使用“运行命令”操作在 Windows VM 上运行脚本

“运行命令”功能使用虚拟机 (VM) 代理在 Azure Windows VM 中运行 PowerShell 脚本。 可以使用这些脚本进行常规计算机或应用程序管理。 它们可以帮助你快速诊断和修正 VM 访问与网络问题，使 VM 恢复正常状态。

优点

可通过多种方式访问虚拟机。 “运行命令”可以使用 VM 代理在虚拟机上以远程方式运行脚本。 通过 Windows VM 的 Azure 门户、REST API 或 PowerShell 使用“运行命令”。

在需要在虚拟机中运行脚本的所有方案中，此功能都很有用。 它是排查和修正因网络或管理用户配置错误而未打开 RDP 或 SSH 端口的虚拟机的唯一方法。

先决条件

支持的 Windows OS

Windows OS	x64
Windows 10	支持
Windows 11	支持
Windows Server 2008 SP2	支持
Windows Server 2008 R2	支持
Windows Server 2012	支持
Windows Server 2012 R2	支持
Windows Server 2016	支持
Windows Server 2016 Core	支持
Windows Server 2019	支持
Windows Server 2019 Core	支持
Windows Server 2022	支持
Windows Server 2022 Core	支持

限制

使用“运行命令”时存在以下限制：

• 输出限制为最后的 4,096 个字节。
• 运行脚本的最短时间大约为 20 秒。
• 脚本在 Windows 上作为系统运行。
• 一次只能运行一个脚本。
• 不支持提示输入信息（交互模式）的脚本。
• 无法取消正在运行的脚本。
• 脚本最多可以运行 90 分钟。 之后，它会超时。
• 需要从 VM 建立出站连接才能返回脚本的结果。
• 建议不要运行会导致 VM 代理停止或更新的脚本。 这会使扩展处于转换状态，从而导致超时。

可用的命令

下表显示了可用于 Windows VM 的命令的列表。 可以使用 RunPowerShellScript 命令运行所需的任何自定义脚本。 使用 Azure CLI 或 PowerShell 运行命令时，为 --command-id 或 -CommandId 参数提供的值必须是下面列出的值之一。 如果指定的值不是可用的命令，将会收到以下错误：

The entity was not found in this Azure location

名称	说明
RunPowerShellScript	运行 PowerShell 脚本
DisableNLA	禁用网络级身份验证
DisableWindowsUpdate	禁用 Windows 更新自动更新
EnableAdminAccount	检查本地管理员帐户是否被禁用，如果是，则启用它。
EnableEMS	启用 EMS
EnableRemotePS	配置计算机以启用远程 PowerShell。
EnableWindowsUpdate	启用 Windows 更新自动更新
IPConfig	显示绑定到 TCP/IP 的每个适配器的 IP 地址、子网掩码和默认网关的详细信息。
RDPSettings	检查注册表设置和域策略设置。 提供策略操作建议（如果计算机属于某个域），或者将设置修改为默认值。
ResetRDPCert	删除绑定到 RDP 侦听器的 TLS/SSL 证书，并将 RDP 侦听器安全性还原为默认值。 如果看到与证书有关的任何问题，请使用此脚本。
SetRDPPort	为远程桌面连接设置默认的或用户指定的端口号。 为端口的入站访问启用防火墙规则。

Azure CLI

以下示例使用 az vm run-command 命令在 Azure Windows VM 上运行 shell 脚本。

# script.ps1
#   param(
#       [string]$arg1,
#       [string]$arg2
#   )
#   Write-Host This is a sample script with parameters $arg1 and $arg2

az vm run-command invoke  --command-id RunPowerShellScript --name win-vm -g my-resource-group \
    --scripts @script.ps1 --parameters "arg1=somefoo" "arg2=somebar"

Azure 门户

转到 Azure 门户中的 VM，然后在左侧菜单中的“操作”下选择“运行命令” 。 你将看到可以在 VM 上运行的可用命令的列表。

选择要运行的命令。 某些命令可能有可选或必需的输入参数。 对于这些命令，参数将呈现为文本字段，你可以在其中提供输入值。 对于每个命令，可以通过展开“查看脚本”来查看所运行的脚本。 RunPowerShellScript 不同于其他命令，因为它允许你提供自己的自定义脚本。

选择命令之后，选择“运行”以运行脚本。 脚本完成之后，它会在输出窗口中返回输出和任何错误。 下面的屏幕截图显示了运行 RDPSettings 命令时的示例输出。

PowerShell

以下示例使用 Invoke-AzVMRunCommand cmdlet 在 Azure VM 上运行 PowerShell 脚本。 该 cmdlet 需要 -ScriptPath 参数中引用的脚本位于运行该 cmdlet 的位置本地。

Invoke-AzVMRunCommand -ResourceGroupName '<myResourceGroup>' -Name '<myVMName>' -CommandId 'RunPowerShellScript' -ScriptPath '<pathToScript>' -Parameter @{"arg1" = "var1";"arg2" = "var2"}

限制对“运行命令”的访问

列出运行命令或显示命令详细信息需要订阅级别的 Microsoft.Compute/locations/runCommands/read 权限。 内置读者角色和更高级别具有此权限。

运行命令需要 Microsoft.Compute/virtualMachines/runCommands/write 权限。 虚拟机参与者角色和更高级别具有此权限。

若要使用“运行命令”，可以使用内置角色之一，也可以创建一个自定义角色。

操作运行命令 Windows 故障排除

对 Windows 环境的操作运行命令进行故障排除时，请参考 RunCommandExtension 日志文件了解详细信息，该文件通常位于以下目录：C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.RunCommandWindows\<version>\RunCommandExtension.log。

已知问题

如果命令包含保留字符，则操作运行命令扩展可能无法在 Windows 环境中执行。 例如：

如果在命令的参数（如以下 PowerShell 脚本）中传递 & 符号，可能会失败。

$paramm='abc&jj'
Invoke-AzVMRunCommand -ResourceGroupName AzureCloudService1 -Name test -CommandId 'RunPowerShellScript' -ScriptPath C:\data\228332902\PostAppConfig.ps1 -Parameter @{"Prefix" = $paramm}

使用 ^ 字符转义参数中的 &，例如 $paramm='abc^&jj'

如果要执行的命令在路径中包含“\n”，运行命令扩展可能也无法执行，因为它将被视为一个新行。 例如，C:\Windows\notepad.exe 在文件路径中包含 \n。 请考虑在路径中将 \n 替换为 \N。

删除操作运行命令

如果需要删除操作运行命令 Windows 扩展，请参阅以下适用于 Azure PowerShell 和 CLI 的步骤：

将 rgname 和 vmname 替换为以下删除示例中的相关资源组名称和虚拟机名称。

 Invoke-AzVMRunCommand -ResourceGroupName 'rgname' -VMName 'vmname' -CommandId 'RemoveRunCommandWindowsExtension'

az vm run-command invoke  --command-id RemoveRunCommandWindowsExtension --name vmname -g rgname

后续步骤

若要了解在 VM 中远程运行脚本和命令的其他方法，请参阅在 Windows VM 中运行脚本。