Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Aktualisieren Sie Azure Stack Hub bei Bedarf auf eine unterstützte Version, bevor Sie den App Service-Ressourcenanbieter (RP) bereitstellen oder aktualisieren. Lesen Sie unbedingt die Anmerkungen zur RP-Version, um mehr über neue Funktionen, Korrekturen und bekannte Probleme zu erfahren, die sich auf Ihre Bereitstellung auswirken können.
| Unterstützte Mindestversion von Azure Stack Hub | App Service-RP-Version |
|---|---|
| 2311 und höher | 24R1 Installationsprogramm (Versionshinweise) |
Bevor Sie Azure App Service in Azure Stack Hub bereitstellen, müssen die erforderlichen vorbereitenden Schritte in diesem Artikel ausgeführt werden.
Bevor Sie beginnen
In diesem Abschnitt werden die Voraussetzungen für integrierte Azure Stack Hub-Systembereitstellungen aufgeführt.
Ressourcenanbietervoraussetzungen
Wenn Sie bereits einen Ressourcenanbieter installiert haben, haben Sie wahrscheinlich alle Schritte für die folgenden Voraussetzungen ausgeführt und können diesen Abschnitt überspringen. Führen Sie andernfalls vor dem Fortfahren diese Schritte aus:
Registrieren Sie Ihre Azure Stack Hub-Instanz bei Azure, falls Sie dies noch nicht getan haben. Dieser Schritt ist erforderlich, weil eine Verbindung mit Azure herstellen und aus Azure Elemente in Marketplace herunterladen.
Wenn Sie nicht mit dem Marketplace-Verwaltung-Feature des Azure Stack Hub-Administratorportals vertraut sind, sollten Sie Herunterladen von Marketplace-Elementen in Azure Stack Hub lesen. In dem Artikel werden Sie durch die Schritte geleitet, mit denen Elemente aus Azure in den Azure Stack Hub-Marketplace heruntergeladen werden. Dieser Artikel gilt sowohl für ein verbundenes als auch für ein nicht verbundenes Szenario. Ist Ihre Azure Stack Hub-Instanz nicht verbunden oder teilweise verbunden, gibt es weitere Voraussetzungen, die zur Vorbereitung auf die Installation erfüllt sein müssen.
Aktualisieren Sie Ihr Microsoft Entra-Heimverzeichnis. Ab Build 1910 muss eine neue Anwendung in Ihrem Stammverzeichnismandanten registriert werden. Diese App ermöglicht es Azure Stack Hub, erfolgreich neuere Ressourcenanbieter (wie Event Hubs und andere) mit Ihrem Microsoft Entra-Mandanten zu erstellen und zu registrieren. Dies ist eine einmalige Aktion, die nach dem Upgrade auf Build 1910 oder höher ausgeführt werden muss. Wird dieser Schritt nicht ausgeführt, tritt bei der Installation von Ressourcenanbietern aus dem Marketplace ein Fehler auf.
- Nachdem Sie Ihre Azure Stack Hub-Instanz erfolgreich auf 1910 oder höher aktualisiert haben, befolgen Sie die Anweisungen zum Klonen/Herunterladen des Azure Stack Hub-Tools-Repository.
- Folgen Sie dann den Anweisungen für Aktualisierung des Azure Stack Hub Microsoft Entra Home Directory (nach der Installation von Updates oder neuen Ressourcenanbietern).
Installationsprogramm und Hilfsskripts
Laden Sie die Hilfsskripts für die Bereitstellung von App Service in Azure Stack Hub herunter.
Hinweis
Die Bereitstellungshilfsskripts erfordern das AzureRM-PowerShell-Modul. Installationsdetails finden Sie unter Installieren des PowerShell AzureRM-Moduls für Azure Stack Hub.
Laden Sie das Installationsprogramm für App Service in Azure Stack Hub herunter.
Extrahieren Sie die Dateien aus der ZIP-Datei der Hilfsskripts. Die folgenden Dateien und Ordner werden extrahiert:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Ordner „Modules“
- GraphAPI.psm1
Zertifikate und Serverkonfiguration (integrierte Systeme)
In diesem Abschnitt werden die Voraussetzungen für integrierte Systembereitstellungen aufgeführt.
Zertifikatanforderungen
Um den Ressourcenanbieter in der Produktion ausführen zu können, müssen Sie die folgenden Zertifikate bereitstellen:
- Standarddomänenzertifikat
- API-Zertifikat
- Veröffentlichungszertifikat
- Identitätszertifikat
Zusätzlich zu den in den folgenden Abschnitten aufgeführten speziellen Anforderungen verwenden Sie später ein Tool, um Tests für die allgemeinen Anforderungen durchzuführen. Eine vollständige Liste der Überprüfungen finden Sie unter Überprüfen von Azure Stack Hub-PKI-Zertifikaten, einschließlich:
- Dateiformat von .PFX
- Schlüsselverwendung auf Server- und Clientauthentifizierung gesetzt
- und andere
Standarddomänenzertifikat
Das Standarddomänenzertifikat wird der Front-End-Rolle zugeordnet. Benutzer-Apps für Platzhalter- oder Standarddomänenanforderungen an Azure App Service verwenden dieses Zertifikat. Das Zertifikat wird auch für Quellcodeverwaltungsvorgänge (Kudu) verwendet.
Das Zertifikat muss das PFX-Format aufweisen und sollte ein Platzhalterzertifikat mit drei Antragstellern sein. Durch diese Anforderung können sowohl die Standarddomäne als auch der SCM-Endpunkt für Quellcodeverwaltungsvorgänge durch ein einziges Zertifikat abgedeckt werden.
| Format | Beispiel |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
API-Zertifikat
Das API-Zertifikat wird der Verwaltungsrolle zugeordnet. Der Ressourcenanbieter verwendet es zum Schützen von API-Aufrufen. Das Zertifikat für die Veröffentlichung muss einen Antragsteller enthalten, der dem API-DNS-Eintrag entspricht.
| Format | Beispiel |
|---|---|
| api.appservice.<Region>.<Domänenname>.<Erweiterung> | api.appservice.redmond.azurestack.external |
Veröffentlichungszertifikat
Das Zertifikat für die Herausgeberrolle schützt den FTPS-Datenverkehr für App-Besitzer, wenn diese Inhalte hochladen. Das Zertifikat für die Veröffentlichung muss einen Antragsteller enthalten, der dem FTPS-DNS-Eintrag entspricht.
| Format | Beispiel |
|---|---|
| ftp.appservice.<Region>.<Domänenname>.<Erweiterung> | ftp.appservice.redmond.azurestack.external |
Identitätszertifikat
Das Zertifikat für die Identitäts-App ermöglicht Folgendes:
- Integration zwischen dem Microsoft Entra ID oder Active Directory Federation Services (AD FS) Verzeichnis, Azure Stack Hub und App Service zur Unterstützung der Integration mit dem Compute-Ressourcenanbieter.
- Szenarien mit einmaligem Anmelden für die erweiterten Entwicklertools in Azure App Service bei Azure Stack Hub.
Das Zertifikat für die Identität muss einen Antragsteller enthalten und dem folgenden Format entsprechen.
| Format | Beispiel |
|---|---|
| sso.appservice.<Region>.<Domänenname>.<Erweiterung> | sso.appservice.redmond.azurestack.external |
Überprüfen von Zertifikaten
Vor der Bereitstellung des App Service-Ressourcenanbieters sollten Sie die zu verwendenden Zertifikate überprüfen. Verwenden Sie hierfür das Azure Stack Hub Readiness Checker-Tool, das im PowerShell-Katalog zur Verfügung steht. Das Azure Stack Hub Readiness Checker-Tool überprüft, ob die generierten PKI-Zertifikate für die App Service-Bereitstellung geeignet sind.
Als bewährte Methode sollten Sie bei der Arbeit mit einem der erforderlichen Azure Stack Hub-PKI-Zertifikate ausreichend Zeit zum Testen und (falls erforderlich) erneuten Ausstellen von Zertifikaten einplanen.
Vorbereiten des Dateiservers
Azure App Service erfordert die Verwendung eines Dateiservers. Für Produktionsbereitstellungen muss der Dateiserver für Hochverfügbarkeit konfiguriert und in der Lage sein, Fehler zu beheben.
Schnellstartvorlage für hochverfügbare Dateiserver und SQL Server
Eine Referenzarchitektur-Schnellstartvorlage ist jetzt verfügbar, mit der ein Dateiserver und eine SQL Server-Instanz bereitgestellt werden. Diese Vorlage unterstützt die Active Directory-Infrastruktur in einem virtuellen Netzwerk, das für die Unterstützung einer hoch verfügbaren Bereitstellung von Azure App Service unter Azure Stack Hub konfiguriert ist.
Wichtig
Diese Vorlage wird als Referenz oder Beispiel angeboten, wie Sie die Voraussetzungen bereitstellen können. Da der Azure Stack Hub-Operator diese Server verwaltet, sollten Sie besonders in Produktionsumgebungen die Vorlage nach Bedarf oder Vorgabe Ihrer Organisation konfigurieren.
Hinweis
Die integrierte Systeminstanz muss in der Lage sein, Ressourcen von GitHub herunterzuladen, um die Bereitstellung abzuschließen.
Schritte zum Bereitstellen eines benutzerdefinierten Dateiservers
Wichtig
Wenn Sie App Service in einem vorhandenen virtuellen Netzwerk bereitstellen möchten, muss der Dateiserver in einem anderen Subnetz als App Service bereitgestellt werden.
Hinweis
Wenn Sie sich für die Bereitstellung eines Dateiservers mit einer der oben erwähnten Schnellstartvorlagen entschieden haben, können Sie diesen Abschnitt überspringen, da die Dateiserver im Rahmen der Vorlagenbereitstellung konfiguriert werden.
Bereitstellen von Gruppen und Konten in Active Directory
Erstellen Sie die folgenden globalen Active Directory-Sicherheitsgruppen:
- FileShareOwners
- FileShareUsers
Erstellen Sie die folgenden Active Directory-Konten als Dienstkonten:
- FileShareOwner
- FileShareUser
Als bewährte Sicherheitsmethode wird empfohlen, eindeutige Benutzer für diese Konten (und für alle Webrollen) sowie sichere Benutzernamen und Kennwörter zu verwenden. Legen Sie die Kennwörter mit den folgenden Bedingungen fest:
- Aktivieren Sie Kennwort läuft nie ab.
- Aktivieren Sie Benutzer kann Kennwort nicht ändern.
- Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
Fügen Sie die Konten wie folgt Gruppen als Mitglieder hinzu:
- Fügen Sie FileShareOwner der Gruppe FileShareOwners hinzu.
- Fügen Sie FileShareUser der Gruppe FileShareUsers hinzu.
Bereitstellen von Gruppen und Konten in einer Arbeitsgruppe
Hinweis
Wenn Sie einen Dateiserver konfigurieren, führen Sie die folgenden Befehle an einer Administratoreingabeaufforderung aus.
Verwenden Sie PowerShell nicht.
Wenn Sie die Azure Resource Manager-Vorlage verwenden, wurden die Benutzer bereits erstellt.
Führen Sie die folgenden Befehle aus, um die Konten FileShareOwner und FileShareUser zu erstellen. Ersetzen Sie
<password>durch Ihre eigenen Werte.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noLegen Sie für die Kennwörter der Konten fest, dass sie nie ablaufen, indem Sie die folgenden WMIC-Befehle ausführen:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSEErstellen Sie die lokalen Gruppen „FileShareUsers“ und „FileShareOwners“, und fügen Sie diesen die Konten aus dem ersten Schritt hinzu:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Bereitstellen der Inhaltsfreigabe
Die Inhaltsfreigabe enthält die Websiteinhalte des Mandanten. Das Verfahren zum Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver ist für Active Directory- und Arbeitsgruppenumgebungen identisch. Für einen Failovercluster in Active Directory wird jedoch ein anderes Verfahren verwendet.
Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver (Active Directory oder Arbeitsgruppe)
Führen Sie auf einem einzelnen Dateiserver die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. Ersetzen Sie den Wert für C:\WebSites durch die entsprechenden Pfade in Ihrer Umgebung.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Konfigurieren der Zugriffssteuerung für die Freigaben
Führen Sie die folgenden Befehle auf dem Dateiserver an einer Eingabeaufforderung mit erhöhten Rechten oder auf dem Failoverclusterknoten aus, der zurzeit der Besitzer der Clusterressource ist. Ersetzen Sie die kursiven Werte durch die Werte für Ihre Umgebung.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Arbeitsgruppe
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Vorbereiten der SQL Server-Instanz
Hinweis
Wenn Sie sich für die Bereitstellung der Schnellstartvorlage für hochverfügbare Dateiserver und SQL Server entschieden haben, können Sie diesen Abschnitt überspringen, da SQL Server mit der Vorlage in einer Konfiguration für Hochverfügbarkeit bereitgestellt und konfiguriert wird.
Für die Hosting- und Messdatenbanken von Azure App Service in Azure Stack Hub müssen Sie eine SQL Server-Instanz für die App Service-Datenbanken vorbereiten.
Für Produktions- und Hochverfügbarkeitszwecke sollten Sie eine Vollversion von SQL Server 2016 SP3 oder höher verwenden, die Authentifizierung im gemischten Modus aktivieren und in einer hoch verfügbaren Konfiguration bereitstellen.
Auf die SQL Server-Instanz für Azure App Service in Azure Stack Hub muss von allen App Service-Rollen zugegriffen werden können. Sie können SQL Server im Standardabonnement des Anbieters in Azure Stack Hub bereitstellen. Alternativ können Sie die vorhandene Infrastruktur in Ihrer Organisation nutzen (sofern eine Verbindung mit Azure Stack Hub besteht). Denken Sie bei Verwendung eines Azure Marketplace-Images daran, die Firewall entsprechend zu konfigurieren.
Hinweis
Eine Reihe von Images für SQL-IaaS-VMs sind über das Marketplace-Verwaltungsfeature verfügbar. Achten Sie darauf, immer die neueste Version der SQL-IaaS-Erweiterung herunterzuladen, bevor Sie einen virtuellen Computer mit einem Marketplace-Artikel bereitstellen. Die SQL-Images sind mit den in Azure verfügbaren SQL-VMs identisch. Für virtuelle SQL-Computer, die mit diesen Images erstellt werden, stellen die IaaS-Erweiterung und die zugehörigen Portalerweiterungen Features wie das automatische Patchen und Sicherungsfunktionen bereit.
Sie können für alle SQL Server-Rollen eine Standardinstanz oder eine benannte Instanz verwenden. Wenn Sie eine benannte Instanz verwenden, sollten Sie den SQL Server-Browserdienst manuell starten und Port 1434 öffnen.
Das App Service-Installationsprogramm überprüft, ob für die SQL Server-Instanz die Datenbankeigenständigkeit aktiviert ist. Führen Sie die folgenden SQL-Befehle aus, um die Datenbankeigenständigkeit für die SQL Server-Instanz zu aktivieren, die als Host für die App Service-Datenbanken fungiert:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Lizenzierungsaspekte im Zusammenhang mit erforderlichem Dateiserver und SQL Server
Für Azure App Service in Azure Stack Hub sind ein Dateiserver und eine SQL Server-Instanz erforderlich. Sie können bereits vorhandene Ressourcen außerhalb Ihrer Azure Stack Hub-Bereitstellung verwenden oder Ressourcen unter dem zugehörigen Azure Stack Hub-Standardabonnement des Anbieters bereitstellen.
Wenn Sie sich für die Bereitstellung der Ressourcen innerhalb ihres Azure Stack Hub-Standardabonnements des Anbieters entscheiden, sind die Lizenzen für diese Ressourcen (Windows Server-Lizenzen und SQL Server-Lizenzen) unter folgenden Voraussetzungen in den Kosten von Azure App Service in Azure Stack Hub enthalten:
- Die Infrastruktur wurde im Standardabonnements des Anbieters bereitgestellt.
- Die Infrastruktur wird ausschließlich von Azure App Service im Azure Stack Hub-Ressourcenanbieter verwendet. Keine anderen Workloads, administrative (andere Ressourcenanbieter, zum Beispiel: SQL-RP) oder Mandanten (zum Beispiel: Mandantenanwendungen, die eine Datenbank erfordern), dürfen diese Infrastruktur nutzen.
Betriebsverantwortlichkeit von Datei- und SQL-Servern
Cloudoperatoren sind für die Verwaltung und den Betrieb des Dateiservers und von SQL Server verantwortlich. Der Ressourcenanbieter verwaltet diese Ressourcen nicht. Der Cloudoperator ist für das Sichern der App Service-Datenbanken und der Mandanten-Inhaltsdateifreigabe verantwortlich.
Abrufen des Azure Resource Manager-Stammzertifikats für Azure Stack Hub
Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten auf einem Computer, der den privilegierten Endpunkt im integrierten Azure Stack Hub-System erreichen kann.
Führen Sie das Skript Get-AzureStackRootCert.ps1 in dem Ordner aus, in den Sie die Hilfsskripts extrahiert haben. Das Skript erstellt in dem Ordner des Skripts, das App Service zum Erstellen von Zertifikaten benötigt, ein Stammzertifikat.
Wenn Sie den folgenden PowerShell-Befehl ausführen, müssen Sie den privilegierten Endpunkt und die Anmeldeinformationen für „AzureStack\CloudAdmin“ angeben.
Get-AzureStackRootCert.ps1
Parameter des Skripts „Get-AzureStackRootCert.ps1“
| Parameter | Erforderlich oder optional | Standardwert | Beschreibung |
|---|---|---|---|
| Privilegierter Endpunkt | Erforderlich | AzS-ERCS01 | Privilegierter Endpunkt |
| CloudAdmin-Berechtigung | Erforderlich | AzureStack\CloudAdmin | Anmeldeinformationen des Domänenkontos für Azure Stack Hub-Cloudadministratoren |
Netzwerk- und Identitätskonfiguration
Virtuelles Netzwerk
Hinweis
Die Voraberstellung eines benutzerdefinierten virtuellen Netzwerks ist optional. Azure App Service in Azure Stack Hub kann das erforderliche virtuelle Netzwerk erstellen, muss dann aber über öffentliche IP-Adressen mit SQL und dem Dateiserver kommunizieren. Wenn Sie den App Service HA-Dateiserver und die SQL Server-Schnellstartvorlage verwenden, um die erforderlichen SQL- und Dateiserverressourcen bereitzustellen, wird von der Vorlage auch ein virtuelles Netzwerk bereitgestellt.
Mit Azure App Service in Azure Stack Hub können Sie den Ressourcenanbieter in einem vorhandenen virtuellen Netzwerk bereitstellen oder ein virtuelles Netzwerk als Teil der Bereitstellung erstellen. Die Nutzung eines vorhandenen virtuellen Netzwerks ermöglicht die Verwendung von internen IP-Adressen zum Herstellen der Verbindung mit dem Dateiserver und dem Computer mit SQL Server, die für Azure App Service in Azure Stack Hub erforderlich sind. Das virtuelle Netzwerk muss vor der Installation von Azure App Service in Azure Stack Hub mit dem folgenden Adressbereich und den folgenden Subnetzen konfiguriert werden:
Virtual Network /16
Subnetze
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkerSubnet-/21
Wichtig
Wenn Sie App Service in einem vorhandenen virtuellen Netzwerk bereitstellen möchten, muss die SQL Server-Instanz in einem anderen Subnetz als für App Service und den Dateiserver bereitgestellt werden.
Erstellen einer Identitätsanwendung zum Aktivieren von SSO-Szenarien
Azure App Service verwendet eine Identitätsanwendung (Dienstprinzipal), um die folgenden Vorgänge zu unterstützen:
- Integration von VM-Skalierungsgruppen auf Workerebenen
- Einmaliges Anmelden (Single Sign-On, SSO) für das Azure Functions-Portal und erweiterte Entwicklertools (Kudu).
Je nachdem, welchen Identitätsanbieter der Azure Stack Hub verwendet, Microsoft Entra ID oder Active Directory Federation Services (ADFS), müssen Sie die entsprechenden Schritte unten befolgen, um das Dienstprinzipal für die Nutzung durch den Azure App Service auf dem Azure Stack Hub-Ressourcenanbieter zu erstellen.
Eine Microsoft Entra-App erstellen
Führen Sie die folgenden Schritte aus, um das Dienstprinzipal in Ihrem Microsoft Entra-Mandanten zu erstellen:
- Öffnen Sie eine PowerShell-Instanz als „azurestack\AzureStackAdmin“.
- Wechseln Sie zum Speicherort der Skripts, die im Vorbereitungsschritt heruntergeladen und extrahiert wurden.
- Installieren von PowerShell für Azure Stack Hub
- Führen Sie das Skript Create-AADIdentityApp.ps1 aus. Wenn Sie dazu aufgefordert werden, geben Sie die Microsoft Entra-Mandanten-ID ein, die Sie für Ihre Azure Stack Hub-Bereitstellung verwenden. Geben Sie beispielsweise myazurestack.onmicrosoft.com ein.
- Geben Sie im Anmeldeinformationen-Fenster Ihr Microsoft Entra-Dienstadministrator-Konto und Ihr Passwort ein. Wählen Sie OK aus.
- Geben Sie den Zertifikatdateipfad und das Zertifikatkennwort für das zuvor erstellte Zertifikat ein. Das für diesen Schritt standardmäßig erstellte Zertifikat lautet sso.appservice.local.azurestack.external.pfx.
- Notieren Sie sich die Anwendungs-ID, die in der PowerShell-Ausgabe zurückgegeben wird. Mit der ID in den folgenden Schritten erteilen Sie die Zustimmung für die Berechtigungen der Anwendung und während der Installation.
- Öffnen Sie ein neues Browserfenster und melden Sie sich im Azure-Portal als Microsoft Entra-Dienstadministrator an.
- Öffnen Sie den Microsoft Entra-Dienst.
- Wählen Sie im linken Bereich die Option App-Registrierungen aus.
- Suchen Sie nach der Anwendungs-ID, die Sie in Schritt 7 notiert haben.
- Wählen Sie in der Liste die App Service-Anwendungsregistrierung aus.
- Wählen Sie im linken Bereich API-Berechtigungen aus.
- Wählen Sie Administratorzustimmung erteilen für <Mandant>, wobei <Mandant> der Name Ihres Microsoft Entra-Mandanten ist. Bestätigen Sie die Gewährung der Zustimmung, indem Sie Ja auswählen.
Create-AADIdentityApp.ps1
| Parameter | Erforderlich oder optional | Standardwert | Beschreibung |
|---|---|---|---|
| DirectoryTenantName | Erforderlich | Null | Microsoft Entra-Mandanten-ID Geben Sie die GUID oder Zeichenfolge an. Beispiel: myazureaaddirectory.onmicrosoft.com |
| AdminArmEndpoint | Erforderlich | Null | Azure Resource Manager-Endpunkt des Administrators. Beispiel: adminmanagement.local.azurestack.external |
| TenantARMEndpoint | Erforderlich | Null | Azure Resource Manager-Endpunkt des Mandanten Beispiel: management.local.azurestack.external |
| AzureStackAdminCredential | Erforderlich | Null | Microsoft Entra Dienstadministrator-Anmeldeinformationen. |
| CertificateFilePath | Erforderlich | Null | Vollständiger Pfad zur zuvor generierten Zertifikatsdatei der Identitätsanwendung. |
| CertificatePassword | Erforderlich | Null | Kennwort zum Schutz des privaten Zertifikatschlüssels |
| Umwelt | Wahlfrei | AzureCloud | Der Name der unterstützten Cloudumgebung, in welcher der Azure Active Directory-Zielgraphdienst verfügbar ist Zulässige Werte: „AzureCloud“, „AzureChinaCloud“, „AzureUSGovernment“, „AzureGermanCloud“. |
Erstellen einer ADFS-App
- Öffnen Sie eine PowerShell-Instanz als „azurestack\AzureStackAdmin“.
- Wechseln Sie zum Speicherort der Skripts, die im Vorbereitungsschritt heruntergeladen und extrahiert wurden.
- Installieren von PowerShell für Azure Stack Hub
- Führen Sie das Skript Create-ADFSIdentityApp.ps1 aus.
- Geben Sie im Fenster Anmeldeinformationen das Administratorkonto und -kennwort Ihrer AD FS-Cloud ein. Wählen Sie OK aus.
- Geben Sie den Zertifikatdateipfad und das Zertifikatkennwort für das zuvor erstellte Zertifikat ein. Das für diesen Schritt standardmäßig erstellte Zertifikat lautet sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parameter | Erforderlich oder optional | Standardwert | Beschreibung |
|---|---|---|---|
| AdminArmEndpoint | Erforderlich | Null | Azure Resource Manager-Endpunkt des Administrators. Beispiel: adminmanagement.local.azurestack.external |
| Privilegierter Endpunkt | Erforderlich | Null | Privilegierter Endpunkt, Beispiel: AzS-ERCS01 |
| CloudAdminCredential | Erforderlich | Null | Anmeldeinformationen des Domänenkontos für Azure Stack Hub-Cloudadministratoren. Beispiel: Azurestack\CloudAdmin |
| CertificateFilePath | Erforderlich | Null | Vollständiger Pfad zur PFX-Datei des Zertifikats der Identitätsanwendung. |
| CertificatePassword | Erforderlich | Null | Kennwort zum Schutz des privaten Zertifikatschlüssels |
Herunterladen von Elementen aus dem Azure Marketplace
Für Azure App Service in Azure Stack Hub müssen Elemente aus dem Azure Marketplace heruntergeladen werden, sodass sie im Azure Stack Hub-Marketplace verfügbar sind. Die Elemente müssen heruntergeladen werden, bevor mit der Bereitstellung oder dem Upgrade von Azure App Service in Azure Stack Hub begonnen wird:
Wichtig
Windows Server Core ist kein unterstütztes Plattformimage für die Verwendung mit Azure App Service in Azure Stack Hub.
Verwenden Sie Evaluierungsimages nicht für Produktionsbereitstellungen.
- Die neueste Version des Windows Server 2022 Datacenter-VM-Images.
Windows Server 2022 Datacenter Full-VM-Image mit aktiviertem Microsoft.NET 3.5.1 SP1. Für Azure App Service in Azure Stack Hub wird vorausgesetzt, dass im Image für die Bereitstellung Microsoft .NET 3.5.1 SP1 aktiviert ist. In über Marketplace syndizierten Windows Server 2022-Images ist diese Funktion nicht aktiviert, und sie können in nicht verbundenen Umgebungen Microsoft Update nicht erreichen, um die über DSIM zu installierenden Pakete herunterzuladen. Daher müssen Sie bei getrennten Bereitstellungen ein Windows Server 2022-Image erstellen und verwenden, für das dieses Feature vorab aktiviert ist.
Ausführliche Informationen zum Erstellen eines benutzerdefinierten Images und zum Hinzufügen zum Marketplace finden Sie unter Hinzufügen eines benutzerdefinierten VM-Images zu Azure Stack Hub. Geben Sie beim Hinzufügen des Images zum Marketplace unbedingt die folgenden Eigenschaften an:
- Herausgeber: MicrosoftWindowsServer
- Angebot: WindowsServer
- SKU = AppService
- Version: Geben Sie die aktuelle Version an.
- Benutzerdefinierte Skripterweiterung v1.9.1 oder höher. Dieses Element ist eine VM-Erweiterung.