Hands On Microsoft は、Windows Admin Center (旧称 Project Honolulu) を一般公開しました。
Windows Admin Center は、Windows ネットワーク上のサーバーやコンピューターを管理するためのブラウザ アプリケーションです。そのメリットは何でしょうか?
Windows Admin Center は、内部的にはリモート PowerShell と WMI (Windows Management Interface) を WinRM (Windows リモート管理) 経由で使用しています。これらは長年利用されてきたツールです。このことを知っておくと、WAC が期待どおりに動作しない場合に役立ちます。
答えは、ブラウザベースの管理は、GUIデスクトップにログインして問題箇所を確認するという旧来のアプローチではなく、リモートサーバー管理を推進するというMicrosoftの継続的な取り組みにおける論理的なステップであるということです。また、ブラウザベースの管理は、様々な管理ツールとトラブルシューティングツールを単一のユーザーインターフェースに統合します。さらに、Microsoftのエンタープライズ管理ツールスイートであるSystem Centerを運用するには規模が小さすぎる組織にとって、一貫した管理の中心となることが期待されます。
MicrosoftはWindows Admin Center(WAC)を「受信トレイ管理ツールの進化形」と表現しています。System Centerやクラウドホスト型のOperations Management Suiteの一部に取って代わるものではありません。ローカルサーバーとリモートサーバーを管理するためのデスクトップGUIであるServer Managerの代替となる可能性はありますが、Microsoft管理コンソールで現在実行されている個々のツールや、リモートサーバー管理ツールというバンドルに含まれるツールの全ての機能が含まれていないため、WACにはそれらのツールの全てが置き換えられるわけではありません。WACには追加費用はかかりません。
同社はWindowsサーバー管理の新しい方法を発明したわけではありません。Windows Admin Centerは、内部的にはリモートPowerShellとWMI(Windows Management Interface)をWinRM(Windowsリモート管理)経由で使用しています。これらは長年利用されてきたツールです。このことを知っておくと、WACが期待どおりに動作しない場合に役立ちます。
Windows Admin Center の仕組み
つまり、Admin Centerエージェント自体は不要ですが、対象マシンには少なくともPowerShell 5.1が必要です。これは、Windows Management Framework 5.1以降の一部としてインストールされます。Server 2016とWindows 10には既にこのバージョンが搭載されていますが、それ以前のバージョンのWindowsではアップグレードが必要になる場合があります。
Windows Admin Center のインストール
インストールには2つのモードがあります。Windows 10でWACを実行して必要に応じて起動するか、Server 2016でサービスとして実行して常に利用可能にするかです。今回のハンズオンでは後者を選択しました。WACには信頼された証明書が必要なので、ドメイン証明機関を使用しました。「MMC証明書スナップインに表示される証明書の拇印に、余分な目に見えないUnicode文字が含まれています」という奇妙な問題が発生しました。インストーラーはなぜインストール済みの証明書の一覧を表示して、必要な証明書を選択させないのでしょうか?Windows管理ではこういうことが起こります。驚くほど簡単なこともあれば、複雑な道に進むことになることもあります。
インストールが完了したら、ブラウザ(Chrome または Edge)を開いてサーバーの追加を開始します。Windows 10 コンピューター(ただし、現在のドキュメントでは説明されていません)、フェールオーバー クラスター、ハイパーコンバージド クラスター(このツールは実稼働対応のプレビュー版と説明されています)を追加することもできます。ハイパーコンバージド クラスターとは、Server 2016 で記憶域スペース ダイレクトを使用するクラスターです。
WACで管理するすべてのコンピューターでリモート管理が有効になっている必要があります。例えば、Windows 10 PCを追加する前に、管理コマンドプロンプトからwinrm quickconfigを実行する必要がありました。
Azure またはローカル Active Directory を使用してグループを選択できます (クリックして拡大)
WAC を Windows Azure と統合することも可能です。Azure AD アカウントを使用して WAC へのユーザー認証を行い、Azure VM を管理し、Azure Site Recovery を使用して Azure VM 保護を設定できます。残念ながら、私はまだこれをうまく動作させていません。New-AadApp.ps1 という PowerShell スクリプトをダウンロードします。このスクリプトは Azure ログインを要求し、ゲートウェイが通信する Azure アプリケーションを作成します。私の場合は、様々なエラーが発生しました。最終的に、新しい Azure 管理者を設定した後、スクリプトを正常に実行できました。しかし、VM 保護を設定しようとすると、空白のブラウザ ウィンドウが表示されるだけです。しかも、ゲートウェイはまだ Azure Active Directory に登録されていないと表示されます。気にしないでください。
正常に動作すれば、Azure AD認証にWACを設定することは非常に有益です。多要素認証や条件付きアクセスポリシーといった機能を利用できるようになるため、場所、デバイス、サインインリスクなどに基づいてアクセスを制限できます。ローカルActive Directoryを使用する場合は、スマートカード認証を必須にすることも可能です。
WAC へのアクセス権限は、管理対象の様々なサーバーに対する権限を付与するものではありません。接続ごとに個別の資格情報を入力するか、すべての接続で同じ資格情報セットを使用するかを選択できます。WAC は、正しいと思った場合でも新しい資格情報を要求してくることがよくあります。これは Windows のよくある問題です。
