2025年2月17日月曜日

Windows Admin Center 2410で接続リストをエクスポートおよびインポートする

※Windows Admin Centerは、WACと略します。

Windows Admin Center 2410で接続リストをエクスポートおよびインポートするには、

Microsoft.WindowsAdminCenter.ConnectionTools

にあるコマンドレットを使います。コマンドレット名が変わりました。エクスポートとインポートという組み合わせは、WAC 2311と変わりません。

  • Export-WACConnection
  • Import-WACConnection
使う際は、PowerShellモジュールをインポートします。

get-help Export-WACConnection を実行して構文を確認しました。
Export-WACConnection [-Endpoint] <Uri> [[-FileName] <String>] [[-Credentials] <PSCredential>] [-AccessKey] <String> [<CommonParameters>]
接続先のURI、出力先ファイル名、クレデンシャル、アクセスキーが必要です。

アクセスキーは、WACからコピーします。「アクセスキーを表示する」をチェックすると、2時間使えるアクセスキーが表示されます。これをコピーしておきます。

Get-Credentialを使って認証情報を変数に代入しておきます。
あえてアクセスキーを省略して挙動を見ることとして、接続先のURI、出力先ファイル名、クレデンシャルを指定して、Export-WACConnectionを実行しました。結果としては、アクセスキーは、必須です。コピーしておいたアクセスキーを貼り付けて、無事にエクスポート完了です。

今度は、WAC 2310の接続リストをインポートすべく、接続リストのファイルを用意しました。共有接続へ追加する内容にしています。

Import-WACConnectionの構文に則って、インポートを試みます。
Import-WACConnection [-Endpoint] <Uri> [[-Credentials] <PSCredential>] [-FileName] <String> [-Prune] [-AccessKey] <String> [<CommonParameters>]

実行したところエラー。

このWACサーバーでTLS接続が失敗している旨、メッセージが出ていますね。。。は、まだ自己署名証明書のままでした。アクセスキーが同一であることを確認できるかと。

正規の証明書を用意してから、再試行しました。ブラウザーで証明書の警告が消えていることを確認しつつ、アクセスキーをコピーしました。

気のせいか一度失敗したのですが、リトライかけたところ
うまくインポートできました。
無事に共有接続リストに追加されていました。





 



投稿者 時刻: 0 件のコメント:
ラベル: ,

2025年2月16日日曜日

Windows Admin Center 2410のHTTPS証明書を入れ替える

Windows Admin CenterをWACと略して、以降の内容を記します。

WAC 2311までは、設定からWACを選択して、変更を進めるとインストールウィザードをre-runできました。インストール時のパラメーターはこの操作で変更できたわけです。インストール時のパラメーターには、HTTPS証明書の指定(拇印, Thumbprint)が含まれました。

それでは、WAC 2410ではどうでしょうか。まず、設定からWACを選択しても変更は選べず、アンインストールになるだけです。(画面キャプチャでは、WAC V2表記です)

以上のことからWAC 2410では、WAC 2311までのようにインストール時のパラメーターを変更できません。

ではどうするのか。ここでWAC 2410から大量に増えたPowerShellコマンドレットの出番ということになりそうです。

WAC 2410からの証明書入れ替えについて関連するPowerShellコマンドレットを探してみました。まずWAC 2410のPowerShellモジュールは、下記のものがあります。

  • Microsoft.WindowsAdminCenter.Configuration
  • Microsoft.WindowsAdminCenter.ConnectionTools
  • Microsoft.WindowsAdminCenter.ExtensionTools
  • Microsoft.WindowsAdminCenter.ManagementTools
  • Microsoft.WindowsAdminCenter.Migration
  • Microsoft.WindowsAdminCenter.PowerShellTools

上記のPowerShellモジュールを一つ一つインポートして、関連しそうなPowerShellコマンドレットがあるかを調べました。結果として、関連するものは、Microsoft.WindowsAdminCenter.Configurationにある下記です。
  • Add-WACCertificates
  • Get-WACCertificateSubjectName
  • Set-WACCertificateAcl
  • Set-WACCertificateSubjectName
Get-WACCertificateSubjectNameは、WAC 2410で使用されているHTTPS証明書を表示するものだと想像がつきましたし、実際そうでした。そうすると、Setの接頭子ついた二つやAddの一つを使って入れ替えると仮定しました。

まずWACが作成した自己署名証明書で、WACが開いていること(アクセスできていること)を確認していました。

Set-WACCertificateSubjectNameにより、WACが作成した自己署名証明書から、AD CSにて発行した証明書へ入れ替えてみました。
※なおAD CSのルートCA証明書は、グループポリシーにて事前配布済みです。

証明書が入れ替わったはずですが、WACは開かず。。。

証明書の作成方法を誤ったかと思い作り直したり、指定方法を誤ったかと思い指定方法を変えてみましたが、効果なし。Add-WACCertificatesを使うのも違うようでした。一度、Set-WACCertificateSubjectNameにより自己署名証明書へ戻しました。

WAC 2311で使っていた証明書の拇印を指定する方法を念のため採用してみました(結果としてこれは指定方法の変更に過ぎず、入れ替えを完全に行うという観点ではなかったです)。なお拇印を指定する場合は、"で囲んではダメです、念のため。

色々調べていたところ、Windows Admin Center v2.4 will not use SAN Cert にあたりました。その中にパーミッションが云々とあったため、

Set-WACCertificateAclを実行してみたらどうだろうと、実行してみました。そこまでの画面が下記です。
まだ自己署名証明書を使ってることになっており、
念のためWACのサービスを再起動してみました。
証明書の警告も消えて、指定した証明書に変わりました。

その後、アンインストールののち再インストール、別サーバーにWAC 2410へのインストールを通して、下記のやり方で証明書の入れ替えが可能であることを確認しました。

  • Set-WACCertificateAcl
    試行した限りでは、サーバー毎に一度実行すれば良さそう。また実行は、Set-WACCertificateSubjectNameの前でも後でも構わないようです。
  • Set-WACCertificateSubjectName
    により、証明書を入れ替えます。
  • 万が一、証明書が入れ替わらなかった場合のみ、WACのサービスを再起動します。

投稿者 時刻: 0 件のコメント:
ラベル: ,

2025年2月15日土曜日

Azure Recovery Service ValutとSCDPM

Azure Recovery Service ValutとSCDPMを関連づけていたのですが、SCDPMのバージョンを入れ替えることにしました。で、先にSCDPMを停止していました。が、Azure Recovery Service Valutにバックアップアイテムが残置されていました。

情報を辿ってみました。
SCDPMをインストールしていたサーバーの情報に辿り着きました。ここから削除できるようですね。
削除を進めています。
削除に失敗。。。
ですが、Copilotによるヘルプが使えそうですね。

日本語では、そういえばCopilotのヘルプはまだ使えないのでした。。。

Azure Portalを英語表記に切り替えて再トライ。
Copilotのヘルプが使えました。
ちなみにアクティビティログを見ると、失敗2回分がしっかり残っています。

本題に戻して、Copilotのヘルプを見たのですが、Security Settings、その通りのメニューは無い。試行錯誤したところ、SettingsのPropertyに類似の設定「Soft Delete and Security settings」を見つけました。その項目をクリックしてみました。

「Enable soft delete and security settings for hybrid workloads」をスイッチすれば良さそうな感じ。
「Enable soft delete and security settings for hybrid workloads」のチェックを外して、「Update」のクリックにて確定します。

もう一度削除の画面に戻りました。

削除の理由等を入力して、「Delete」にて削除に進みます。
削除できました。
バックアップアイテムからも削除を確認できました!
以上




投稿者 時刻: 0 件のコメント:
ラベル: , , ,

Windows Server & Cloud User Group Japan 第44回 勉強会セッション資料「Windows Admin Center 2410 その1」を公開します。

Windows Admin Center 2410 その1_Windows Admin Center 2410 Part 1 by @sshzk
投稿者 時刻: 0 件のコメント:
ラベル:

Microsoft 365 Copilot の新機能 | 2025 年 1 月 の抄訳が出ています。

Microsoft 365 Copilot の新機能 | 2025 年 1 月 の抄訳が出ています。見出し部分を引用しておきます。

管理・運用機能:

  • Microsoft 365 管理センターの Copilot による管理エクスペリエンスの刷新
  • Copilot Analytics で利用傾向を把握する
  • Viva Learning の Microsoft Copilot アカデミーの拡張
  • Microsoft 365 コミュニティ カンファレンスに登録する

エンド ユーザー向け機能:

  • Copilot プロンプト ギャラリー アプリでお気に入りのプロンプトを発見、保存、共有
  • Copilot in Excel の新しいエントリ ポイント
  • Copilot in Outlook でメールを洗練させる
  • プレゼンテーションの作成と要約に使用できる Copilot in PowerPoint の機能を拡充
  • Copilot in Word でのテキストの選択とファイルの参照
  • Copilot チャットでパーソナライズされたプロンプトを提案

個人的には、

  • Copilot プロンプト ギャラリー アプリでお気に入りのプロンプトを発見、保存、共有
  • Copilot in Outlook でメールを洗練させる

が使えるようになれば試してみたいですね。

投稿者 時刻: 0 件のコメント:
ラベル:

2025年2月2日日曜日

Active Directory Certificate ServiceのCA情報などを表示する

検証でAD CSを作るたびにCAの情報をコマンドでダンプしなきゃと思うわけです。いつもやり方を忘れるため、概要を残しておきます。

まず、certutil -cainfo を実行してCAの情報を見ます。
スタンドアロンCAとして構築したことが確認できました。
続いて、
certutil -getreg CA\ValidityPeriod
certutil -getreg CA\ValidityPeriodUnits
を実行して証明書の有効期間を見ます。

5年で設定したことが確認できました。

※なお証明書の有効期間設定に関しては、下記のコマンドにより、証明書サービスの再起動が必要です。
net stop certsvc
net start certsvc
証明書の有効期間設定に関する公式情報は、
証明機関によって発行される証明書の有効期限を変更する
となります。

続いてルートCA証明書の確認です。

※なおルートCA証明書自体は、グループポリシーにてADドメインへ配布するよう設定したことを申し添えます。
GUI上は、下記のダイアログで確認できます。
コマンドで確認するためには、証明書ストアのキーワードが必要なので、 Get-ChildItem Cert:\LocalMachine\ で一覧を取得します。
信頼されたルート証明機関は、Rootなのでさらにそこを深掘りします。Get-ChildItem Cert:\LocalMachine\Root\ を実行して、信頼されたルート証明機関に含まれる証明書の一覧を表示します。
今回構築したルートCAのルートは赤枠のものです。
Get-ChildItem "Cert:\LocalMachine\Root\" |fl
にて、各証明書のプロパティを表示させました。
ルートCA証明書は、2/2/2030 11:18:47 AMまでの有効期間であることがわかります。

以上、簡易ではありますが確認方法をまとめました。




投稿者 時刻: 0 件のコメント:
ラベル:

2025年2月11日は、「KB5014754: Windows ドメイン コントローラーでの証明書ベースの認証の変更」にご注意ください

胡田(えびすだ)のコンピューター系チャンネル

を拝見していたら、

【AD】時間切れ目前!2025/2/11までに対策必須!ID39警告を無視するとヤバい理由【緊急対策】

がありました。こちら、実際の症状としてイベントID観点で解説されていますね。

実は、当方も同じような記事を書いていますw

です。この中で、「証明書認証に影響する脆弱性対策」を解説しており、2025年2月11日というのは「完全強制フェーズ」の更新プログラム(パッチ)がリリースされる日となっています。こちらの更新プログラムは、

KB5014754: Windows ドメイン コントローラーでの証明書ベースの認証の変更

にて情報提供されているものです。この脆弱性に関しては、2022年5月10日から4フェーズを経て完全強制になります。このフェーズを図示したものが下記となります。

ということで、複数フェーズによる脆弱性対策が必要になることから、定期的なパッチ適用が肝要ということです。




投稿者 時刻: 0 件のコメント:
ラベル: , ,

2025年1月30日木曜日

ADデータベースのページサイズが32Kになっているか確認したい

Windows Server & Cloud User Group Japan 第43回 勉強会セッション資料「Windows Server 2025 Active Directoryへのローリングアップグレード」を公開します。

Windows Server & Cloud User Group Japan 第43回 勉強会セッション動画「Windows Server 2025 Active Directoryへのローリングアップグレード」を公開します。

の補足で、ADデータベースのページサイズが32Kになっているか確認する方法をまとめます。

上記資料では、

Active Directory ドメイン サービスで Database 32k ページのオプション機能を有効にする

に基づいてADデータベースのページサイズが32Kにできるところまで確認しました。

が、msDS-JetDBPageSize 属性だけ見ていても変更に気づけないかもと思いました。なので、msDS-JetDBPageSize 属性と併せて確認すると良い属性として、msDS-EnabledFeatureが妥当なのかや、別の方法でも確認可能なことをコミュニティメンバー(高井さん、ありがとうございます!)にアドバイスいただきました。

本稿では、msDS-JetDBPageSize 属性以外にに確認すると良い属性、それとはまた別の方法について、当方が確認した結果を記載します。

msDS-JetDBPageSize 属性と併せて、msDS-EnabledFeature属性も確認すると良い

もともと、ADデータベースのページサイズが32Kであるかを確認するのは、下記のコマンドレットです。当方のADドメイン名にあわせたものになります。
Get-ADObject -LDAPFilter "(ObjectClass=nTDSDSA)" -SearchBase "CN=Configuration,DC=sshzk2016,DC=local" -properties msDS-JetDBPageSize | FL distinguishedName,msDs-JetDBPageSize
実行結果は、下記の通りです。

これに加えて追加で確認すると良い属性は、msDS-EnabledFeatureです。
Get-ADObject -LDAPFilter "(ObjectClass=nTDSDSA)" -SearchBase "CN=Configuration,DC=sshzk2016,DC=local" -properties ,msDS-EnabledFeature | FL distinguishedName,msDS-EnabledFeature
実行結果は、下記の通りです。
ページサイズが32Kであることに加えて、ゴミ箱も有効になっていることまでわかりました。該当の文字列を下記に転記します。
msDS-EnabledFeature : {CN=Database 32k Pages Feature,CN=Optional Features,CN=Directory Service,CN=Windows
                      NT,CN=Services,CN=Configuration,DC=sshzk2016,DC=local, CN=Recycle Bin Feature,CN=Optional
                      Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=sshzk2016,DC=local}

属性の確認以外で確認する方法

Get-ADOptionalFeature -Identity 'Database 32k pages feature'
を実行することです。
確認する箇所は、下記です。IsDisableableがFalse、つまり有効ということです。
IsDisableable      : False
Name               : Database 32k Pages Feature
以上のことからADデータベースのページサイズが32Kになっていることを確認できました。

 

投稿者 時刻: 0 件のコメント:
ラベル: ,
登録: 投稿 (Atom)