Windows Admin Center の自己証明書を交換する

こんにちは。
Windows Admin Center をインストールする際、インストールウィザードで自己証明書が作成されます。自動で作成される自己証明書は、60日で有効期限がきれるものになっています。

Windows Admin Center のインストール

そのため、より期限の長い自己証明書を準備する方法のご紹介です。

1．自己証明書の作成

Windows Server 2016 以降では、既定で自己証明書を作成できる PowerShell コマンドが準備されています。このコマンドを利用して自己証明書を作成します。

New-SelfSignedCertificate
https://docs.microsoft.com/en-us/powershell/module/pkiclient/new-selfsignedcertificate?view=win10-ps

１．Powershell を管理者で起動し、下記コマンドを実行します。
DNSName のオプション(適切な名前)や、AddYears のオプション(証明書の有効期間)を適宜修正してください。

$Cert = New-SelfSignedCertificate -Subject "Windows Admin Center" `
-DnsName "dnsname","dnsname.fqdn" `
-CertStoreLocation "cert:\LocalMachine\My" `
-KeyAlgorithm RSA -KeyLength 2048 `
-KeyExportPolicy Exportable `
-NotAfter (Get-Date).AddYears(10)
$Certfile = "c:\dell\cert.cer"
mkdir c:\dell
Export-Certificate -Cert $cert -FilePath $Certfile
Import-Certificate -FilePath $Certfile -CertStoreLocation "cert:\LocalMachine\Root"

２．mmc から作成された証明書を確認します。
New-SelfSignedCertificate の Subject オプションで指定した名前で作成されます。

２．自己証明書の交換

WAC にインストールされている証明書を新規に作成したものに交換します。

１．コントロールパネルから 「プログラムのアンインストールまたは変更」を開きます。

２．WindowsAdmin Center を選択し、変更から証明書のサムプリントを変更します。

自己証明書のサムプリントは、下記コマンドで確認してください。
cd Cert:\LocalMachine\My
dir | fl

3. WAC の設定変更が完了したら、証明書の交換は終了です。

３．証明書が更新されたことを確認

WAC にログインして、証明書を確認します。

10 年の有効期限があれば安心ですね。

まとめ

Windows Server 2016 以降であれば、簡単に自己証明書を作成することができます。WAC をインストールする際に事前に証明書を作成するか、インストール後のかたはこちらの手順で試してみてくださーい。

コマンドがわかりにくいと思うので、キャプチャも貼っておきます。。。

Azure Monitor とは

こんにちは。
Azure Monitor についてよくわからなかったので調べてみました。

Decode 2019 のこのセッションが非常にわかりやすいです。
https://www.microsoft.com/ja-jp/events/decode/2019session/detail.aspx?sid=CD13

セッションの資料をダウンロードできます。

また、動画は Youtube にアップロードされています。
https://www.youtube.com/watch?v=YwYVd38xFMU

資料を見るだけではなく、動画で見たほうが理解が深まるのでぜひ参照してみてください。40分程度です。

Azure の管理系サービスの1つが監視のソリューションです。

これまでは Log Analytics という名前でしたが、 Azure Monitor Logs へ変更されました。Azure Monitor Logs のデータ保存場所は、引き続き Log Analytics ワークスペースです。

Azure Monitor Logs を利用するには、まず Log Analytics ワークスペースの作成が必要です。

Azure Monitor Logs から作成ではありませんので、注意してください。

Azure Monitor Logs は、Azure だけではなく、オンプレミスや他クラウドで利用している OS に MMA (Microsoft Monitoring Agent)をインストールすることで、ログを取得することができます。また、AAD や Azure 自体の操作ログの取得も可能です。
取得できるログソースはこちらです。

AAD のテナントログは既定で Audit Logs に取得されます。Log Analytics などにログを保存するには、必要な設定があります。

Activity ログは 90日間しか保存されません。それ以上の期間のログを保存するには、Log Analytics ワークスペースや Storage などに保存する必要があります。

Azure 仮想マシンを作成した際、既定で有効になっているメトリックのログです。CPU やメモリの使用率など表示されますが、93日間しか保存されません。

Azure ではこのようなログが出力されています。このログは、Log Analytics を利用する必要なく、既定で取得されるログです。

ログの種類、いろいろあって難しいですね。。

Azure に表示されるログは、リアルタイム監視ではないようです。ログを保存するだけのコールドパス、ログを保存して定期的にクエリを実行することでアラートなどを発行するウォームパスがあります。リアルタイムで監視が必要な場合は、Event Hub から監視ツールなどにログを送信し、監視設定をしていただく必要があるということです。

OS の監視は MMA (Microsoft Monitoring Agent) をインストールし、Log Analytics ワークスペースにログを保存させます。そのため、Azure 仮想マシンだけでなく、オンプレミスや他クラウドからもログを取得することができます。

Application Insight を利用することで、アプリケーションのログを取得することも可能です。

API を介してログを取得することもできます。ログを取得するアプリケーションが必要です。

Azure Monitor といっても範囲が広くてよくわからなくなってしまいますが、何のログを取得できるかがわかりやすくまとめていただいています。

この内容から何のログを取得するかを決めて、Azure を可視化できるようにしたいですね。

Azure Update Management (更新プログラムの管理)

Azure Automation の機能の1つに、更新管理機能があります。
Azure Automation のドキュメントはこちら

Azure の仮想マシンだけでなく、オンプレミスや他のクラウドサービスで利用している Windows サーバーや Linux サーバーのパッチ適用状況の確認と適用を自動化する無料のサービスです。

---

Azure Update Management でてきること

---

・ Windows サーバーと Linux サーバーの更新管理 (Windows 10 などのクライアント OS は対象外)
– サポートされているクライアントの種類

オペレーティング システム

Windows Server 2019 (Datacenter、Datacenter Core、Standard) Windows Server 2016 (Datacenter、Datacenter Core、Standard) Windows Server 2012 R2 (Datacenter、Standard) Windows Server 2012 Windows Server 2008 R2 (RTM および SP1 Standard)

CentOS 6 (x86/x64) および 7 (x64)

Red Hat Enterprise 6 (x86/x64) および 7 (x64)

SUSE Linux Enterprise Server 11 (x86/x64) および 12 (x64)

Ubuntu 14.04 LTS、16.04 LTS、18.04 (x86/x64)

・ 管理対象にはエージェントをインストールする

管理対象には、Log Analytics と同じ、Microsoft Monitoring Agent をインストールする必要があります。

・ 適用されている更新の評価

更新プログラムの管理を有効にすると、登録されているコンピューターの更新プログラムの評価が行われます。未適用の更新がある場合は、”準拠していない” と表示されます。

・ 更新プログラム適用のスケジューリング

準拠していないサーバーに対して、更新プログラムの適用をスケジュールを作成することで自動化することができます。
1 度だけの実行も可能ですが、スケジューリングも可能です。
スケジュールは、時間、日、週、月 から選択できます。

・インストールする更新プログラムを選択できる

更新プログラムの分類を選択できます。

また、含める / 除外する 更新プログラムも選択できます。

・ 事前 / 事後スクリプトも組み込める

・メンテナンス時間を指定できる

パッチ適用の時間を指定できます。メンテナンス時間に指定した最後の20分は再起動時間として確保されています。メンテナンス時間を経過した後は、対象ホストは再起動されなくなります。

メンテナンス時間が短かった場合は、警告表示されます。

・更新プログラム適用後に、自動再起動するか選択できる

更新プログラムは自動適用し、任意のタイミングで再起動することもできます。

その他にもさまざまな機能がありますが、詳細はドキュメントの確認をお願いします。

---

Azure Update Management でできないこと

---

Azure Update Management は、更新プログラムの配信はできません。
更新プログラムは、WSUS や Windows Update にダウンロードしに行く動作となります。そのため、グループポリシーなどで設定する必要があります。

また、WSUS で配信許可されていない更新の適用は失敗します。

---

まとめ

---

Azure Update Management は、更新プログラムの適用を手動でする必要がなく、Azure ポータルからぽちぽちするだけで簡単です。

System Center の利用も必要なく、無料で簡単に利用を開始できるところが非常によいと思います。

Windows サーバーだけでなく、Linux サーバーの更新プログラムの適用も自動化でき、適用状況も Azure Portal から一目でわかるのも便利です。

エージェントをインストールすれば、すぐに使い始めれるのでぜひ試してみてください！

OMIMSWAC (OpenManage Integration with Microsoft Windows Admin Center) の接続エラー

前回、OMIMSWAC のセットアップ方法を記載しました。

セットアップ方法は下記を参照してください。
OMIMSWAC (OPENMANAGE INTEGRATION WITH MICROSOFT WINDOWS ADMIN CENTER) のセットアップ

OMIMSWAC を利用して、WAC から ハードウェア情報を参照しようとした際のエラー対応です。

---

WAC から Dell EMC OpenManage Integration の接続エラー

---

WAC から PowerEdge サーバーのハードウェア情報を参照しようととした際に、以下のエラーに遭遇しました。

・エラー内容
ターゲットノードと通信できません。エラーの原因として、次のことが考えられます。
１、ターゲットノードが現在再起動している。または電源がオフになっている。
２、ファイアウォールが SMB ポート 445 を使用した通信をブロックしている。

---

接続エラーになった際の対応

---

私の環境では、今まで利用できていたのに突然接続エラーになるときがあります。。その際は、資格情報を再登録すると接続できるようになります。

１、WAC のトップ画面？ に移動します。左上の ”Windows Admin Center” をクリックすると移動できます。

２、Dell EMC OpenManage Integration にエラーで接続できないノードを選択し、”管理に使用する資格情報” をクリックします。

３、OS にアクセスする資格情報を入力し、続行 をクリックします。

以上でエラー対応は終了です。

再度、Dell EMC OpenManage Integration にアクセスしてみてください。
すこし時間がかかりますが、

すこし待つと、エラーなく正常に表示されると思います。

ステータスが ！ になっているのは、冗長 PSU の片系しか電源を接続していないからなので気にしないでください。。

OMIMSWAC (OpenManage Integration with Microsoft Windows Admin Center) のセットアップ

OMIMSWAC (OpenManage Integration with Microsoft Windows Admin Center) は Dell EMC が提供する Microsoft Windows Admin Center の拡張機能です。

Dell EMC OpenManage Integration with Microsoft Windows Admin Centerのサポート

この拡張機能を利用すると、WAC (Windows Admin Center) から Dell EMC PowerEdge サーバーのハードウェアステータスやインベントリーを確認することができます。

WAC も OMIMSWAC もどちらも無料で利用できます！

OMIMSWAC のサポートマトリックス

---

OMIMSWAC を利用するには、下記の ソフトウェアとハードウェアの条件を満たす必要があります。

ソフトウェア および ハードウェア	バージョン
Microsoft Windows Admin Center	1904、1904.1、1910 GA リリース。
オペレーティングシステム	Microsoft Windows Admin Center がサポートしている OS。
ターゲット ノードとしての PowerEdge サーバー	iDRAC7、iDRAC8 および iDRAC9 (推奨ファームウェアバージョンあり)

詳細は、OMIMSWAC のインストールガイドを参照ください。

OMIMSWAC インストールガイド

OMIMSWAC のセットアップ

---

サポートマトリックスに記載された環境の準備ができたら、WAC にOMIMSWAC をインストールします。

iDRAC から ”OS から iDRAC へのパススルー ” のセットアップ

---

WAC から iDRAC を操作する際、PowerEdge サーバーにインストールした ホスト OS から iDRAC にアクセスします。この機能は、 ”OS から iDRAC へのパススルー ” 機能を利用して実現します。

１、iDRAC にログインし、”iDRAC設定” – ”ネットワーク” – ”OS から iDRAC へのパススルー” を選択します。

２、”USB NIC” を選択し、適用します。

３、ホスト OS に USB NIC が作成されたことを確認します。
デバイス名は Remote NDIS Compatible Device と表示された アダプターです。

OMIMSWAC のインストール

---

OMIMSWAC を利用するための iDRAC 設定が完了したら、WAC に OMIMSWAC をインストールします。

１、WAC にログインし、設定から拡張を選択します。

２、利用可能な拡張機能から ”Dell EMC OpenManage Integration” を選択してインストールします。インストールが完了すると、WAC が再起動します。

３、インストール済みの拡張機能の一覧に表示されます。

OMIMSWAC にアクセス

---

インストールが完了したら、WAC から ハードウェアの情報を確認します。

１、WAC にアクセスし、対象のノードを選択します。

２、ツールの一覧から、一番したにある 拡張機能 より ”Dell EMC OpenManage Integration” を選択します。

３、ハードウェア情報が表示されます。表示完了まで少し時間がかかります。

正常性ステータス

ハードウェアインベントリー

まとめ

---

OMIMSWAC のインストールが簡単で、iDRAC にアクセスすることなく WAC からハードウェアの正常性やインベントリー情報を確認することができます。

OS や 仮想マシンだけでなく、ハードウェアのステータスも WAC だけで確認ができるようになるため、管理をシンプルにできるのがメリットですね。

iDRAC の IP アドレス情報も WAC から確認できるので、iDRAC の仮想コンソールアクセスしたい場合でも、iDRAC の IP アドレスを確認する必要がなくなるのもメリットかと思います。

WAC も OMIMSWAC もどちらも無料で使えるので、ぜひ試してみて下さい！

WAC のインストールはこちら

WACのドキュメントはこちら

OMIMSWACのドキュメントはこちら

OMIMSWACのインストールガイドはこちら

OMIMSWACのユーザーズガイドはこちら

Azure の SLA について

Azure の SLA には 3 つの特性がある。

１、パフォーマンスの目標
２、アップタイムと接続性の保証
３、サービスクレジット

なお、無料や Shared で提供されているサービスについては、SLA を提供していません。無料の Azure AD や Azure Adviser は SLA 対象外です。

アップタイムと接続性の保証

保証する SLA の ％ により、どれくらいの稼働時間が保証されているかを知ることができます。
99％ のSLA でも 1週間あたり 約 1.7 時間のダウンタイムが発生しても保証されないサービスとなります。意外と長く感じますね。

SLA %	週あたりのダウンタイム	月あたりのダウンタイム	年あたりのダウンタイム
99	1.68 時間	7.2 時間	3.65 日
99.9	10.1 分	43.2 分	8.76 時間
99.95	5 分	21.6 分	4.38 時間
99.99	1.01 分	4.32 分	52.56 分
99.999	6 秒	25.9 秒	5.26 分

サービスクレジット

Azure 障害の影響で利用しているサービスにダウンタイムが発生した場合、SLA で定義された時間以上のダウンタイムに対してはサービスクレジットが提供されます。
提供されるサービスクレジットは、月間のダウンタイム時間により決定します。
受け取ったサービスクレジットにより、次回の Azure 利用料の支払いから割引されるかたちになります。

月間アップタイム率	サービス クレジット率
99.9 未満	10
99 未満	25
95 未満	100

Azure Stack HCI のパフォーマンス履歴 と Azure Monitor

Azure Stack HCI で、パフォーマンス履歴 (Performance History) と Azure Monitor の利用についてお話させていただきました。

Azure Stack HCI – パフォーマンス履歴 と Azure Monitor from Hiroshi Matsumoto

S2D (Storage Spaces Direct) を有効化すると、パフォーマンス履歴も既定で有効になります。下記のパフォーマンスを最大400日前まで確認することができます。

---

収集される情報

１、物理ディスク
２、物理アダプター
３、クラスターノード
４、クラスター
５、仮想マシン
６、VHD ファイル
７、CSV ボリューム

パフォーマンスモニターを利用しなくても、リソースの使用率や ディスクIO を確認できますので、試してみてください。

---

Azure Monitor

また、Azure Monitor を使うと簡単にサーバーを監視することができます。
SCOM などを利用することなく、OS や物理サーバーの死活監視をできます。
メール通知だけでなく、SMS や Webhook などによる通知も可能です。
Windows Admin Center を利用すると簡単にセットアップできるので、ぜひ試してみてください！

Azure Stack 1908 のリリース

こんにちは。先日 Azure Stack 1908 がリリースされました！

リリースノート：Azure Stack 1908 update

1908 は Azure Stack スケールユニットが Windows Server 2019 に対応する、非常に大きなアップデートになっています。そのため、Microsoft 1908 アップデートを適用する前提条件がありますので、ご注意ください！

前提条件

---

Windows Server 2019 に対応することになるため、Azure Stack アップデートでは適用できない、Windows Server 2019 に対応するハードウェアのファームウェアなどを適用する必要があります。そのため、Azure Stack 1908 アップデートを適用する流れは以下のようになります。

前提条件：Azure Stack 1908 Prerequisites

適用手順

---

１、Azure Stack 1907 のホットフィックスをすべて適用する

2019/9/14 時点で、1907 の最新ホットフィックスは 1.1907.12.44 です。まずは、1907 のすべての ホットフィックスを適用しましょう。

1907 ホットフィックス：Azure Stack hotfix 1.1907.12.44

２、OEM ベンダーが提供するOME パッケージを適用する

Azure Stack ハードウェアパートナーのアップデートはこちらからご確認ください。

OEM 情報：OEM contact information

Dell EMC Azure Stack の OEM パッケージは Customer Toolkit と呼ばれ、以下のようにほぼ毎月アップデートがリリースされています。

Dell EMC Customer Toolkit 1908 を適用するには、Customer Toolkit 1807 以降 が前提条件となるみたいです。Customer Toolkit 1908 を適用する前に、Azure Stack 管理者ポータルから OEM Extension のバージョンを確認してください。

２．１、OEM パッケージをダウンロードする

Dell EMC の アップデートはこちらからダウンロードできます (要ログイン)。Dell EMC は 13世代 PowerEdge で構成された Azure Stack と 14 世代 PowerEdge で構成された Azure Stack により、適用するアップデートが異なりますのでご注意ください。

---

Dell EMC 13G：Cloud for Microsoft Azure Stack 13G

ファイル名：Cloud for Microsoft Azure Stack R430 R730xd Customer Toolkit 2-0-1908-4

ファイルの中を確認すると、OEM パッケージ 2.1 が含まれていることがわかります。

---

Dell EMC 14G： Cloud for Microsoft Azure Stack 14G

ファイル名：Cloud for Microsoft Azure Stack R640 R740xd R840 Customer Toolkit 2-1-1908-6

こちらも OEM パッケージ が含まれています。

---

２．２、Customer Toolkit 1908 の適用手順書をダウンロードする

Dell EMC の 1908 用 OEM アップデート手順書はこちらです。先ほどと同じ URL からダウンロードできます。13世代と14世代どちらも同じ手順です。

Upgrading to Microsoft Windows Server 2019 for Cloud for Microsoft Azure Stack Installation Guide

２．３、ダウンロードした Dell EMC Customer Toolkit を適用する

Dell EMC のアップデートも Azure Stack 管理者ポータルから適用できるようになりました！操作が統一されたのはいいポイントですね。

このアップデート適用に数時間かかるようです。

３、Microsoft Update 1908 を適用する

いままでのアップデート適用手順と同じように、Azure Stack 管理者ポータルから ”Apply Now” をクリックして、適用してください。

Windows Server 2019 対応になるため、4ノード構成でも40時間以上かかるようです。それ以上の時間が経過しても完了しない場合はマイクロソフト社サポートへ問い合わせをしましょう。

リリースノート：アップデートタイプ

マイクロソフト 1908 適用が完了すれば、Windows Server 2019 ベースの Azure Stack になります。

マイクロソフト 1908 アップデートの手動ダウンロード

---

マイクロソフト 1908 のリリースノートには、Azure Stack Update Downloader からダウンロードできるような記載になっていますが、本日 (2019/9/14) 時点ではまだダウンロードできません。

まだ 1907 までしかダウンロードできる状態になっていませんので、たまに確認していただければと思います。

Azure Stack Update Downloader

まとめ

---

Azure Stack は日々進化しています！

OEM ベンダーとマイクロソフトの2種類のアップデートがありますが、適用する手順も簡易化されてきました。メンテナンス情報はユーザーさんへ連絡したほうが良いですが、アップデート適用中も Azure Stack の利用は可能です。

最新の2つ前のアップデートまでしか、サポートを受けられないというポリシーもあるので、定期的にアップデートの適用をお願いします！

更新プログラム パッケージのリリース周期

システムがサポートされる状態を維持する

以上です！

Azure Bastion 便利ですね

こんにちは。Azure Bastion という機能が Public Preview になりました。Bastion で盛り上がっていたので、試してみました。

---

Azure Bastion とは

Azure Bastion サービスを使用すれば、Azure 仮想ネットワーク内のお客様の VM に対して安全かつシームレスに RDP および SSH を実行できます。VM 上のパブリック IP を使用する必要もなく、Azure portal から直接操作することができ、追加のクライアント/エージェントやソフトウェアを使用する必要もありません。

https://azure.microsoft.com/ja-jp/pricing/details/azure-bastion/

このように Azure のドキュメントページには説明があります。Azure ポータルから ブラウザ経由で Azure IaaS にプライベート IP アドレスで RDP や SSH をできるサービスということです。

Announcing the preview of Microsoft Azure Bastion で紹介されている構成図がわかりやすいです。

Azure Bastion サービスを利用する場合は、既存vnet に Azure Bastion 用サブネットを追加し、そのサブネットに Bastion サービスを提供する仮想マシンが作成されます。

Bastion 仮想マシンにアクセスすることはなく、Azure Portal から Bastion 接続を実施するのみで、IaaS 仮想マシンが Public IP アドレスに接続していなくても、Azure ポータルにアクセスできる環境であればどこからでも IaaS 仮想マシンに RDP や SSH できるようになるサービスです。

提供エリアに東日本が入っているので、東日本に仮想マシンを作成されているかたは試してみてください。下記エリアがプレビュー対象となっています。

• 米国西部
• 米国東部
• 西ヨーロッパ
• 米国中南部
• オーストラリア東部
• 東日本

---

Azure Bastion の値段

Bastion の利用料と データ通信の料金がかかるということです。

Bastion 自体は 1時間 10.64 円 ということなので、1カ月利用でも 8,000円弱となります。IaaS 仮想マシンに PIP を持たせて接続するよりも安心、安全、簡単に利用できるのでよいサービスだと思います。

Public Preview 中は 半額で利用できるようです。

---

Azure Bastion の使い方

現在は Public Preview 中ということなので、Public Preview 用のポータルにアクセスする必要があります。

Azure Bastion プレビュー用のポータル：https://aka.ms/BastionHost

構築方法は ”Azure Bastion (Preview) を試してみる https://qiita.com/tetsuya-ooooo/items/365ee7766c039a5033cf ” を参照させていただきました。

プレビューポータルから 既存の仮想マシンに接続をすると、Bastion というタブが表示されます。仮想マシンの資格情報を入力して Connect をクリックします。

Web ブラウザで RDP 接続された画面が表示されます。

ちなみに、IaaS 仮想マシンがドメイン参加していて、ドメインユーザーで接続したい場合は、”ドメイン名\ユーザー名” で指定するのではなく、”ユーザー名@ドメイン名” で指定する必要がありそうです。前者の場合は資格情報が間違えているエラー表示になりました。

administrator@contoso.com でアクセスした場合、

ドメインユーザーで問題なくアクセスできます。

contoso\administrator でアクセスした場合は、

資格情報が間違っていると表示され、ログインされないので注意してください。

以上です。

セットアップ方法も後日書きたいと思います。IaaS 仮想マシンに PIP を設定することなく、プライベートIPアドレスで安全にRDP/SSH できるAzure Bastion は便利ですね。

Azure Stack HCI になった S2D のお話をさせていただきました

2019年6月29日に開催された Interact 2019 にて Windows Server 2019 S2D のお話をさせていただきました。

https://interact.connpass.com/event/91059/

Windows Server 2016 で初めてリリースされた S2D (Storage Spaces Direct) は、Windows Server 2019 ではより安全に、2ノードから 大規模環境まで利用できる技術満載になっています。

また、WSSD (Windows Server Software Defined) という名前からリブランディングされ、現在は Azure Stack HCI という名前にかわりました。

Azure、Azure Stack、Azure Stack HCI という製品ラインナップで、どの製品がどの機能を持っているかなどの違いも簡単に記載しております！

直リンクはこちらです。

Interact2019 ws2019 s2d_IN05 from Hiroshi Matsumoto