2022年12月3日土曜日

Azure Arcエージェントにプロキシ設定を施す

Azure Arc対応サーバーにインストールされているAzure Arcエージェントにプロキシ設定を施します。

プロキシ設定の更新または削除

エージェント固有のプロキシ構成を使えとあるので、そちらで設定します。

プロキシ設定したので、azcmagent checkしています。

再接続するのですが、やはり一度切断しないとダメでした。

azcmagent disconnectします。

azcmagent connectします。

azcmagent showで、プロキシ設定後の再接続を確認できました。



Windows Admin Center 2208 Public Previewと、Windows Admin Center 2211 Public Previewのビルド番号

Windows Admin Center 2208 Public Previewのビルド番号を確認しておきます。

Windows Admin Center 2211 Public Previewのインストールを進めます。

インストールの処理は、大きく変わっていないですね。

Windows Admin Center 2211 Public Previewのビルド番号は、下記のとおりでした。


仮想マシンでCredential Guardを有効化してみる

Credential Guardの要件を整理します。

  • ハードウェアおよびソフトウェアの要件
    から転記します。物理サーバーですが、仮想マシンにも通じるところがあります。
    • 仮想化ベースのセキュリティのサポート (必須)
      • 64 ビット CPU
      • CPU の仮想化拡張機能および Extended Page Tables
      • Windows ハイパーバイザー (Hyper-V Windows 機能をインストールする必要はありません)
        この記載が現仕様とあっていないようです。Windowsハイパーバイザーだけのインストールはできないため、Hyper-Vのインストールが必要だと確認しました。(詳細は後述します)
        Hyper-Vを仮想マシンにインストールするには、仮想マシンに対してNested Hyper-Vを有効化します。
    • セキュア ブート (必須)
      仮想マシンでもセキュアブートは有効化できますね。
    • トラステッド プラットフォーム モジュール (TPM、優先 - ハードウェアへのバインドを提供) バージョン 1.2 および 2.0 がサポートされています (ディスクリートまたはファームウェア)
    • UEFI ロック (推奨 - 攻撃者の単純なレジストリ キー変更による無効化を防ぐ)
  • Hyper-V 仮想マシンで Windows Defender Credential Guard を実行するための要件
    • Hyper-V ホストは IOMMU を備えている必要があり、Windows Server 2016 または Windows 10 バージョン 1607 以降が実行されている必要があります。
      IOMMUに関連する設定としては、Windows Admin Centerで確認できるHyper-Vホストの[DMA保護の起動]があります。ちなみに[DMA保護の起動]が非サポートでも、Credential Guardを有効化できました。
    • Hyper-V 仮想マシンは第 2 世代であることが必要です。また、仮想 TPM が有効になっており、Windows Server 2016 または Windows 10 以降が実行されている必要があります。
      • TPM は要件ではありませんが、TPM を実装することをお勧めします。
        これは仮想TPMを有効にすればよいですね。
Windows Server 2022仮想マシンを例に有効化してみます。
まず上記にある通り、Nested Hyper-V、仮想TPMを有効化しておきます。セキュアブートは、仮想マシン作成時に有効化されていることを確認しておきましょう。

具体的な有効化方法は、Windows Defender Credential Guard を有効にするに準じます。確認した中で最も確認しやすかった、レジストリを使用して Windows Defender Credential Guard を有効化するで有効化してみました。
  1. 仮想マシンでHyper-Vを有効化します。
    [プログラムと機能] を使って仮想化ベースのセキュリティ機能を追加するに準じるのですが、一部手順が異なります。具体的には、Hyper-Vの有効化だけで、[分離ユーザー モード]は有効化しません。というか、[分離ユーザー モード]自体が、統合されているためです。統合化されている旨は、上記リンクのほうに下記文言が記載されています。念のため、引用します。
    Windows 10バージョン 1607 以降では、分離ユーザー モード機能がコア オペレーティング システムに統合されています。 そのため、上記の手順 3 でコマンドを実行する必要はありません。
    Windows Serverの場合、そもそも[分離ユーザー モード]の役割サービスは無いです。つまり選択できないですね。
  2. レジストリ設定を追加します。
    仮想化ベースのセキュリティと Windows Defender Credential Guard を有効にするに準じます。設定自体は、レジストリエディターで行います。
    1. 仮想化ベースのセキュリティを有効にします。

    2. Windows Defender Credential Guard を有効にします。
    3. Credential Guardの有効化を確認します。
      Windows Defender Credential Guard のパフォーマンスを確認するに準じます。msinfo32.exeを実行しましょう。
      1. レジストリ設定直後の状態です。
      2. レジストリ設定を反映するため、再起動します。
      3. 改めてレジストリ設定を確認します。
        Credential Guardが有効化されていますね。

2022年11月27日日曜日

Windows Admin Center 2208 Public Previewの文面が、Windows Admin Center 2211 Public Previewに置き換わってます。

Windows Admin Center 2211 Public Previewのリリースがアナウンスされたので、

Windows Admin Center version 2208 is now in Public Preview!

と文面を比較しようとしました。が2208の文面は、

Windows Admin Center version 2211 is now in Public Preview!

に置き換わっていることを確認しました。
※2208 Public Previewリリース時のコメントである8月付の物が残っていますしね。

2022年11月19日土曜日

Windows Admin Centerのファイル & ファイル共有で、すべてのファイル共有がほぼ表示されるようになりました

Windows Admin Centerのファイル & ファイル共有で、すべてのファイル共有が出てない

の続き。

[ファイル & ファイル共有]拡張のバージョンアップ具合を細かく追っていませんでしたが、2.116.0ではファイル共有がほぼ表示されることを確認しました。

下記が[ファイル & ファイル共有]拡張で表示したファイル共有の一覧です。

とnet shareコマンドの実行結果を比較しました。すると、[ファイル & ファイル共有]拡張にはIPC$が無くて、net shareコマンドにはMTATempStore$が無いですね。
試しに、Get-FileShareコマンドレットを実行してみたところ、WACの[ファイル & ファイル共有]拡張を同じ表示結果が得られました。

net shareコマンドと、Get-FileShareコマンドレットは、表示結果が少し違うのですね。


SCDPM 2022 UR1へアップグレードしておく

※事前にDPMのSQL DBをバックアップしておくことを推奨します。

Update Rollup 1 for System Center 2022 Data Protection Manager

にあるリンク(Microsoft Updateカタログ)より、exeファイルをダウンロードして、実行します。

ライセンス条項を受け入れて、次に進めます。
UR1の適用が完了したので、再起動します。
※手動再起動が必要です。

ビルド番号は下記の通り。

System Center – Data Protection Manager のビルド バージョン と一致します。

SCDPMエージェントをバージョンアップが必要なので、実施します。

SCDPMエージェントのバージョンアップ完了です。

整合性チェックや保護グループを色々触っていると、DPMのSQL DBが別にいますね。。。

実際にいるのは、GUIDが付加されたほうですね。UR2リリース時に改めて確認しよう。

※なお整合性チェックでうまくいかないときは、保護グループから外して入れてを試行しています。。。

System Center 2022 Update Rollup 1 (UR1)で、VMMエージェントのプッシュインストールができるようになりましたかね

の続きです。

Update Rollup 1 for System Center 2022 Virtual Machine Manager

の発表ありましたので、アップグレードしてから、VMM Agentのプッシュインストールが正常動作するかをまず確認してみます。

パッチを解凍して msiexec /update により適用します。

パッチが開けないってなに。。。

ちょっと調べたところ、
What can cause MSIExec Error 1619 'This installation package could not be opened'

に".\"を削除しなさいとあります。あれ、msiexecってこういうパス指定しないとダメだっけ?!
とりあえず、実行したら無事に動きました。

VMMのサービスは、自動停止させる既定の選択肢を維持して、続行させます。

パッチ適用中。

パッチ適用完了。
build番号は、下記の通り。
System Center - Virtual Machine Manager のビルド バージョン の記載と一致します。

では、散々なまでにうまくいっていなかったHyper-VホストへのVMMエージェントプッシュインストールを確認します。

相変わらず下記の通り、一度エラーになるなぁ。
リフレッシュすると問題無く表示されますので、先に進めます。
当該VMMにHyper-Vホストを改めて関連付けするオプションにチェックして、先に進めます。
[Finish]をクリックして、インストールを開始します。
しばらく待つと無事にインストール完了しました。

もう一台追加後の状態は、下記の通り。

ということで、System Center 2022 Update Rollup 1 (UR1)で、VMMエージェントのプッシュインストールができるようになりました!