o Windows Admin Center navegando até https://<NomeDNS da porta VM>:<porta personalizada>

Quando você tentar acessar o Windows Admin Center, o navegador solicitará credenciais para acessar a máquina virtual na qual ele está instalado. Aqui, você precisará inserir credenciais que estejam no grupo Usuários locais ou Administradores locais da máquina virtual.

Para adicionar outras VMs na VNet, verifique se o WinRM está em execução nas VMs de destino executando o seguinte no PowerShell ou no prompt de comando na VM de destino: winrm quickconfig

Caso não tenha ingressado no domínio da VM do Azure, a VM se comportará como um servidor no grupo de trabalho, portanto, precisará verificar se contabilizou o uso de Windows Admin Center em um grupo de trabalho.