Windows Admin Center 高可用部署

標籤：實驗   引擎   遠程   pfx   fqdn   電腦   password   config   下載   

本文老王將為大家實作Windows Admin Center的高可用部署，相信有了高可用的架構支援將更進一步推進該產品的落地

環境介紹

08dc2

lan 10.0.0.2 255.0.0.0

16server1

lan 10.0.0.3 255.0.0.0 dns 10.0.0.2

clus 18.0.0.3 255.0.0.0

storage 30.0.0.3 255.0.0.0

16server2

lan 10.0.0.4 255.0.0.0 dns 10.0.0.2

clus 18.0.0.4 255.0.0.0

storage 30.0.0.4 255.0.0.0

Windows Admin Center (下文簡稱WAC) 支援部署平台：Windows 10 ,Windows Server 2016，Windows Server 2019

WAC支援管理的伺服器用戶端：Windows Server 2008R2，2012，2012R2，2016，2019，  HyperV-Server 2012R2，2016，Windows 10 

管理Server 2008R2 需要事先安裝.NET4.5.2 WMF5.1

管理Server 2012R2 需要事先安裝WMF5.1

管理Hyper-V Server 2012R2需要事先安裝WMF5.1，啟用遠端管理，啟用檔案伺服器角色，為PowerShell啟用Hyper-V模組

管理Hyper-V Server 2016需要事先啟用遠端管理，啟用檔案伺服器角色，為PowerShell啟用Hyper-V模組

Windows Admin Center 高可用部署思路

WAC目前未採取前後端分離架構，呈現在Windows上面只是一個Windows Admin Center的應用服務，高可用部署採用WSFC架構，通過A/P部署的方式在兩台節點分別安裝WAC檔案，WSFC對WAC服務進行群集應用，檢測該服務健康情況，如果所在節點宕機，則在另外節點啟動掛載WAC服務

WAC先決條件

1. 已經安裝好的WSFC群集

2. 群集提供正常可用CSV，用於存放WAC資料庫檔案

3. 下載WAC高可用部署指令碼，部署過程全部由指令碼自動化完成
   

4. 事先準備可匯出私密金鑰憑證範本，申請認證，將認證匯出放在與指令碼相同檔案夾

5. 將指令碼與認證檔案夾複製到群集每一個節點相同路徑下

WAC可以整合的2016，2019技術

1. WAC本身可以部署在一個S2D群集上

2. WAC現已支援管理儲存副本

3. WAC現已可以監控Hyper-V 2016 SDN

4. 2019最新儲存遷移技術只能在WAC上面管理操作

5. WAC現已公開SDK，編寫SDK擴充時可以使用PS指令碼

當前老王已經部署好了一個WSFC群集，採用檔案共用見證

儲存採用S2D架構

Enable-ClusterS2D -CacheState disabled -Autoconfig 0 -SkipEligibilityChecks

稍後會在S2D上層建立CSV，WAC會將WAC運作過程需要的資料庫檔案，介面檔案等統一存在CSV中，如果測試環境，或者WAC管理的主機不多，資料庫量不大，可以不用考慮緩衝機構，如果WAC管理主機很多，使用的人也很多，建議可以考慮配置緩衝架構以提高管理效率

基於群集磁碟建立一個CSV

準備一張可以匯出私密金鑰的認證，預設情況下我們通過MMC向企業CA申請的認證是不支援匯出私密金鑰的，因此需要我們複製建立憑證範本，登陸認證伺服器，開啟憑證範本，複製Web伺服器憑證範本，在請求處理頁面勾選 允許匯出私密金鑰

在常規介面勾選在AD中發布認證

在安全介面下，添加電腦對象，Domain Computers 勾選註冊許可權，或考慮安全因素也可以僅添加WAC叢集節點允許註冊。

憑證範本處建立要頒發的憑證範本，選擇我們自訂的憑證範本

發布完成後回到叢集節點上通過 MMC - 電腦賬戶 - 個人 申請認證，可以看到我們剛才在CA中新發布的憑證範本

在認證申請處選擇配置詳細資料

一般名稱處添加WAC群集 VCO名稱，建立完成群集後大家會通過這個名稱訪問WAC，因此務必確保認證名稱一致

備用名處添加DNS名稱，WAC VCO名稱，各節點FQDN名稱

配置完成後將帶私密金鑰認證匯出 放入群集指令檔與安裝檔案相同路徑，然後將此檔案夾複製到群集各個節點相同路徑

WAC群集安裝指令碼 http://aka.ms/WACHASetupScripts

WAC 1804 http://aka.ms/WACDownload，1804是目前已經GA的版本，本文採用1804版本進行部署，更新版本可以在Insider中心下載

先決條件都準備就緒後在其中一個叢集節點上面以管理員身份開啟Windows Power Shell，準備進行安裝

指令碼命令說明如下

.\Install-WindowsAdminCenterHA.ps1 -ClusterStorage C:\ClusterStorage\Volume1 -ClientAccessPoint wac -MSIPath C:\WACFile\WindowsAdminCenter.msi -CertPath C:\WACFile\wac.pfx -CertPassword $cerpassword -StaticAddress 10.0.0.20

-ClusterStorage：叢集共用磁碟區的本地路徑，用於儲存Windows管理中心資料。

-ClientAccessPoint：選擇將用於訪問Windows管理中心的名稱，例如填寫wac，安裝完成後將以wac.oa.com訪問WAC

-StaticAddress： WAC VCO對應的群集IP地址

-MsiPath：Windows管理中心.msi檔案的路徑

-CertPath： 認證.pfx檔案路徑

-CertPassword： 提供的認證.pfx的SecureString密碼

-GenerateSslCert： 可選，如果不想提供簽署憑證，請包含此參數標誌以產生自我簽署憑證 ，自我簽署憑證將在90天后到期

-PortNumber： 可選，如果未指定連接埠，則網關服務將部署在443連接埠（HTTPS）上 可在此參數中指定使用其他連接埠

指令碼會在每個節點上面安裝WAC檔案，只不過同一時間只有一個節點的WAC服務開啟，其它節點停止待命

安裝完成後開啟CSV可以看到如下檔案夾架構

開啟DB檔案夾可以看到WAC運行過程中所儲存的DB檔案格式，可見是Windows上面傳統的EDB格式，有檢查點檔案，臨時檔案，資料庫檔案等，當我們在其中一個節點上面開啟WAC執行管理操作，該節點宕機後，另外節點啟動時將去CSV這個路徑下載入撈取WAC管理資料

安裝完成WAC介面如下，正常情況下如果按照老王介紹的步驟去安裝認證，SSL這裡應該是綠色信任，如果認證不信任請檢查認證申請步驟時名稱是否有誤

對比2017年9月24號老王寫Honolulu時，Windows Admin Center已經有了不少增強

支援直接進行儲存副本管理

支援了授權管理，Azure整合

實際測試容錯移轉情況，當前WAC主要由16server2提供服務，老王直接將其斷電

在我的虛擬化實驗環境中，從16server2宕機，到16server1接管提供服務，一共宕機了2-3分鐘，根據我的觀察並不是能ping通了，就可以使用了，即便是ping通之後仍然要等到1-2分鐘之後，網頁才可以正式開啟，因為它前後端都在一起，因為當一個節點宕機，在另外一個節點啟動時，必然需要重新載入前後端的步驟，因此這部分載入的時間也會算作宕機時間，具體時間長短視機器效能決定，經過2-3分鐘的容錯移轉時間 可以看到此時是由16server1提供服務，但是管理資料都還在，並不需要重新添加

WAC簡單來說它是微軟下一代的伺服器管理中心，折中於單機管理工具與私人雲端之間的一個輕量級資料中心管理平台，管理員將可以通過WAC portal完成百分之70以上微軟平台系統管理工作，解除了原來每天一上班需要開很多個管理工具的煩惱，通過一個網關平台管理私人雲端 公用雲端 虛擬機器 物理機，從最初它作為Honolulu項目時就被微軟寄予厚望，發展到今天的WAC，它更為極致，更為實用。增強了對於虛擬化，S2D，SDN的管控，打通了到AzureAD , Azure Backup, Azure File Sync, disaster recovery的混合雲整合，增強了授權訪問，開放了SDK開發規範，吸引開發人員和供應商生態，支援企業級高可用部署，支援指令碼檢視器，這樣的趨勢看來WAC未來的關鍵詞會是混合，靈活，實用輕量

從另外一份更新的訊息看來下一版的WAC還將引入system insight功能，能夠協助管理員預測伺服器 群集效能峰值，並且能夠設定在達到峰值時需要採取的自動化操作，坦白說這可能是很多管理員夢寐以求的功能，但是隨之而來老王也擔心WAC會因此而變沉，因為分析預測需要資料庫以及分析引擎的支援，不知道最終呈現出來會是什麼樣子，希望不會違背WAC的初衷把，目前這個產品在我看來很強，從system insight可以看出微軟有意為這個產品賦予智能的標籤，同時，Windows Server 2019中微軟也做了個試探，將儲存遷移這項新功能只能夠通過WAC操作，目的應該是實驗一下大家對於WAC的接受程度，如果接受程度好，可能以後新功能都會只在WAC上面上線，因此大家現在瞭解和使用WAC是很有必要的

未來我希望這個產品就這樣，保持輕盈，保持實用，未來也許會帶來的改變，我認為微軟會考慮到IT人員編輯擴充方面，也許會引入一些便於IT人員操作的無代碼擴充工具，身分識別驗證和介面定製應該會更靈活，也許會對用戶端管理上面進行一些增強，例如可以遠程為用戶端示範，遠程盤點統計用戶端資產，遠程直接下發軟體。伺服器管理上面我認為WAC將主要關注2016 2019的新功能模組，例如SDS，SDN，微軟會不斷在WAC上面最佳化這兩項功能的管理體驗，會考慮對接Linux，容器等新興技術。

就是這樣，希望通過這篇文章能夠為大家帶來思考與收穫

Windows Admin Center 高可用部署