Azure-VMs mit Windows Admin Center verwalten

    , 05.10.2021
    Tags: , ,

    Azure-VMWindows Admin Center (WAC) ist ein Web-basiertes Management-Werkzeug, mit dem man nicht nur On-prem-Systeme, sondern auch Ressourcen in der Cloud ver­walten kann. Möchte man Azure-VMs mit einem lokalen WAC admini­strieren, dann muss man das Netz­werk für den Zugriff über WinRM konfi­gurieren.

    Das Admin Center war von Anfang an für die Verwaltung hybrider Umgebungen ausgelegt. So kann man etwa für lokale Server Dienste aus der Cloud buchen, beispiels­weise für Backup oder Monitoring. Zudem lassen sich Cloud-VMs direkt in das WAC einbinden, so dass man sie zusammen mit lokalen Maschinen unter einer Oberfläche administrieren kann.

    Aktuell bietet Microsoft das Admin Center auch für die Installation auf Azure in einer Preview an. In dieser Konstellation ist es indes nur für die Verwaltung von Cloud-Ressourcen gedacht.

    Remotedesktop für Fehlersuche

    Bei der Einrichtung einer neuen VM, in unserem Beispiel mit Windows Server 2022 Azure Edition, sollte man im Abschnitt Networking die vorgegebene RDP-Verbindung aktiviert lassen.

    Beim Anlegen einer neuen VM erlaubt die Standardregel für RDP den Aufbau einer Verbindung von jeder IP.

    Falls man vom WAC aus nicht auf das Gast-OS zugreifen kann, dann bietet sich Remotedesktop für das Trouble­shooting an. Allerdings sollte man die zulässigen Quellrechner auf bestimmte IP-Adressen beschränken.

    Azure-VM in WAC hinzufügen

    Wenn man auf der Startseite des Admin Center auf das +-Symbol klickt, um eine neue Verbindung hinzuzufügen, dann findet sich in der nachfolgend angezeigten Auswahl eine eigene Kachel für Azure VMs.

    Das Admin Center bietet eine eigene Funktion zum Hinzufügen von Azure-VMs

    Klickt man hier auf Add, dann muss man sich im ersten Schritt an Azure anmelden. Dies erfordert, dass der Browser keine Pop-ups im Admin Center blockiert. Daher sollte man für dessen URL eine Ausnahme einrichten.

    Anschließend erscheint ein Formular, aus dem man die Ressourcen­gruppe, die VM und deren öffentliche IP auswählt. Nach dem Klick auf Add fügt das WAC die betreffende Azure-VM zur Liste aller Verbindungen hinzu.

    Infos für die Verbindung zur Azure-VM eingeben

    Möchte man sich nun mit der virtuellen Maschine verbinden, dann erscheint folgende Fehlermeldung:

    Connecting to remote server xxx.xxx.xxx.xxx failed with the following error message: WinRM cannot complete the operation. Verify that the specified computer name is valid, that the computer is accessible over the network, and that a firewall exception for the WinRM service is enabled and allows access from this computer. By default, the WinRM firewall exception for public profiles limits access to remote computers within the same local subnet.

    Die Verbindung zur Azure-VM scheitert mit einer Fehlermeldung zu WinRM.

    Azure-Netzwerk für WinRM konfigurieren

    Um dieses Problem zu beheben, muss man das Azure-vNet so anpassen, dass es WinRM-Anfragen durchlässt. Dazu öffnet man die Einstellungen der VM  Formularende

    im Azure-Portal und wechselt zum Reiter Networking. Über die Schaltfläche Add inbound port rule fügt man eine neue Regel für eingehende Verbindungen hinzu.

    Netzwerkeinstellungen der virtuellen Maschine öffnen

    In den Einstellungen der neuen Regel gibt man unter Destination port ranges den Wert 5985 ein und weist ihr im entsprechenden Feld einen Namen zu. Aus Sicherheits­gründen kann man unter Source die Verbindung auf bestimmte IP-Adressen beschränken. Dies kann man hier bei dieser Gelegenheit auch gleich für die RDP-Regel nachholen.

    Eingehende Regel für WinRM definieren

    Öffnet man nun im WAC erneut die Verbindung zur Azure-VMs, dann sollte sich diese erfolgreich aufbauen lassen. Ist dies nicht der Fall, dann prüft man wie bei einem lokalen System, ob das Gast-OS korrekt konfiguriert ist.

    Verbindungsproblem lösen

    Dazu startet man eine RDP-Verbindung und überzeugt sich in einer PowerShell-Sitzung, ob WinRM aktiviert wurde. Diesem Zweck dient der Befehl

    Test-WSMan

    Zusätzlich stellt man sicher, dass die Windows-Firewall die WinRM-Verbindung nicht blockiert. Mit

    Get-NetFirewallRule -name *winrm* | select DisplayName, Profile, Enabled

    zeigt man alle vor­definierten Regeln für WinRM über HTTP an. Dort sollte jene für das Profil Public aktiviert sein.

    Prüfen, ob der WinRM-Service läuft und Firewall-Ausnahme eingerichtet ist

    Ist eine der beiden Bedingungen nicht erfüllt, dann führt man

    winrm quickconfig

    aus. Der Befehl startet den Service und richtet die Ausnahme in der Firewall ein.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links