Nested Hyper-Vを使う公式のAzure Local仮想マシンデプロイ手法を使ってみた

仮想 Azure ローカル システムをデプロイする

を見つけました。

こちらをベースにお手製のスクリプトを改良しました。加えて、再認識しましたが、ゲストOSのタイムゾーンはPST/PDTのままだなと（統合サービスとの時間同期を無効化、w32tmによるタイムサービスとの同期を行った上で、ゲストOSのクロックをPST/PDTに手動で合わせた）。

2508のデプロイにおいて、Extensionは、インストールされたものから触らない。下手に手動アップグレードすると、BasicのValidateに失敗するという気づきを得ました。

ということで、本稿作成時点でのExtensionsは、下記のままで進めました。

デプロイ前の最終的なValidateは、TrustedHostsの指定方法がよろしくないような。*だとダメなのかな。。。また調べ直さないと。

引き続き調べるとして、22H2依頼のデプロイを成功させたいものですね。

Active DirectoryでBitLocker回復パスワードを表示する

BitLocker回復パスワードをActive Directoryに保存できますね。Azure Localのノードで使われるBitLocker回復パスワードも同様に保存できます。

Azure Localのノードではないのですが、本稿ではWindows 11でBitLockerを有効化し、BitLocker回復パスワードをActive Directoryに保存した結果を閲覧してみます。

Windows 11でBitLockerを有効化

設定から、BitLockerドライブ暗号化を開きます。この例では、暗号化されていません。ここから暗号化を有効化します。

UACにて管理者権限を取得します。

回復キーはファイルに保存しました。

BitLockerをアクティブ化します。

有効化できました。

Active DirectoryドメインコントローラーにBitLocker回復パスワードビューアーをインストール

サーバーマネージャーから役割と機能の追加をクリックして、ウィザードを起動します。

「役割ベースまたは機能ベースのインストール」をクリックして、「次へ」をクリックします。

指定されたサーバーのまま、「次へ」をクリックします。

サーバーの役割はそのままにして、「次へ」をクリックします。

機能で、「リモートサーバー管理ツール」→「機能管理ツール」の順で展開します。

「BitLocker回復パスワードビューアー」をクリックして、「次へ」をクリックします。

「インストール」をクリックします。

しばらく待つとインストールが完了しました。

BitLocker回復パスワードをActive Directoryに保存

グループポリシーは未構成のまま試してみることとしました。

manage-bde.exeのオプションを確認します。

manage-bde.exe -statusで状態を見ておきます。

ファイルに保存した回復キーを確認しました。

リトライした結果、manage-bde.exeよりBitLocker回復パスワードをActive Directoryに保存しました。回復キーのIDは、そのまま指定できません。下図の通り、'{回復キーのID}'という形式で囲っておく必要がありました。

該当のコンピューターアカウントにて、BitLocker回復タブをクリックしたところ、回復キーのID、回復パスワードが表示されました。

Windows Kerberosに対する脆弱性CVE-2025-26647の続報

複数フェーズからなるADの脆弱性対策「CVE-2025-26647 (Kerberos 認証) の保護」 

という記事を書いていました。

先日続報がリリースされましたので、ご紹介します。

CVE-2025-26647 への対応とその影響について

が日本マイクロソフトのWindowsサポートチームよりリリースされています。この記事によると強制モードの開始日（更新プログラムのリリース日）が2025年10月14日で確定しています。

複数フェーズからなるADの脆弱性対策「CVE-2025-26647 (Kerberos 認証) の保護」 

に記載した通り、強制モードは下記のような状況になります。

このモードになると、ADドメインコントローラーが安全でない証明書を使用してKerberos認証要求を受け取った場合、イベント D 21 がログに記録され、要求が拒否されます。
またAllowNtAuthPolicyBypassレジストリキーに対するMicrosoft のサポートは中止されます。よって監査モードに戻すことはできません。

ということで、証明書認証をお使いの場合は、残り1か月で対応が必要になります。

CVE-2025-26647 (Kerberos 認証) の保護　はサポート情報でした。今回は日本マイクロソフトのWindowsサポートチームによる記事のため、すでにリリース済みの更新プログラムに対する不具合情報が記載されています。各々の不具合情報は、CVE-2025-26647 への対応とその影響について に詳細がございますのでご確認ください。下記では、その不具合情報が、すでに改善済みか否かを抜粋して記載いたします。

• 2025 年 4 月 8 日の更新プログラムに含まれている不具合は、2025 年 6 月 10 日の更新プログラムで改善済みとのこと。
• 2025 年 7 月 8 日の更新プログラムに含まれている不具合は、上記とは別とのことです。そのため、今後改善する見込みとのこと。
  ただし、6 月の更新プログラムを適用済みの状態で ID:45 が記録されていない状況であれば、ID:21 イベントによる実影響がないとも記載ありました。

SQL Server Management Studio 21のアップデート

SQL Server Management Studio 21を起動したら、アップデートの通知が来ていました。画面を取り忘れたので、改めてヘルプからアップデートを確認します。

21.4.12が最新ということです。「Update」をクリックして、このままアップデートします。

しばらく待つとインストールが完了しました。

SCOM 2025のインストール その4 インストール

SCOM 2025のインストール その3 SQL Server Reporting ServiceとSQL Server Management Studio 21のインストール　からの続き。

事前準備が整いましたので、SCOM 2025自体をインストールします。とはいえ思ってみないことがあり、一部パラメーターは既定値のままとはいきませんでした。

サービスアカウントやサービスアカウントが含まれるセキュリティグループをローカル管理者グループ、Log on as a Serviceに割り当てておきます。

Install Operations Manager on a Single Server　の流れに沿ってインストールします。

ダウンロードしたISOファイルをマウントし、実行ファイルなどの展開から始めます。

setup.exeを実行します。インストールウィザードが起動しますので、「Install」をクリックして始めます。

機能はすべてインストールします。

インストールパスは、既定値のままとします。

事前条件チェックで再起動が引っ掛かりました。これはこのままとして次に進めます。

管理グループ名を設定します。

ライセンス条項をacceptします。

Operationalデータベースの配置先として、同一のサーバーを指定します。

1週間以上前の履歴を補完するデータウェアハウスデータベースとして、同一のサーバーを指定します。

SQL Server Reporting Service (SSRS)のインスタンスは、表示されたものをそのまま使用します。

Webコンソールは、既定値のままとします。別途HTTPSかも可能です。

Webコンソールの認証方式を指定します。Form認証のままとして次に進めます。

サービスアカウントを指定します。

こちらについては、別サーバー含め複数回リトライしましたが、SCOMアクションアカウントのみ、ドメインユーザーが指定できない状態でした。当該環境（ADドメインも同一環境下）で発生しています。

データベースのリーダーとライターも同じアカウントなんですが、謎が残ります。先に進めたいので、既定値ではないローカルシステムでやむを得ず、次に進めます。

診断データのページは内容を確認したら、次に進めます。

インストールサマリーを確認して、インストールを実行します。

しばらく待つとインストールが完了しました。

管理サーバーで警告が出ています。プロダクトキーが未登録故です。この後、対応します。

管理コンソールが起動したらヘルプから、コンソールバージョン/アクティベートの画面を表示します。現状は、評価版であることがわかります。

「Activate」をクリックして、プロダクトキーを設定します。

ライセンス条項をacceptします。

プロダクトキーの登録完了です。

指示に従い、Data Access Serviceを再起動します（場合によっては、OSごと再起動することもあるかもしれません）。

無事にアクティベートされました。