Azure で Windows Admin Center を使用して Azure ローカル クラスターを管理する (プレビュー)
重要
Azure portal の Windows Admin Center は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
重要
Azure Connected Machine Agent (Arc エージェント) バージョン 1.36 および 1.35 に更新すると、Windows Admin Center への接続が切断されます。 これは、Arc エージェントの新しいバージョン (1.37 以降) で修正されました。これは、こちらからダウンロードできます。
Azure portal で Windows Admin Center を使用すると、クラスターの Azure ローカル オペレーティング システムを管理できます。 VPN、パブリック IP アドレス、またはその他のマシンへの受信接続を必要とせずに、どこからでもクラスターを安全に管理できます。
Azure の Windows Admin Center 拡張機能を使用すると、Azure portal で Azure ローカル クラスターを管理するための管理、構成、トラブルシューティング、およびメンテナンス機能を利用できます。 Azure ローカル クラスターとワークロード管理では、見通し線またはリモート デスクトップ プロトコル (RDP) を確立する必要がなくなりました。すべて Azure portal からネイティブに実行できます。 Windows Admin Center には、フェールオーバー クラスター マネージャー、デバイス マネージャー、タスク マネージャー、Hyper-V マネージャーや、その他のほとんどの Microsoft 管理コンソール (MMC) ツールで通常使用できるツールが用意されています。
この記事では、Azure portal で Windows Admin Center を使用する方法、要件、Windows Admin Center をインストールしてクラスターを管理する方法の概要について説明します。 また、よく寄せられる質問に回答し、既知の問題と、問題が発生した場合のトラブルシューティングのヒントの一覧を示します。
Azure の Windows Admin Center の概要
Azure portal の Windows Admin Center には、Azure ローカル クラスターを管理するための重要なツールが用意されています。 ファイアウォールで受信ポートを開く必要なく、クラスターを管理できます。
Azure portal の Windows Admin Center を使用すると、次のものを管理できます。
- サーバー
- ボリューム
- ドライブ
- SDN インフラストラクチャ
- 診断
- セキュリティ
- 証明書
- デバイス
- イベント
- ファイルとファイル共有
- ファイアウォール
- インストール済みのアプリ
- ローカル ユーザーとグループ
- パフォーマンス モニター
- PowerShell
- プロセス
- レジストリ
- リモート デスクトップ
- 役割と機能
- スケジュールされたタスク
- サービス
- 記憶域
- 仮想マシン
- 仮想スイッチ
現在、Azure portal の Windows Admin Center で他の拡張機能はサポートされていません。
警告
複数のシステムを管理するためにクラスターに Windows Admin Center を手動でインストールした場合、Azure で Windows Admin Center を有効にすると、既存の Windows Admin Center インスタンスが置き換えられ、他のマシンを管理する機能が削除されます。 以前にデプロイした Windows Admin Center のインスタンスにはアクセスできなくなります。
要件
このセクションでは、Azure portal で Windows Admin Center を使用してハイブリッド マシンを管理するための要件について説明します。
アクティブなサブスクリプションが含まれる Azure アカウント
Windows Admin Center をデプロイするには、アクティブなサブスクリプションが含まれる Azure アカウントが必要です。 まだアカウントがない場合は、無料でアカウントを作成することができます。
Windows Admin Center のデプロイ中に、サブスクリプションの Microsoft.HybridConnectivity リソース プロバイダーを登録します。
重要
リソース プロバイダーを登録するには、*/register/action
操作を実行するためのアクセス許可が必要です。 これは、サブスクリプションに共同作成者または所有者ロールが割り当てられている場合に含まれます。
注意
リソース プロバイダーの登録は、サブスクリプションごとに 1 回限りのタスクです。
リソース プロバイダーの状態を確認し、必要に応じて登録するには、次のようにします。
- Azure portal にサインインします。
- [サブスクリプション] を選択します。
- サブスクリプションの名前を選択します。
- [リソース プロバイダー] を選択します。
- Microsoft.HybridConnectivity を検索します。
- Microsoft.HybridConnectivity の状態が Registered になっていることを確認します。
- 状態が NotRegistered の場合は、Microsoft.HybridConnectivity を選択し、[登録] を選択します。
Azure のアクセス許可
Windows Admin Center に接続するには、Arc 対応 Azure ローカル リソースで リーダー および Windows Admin Center 管理者ログイン のアクセス許可が必要です。
Azure portal を使用して Azure ロールの割り当てに関する詳細情報
Azure リージョンの利用可能性
Windows Admin Center は、Azure ローカル がサポートされているすべてのパブリック リージョン
注意
Windows Admin Center は、Azure China 21Vianet、Azure Government、またはその他の非パブリック クラウドではサポートされていません
Azure のローカル要件
Azure portal で Windows Admin Center を使用するには、Azure VM 拡張機能を使用してクラスターのすべてのノードに Windows Admin Center エージェントをインストールする必要があります。 クラスターの各ノードは、次の要件を満たしている必要があります。
- Azure Local バージョン 21H2 以降
- 3 GB 以上のメモリ
- Azure Local クラスターは、Azure Arc を使用して Azure に接続する必要があります
- Azure Arc エージェント バージョン 1.13.21320.014 以降
ネットワーク要件
Azure ローカル クラスターのすべてのノードは、次のネットワーク要件を満たしている必要があります。
送信インターネット アクセス、または次のエンドポイントへの HTTPS トラフィックを許可する送信ポートの規則:
*.service.waconazure.com
またはWindowsAdminCenter
service タグpas.windows.net
*.servicebus.windows.net
注意
Windows Admin Center を使用するには受信ポートは必要ありません。
Azure Portal が実行されている管理マシンは、次のネットワーク要件を満たしている必要があります。
- ポート
443
経由の送信インターネット アクセス
管理マシンまたはシステムから Azure portal にアクセスする前に、サポートされているデバイスと推奨されるブラウザーを必ずご確認ください。
Azure portal に Windows Admin Center をインストールする
Azure portal で Windows Admin Center を使用するには、その前に、次の手順に従って Windows Admin Center VM 拡張機能をデプロイする必要があります。
- Azure portal を開き、Azure ローカル クラスターに移動します。
- [設定] グループで、[Windows Admin Center] を選択します。
- Windows Admin Center をインストールするポートを指定し、[インストール] を選択します。
Azure portal の Windows Admin Center に接続する
クラスターに Windows Admin Center をインストールしたら、次の手順に従って接続し、それを使用して Azure Local を管理します。
- Azure portal を開き、Azure ローカル クラスターに移動し、[
設定] グループの下にある [Windows Admin Center選択します。 - [接続] を選択します。
注意
2023 年 4 月以降、Windows Admin Center では、0.0.0.313 以降の AdminCenter 拡張機能を実行している 22H2 以降のクラスターに対して Microsoft Entra ID ベースの認証を使用できるようになりました。 ローカル管理者アカウントの資格情報の入力を求められなくなります。 ただし、Windows Admin Center 内でローカル管理者の資格情報が必要なエクスペリエンスがまだ存在する可能性もあります。 たとえば、CredSSP が必要な場合などです。 21H2 以下を実行しているクラスターでは、引き続きローカル管理者の資格情報が必要になります。
ポータルで Windows Admin Center が開き、オンプレミス デプロイで Windows Admin Center を使用する場合と同じ (使い慣れているかもしれない) ツールにアクセスできます。
ロールの割り当ての構成
Windows Admin Center へのアクセスは、Windows Admin Center 管理者ログイン Azure ロールによって制御されます。 このロールは、Azure Local リソースと、このクラスターに関連付けられている各 Azure Arc 対応サーバーで構成しておく必要があります。
注意
Windows Admin Center 管理者ログイン ロールは dataActions を使用するため、管理グループ スコープで割り当てることはできません。 現時点では、これらのロールは、サブスクリプション、リソース グループまたはリソース スコープでのみ割り当てることができます。
Microsoft Entra 管理センター エクスペリエンスを使用してクラスターのロールの割り当てを構成するには、以下を実行します。
そのクラスターと関連付けられている Azure Arc リソースを含むリソース グループを選択します。
[アクセス制御 (IAM)] を選択します。
[追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。
次のロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
設定 値 Role Windows Admin Center 管理者ログイン アクセスの割り当て先 ユーザー、グループ、サービス プリンシパル、またはマネージド ID
Azure RBAC を使用して、Azure サブスクリプション リソースへのアクセスを管理する方法の詳細については、次の記事を参照してください。
- Azure CLI を使用して Azure ロールを割り当てる
- Azure CLI を使用して Azure ロールを割り当てる例。 Azure CLI は、Azure Cloud Shell エクスペリエンスでも使用できます。
- Azure portal を使用して Azure ロールを割り当てる
- Azure PowerShell を使用して Azure ロールを割り当てる。
しくみ
Azure で Windows Admin Center を使用すると、ファイアウォールで受信ポートを有効にしなくても、クラスターに接続できます。 Windows Admin Center から Arc エージェントを介して、Azure Arc サービスとのリバース プロキシ セッション接続をアウトバウンドで安全に確立できます。
Azure portal で Windows Admin Center で管理する Azure ローカル クラスターごとに、クラスター内のすべてのノードにエージェントをデプロイする必要があります。
証明書を管理する外部サービスとエージェントが通信することで、クラスターに簡単に接続できます。
[インストール] をクリックすると、次の操作が実行されます。
- サブスクリプションに Microsoft.HybridConnectivity リソース プロバイダーを登録します。 リソース プロバイダーは、Arc 対応クラスターへの通信に使用されるプロキシをホストします。
- 指定したポートでリバース プロキシ接続を有効にする各 Arc 対応リソース上に Azure "エンドポイント" リソースをデプロイします。 これは単に Azure の論理リソースであり、サーバー自体には何もデプロイしません。
- 有効な TLS 証明書を使用して、ハイブリッド マシンに Windows Admin Center エージェントをインストールします。
注意
Windows Admin Center をアンインストールしても、論理 Azure エンドポイント リソースは削除されません。 これは、SSH など、このリソースを活用する可能性がある他のエクスペリエンスに対して保持されます。
[接続] をクリックすると、次の操作が実行されます。
- Azure portal は、Arc 対応サーバーへのアクセスを Microsoft.HybridConnectivity リソース プロバイダーに求めます。
- リソース プロバイダーは、レイヤー 4 SNI プロキシと通信して、Windows Admin Center ポート上のクラスターの Arc 対応ノードに対し、有効期間が短いセッション固有のアクセスを確立します。
- 有効期間の短い一意の URL が生成され、Windows Admin Center への接続が Azure portal から確立されます。
Windows Admin Center への接続はエンド ツー エンドで暗号化され、クラスターで SSL 終了が行われます。
PowerShell を使用して Windows Admin Center のデプロイを自動化する
この PowerShell スクリプトの例を使用することで、Azure portal で Windows Admin Center のデプロイを自動化できます。
$clusterName = "<name_of_cluster>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
#Deploy Windows Admin Center
$setting = @{ "port" = $port }
New-AzStackHciExtension -ArcSettingName "default" -Name "AdminCenter" -ResourceGroupName $resourceGroup -ClusterName $clusterName -ExtensionParameterPublisher "Microsoft.AdminCenter" -ExtensionParameterSetting $setting -ExtensionParameterType "AdminCenter" -SubscriptionId $subscription -ExtensionParameterTypeHandlerVersion "0.0"
#Allow connectivity
$patch = @{ "properties" = @{ "connectivityProperties" = @{"enabled" = $true}}}
$patchPayload = ConvertTo-Json $patch
Invoke-AzRestMethod -Method PATCH -Uri "https://management.azure.com/subscriptions/$subscription/resourceGroups/$resourceGroup/providers/Microsoft.AzureStackHCI/clusters/$clusterName/ArcSettings/default?api-version=2023-02-01" -Payload $patchPayload
トラブルシューティング
ここでは、問題が発生した場合に試すヒントをいくつか示します。 (特に Azure に限らず) Windows Admin Center 全般のトラブルシューティングについては、「Windows Admin Center のトラブルシューティング」を参照してください。
"404 エンドポイントが見つかりません" というメッセージが表示されて、接続できませんでした
- Azure Connected Machine Agent (Arc エージェント) バージョン 1.36 および 1.35 に更新すると、Windows Admin Center への接続が切断されます。 これは、Arc エージェントの新しいバージョン (1.37 以降) で修正されました。これは、こちらからダウンロードできます。
接続できませんでしたエラー
HIMDS サービスを再起動します。
クラスターの各ノードに RDP 接続します。
管理者として PowerShell を開き、以下を実行します。
Restart-Service -Name himds
Windows Admin Center サービスがクラスター上で実行されていることを確認します。
- クラスターの各ノードに RDP 接続します。
- タスク マネージャーを開き (Ctrl + Shift + Esc キーを押し)、[サービス] に移動します。
- ServerManagementGateway / Windows Admin Center が実行されていることを確認してください。
- そうでない場合は、サービスを開始します。
ポートがリバース プロキシ セッションが有効になっていることを確認します。
クラスターの各ノードに RDP 接続します。
管理者として PowerShell を開き、以下を実行します。
azcmagent config list
これにより、Azure からの接続が有効になっている incomingconnections.ports (プレビュー) 構成の下にあるポートの一覧が返されます。 Windows Admin Center をインストールしたポートがこの一覧に表示されていることを確認します。 たとえば、Windows Admin Center がポート 443 にインストールされている場合、結果は次のようになります。
Local configuration setting incomingconnections.ports (preview): 443
この一覧にない場合は、次のように実行します
azcmagent config set incomingconnections.ports <port>
このソリューションを使用して別のエクスペリエンス (SSH など) を使用している場合は、コンマで区切って複数のポートを指定できます。
必要なポートへの送信接続があることを確認します。
- クラスターの各ノードには、次のエンドポイントへの送信接続が必要です
*.wac.azure.com
、*.waconazure.com
または WindowsAdminCenter ServiceTagpas.windows.net
*.servicebus.windows.net
- クラスターの各ノードには、次のエンドポイントへの送信接続が必要です
Windows Admin Center ツールのいずれかが読み込まれていないか、エラーが発生している
Windows Admin Center 内の他のツールに移動し、読み込まれていないものに戻ります。
他のツールが読み込まれていない場合は、ネットワーク接続に問題がある可能性があります。 ブレードを閉じてから、もう一度接続してみます。 それでもうまくいかない場合は、サポート チケットを開きます。
Windows Admin Center の拡張機能をインストールできない
クラスターが要件を満たしていることを再確認します。
Windows Admin Center への送信トラフィックがクラスターの各ノードで許可されていることを確認します。
仮想マシン内で PowerShell を使用して次のコマンドを実行することで、接続をテストします。
Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
すべての送信トラフィックを許可していて、上記のコマンドからのエラーが示される場合は、接続をブロックしているファイアウォール規則がないことを確認してください。
何も問題がなくても Windows Admin Center がインストールされない場合は、次の情報を含むサポート リクエストを開きます。
Azure portal のログ。 これは、 [設定]>[拡張機能]>[AdminCenter]>[詳細な状態の表示] にあります。
クラスターの各ノードでのログ。 次の PowerShell コマンドを実行し、結果の .zip ファイルを共有します。
azcmagent logs
ネットワーク トレース (該当する場合)。 ネットワーク トレースには、顧客データや、パスワードなどの機密性の高いセキュリティの詳細情報が含まれる場合があります。そのため、共有する前に、トレースを確認し、機密性の高い詳細情報を削除することをお勧めします。
既知の問題
- Chrome のシークレット モードはサポートされていません。
- Azure portal デスクトップ アプリはサポートされていません。
- 失敗した接続の詳細なエラー メッセージはまだ用意されていません。
- 更新プログラムはサポートされていません。 ユーザーは CAU (更新Cluster-Aware) を使用して Azure ローカル クラスターに更新プログラムを適用できません。
よく寄せられる質問
Azure での Windows Admin Center の使用に関してよく寄せられる質問への回答を示します。
Windows Admin Center を使用するにはいくらかかりますか。
Azure portal で Windows Admin Center を使用することに関連してコストはかかりません。
Windows Admin Center を使用して、クラスター上で実行されている仮想マシンを管理できますか?
役割と機能の拡張機能を使用して、Hyper-V の役割をインストールすることができます。 インストールされたら、ブラウザーを更新します。すると、Windows Admin Center に仮想マシンとスイッチの拡張機能が表示されます。
この拡張機能を使用して管理できるのはどのクラスターですか?
この機能を使用して、Arc 対応 Azure ローカル クラスターバージョン 21H2 以降を管理できます。 また、Windows Admin Center を使用して、Arc 対応サーバーを管理することもできます
Windows Admin Center では、セキュリティをどのように処理していますか。
Azure portal から Windows Admin Center へのトラフィックは、エンド ツー エンドで暗号化されます。 Arc 対応クラスターは、PowerShell と WMI over WinRM を使用して管理されます。
Windows Admin Center を使用するには受信ポートが必要ですか?
Windows Admin Center を使用するために受信接続は必要ありません。
送信ポートの規則を作成する必要があるのはなぜですか?
サーバーとの通信用に構築されたサービスには、送信ポート規則が必要です。 このサービスから、Windows Admin Center のインスタンスに対して無料の証明書が発行されます。 このサービスにより、WAC 証明書を最新の状態に保つことで、常に Azure portal から Windows Admin Center のインスタンスに接続できます。
さらに、Azure から Windows Admin Center へのアクセスには、受信ポートは必要なく、必要なのはリバース プロキシ ソリューションを介した送信接続のみです。 接続を確立するには、これらのアウトバウンド規則が必要です。
Windows Admin Center のインストールに使用されるポートを見つけるにはどうすればよいですか?
SmePort レジストリ設定の値を確認するには、次のようにします。
- サーバーに RDP 接続します。
- レジストリ エディターを開きます。
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
キーに移動します。SmePort
の値を読み取って、使用されているポートを見つけます。
クラスターの 1 つまたはすべてのノードに Windows Admin Center が既にインストールされています。 ポータルからそこにアクセスできますか?
はい。 このドキュメントで説明されているのと同じ手順に従うことができます。
警告
この機能を有効にすると、Windows Admin Center の既存のインスタンスが置き換えられ、他のマシンを管理する機能が削除されます。 以前にデプロイした Windows Admin Center のインスタンスは使用できなくなります。
次の手順
- Windows Admin Center について確認する
- Windows Admin Center を使用したサーバーの管理について確認する
- Azure ローカル について説明します
- Azure Local を Azure に接続する
について説明します