2025年2月26日水曜日
2025年2月17日月曜日
Windows Admin Center 2410で接続リストをエクスポートおよびインポートする
※Windows Admin Centerは、WACと略します。
Windows Admin Center 2410で接続リストをエクスポートおよびインポートするには、
Microsoft.WindowsAdminCenter.ConnectionTools
にあるコマンドレットを使います。コマンドレット名が変わりました。エクスポートとインポートという組み合わせは、WAC 2311と変わりません。
- Export-WACConnection
- Import-WACConnection
使う際は、PowerShellモジュールをインポートします。
get-help Export-WACConnection を実行して構文を確認しました。
Export-WACConnection [-Endpoint] <Uri> [[-FileName] <String>] [[-Credentials] <PSCredential>] [-AccessKey] <String> [<CommonParameters>]
接続先のURI、出力先ファイル名、クレデンシャル、アクセスキーが必要です。
アクセスキーは、WACからコピーします。「アクセスキーを表示する」をチェックすると、2時間使えるアクセスキーが表示されます。これをコピーしておきます。
今度は、WAC 2310の接続リストをインポートすべく、接続リストのファイルを用意しました。共有接続へ追加する内容にしています。
Import-WACConnectionの構文に則って、インポートを試みます。
Import-WACConnection [-Endpoint] <Uri> [[-Credentials] <PSCredential>] [-FileName] <String> [-Prune] [-AccessKey] <String> [<CommonParameters>]
実行したところエラー。
正規の証明書を用意してから、再試行しました。ブラウザーで証明書の警告が消えていることを確認しつつ、アクセスキーをコピーしました。
2025年2月16日日曜日
Windows Admin Center 2410のHTTPS証明書を入れ替える
Windows Admin CenterをWACと略して、以降の内容を記します。
WAC 2311までは、設定からWACを選択して、変更を進めるとインストールウィザードをre-runできました。インストール時のパラメーターはこの操作で変更できたわけです。インストール時のパラメーターには、HTTPS証明書の指定(拇印, Thumbprint)が含まれました。
それでは、WAC 2410ではどうでしょうか。まず、設定からWACを選択しても変更は選べず、アンインストールになるだけです。(画面キャプチャでは、WAC V2表記です)
ではどうするのか。ここでWAC 2410から大量に増えたPowerShellコマンドレットの出番ということになりそうです。
WAC 2410からの証明書入れ替えについて関連するPowerShellコマンドレットを探してみました。まずWAC 2410のPowerShellモジュールは、下記のものがあります。
- Microsoft.WindowsAdminCenter.Configuration
- Microsoft.WindowsAdminCenter.ConnectionTools
- Microsoft.WindowsAdminCenter.ExtensionTools
- Microsoft.WindowsAdminCenter.ManagementTools
- Microsoft.WindowsAdminCenter.Migration
- Microsoft.WindowsAdminCenter.PowerShellTools
上記のPowerShellモジュールを一つ一つインポートして、関連しそうなPowerShellコマンドレットがあるかを調べました。結果として、関連するものは、Microsoft.WindowsAdminCenter.Configurationにある下記です。
- Add-WACCertificates
- Get-WACCertificateSubjectName
- Set-WACCertificateAcl
- Set-WACCertificateSubjectName
Get-WACCertificateSubjectNameは、WAC 2410で使用されているHTTPS証明書を表示するものだと想像がつきましたし、実際そうでした。そうすると、Setの接頭子ついた二つやAddの一つを使って入れ替えると仮定しました。
まずWACが作成した自己署名証明書で、WACが開いていること(アクセスできていること)を確認していました。
Set-WACCertificateSubjectNameにより、WACが作成した自己署名証明書から、AD CSにて発行した証明書へ入れ替えてみました。
※なおAD CSのルートCA証明書は、グループポリシーにて事前配布済みです。
※なおAD CSのルートCA証明書は、グループポリシーにて事前配布済みです。
証明書が入れ替わったはずですが、WACは開かず。。。
WAC 2311で使っていた証明書の拇印を指定する方法を念のため採用してみました(結果としてこれは指定方法の変更に過ぎず、入れ替えを完全に行うという観点ではなかったです)。なお拇印を指定する場合は、"で囲んではダメです、念のため。
色々調べていたところ、Windows Admin Center v2.4 will not use SAN Cert にあたりました。その中にパーミッションが云々とあったため、
- Set-WACCertificateAcl
試行した限りでは、サーバー毎に一度実行すれば良さそう。また実行は、Set-WACCertificateSubjectNameの前でも後でも構わないようです。 - Set-WACCertificateSubjectName
により、証明書を入れ替えます。 - 万が一、証明書が入れ替わらなかった場合のみ、WACのサービスを再起動します。
2025年2月15日土曜日
Azure Recovery Service ValutとSCDPM
Azure Recovery Service ValutとSCDPMを関連づけていたのですが、SCDPMのバージョンを入れ替えることにしました。で、先にSCDPMを停止していました。が、Azure Recovery Service Valutにバックアップアイテムが残置されていました。
日本語では、そういえばCopilotのヘルプはまだ使えないのでした。。。
本題に戻して、Copilotのヘルプを見たのですが、Security Settings、その通りのメニューは無い。試行錯誤したところ、SettingsのPropertyに類似の設定「Soft Delete and Security settings」を見つけました。その項目をクリックしてみました。
もう一度削除の画面に戻りました。
以上
Microsoft 365 Copilot の新機能 | 2025 年 1 月 の抄訳が出ています。
Microsoft 365 Copilot の新機能 | 2025 年 1 月 の抄訳が出ています。見出し部分を引用しておきます。
管理・運用機能:
- Microsoft 365 管理センターの Copilot による管理エクスペリエンスの刷新
- Copilot Analytics で利用傾向を把握する
- Viva Learning の Microsoft Copilot アカデミーの拡張
- Microsoft 365 コミュニティ カンファレンスに登録する
エンド ユーザー向け機能:
- Copilot プロンプト ギャラリー アプリでお気に入りのプロンプトを発見、保存、共有
- Copilot in Excel の新しいエントリ ポイント
- Copilot in Outlook でメールを洗練させる
- プレゼンテーションの作成と要約に使用できる Copilot in PowerPoint の機能を拡充
- Copilot in Word でのテキストの選択とファイルの参照
- Copilot チャットでパーソナライズされたプロンプトを提案
個人的には、
- Copilot プロンプト ギャラリー アプリでお気に入りのプロンプトを発見、保存、共有
- Copilot in Outlook でメールを洗練させる
が使えるようになれば試してみたいですね。
2025年2月2日日曜日
Active Directory Certificate ServiceのCA情報などを表示する
検証でAD CSを作るたびにCAの情報をコマンドでダンプしなきゃと思うわけです。いつもやり方を忘れるため、概要を残しておきます。
まず、certutil -cainfo を実行してCAの情報を見ます。
スタンドアロンCAとして構築したことが確認できました。
続いて、
certutil -getreg CA\ValidityPeriod
certutil -getreg CA\ValidityPeriodUnits
を実行して証明書の有効期間を見ます。
5年で設定したことが確認できました。
※なお証明書の有効期間設定に関しては、下記のコマンドにより、証明書サービスの再起動が必要です。
net stop certsvc
net start certsvc
証明書の有効期間設定に関する公式情報は、
証明機関によって発行される証明書の有効期限を変更する
となります。
続いてルートCA証明書の確認です。
※なおルートCA証明書自体は、グループポリシーにてADドメインへ配布するよう設定したことを申し添えます。
GUI上は、下記のダイアログで確認できます。
コマンドで確認するためには、証明書ストアのキーワードが必要なので、 Get-ChildItem Cert:\LocalMachine\ で一覧を取得します。
信頼されたルート証明機関は、Rootなのでさらにそこを深掘りします。Get-ChildItem Cert:\LocalMachine\Root\ を実行して、信頼されたルート証明機関に含まれる証明書の一覧を表示します。
今回構築したルートCAのルートは赤枠のものです。
Get-ChildItem "Cert:\LocalMachine\Root\" |fl
にて、各証明書のプロパティを表示させました。
ルートCA証明書は、2/2/2030 11:18:47 AMまでの有効期間であることがわかります。
以上、簡易ではありますが確認方法をまとめました。
2025年2月11日は、「KB5014754: Windows ドメイン コントローラーでの証明書ベースの認証の変更」にご注意ください
を拝見していたら、
【AD】時間切れ目前!2025/2/11までに対策必須!ID39警告を無視するとヤバい理由【緊急対策】
がありました。こちら、実際の症状としてイベントID観点で解説されていますね。
実は、当方も同じような記事を書いていますw
複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は? 詳細は?
※閲覧には、無料の会員登録が必要です。
※閲覧には、無料の会員登録が必要です。
です。この中で、「証明書認証に影響する脆弱性対策」を解説しており、2025年2月11日というのは「完全強制フェーズ」の更新プログラム(パッチ)がリリースされる日となっています。こちらの更新プログラムは、
KB5014754: Windows ドメイン コントローラーでの証明書ベースの認証の変更
にて情報提供されているものです。この脆弱性に関しては、2022年5月10日から4フェーズを経て完全強制になります。このフェーズを図示したものが下記となります。
登録:
投稿 (Atom)