Windows Azure Pack: Websites – Schritte vor der Installation
Gilt für: Windows Azure Pack
Die Schritte in diesem Kapitel sind für eine erfolgreiche Installation von Windows Azure Pack: Websites installieren und ausführen können. Stellen Sie sicher, dass Sie jeden Abschnitt sorgfältig lesen und Aktionen nach Bedarf auszuführen. Folgende Abschnitte gibt es:
Überlegungen für oder gegen Domäne
Erstellen von Servern für die Websiterollen
Tipps zum Vorbereiten von VHDs oder Servern
Vorbereiten von SQL Server, um die Laufzeitdatenbank für Windows Azure Pack: Websites zu halten
Bereitstellen von SQL Server- und MySQL-Anwendungsdatenbanken für die Mandantenverwendung
Firewall-Konfiguration für Websiterollen
Konfigurieren Sie die Front-End-, Verleger-, Web-Worker-, Verwaltungsserver- und nicht vorkonfigurierten Dateiserverrollen (optional) für den eingehenden Zugriff über das Internet.
Windows Azure Pack: Websites für die Verwendung von Proxyservern konfigurieren
Ändern der Benutzerkontensteuerung für den Remotezugriff
Konfigurieren der DNS-Zuordnungen für die Websites-Cloud
Überlegungen für oder gegen Domäne
Windows Azure Pack: Websites kann in einer mit der Domäne verbundenen oder einer nicht mit der Domäne verbundenen Umgebung (Arbeitsgruppenumgebung) installiert werden. Während eine Arbeitsgruppenumgebung möglicherweise für Entwicklungs- oder Testszenarien geeignet sein könnte, empfiehlt es sich, aus folgenden Gründen eine mit der Domäne verbundene Umgebung zu verwenden:
Benutzer können Kerberos für Authentifizierungshandshakes nutzen, das sicherer als NTLM oder NTLM v2 ist.
Vereinfachte Benutzer- und Anmeldeinformationsverwaltung.
Verbesserte Verwaltung durch Gruppenrichtlinien
Erstellen von Servern für die Websiterollen
Bereiten Sie vor dem Installieren der Websites-Cloud einen Windows Server 2012 R2-Server pro Websiterolle vor (die Server können entweder physische oder Virtuelle Computer) sein. Um später eine hohe Verfügbarkeit zu erreichen, sollten Sie mehrere Server pro Rolle hinzufügen. Verwenden Sie zur Vereinfachung der Verwaltung beschreibende Computernamen wie unten. Die hier vorgeschlagene Benennungskonvention ist, dass Sie das "x" in den Namen durch "1" ersetzen (Auffüllung mit Nullen nach Bedarf), und dann die Zahl erhöhen, wenn Sie Serverinstanzen einer Rolle hinzufügen.
SitesCNx – Websites-Cloudcontroller
SitesMNx – Websites-Cloudverwaltungsserver
SitesFEx – Websites-Cloud-Front-End
SitesPBx – Websites-Cloudherausgeber
SitesWWSx – Freigegebener Web-Worker für Websites-Cloud
SitesWWRx – Reservierter Web-Worker für Websites-Cloud
SitesFSx – Dateiserver für Websites-Cloud
Tipps zum Vorbereiten von VHDs oder Servern
Verwenden Sie Neuinstallationen von Windows Server 2012 (Windows Server 2012 R2 wird empfohlen).
Ordnen Sie keine Websiterollen gemeinsam an; jede Websiterolle sollte über einen eigenen Virtuellen Computer oder Server verfügen.
Ordnen Sie Websiterollen nicht den Admin- oder Mandantenportal- oder API-Servern zu. Beispielsweise müssen sich die Websites-Cloud-Controller und die Admin-API-Rollen auf unterschiedlichen Computern befinden.
Es wird empfohlen, dass Sie mit der Domäne verbundene Server verwenden, wie zuvor angemerkt.
Wenn Sie Virtuelle Computer verwenden, empfiehlt es sich, Momentaufnahmen für jede Rolle an den folgenden kritischen Augenblicken zu machen:
Vor der Installation
Nach der Installation
Nach der Konfiguration
Hinweis
Um NetBIOS-Fehler und automatisches Namensabschneiden zu vermeiden, sollten Sie sicherstellen, dass die ausgewählten Computernamen nicht mehr als 15 Zeichen enthalten.
Vorbereiten von SQL Server, um die Laufzeitdatenbank für Windows Azure Pack: Websites zu halten
Bereiten Sie für die Websites-Laufzeitdatenbank eine SQL Server-Datenbank vor. Als Best Practice sollten sich alle SQL Server-Rollen, einschließlich der Websites-Laufzeitdatenbank, zu der die Dienstverwaltungs-API-Datenbank gehört, auf unterschiedlichen Computern befinden.
Für Test-, Entwicklungs- oder "Machbarkeitsstudien"-Zwecke kann SQL Express 2012 SP1 oder höher verwendet werden. Informationen zum Herunterladen finden Sie unter Download SQL Server 2012 Express with SP1 (Herunterladen von SQL Server 2012 Express mit SP1).
Für den Praxiseinsatz sollten Sie eine Vollversion von SQL 2012 SP1 oder höher verwenden. Informationen zum Installieren von SQL Server finden Sie unter Installation für SQL Server 2012.
Authentifizierung im gemischten Modus sollte aktiviert werden.
Auf Websites-Laufzeit-SQL Server sollte von allen Websiterollen zugegriffen werden können.
Sie können für alle SQL Server-Rollen eine Standardinstanz oder eine benannte Instanz verwenden. Wenn Sie eine benannte Instanz verwenden, sollten Sie jedoch den SQL-Browserdienst manuell starten und Port 1434 öffnen.
Weitere Informationen finden Sie unter Verwenden von SQL Server oder MySQL mit Windows Azure Pack.
Bereitstellen von SQL Server- und MySQL-Anwendungsdatenbanken für die Mandantenverwendung
Ihre Umgebung erfordert möglicherweise, dass Sie Mandanten-SQL Server- und/oder MySQL-Datenbankanwendungen unterstützen. In diesem Fall sollten Sie separate SQL Server- und MySQL-Instanzen installieren und konfigurieren, die für die Mandantenverwendung der Anwendungsdatenbank vorgesehen sind.
Serveranforderungen für die SQL Server-Mandantenanwendungsdatenbank:
Authentifizierung im gemischten Modus sollte aktiviert werden.
Der SQL Server sollte von den Web-Worker- und Verlegerrollen zugänglich sein
Der SQL Server sollte von den Admin- und Mandanten-API-Rollen zugänglich sein
Serveranforderungen für die MySQL Server-Mandantenanwendungsdatenbank:
Bei Verwenden der MySQL-Befehlszeilenschnittstelle sollte der Stammbenutzer für den Remotezugriff mit einem Kennwort aktiviert werden. Beispielsyntax:
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'password' WITH GRANT OPTION; FLUSH PRIVILEGES;Weitere Informationen zur MySQL-Befehlszeilenschnittstelle finden Sie in der MySQL-Dokumentation.
Der MySQL Server sollte von den Web-Worker- und Verlegerrollen zugänglich sein
Der MySQL Server sollte von den Admin- und Mandanten-API-Rollen zugänglich sein
Für die Unterstützung von IPv6 verwenden Sie MySQL-Version 5.5.30 oder höher
Weitere Informationen finden Sie unter Configure SQL Server and MySQL Application databases for tenant use. Weitere Informationen zum zentralen Hochskalieren von SQL Server für die Produktion finden Sie unter Configuring SQL Server for High Availability.
Firewall-Konfiguration für Websiterollen
Wenn Sie Windows Azure Pack: Websites vollständig in einer Intranetumgebung implementieren, ist ein öffentlicher Internetzugriff nicht erforderlich. (Auch wenn Internetzugriff erforderlich ist, kann eine sorgfältig geplante Netzwerktopologie die Aussetzung der Websiterollen direkt ins Internet verhindern.)
Die Firewalleinstellungen eines Servers sollten konfiguriert werden, bevor Sie eine Websites-Rolle zum Server hinzufügen. In der folgenden Liste sind die Internetzugriffsanforderungen für jede Websites-Rolle zusammengefasst:
Verwaltungsserver – erfordert keinen öffentlichen Internetzugriff.
Dateiserver – erfordert keinen Internetzugriff und sollte nie über das Internet zugreifbar sein.
Websitecontroller – erfordert ausgehenden HTTP-Zugriff, jedoch nicht eingehenden. Der Controller benötigt ausgehenden Zugriff, damit er Software-Abhängigkeiten für die Installation von Websiterollen herunterladen kann.
Web-Worker – benötigen niemals eingehenden Internetzugriff, aber möglicherweise ausgehenden Zugriff, wenn (zum Beispiel) eine Webanwendung einen externen Webdienst beansprucht.
Front-End-Server erfordern möglicherweise direkten eingehenden Netzwerkzugriff, um Clientanforderungen für Websites je nach Netzwerktopologie zu akzeptieren.
Herausgeber erfordern möglicherweise direkten eingehenden Zugriff, um FTP- und WebDeploy-Veröffentlichungsanforderungen je nach Netzwerktopologie zu akzeptieren.
Für die Front-End- und Verlegerrollen können Sie direkten Internetzugriff vermeiden, wenn Sie über vorgeschaltete Lastenausgleiche oder vorgeschaltete NAT-Geräte verfügen, die für die Netzwerkadressübersetzung zwischen öffentlichen und privaten Adressen sorgen.
Konfigurieren Sie die Front-End-, Verleger-, Web-Worker-, Verwaltungsserver- und nicht vorkonfigurierten Dateiserverrollen (optional) für den eingehenden Zugriff über das Internet.
Erlauben Sie auf den Servern, die die Front-End-, Verleger-, Web-Worker- und Verwaltungsserverrollen übernehmen, den eingehenden Zugriff auf die folgenden Dienste. Sie sollten diese Einstellungen auch auf die Dateiserverrolle anwenden, wenn Sie die nicht vorkonfigurierte Dateiserveroption verwenden.
Datei- und Druckerfreigabe (SMB-In)
Windows Management Instrumentation (WMI-In)
Um eingehenden Zugriff zu konfigurieren, können Sie die folgenden netsh-Befehle verwenden:
netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes
netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes
Hinweis
Die Netzwerkadapter für die Front-End- und Verlegerrollen sollten in der Windows-Firewall konfiguriert werden, sodass das öffentliche Profil verwendet wird.
Windows Azure Pack: Websites für die Verwendung von Proxyservern konfigurieren
Wenn Sie eine Proxyadresse für ausgehenden Zugriff auf das Internet verwenden, müssen Sie Websites zur Verwendung der Proxyadresse aktivieren, bevor Sie Windows Azure Pack: Websites installieren und ausführen können.
Hinweis
Webfarmauthentifizierung über einen Proxyserver wird derzeit nicht unterstützt. Dieser Abschnitt beschreibt die Schritte, die zum Installieren und Ausführen von Windows Azure Pack: Websites hinter einem Proxyserver durchgeführt werden müssen. Er wird nicht beschrieben, wie Proxyserver konfiguriert werden.
Um der Farm zu ermöglichen, über einen Proxy ohne Authentifizierung zu kommunizieren, führen Sie die folgenden PowerShell-Befehle mit Administratorprivilegien auf dem Controller aus. Ersetzen Sie <ProxyAddress> durch die Adresse des Proxys
Import-Module WebSites
Set-WebSitesConfig Global -ProxyEnabled True -ProxyAddress <ProxyAddress>
Hinweis
Wenn Sie den Websites-Dienst für das Windows Azure-Paket installieren, führen Sie den Webplattform-Installer aus, der ein Konto verwendet, das für den Proxy authentifizieren kann.
Erlauben Sie Microsoft Updates den Zugriff auf Windows Azure Pack: Websites hinter dem Proxy.
Wenn sich Windows Azure Pack: Websites hinter einem Proxy befindet, wird als optionaler Schritt empfohlen, Microsoft Updates zu aktivieren, damit sie ordnungsgemäß mit Windows Azure Pack: Websites installieren und ausführen können. Führen Sie dazu die folgenden PowerShell-Befehle mit administrativen Berechtigungen auf dem Controller aus, in denen benutzer <ProxyUser mit Kennwort ProxyUserPassword>>für den Proxy authentifizieren kann:<
Import-Module WebSites
New-WebSitesConfig Credential -CredentialName ProxyUserCredential -UserName <ProxyUser> -Password <ProxyUserPassword> -CredentialType SystemCredential
Ändern der Benutzerkontensteuerung für den Remotezugriff
Deaktivieren Sie auf jedem Server, der für eine Windows Azure Pack: Websites-Rolle verwendet werden soll, die Benutzerkontensteuerung (UAC, User Account Control) für Remoteverbindungen, wie weiter unten beschrieben. Dadurch kann die Remoteverwaltung ausgeführt werden.
Hinweis
Die lokale UAC-Konfiguration bleibt unverändert.
Führen Sie den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten aus:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /fStarten Sie den Server neu.
Konfigurieren der DNS-Zuordnungen für die Websites-Cloud
Wenn Sie während des Setups der Websites-Cloud den Websitecontroller konfigurieren, werden Sie aufgefordert, den für Endbenutzer-Websites zu verwendenden Standarddomänennamen anzugeben.
Standardmäßig werden Websites unter einer Standarddomäne erstellt. Sobald eine Website erstellt wurde, können Benutzer jeder Website benutzerdefinierte Domänennamen hinzufügen. Auch wenn Mandantenwebsites zur Unterstützung von benutzerdefinierter Domänen konfiguriert werden können, aktualisiert Windows Azure Pack: Websites keine benutzerdefinierten DNS-Einträge. Um sicherzustellen, dass alle Websites mit Internetzugriff mit den entsprechenden IP-Adressen-Zuweisungen konfiguriert sind, folgen Sie der Anleitung unten.
Für eine bestimmte Domäne wie Contoso.com würden Sie die folgenden DNS-A-Einträge erstellen:
Hostname |
IP-Adresse für |
* |
Front-End-Server |
*.scm |
Front-End-Server |
ftp |
Verlegerserver |
Veröffentlichen |
Verlegerserver |
Mit diesem Zuordnungsschema können sich Benutzer sowohl bei der Anmeldung als auch bei https://www.contoso.comhttps://contoso.com der Verwaltung ihrer Websites anmelden. Das Verwaltungsportal für Administratoren und das Verwaltungsportal für Mandanten werden unter Bereitstellen von Microsoft Azure Pack für Windows Serverbeschrieben.
In der Beispielkonfiguration oben werden vom Benutzer erstellte Websites unter Verwendung untergeordneter Domänen wie site1.contoso.com oder site2.contoso.com erstellt.
Wenn Benutzer den Inhalt auf ihren Websites über Deploy Web oder FTP veröffentlichen, verwenden sie jeweils publish.contoso.com oder ftp.contoso.com. Für die Inhaltsveröffentlichung über Git wird *.scm.contoso.com verwendet.
Hinweis
Für diese Bereitstellung ist keine spezielle Domäne erforderlich. Sie können eine Unterdomäne wie "my.yourdomain.com" verwenden, die einer vorhandenen Domäne untergeordnet ist.