Windows Azure Pack 實戰

By hack520 on

實施此次實驗一共用了4臺VM,4臺物理伺服器
172.16.1.8 (DC CA+Starwind同步儲存)

172.16.1.9 (輔DC+Starwind同步儲存)

172.16.1.249 (AzureSQL)

172.16.1.250 (WindowsAzurePack)

172.16.1.251 (RDGW)

172.16.1.253 (SCVMM)

172.16.1.6 (HYPER01)

172.16.1.7 (HYPER02)

先決條件,所有機器系統都安裝Windows Server 2012 R2并加入GXLOC域,配置好HYPER-V群集,故障遷移,高可用性等等.詳情請看在WINDOWS SERVER2012上配置HA存储实时迁移

1.安裝 System Center 2012 R2 Virtual Machine Manager并配置私有雲.

SCVMM先決條件:

SqlServer 2012
Windows ADK 8.1

眾所周知VMM是以SQL為基礎的,由於實驗測試方便的原因,我把SQL和SCVMM 都裝在同一台機器.安裝SQL的時候需要注意一下,需要在DC 建立個SQLSRV的帳戶,給SQL安裝用.因為還需要安裝自助門戶服務,所以順便IIS也一起裝上,NET Framework 3.5、后台智能传输服务(BITS)、远程差分压缩、远程服务器管理工具,勾選上即可.詳情請參考SCVMM2012R2安装与配置.

配置好的私有雲如下:

(原有一些VPS已加入私有雲)

VM2

 

2.安裝SPF(Service Provider Foundation)和自動化(Service Management Automation)

先在172.16.1.249 (AzureSQL)這台VPS安裝好SQL2012,安裝的時候使用GXLOC\SQLSRV這個帳戶進行安裝(創建過程前面已經說過),勾選SQL引擎,全文搜索,報表服務,SQL管理工具等等…

然後在172.16.1.253 (SCVMM)加載mu_system_center_2012_r2_orchestrator_x86_and_x64_dvd_2616997.iso這個ISO進行安裝.

VM3

進入<Service Provider Foundation>安裝界面,點擊 <安装>

VM4

開始檢查先決條件,點擊下一步

VM5

使用自簽名證書(也可直接使用DC CA頒發的服務器證書,在列表里選擇便可),點下一步.

VM6

配置數據庫,在服務器中輸入AzureSQL點擊下一步.

vm7

配置管理員WEB服務,使用服務帳戶GXLOC\管理員帳戶與密碼進行設定.(應用程序池憑據選擇服務帳戶.簡單過程圖略),下一步。

然後出現是否參加客戶體驗服務,選擇不參加,以及Windows update<開>推薦.

VM8

SPF安裝完成.

開始安裝自動化服務.

進入 Service Manage Automation安装界面,點擊 <安装>

VM9

檢查先決條件,點下一步(如果條件不滿足,請自行下載需要的東西)

VM10

下面是配置WEB服務中應用程序池憑據,步驟和SPF配置一樣.(圖片略)

安裝完成.

VM12

 

3.安裝Windows Azure Pack并設定連接SPF和自動化服務.

登陸172.16.1.250 (WindowsAzurePack),打開Microsoft Web Platform Installer,搜索Windows Azure Pack Portal and API Express 安裝..然後一路回車即可.

VM13

 

VM14_

一路回車后安裝完成,然後會彈出設置頁面,設置SQL伺服器,和驗證方式,這裡為了方便直接用管理身份驗證.儲存區密碼隨意設置,直接下一步即可.

VM15

安裝完成.

VM16

 

 給IIS站點配置CA頒發的證書.

IIS-服務器證書-創建域證書,通用名稱寫WindowsAzure.GXLOC.COM,機構神馬的亂寫即可,好記的名稱寫WindowsAzure.GXLOC.COM.然後給每個IIS站點配置正確的SSL證書.

VM17

配置完事后,在瀏覽器打開https://windowsazure.gxloc.com:30091/ 輸入管理帳戶密碼..開始與SPF和自動化服務進行對接.

點擊VM云-注册 System Center Service Provider Foundation,根據提示輸入信息即可。

VM18

 

然後開始註冊自動化服務.和上面一樣,根據提示輸入信息即可。

VM19

 

然後回到VM云,點一下旁邊刷新圖標,查看”为 VM 云注册 Service Management Automation”這項是否對接OK。如果OK的話會顯示当前已注册自动化终结点:https://scvmm:9090/,順便點注册 Service Provider Usage,根據提示輸入信息即可,完成如下

VM20

註冊SCVMM服務到VM云,新建-VM云-連接到。根據提示輸入信息,點註冊.

VM22

OK,完成這個作業。

VM23

下面開始新建宿主計劃-輸入計劃名(隨意填寫),勾選虛擬機云,提示正在創建,等待一會就創建好了.然後點擊創建好的計劃,頁面提示“未配置以下一个或多个服務,单击下面的服务可配置其配额“,點擊計劃服務-虛擬機云開始設置.

vm24

VM25

VM26

VM27

 

點擊保存后設置訪問權限為公開.否則註冊用戶無法訂閱.

VM28

打開https://windowsazure.gxloc.com:30071 註冊個帳戶,然後選擇一個訂閱。測試創建虛擬機是否OK

VM29

vm30

VM31

配置Remote Console

先登陸172.16.1.8 (DC CA+Starwind同步儲存)這隻伺服器,然後執行如下步驟:

1.啟動服務器管理,然後從工具菜單中選擇證書頒發機構.(注意,安裝CA服務的時候,不要選擇默認的HASH算法,要選擇Sha256)

2.在證書頒發機構的出口,展開左側導航格中的CA服务器.

3.選擇證書模板點管理

4.右鍵智能卡登陸模板-選擇複製模板

5.在新模板的屬性窗口中, 單擊常規選項,然後輸入模板名稱”Remote Console Connect”

6.在新模板的屬性窗口中,單擊加密選項,設置最小密鈅為2048,請求必須使用下列程序之一選擇使用”Microsoft Enhanced RSA and AES Cryptographic Provider”.

7.在新模板的屬性窗口中,單擊使用者名稱,選擇”在請求中提供”.屆時會出現警告等,無需理會.

8.然後點確定關閉證書模板窗口.

9.證書頒發機構-新建要頒發的證書模板,選擇剛才建立的”Remote Console Connect”這個模板,點確定即可.如下圖所示

VM32

頒發信任證書

1.先登陸172.16.1.253 (SCVMM),在C盤新建一個RDGCert.inf文件,文件內容如下:

[Version]
Signature="$Windows NT$"
[NewRequest]
; Change to your,country code, company name and Remote Desktop Gateway server common name
Subject = "C=CN, O=GXLOC, CN=rdgw.gxloc.com"
; Indicates both encryption and signing
KeySpec = 1 
; Length of the public and private key, use 2048 or higher
KeyLength = 2048
; Certificate will be put into the local computer store
MachineKeySet = TRUE 
PrivateKeyArchive = FALSE
RequestType = PKCS10
UserProtected = FALSE
; Allow the key to be shared between multiple computers
Exportable = TRUE
SMIME = False
UseExistingKeySet = FALSE 
; ProviderName and ProviderType must be for a CSP that supports SHA256
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"
ProviderType = 24
HashAlgorithm = sha256
; KeyUsage must include DigitalSignature. 0xA0 also includes Key Encipherment
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.2

2.啟動Powershell定位到C盤根目錄輸入

certreq –f -new RDGCert.inf RDGCert.req
certutil RDGCert.req
certreq -attrib "CertificateTemplate:RemoteConsoleConnect" -submit RDGCert.req RDGCert.cer
certreq -accept RDGCert.cer
certutil –store my

3.然後MMC-添加刪除管理單元-證書-計算機帳戶 -定位到個人-導出證書-選擇導出私鑰并設置好密碼.

將證書導入VMM數據庫和所有的HYPER-V伺服器

1.啟動Powershel,輸入如下命令.

$mypwd = ConvertTo-SecureString "password" -AsPlainText -Force
$cert = Get-ChildItem .\RDGCert.pfx  #這是剛才導出的私鑰
$VMMServer = "SCVMM.GXLOC.COM"
Set-SCVMMServer -VMConnectGatewayCertificatePassword $mypwd -VMConnectGatewayCertificatePath $cert -VMConnectHostIdentificationMode FQDN -VMConnectHyperVCertificatePassword $mypwd -VMConnectHyperVCertificatePath $cert -VMConnectTimeToLiveInMinutes 2 -VMMServer $VMMServer

2.然後刷新所有Hyper-v伺服器狀態,同步證書.

$VMMServer = "SCVMM.GXLOC.COM"
Get-SCVMHost -VMMServer $VMMServer | Read-SCVMHost

 安裝和配置遠程桌面網関

1.登陸172.16.1.251 (RDGW)打開Powershell執行以下命令.

Install-WindowsFeature -Name RDS-Gateway  -IncludeManagementTools

2.安裝完成后插入mu_system_center_2012_r2_virtual_machine_manager_x86_and_x64_dvd_2913737.ISO,定位到AMD64\Setup\msi\RDGatewayFedAuth\RDGatewayFedAuth.msi進行安裝.

3.安裝完成后導入RDGCert.cer 命令如下

Import-Certificate -CertStoreLocation cert:\LocalMachine\My   -Filepath "\\SCVMM.GXLOC.COM\C$\RDGCert.cer"

導入成功后會顯示證書指紋.

vm33

4.將證書導入到”受信任的根證書頒發機構”

$Server = "rdgw.gxloc.com"
$Thumbprint = "66809A3C2FE75A9C01C220ACED7B243DDB121E66"
$TSData = Get-WmiObject -computername $Server -NameSpace "root\TSGatewayFedAuth2" -Class "FedAuthSettings"
$TSData.TrustedIssuerCertificates = $Thumbprint
$TSData.Put()

vm34

6.為遠程桌面網関服務設置SSL證書.

vm35

7.設置RDGW策略(想哪個組的用戶使用RDGW就加入哪個用戶組)

vm36

VM37

完成.然後重啟所有的HYPER-V伺服器(我這裡只有2個節點),否則有可能虛擬機控制台不工作.

在 Windows Azure Pack Admin Portal註冊遠程桌面網関

1.操作如下圖所示

VM38

2.然後在用戶面板-虛擬機名-儀錶盤下方-連接-控制台

VM39

點勾后會下載rdp文件,運行它,控制台界面出來,完事。

VM40

作者:hack520

文章链接:Windows Azure Pack 實戰

短连接:https://zhu.vn/?p=789

2 comments

发表评论