Развертывание центра администрирования Windows в AzureDeploy Windows Admin Center in Azure

Развертывание с помощью скриптаDeploy using script

Вы можете скачать деплой-ваказвм. ps1 , который вы будете запускать из Azure Cloud Shell , чтобы настроить шлюз центра администрирования Windows в Azure.You can download Deploy-WACAzVM.ps1 which you will run from Azure Cloud Shell to set up a Windows Admin Center gateway in Azure. Этот сценарий может создать всю среду, включая группу ресурсов.This script can create the entire environment, including the resource group.

Переход к шагам по развертыванию вручнуюJump to manual deployment steps

Необходимые условияPrerequisites

  • Настройте учетную запись в Azure Cloud Shell.Set up your account in Azure Cloud Shell. Если вы впервые используете Cloud Shell, вам будет предложено связать или создать учетную запись хранения Azure с Cloud Shell.If this is your first time using Cloud Shell, you will be asked you to associate or create an Azure storage account with Cloud Shell.
  • В Cloud Shell PowerShell перейдите к домашнему каталогу: PS Azure:\> cd ~In a PowerShell Cloud Shell, navigate to your home directory: PS Azure:\> cd ~
  • Чтобы отправить файл Deploy-WACAzVM.ps1, перетащите его с локального компьютера в любое место в окне Cloud Shell.To upload the Deploy-WACAzVM.ps1 file, drag and drop it from your local machine to anywhere on the Cloud Shell window.

При указании собственного сертификата:If specifying your own certificate:

  • Отправьте сертификат в Azure Key Vault.Upload the certificate to Azure Key Vault. Сначала создайте хранилище ключей на портале Azure, а затем отправьте сертификат в хранилище ключей.First, create a key vault in Azure Portal, then upload the certificate into the key vault. Кроме того, для создания сертификата можно использовать портал Azure.Alternatively, you can use Azure Portal to generate a certificate for you.

Параметры сценарияScript parameters

  • ResourceGroupName -[строка] указывает имя группы ресурсов, в которой будет создана виртуальная машина.ResourceGroupName - [String] Specifies the name of the resource group where the VM will be created.

  • Name -[строка] указывает имя виртуальной машины.Name - [String] Specifies the name of the VM.

  • Credential -[PSCredential] указывает учетные данные для виртуальной машины.Credential - [PSCredential] Specifies the credentials for the VM.

  • Мсипас -[строка] задает локальный путь к MSI-файлу центра администрирования Windows при развертывании центра администрирования Windows на существующей виртуальной машине.MsiPath - [String] Specifies the local path of the Windows Admin Center MSI when deploying Windows Admin Center on an existing VM. По умолчанию используется версия из https://aka.ms/WACDownload, если она опущена.Defaults to the version from https://aka.ms/WACDownload if omitted.

  • VaultName -[строка] указывает имя хранилища ключей, которое содержит сертификат.VaultName - [String] Specifies the name of the key vault that contains the certificate.

  • CertName -[строка] указывает имя сертификата, используемого для установки MSI.CertName - [String] Specifies the name of the certificate to be used for MSI installation.

  • Женератесслцерт -[Switch] true, если MSI должен создавать самозаверяющий SSL-сертификат.GenerateSslCert - [Switch] True if the MSI should generate a self signed ssl certificate.

  • Номер_порта -[int] указывает номер порта SSL для службы центра администрирования Windows.PortNumber - [int] Specifies the ssl port number for the Windows Admin Center service. По умолчанию имеет значение 443, если не указано.Defaults to 443 if omitted.

  • Опенпортс -[int []] указывает открытые порты для виртуальной машины.OpenPorts - [int[]] Specifies the open ports for the VM.

  • Location — [строка] указывает расположение виртуальной машины.Location - [String] Specifies the location of the VM.

  • Size -[строка] задает размер виртуальной машины.Size - [String] Specifies the size of the VM. По умолчанию используется значение "Standard_DS1_v2", если не указано.Defaults to "Standard_DS1_v2" if omitted.

  • Image -[строка] указывает образ виртуальной машины.Image - [String] Specifies the image of the VM. По умолчанию используется значение "Win2016Datacenter", если не указано.Defaults to "Win2016Datacenter" if omitted.

  • VirtualNetworkName -[строка] указывает имя виртуальной сети для виртуальной машины.VirtualNetworkName - [String] Specifies the name of the virtual network for the VM.

  • SubnetName -[строка] указывает имя подсети для виртуальной машины.SubnetName - [String] Specifies the name of the subnet for the VM.

  • Секуритиграупнаме -[строка] указывает имя группы безопасности для виртуальной машины.SecurityGroupName - [String] Specifies the name of the security group for the VM.

  • ПублиЦипаддресснаме -[строка] указывает имя общедоступного IP-адреса виртуальной машины.PublicIpAddressName - [String] Specifies the name of the public IP address for the VM.

  • Инсталлваконли -[Switch] задайте значение true, если ВАК должен быть установлен на уже существующей виртуальной машине Azure.InstallWACOnly - [Switch] Set to True if WAC should be installed on a pre-existing Azure VM.

Существует два разных варианта развертывания MSI и сертификат, используемый для установки MSI.There are 2 different options for the MSI to deploy and the certificate used for MSI installation. MSI может быть скачан из aka.ms/WACDownload или при развертывании на существующей виртуальной машине можно предоставить путь к файлу MSI локально на виртуальной машине.The MSI can either be downloaded from aka.ms/WACDownload or, if deploying to an existing VM, the filepath of an MSI locally on the VM can be given. Сертификат можно найти либо в Azure Key Vault, либо в виде самозаверяющего сертификата, который будет создан MSI.The certificate can be found in either Azure Key Vault or a self-signed certificate will be generated by the MSI.

Примеры сценариевScript Examples

Сначала определите общие переменные, необходимые для параметров скрипта.First, define common variables needed for the parameters of the script.

$ResourceGroupName = "wac-rg1" 
$VirtualNetworkName = "wac-vnet"
$SecurityGroupName = "wac-nsg"
$SubnetName = "wac-subnet"
$VaultName = "wac-key-vault"
$CertName = "wac-cert"
$Location = "westus"
$PublicIpAddressName = "wac-public-ip"
$Size = "Standard_D4s_v3"
$Image = "Win2016Datacenter"
$Credential = Get-Credential

Пример 1. Использование скрипта для развертывания шлюза ВАК на новой виртуальной машине в новой виртуальной сети и группе ресурсов.Example 1: Use the script to deploy WAC gateway on a new VM in a new virtual network and resource group. Используйте MSI из aka.ms/WACDownload и самозаверяющий сертификат из MSI.Use the MSI from aka.ms/WACDownload and a self-signed cert from the MSI.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm1"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Пример 2. то же, что и #1, но с использованием сертификата из Azure Key Vault.Example 2: Same as #1, but using a certificate from Azure Key Vault.

$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm2"
    Credential = $Credential
    VirtualNetworkName = $VirtualNetworkName
    SubnetName = $SubnetName
    VaultName = $VaultName
    CertName = $CertName
}
./Deploy-WACAzVM.ps1 @scriptParams

Пример 3. Использование локального MSI-файла на существующей виртуальной машине для развертывания ВАК.Example 3: Using a local MSI on an existing VM to deploy WAC.

$MsiPath = "C:\Users\<username>\Downloads\WindowsAdminCenter<version>.msi"
$scriptParams = @{
    ResourceGroupName = $ResourceGroupName
    Name = "wac-vm3"
    Credential = $Credential
    MsiPath = $MsiPath
    InstallWACOnly = $true
    GenerateSslCert = $true
}
./Deploy-WACAzVM.ps1 @scriptParams

Требования к виртуальной машине, на которой работает шлюз центра администрирования WindowsRequirements for VM running the Windows Admin Center gateway

Порт 443 (HTTPS) должен быть открыт.Port 443 (HTTPS) must be open. Используя те же переменные, определенные для сценария, можно использовать приведенный ниже код в Azure Cloud Shell для обновления группы безопасности сети.Using the same variables defined for script, you can use the code below in Azure Cloud Shell to update the network security group:

$nsg = Get-AzNetworkSecurityGroup -Name $SecurityGroupName -ResourceGroupName $ResourceGroupName
$newNSG = Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name ssl-rule -Description "Allow SSL" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 443
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $newNSG

Требования к управляемой виртуальной машине AzureRequirements for managed Azure VM's

Порт 5985 (WinRM через HTTP) должен быть открыт и иметь активный прослушиватель.Port 5985 (WinRM over HTTP) must be open and have an active listener. Вы можете использовать приведенный ниже код в Azure Cloud Shell для обновления управляемых узлов.You can use the code below in Azure Cloud Shell to update the managed nodes. $ResourceGroupName и $Name используют те же переменные, что и скрипт развертывания, но необходимо использовать $Credential, характерные для управляемой виртуальной машины.$ResourceGroupName and $Name use the same variables as the deployment script, but you will need to use the $Credential specific to the VM you are managing.

Enable-AzVMPSRemoting -ResourceGroupName $ResourceGroupName -Name $Name
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any} -Credential $Credential
Invoke-AzVMCommand -ResourceGroupName $ResourceGroupName -Name $Name -ScriptBlock {winrm create winrm/config/Listener?Address=*+Transport=HTTP} -Credential $Credential

Развертывание вручную на существующей виртуальной машине AzureDeploy manually on an existing Azure virtual machine

Перед установкой центра администрирования Windows на требуемой виртуальной машине шлюза Установите SSL-сертификат, который будет использоваться для связи по протоколу HTTPS, или используйте самозаверяющий сертификат, созданный центром администрирования Windows.Before installing Windows Admin Center on your desired gateway VM, install a SSL certificate to use for HTTPS communication, or you can choose to use a self-signed certificate generated by Windows Admin Center. Однако при попытке подключения из браузера будет выдано предупреждение, если выбрать второй вариант.However, you will get a warning when trying to connect from a browser if you choose the latter option. Чтобы обойти это предупреждение в границе, щелкните сведения > перейти на веб-страницу или в Chrome, выбрав Дополнительно > перейдите к [веб-страница] .You can bypass this warning in Edge by clicking Details > Go on to the webpage or, in Chrome, by selecting Advanced > Proceed to [webpage]. Рекомендуется использовать самозаверяющие сертификаты только для тестовых сред.We recommend you only use self-signed certificates for test environments.

Примечание

Эти инструкции предназначены для установки в Windows Server с возможностями рабочего стола, а не для установки Server Core.These instructions are for installing on Windows Server with Desktop Experience, not on a Server Core installation.

  1. Скачайте центр администрирования Windows на локальный компьютер.Download Windows Admin Center to your local computer.

  2. Установите подключение к виртуальной машине по удаленному рабочему столу, а затем скопируйте MSI с локального компьютера и вставьте его в ВИРТУАЛЬную машину.Establish a remote desktop connection to the VM, then copy the MSI from your local machine and paste into the VM.

  3. Дважды щелкните MSI-файл, чтобы начать установку, и следуйте инструкциям мастера.Double-click the MSI to begin installation, and follow the instructions in the wizard. Обратите внимание на такие моменты:Be aware of the following:

    • По умолчанию установщик использует рекомендованный порт 443 (HTTPS).By default, the installer uses the recommended port 443 (HTTPS). Если вы хотите выбрать другой порт, обратите внимание, что этот порт также необходимо открыть в брандмауэре.If you want to select a different port, note that you need to open that port in your firewall as well.

    • Если на виртуальной машине уже установлен SSL-сертификат, убедитесь, что выбран этот параметр, и введите отпечаток.If you have already installed an SSL certificate on the VM, ensure you select that option and enter the thumbprint.

  4. Запустите службу центра администрирования Windows (запустите C:/Program Files/Windows Admin Center/эксперт. exe).Start the Windows Admin Center service (run C:/Program Files/Windows Admin Center/sme.exe)

Дополнительные сведения о развертывании центра администрирования Windows.Learn more about deploying Windows Admin Center.

Настройте виртуальную машину шлюза, чтобы разрешить доступ к портам HTTPS:Configure the gateway VM to enable HTTPS port access:

  1. Перейдите к виртуальной машине в портал Azure и выберите сети.Navigate to your VM in the Azure portal and select Networking.

  2. Выберите Добавить правило входящего трафика и выберите HTTPS в разделе Служба.Select Add inbound port rule and select HTTPS under Service.

Примечание

Если выбран порт, отличный от 443 по умолчанию, выберите Настраиваемый в разделе Служба и введите порт, выбранный на шаге 3 в разделе диапазоны портов.If you chose a port other than the default 443, choose Custom under Service and enter the port you chose in step 3 under Port ranges.

Доступ к шлюзу центра администрирования Windows, установленному на виртуальной машине AzureAccessing a Windows Admin Center gateway installed on an Azure VM

На этом этапе вы можете получить доступ к центру администрирования Windows из современного браузера (ребра или Chrome) на локальном компьютере, перейдя к DNS-имени виртуальной машины шлюза.At this point, you should be able to access Windows Admin Center from a modern browser (Edge or Chrome) on your local computer by navigating to the DNS name of your gateway VM.

Примечание

Если вы выбрали порт, отличный от 443, вы можете получить доступ к центру администрирования Windows, перейдя по адресу https://<DNS-имя виртуальной машины>:<настраиваемый порт>If you selected a port other than 443, you can access Windows Admin Center by navigating to https://<DNS name of your VM>:<custom port>

При попытке доступа к центру администрирования Windows браузер запрашивает учетные данные для доступа к виртуальной машине, на которой установлен центр администрирования Windows.When you attempt to access Windows Admin Center, the browser will prompt for credentials to access the virtual machine on which Windows Admin Center is installed. Здесь необходимо ввести учетные данные, которые входят в локальную группу "Пользователи" или "Локальные администраторы" виртуальной машины.Here you will need to enter credentials that are in the Local users or Local administrators group of the virtual machine.

Чтобы добавить другие виртуальные машины в виртуальной сети, убедитесь, что служба удаленного управления Windows запущена на целевых виртуальных машинах, выполнив следующую команду в PowerShell или в командной строке на целевой виртуальной машине: winrm quickconfigIn order to add other VMs in the VNet, ensure WinRM is running on the target VMs by running the following in PowerShell or the command prompt on the target VM: winrm quickconfig

Если вы еще не присоединились к доменной виртуальной машине Azure, виртуальная машина ведет себя как сервер в Рабочей группе, поэтому необходимо убедиться, что учетная запись используется в качестве центра администрирования Windows в Рабочей группе.If you haven't domain-joined the Azure VM, the VM behaves like a server in workgroup, so you'll need to make sure you account for using Windows Admin Center in a workgroup.