Windows Admin Center の既知の問題

適用先:Windows Admin Center、Windows Admin Center Preview

このページで説明されている問題が発生した場合は、お知らせください。

インストーラー

• 独自の証明書を使用してWindows Admin Centerをインストールする場合は、証明書マネージャーMMCツールから拇印をコピーすると、先頭に無効な文字が含まれることに注意してください。 回避策として、拇印の最初の文字を入力し、残りの文字をコピー/貼り付けます。

• 1024 未満のポートの使用はサポートされていません。 サービス モードでは、必要に応じて、指定したポートにリダイレクトするようにポート 80 を構成できます。

全般

Note

https://localhost:[port] でアクセスされた認定資格証により、Microsoft Edge と Google Chrome の両方のブラウザーで Windows Admin Center がブロックされる恐れがあります。 この場合、接続がプライベートではないことを説明するエラーが表示される場合があります。 この問題を解決するには、Windows Admin Center のインストールを最新バージョンに更新します。

• 以前のバージョンの Windows Admin Center で特定のバージョンの拡張機能を使用すると、アイコンが正しく表示されない場合があります。 この問題を解決するには、Windows Admin Center の最新のビルドにアップグレードします。

• WINDOWS Admin Center の使用中に別のコンピューターの名前を含むように URL を手動で変更すると、UI の接続エクスペリエンスを経由せずに、拡張機能 (特定のハードウェアと互換性のあるもの) が不適切に読み込まれる可能性があります。 Windows Admin Center でのナビゲーション用の URL を手動で変更することはお勧めしません。

• Windows Admin Center が、使用頻度の高いWindows Server 2016 にゲートウェイとしてインストールされている場合は、サービスがクラッシュし、Faulting application name: sme.exe と Faulting module name: WsmSvc.dll を含むエラーがイベント ログに記録される可能性があります。 この問題はバグによるものですが、このバグは、Windows Server 2019 で修正されています。 Windows Server 2016 のパッチは、2019 年 2 月の累積的な更新プログラム、KB4480977 に含まれていました。

• Windows Admin Center がゲートウェイとしてインストールされていて、接続の一覧が破損していると思われる場合は、次の手順を実行します。

  警告

  これにより、ゲートウェイ上の接続の一覧と、すべての Windows Admin Center ユーザーの設定が削除されます。

  1. Windows Admin Center をアンインストールします
  2. C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft にある Server Management Experience フォルダーを削除します
  3. Windows Admin Center を再インストールします

• ツールを開いたまま長時間アイドル状態にすると、Error: The runspace state is not valid for this operation (エラー: この操作の実行空間の状態が有効ではありません) というエラーが何度か表示されることがあります。 このエラーが発生した場合は、お使いのブラウザーを更新してください。 この問題が発生した場合は、[WAC フィードバック] ページから送信してください。

• Windows Admin Center モジュールで実行されている OSS のバージョン番号と、サードパーティ ソフトウェアに関する通知に記載されている番号との間には、多少の差異がある場合があります。

• Windows Admin Center ツールの API は、Windows Admin Center のセッションがアクティブであり、ユーザーがそのセッションにアクセスできる間、他のメソッドを介してアクセスおよび使用できます。 これらの API を使用して実行されるアクションは、ゲートウェイ マシン (Windows Admin Center がインストールされているマシン) にのみ影響します。 これは、Windows Admin Center ゲートウェイを介した認証なしでリモートで管理されるコンピューターには影響しません。

拡張機能マネージャー

• Windows Admin Center を更新するときは、拡張機能を再インストールする必要があります。
• アクセスできない拡張機能フィードを追加した場合でも、警告は表示されません。 [14412861]

パートナー拡張機能に関する問題

• Dell の EMC OpenManage Integration 拡張機能では、Windows Admin Center で提供される API を使用してターゲット ノードにファイルがプッシュされます。 この API (NodeExtensionInstall など) は、ユーザーがゲートウェイ管理者である場合にのみ機能し、管理者以外による使用をサポートしていません。

ブラウザーに固有の問題

Microsoft Edge

• Windows Admin Center がサービスとしてデプロイされていて、ブラウザーとして Microsoft Edge を使用している場合は、新しいブラウザー ウィンドウを開いた後にゲートウェイを Azure に接続できない可能性があります。 この問題を回避するには、https://login.microsoftonline.com、https://login.live.com、ゲートウェイの URL を、信頼済みサイトおよび許可されたサイトとして、クライアント側ブラウザーのポップアップ ブロックの設定に追加 します。 この問題を解決するには、「Microsoft Edge で Azure の機能が正常に動作しない」を参照してください。 [17990376]

Google Chrome

• バージョン 70 (2018 年 10 月後半にリリース) より前の Chrome には、WebSocket プロトコルと NTLM 認証に関するバグがありました。 これは、イベント、PowerShell、リモート デスクトップのツールに影響します。

• Chrome では、特にワークグループ (ドメイン以外) 環境での接続の追加操作中に、資格情報のプロンプトが複数、表示されることがあります。

• Windows Admin Center をサービスとしてデプロイしている場合は、Azure 統合機能を使用するために、ゲートウェイ URL のポップアップを有効にする必要があります。

Mozilla Firefox

Windows Admin Center は、Mozilla Firefox でテストされていませんが、ほとんどの機能は機能します。

• Windows 10 インストール: Mozilla Firefox には独自の証明書ストアがあるため、Windows 10 で Windows Admin Center を使用するには、Windows Admin Center Client 証明書を Firefox にインポートする必要があります。

プロキシ サービスを使用する場合の WebSocket の互換性

Windows Admin Center のリモート デスクトップ、PowerShell、パケットの監視、イベントの各モジュールは、プロキシ サービスの使用時にはサポートされないことの多い WebSocket プロトコルを使用します。

2016 より前の Windows Server バージョン (2012 R2、2012、2008 R2) のサポート

注意

Windows Admin Center では、Windows Server 2012 R2、2012、2008 R2 のどれにも含まれていない PowerShell 機能が必要です。 これらの Windows Server を Windows Admin Center で管理する場合は、それらのサーバーに WMF バージョン 5.1 以降をインストールする必要があります。

PowerShell で $PSVersiontable を入力して、WMF がインストールされていること、またバージョンが 5.1 以上であることを確認します。

インストールされていない場合は、WMF 5.1 をダウンロードしてインストールできます。

ロールベースの Access Control (RBAC)

• Windows Defender アプリケーション制御 (WDAC、旧称「コードの整合性」) を使用するように構成されているコンピューターでは、RBAC のデプロイが成功しません。 [16568455]

• クラスターで RBAC を使用するには、各メンバー ノードに個別に構成を展開する必要があります。

• RBAC が展開されたときに、RBAC 構成に誤って起因する不正なエラーが表示される場合があります。 [16369238]

サーバー マネージャー ソリューション

証明書

• 現在のユーザー ストアに .PFX 暗号化証明書をインポートすることはできません。 [11818622]

イベント

• イベントは、プロキシ サービスの使用時の WebSocket の互換性の影響を受けます。

• 大きいログ ファイルをエクスポートするときに、“パケット サイズ” を参照するエラーが表示される場合があります。

  • この問題を解決するには、ゲートウェイ マシンで、管理者特権でのコマンド プロンプトで、次のコマンドを使用します。winrm set winrm/config @{MaxEnvelopeSizekb="8192"}

Files

• 大きいファイルのアップロードまたはダウンロードはまだサポートされていません (最大 ~100 mb の制限)。 [12524234]

PowerShell

• PowerShell は、プロキシ サービスの使用時の WebSocket の互換性の影響を受けます。

• デスクトップの PowerShell コンソールのような 1 回の右クリックによる貼り付けは機能しません。 代わりに、ブラウザーのコンテキスト メニューが表示され、[貼り付け] を選択できます。 Ctrl + V も機能します。

• Ctrl + C によるコピーは機能しません。常に Ctrl-C Break コマンドがコンソールに送信されます。 右クリックすると表示されるコンテキスト メニューからのコピーは機能します。

• Windows Admin Center のウィンドウのサイズを縮小すると、ターミナル コンテンツがリフローされますが、再び拡大すると、コンテンツが前の状態に戻らないことがあります。 項目が乱雑になる場合は、Clear-Host を試すか、端末上にあるボタンを使用して切断および再接続することができます。

レジストリ エディター

• 検索機能が実装されていません。 [13820009]

リモート デスクトップ

• Windows Admin Center がサービスとしてデプロイされているときは、Windows Admin Center サービスを新しいバージョンに更新した後に、リモート デスクトップ ツールがロードされないことがあります。 この問題を回避するには、ブラウザーのキャッシュをクリアします。 [23824194]

• Windows Server 2012 を管理しているときに、リモート デスクトップ ツールが接続できない場合があります。 [20258278]

• リモート デスクトップを使用して、ドメインに参加していないマシンに接続する場合は、MACHINENAME\USERNAME の形式で自分のアカウントを入力する必要があります。

• 一部の構成により、グループ ポリシーを使用する、Windows Admin Center のリモート デスクトップ クライアントがブロックされることがあります。 この問題が発生した場合、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [リモート デスクトップ サービス] > [リモート デスクトップ セッション ホスト] > [接続] の順に選択し、[ユーザーがリモート デスクトップ サービスを使ってリモート接続することを許可する] を有効にします。

• リモート デスクトップ は、プロキシ サービスの使用時の WebSocket の互換性の影響を受けます。

• リモート デスクトップ ツールは現在、ローカル デスクトップとリモート セッションの間のテキスト、イメージ、またはファイルのコピー/貼り付けをサポートしていません。

• リモート セッション内でコピー/貼り付けを行う場合は、通常どおりにコピーできます (右クリックして [コピー] を選択または Ctrl + C キー) が、貼り付けを行うには、右クリックして [貼り付け] を選択する必要があります (Ctrl + V キーは機能しません)。

• 次のキー コマンドをリモート セッションに送信することはできません

  • Alt + Tab
  • ファンクション キー
  • Windows キー
  • PrtScn

• リモート デスクトップを使用してコンピューターに接続すると、キーボード言語マッピングが正しく機能しない可能性があります。

役割と機能

• インストールに使用できないソースを含む役割や機能を選択すると、スキップされます。 [12946914]

• 役割のインストール後に自動的に再起動しないように選択すると、今後メッセージは表示されません。 [13098852]

• 自動的に再起動するように選択した場合、状態が 100% に更新される前に、再起動が行われます。 [13098852]

Storage

• ダウンレベル: DVD/CD/フロッピー ドライブは、ダウンレベルではボリュームとして表示されません。

• ダウンレベル: ボリュームとディスクの一部のプロパティはダウンレベルで利用できないため、詳細パネルで不明または空白で表示されます。

• ダウンレベル: 新しいボリュームを作成する場合、ReFS では、Windows 2012 および 2012 R2 コンピューターでの 64 K のアロケーション ユニット サイズのみがサポートされます。 ReFS ボリュームがダウンレベル ターゲットの小さいアロケーション ユニット サイズで作成された場合は、ファイル システムの書式設定が失敗します。 新しいボリュームは使用できません。 解決策は、ボリュームを削除し、64 K のアロケーション ユニット サイズを使用することです。

更新プログラム

更新プログラムをインストールした後は、インストール状態がキャッシュされるため、ブラウザーの表示の更新が必要になります。 Azure Update Management を設定しようとすると、[キーセットが存在しません] というエラーが発生することがあります。 この場合は、管理対象ノードで、次の修復手順を試してください。

1. Cryptographic Services サービスを停止します。
2. 隠しファイルを表示するようにフォルダー オプションを変更します (必要な場合)。
3. %allusersprofile%\Microsoft\Crypto\RSA\S-1-5-18 フォルダーに移動し、その内容をすべて削除します。
4. Cryptographic Services サービスを再開します。
5. Windows Admin Center で Update Management のセットアップを繰り返します。

Virtual Machines

• Windows Server 2012 ホストで仮想マシンを管理しているときに、ブラウザー内の VMConnect ツールが VM に接続できません。 .rdp ファイルをダウンロードして VM に接続すると、引き続き接続できます。 [20258278]

• Azure Site Recovery - Windows Admin Center の外部にあるホストに Azure Site Recovery が設定されている場合は、Windows Admin Center 内から VM を保護することができません。 [18972276]

• 仮想 SAN マネージャー、Move VM、Export VM、VM レプリケーションなどの Hyper-V マネージャーで利用可能な高度な機能は、現在サポートされていません。

仮想スイッチ

• スイッチ埋め込みチーミング (SET): NIC をチームに追加する場合は、NIC が同じサブネット上にある必要があります。

コンピューターの管理ソリューション

"コンピューターの管理" ソリューションには、サーバー マネージャー ソリューションのツールのサブセットが含まれているため、同じ既知の問題と、"コンピューターの管理" ソリューション固有の次の問題が該当します。

• Microsoft アカウント (MSA) を使用している場合、または Microsoft Entra ID を使用して Windows 10 コンピューターにサイン インしている場合は、"manage-as" を使用して、ローカル管理者アカウントの資格情報を入力する必要があります。 [16568455]

• localhost を管理しようとすると、ゲートウェイ プロセスを昇格するように求められます。 その後に表示されるユーザー アカウント制御のポップアップで [いいえ] を選択した場合は、接続の操作を取り消し、再び操作を開始する必要があります。

• Windows 10 では、WinRM/PowerShell リモート処理が既定で有効にはなっていません。

  • Windows 10 クライアントの管理を有効にするには、管理者特権の PowerShell プロンプトから Enable-PSRemoting コマンドを実行する必要があります。

  • また、Set-NetFirewallRule -Name WINRM-HTTP-In-TCP -RemoteAddress Any を使用して、ローカル サブネットの外部から接続を許可できるようにファイアウォールを更新する必要があります。 より制限の厳しいネットワークのシナリオについては、PSRemoting を有効にする方法を参照してください。

クラスターのデプロイ

ステップ 1.2

サーバーを追加するときのワークグループ コンピューターの混在は、現在はサポートされていません。 クラスタリングに使用されるすべてのコンピューターは、同じワークグループに属している必要があります。 そうでない場合は、[次へ] ボタンが無効になり、「異なる Active Directory ドメイン内のサーバーを含むクラスターを作成できません。サーバー名が正しいことを確認します。すべてのサーバーを同じドメインに移動して、もう一度やり直してください。」というエラーが表示されます。

手順 1.4

Hyper-V は、Azure Stack HCI OS を実行している仮想マシンにインストールする必要があります。 これらの仮想マシンに対して Hyper-V 機能を有効にしようとすると、次のエラーが発生して失敗します。

Azure Stack HCI OS を実行している仮想マシンに Hyper-V をインストールするには、次のコマンドを実行します。

Enable-WindowsOptionalFeature -Online -FeatureName 'Microsoft-Hyper-V'

手順 1.7

更新プログラムのインストール後に、サーバーの再起動に、予想以上の時間がかかることがあります。 Windows Admin Center クラスター デプロイ ウィザードは、サーバーが正常に再起動されたかどうかを調べるために、サーバーの再起動状態を定期的に確認します。 ただし、ユーザーが、ウィザードの外部でサーバーを手動で再起動した場合、ウィザードには、サーバーの状態を適切にキャプチャする方法がありません。

サーバーを手動で再起動する場合は、現在のウィザード セッションを終了します。 サーバーを再起動した後にウィザードを再起動できます。

ステージ 4 記憶域

ステージ 4 では、ユーザーがクラスターを削除した後にクラスターから記憶域プールを消去していない場合に、エラーが発生することがあります。 つまり、システム上の記憶域プールは、古いクラスター オブジェクトによってロックされ、ユーザーのみが手動で消去できます。

構成を消去するには、ユーザーが、次の手順を実行する必要があります。

1. すべてのノードで: Clear-ClusterNode

2. 以前のストレージ プールをすべて削除します。

   Get-StoragePool
   Get-StoragePool -IsPrimordial 0 | Remove-StoragePool
   

Note

クラスターが不適切に破壊された場合は、記憶域プールが読み取り専用に設定されていることがあります。この場合は、最初に必ず、記憶域プールを編集可能な状態に変更してから、削除する必要があります。 その場合は、前の手順の前に次を実行します。

Get-StoragePool <PoolName>> | Set-StoragePool -IsReadOnly $false

最初から、このシナリオを回避するには、次の手順を実行する必要があります。

1. 仮想ディスクを削除します。

   Get-VirtualDisk | Remove-VirtualDisk
   

2. 記憶域プールを削除します。

   Get-StoragePool
   Get-StoragePool -IsPrimordial 0 | Remove-StoragePool
   

3. クラスター リソースを削除します。

   Get-ClusterResource | ? ResourceType -eq "virtual machine" | Remove-ClusterResource
   Get-ClusterResource | ? ResourceType -like "*virtual machine*" | Remove-ClusterResource
   

4. クリーンアップを実行します。

   Remove-Cluster -CleanupAD
   

5. すべてのノードで、次を実行します。

   Clear-ClusterNode
   

ストレッチ クラスターの作成

ストレッチ クラスターを作成するときは、ドメインに参加しているサーバーを使用することをお勧めします。 WinRM の制限により、ワークグループ コンピューターを使用してストレッチ クラスターをデプロイしようとすると、ネットワークのセグメント化の問題が発生します。

元に戻してやり直す

同じマシンを繰り返し使用してクラスターをデプロイするときに、同じマシン セットでクラスターを正常にデプロイするために重要なことは、以前のクラスター エンティティのクリーンアップです。 クラスターをクリーンアップする方法については、「Windows Admin Center でハイパーコンバージド インフラストラクチャをデプロイする」を参照してください。

クラスター作成時の CredSSP

Windows Admin Center クラスター デプロイ ウィザードは、いくつかの場所で CredSSP を使用します。 「検証中にエラーが発生しました。エラーを確認して、再試行してください。」というエラー メッセージが表示されます (これは、検証クラスタ手順で最も頻繁に発生します)。

次の手順を使用してトラブルシューティングを行うことができます。

1. すべてのノードと Windows Admin Center ゲートウェイ コンピューターで CredSSP 設定を無効にします。 ゲートウェイ コンピューターで最初のコマンドを実行し、クラスター内のすべてのノードで 2 番目のコマンドを実行します。

   Disable-WsmanCredSSP -Role Client
   

   Disable-WsmanCredSSP -Role Server
   

2. すべてのノードで信頼を修復します。 すべてのノードで次のコマンドを実行します。

   Test-ComputerSecureChannel -Verbose -Repair -Credential <account name>
   

3. すべてのノードで次のコマンドを実行して、グループポリシーによって反映されたデータをリセットします。

   gpupdate /force
   

4. 各ノードを再起動します。 再起動後に、次のコマンドを使用して、ゲートウェイ マシンとターゲット ノードの間の接続と、ノード間の接続をテストします。

   Enter-PSSession -ComputerName <node fqdn>
   

CredSSP

• Updates ツールにより、"CredSSP を有効にし、明示的な資格情報を入力することなく、クラスター対応の更新ツールを使用することはできません" という CredSSP エラーがスローされることがあります。

  

  このエラーは、新しいクラスターが作成された後に、Windows Admin Center でこれらのクラスターの更新プログラム ツールにアクセスしようとしたときに、よく表示されていました。 この問題は、Windows Admin Center v2110 で修正されています。 [36734941]

• CredSSP セッション エンドポイントのアクセス許可の問題は、Windows クライアント マシンでの Windows Admin Center の実行時に見られる一般的な CredSSP エラーです。 この問題は、Windows Admin Center を使用しているユーザーが、クライアント マシンに Windows Admin Center をインストールしたユーザーと同じではない場合によく見られます。

  この問題を軽減するために、Windows Admin Center の CredSSP 管理者グループが導入されました。 この問題に直面しているユーザーを、このグループに追加してください。その後、このユーザーが、Windows Admin Center を実行しているデスクトップ コンピューターに再度サイン インする必要があります。 次に示すのは、変更前 (左) と変更後 (右) のエラー通知の画像です。

  

入れ子になった仮想化

仮想マシンでの Azure Stack HCI OS クラスターのデプロイを検証するときは、次の PowerShell コマンドを使用して、入れ子になった仮想化を有効にしてから、役割/機能を有効にする必要があります。

Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true

Note

仮想マシン環境で、仮想スイッチ チーミング を正常に起動するには、仮想マシン作成直後に、ホストの PowerShell で次のコマンドを実行する必要があります。Get-VM | %{ set-VMNetworkAdapter -VMName $_.Name -MacAddressSpoofing On -AllowTeaming On }

Azure Stack HCI OS を使用してクラスターをデプロイしている場合は、追加の要件があります。 VM ブート仮想ハード ドライブが、Hyper-V 機能と共にプレインストールされている必要があります。 これを行うには、仮想マシンを作成する前に、次のコマンドを実行します。

Install-WindowsFeature –VHD <Path to the VHD> -Name Hyper-V, RSAT-Hyper-V-Tools, Hyper-V-PowerShell

RDMA のサポート

Windows Admin Center バージョン 2007 のクラスター デプロイ ウィザードでは、RDMA の構成がサポートされていません。

フェールオーバー クラスター マネージャー ソリューション

• クラスター (ハイパーコンバージドまたは従来のクラスターのいずれか) を管理するときに、「シェルが見つかりません」というエラーが発生する場合があります。 この問題が発生した場合は、お使いのブラウザーを再読み込みするか、別のツールに移動して戻ります。 [13882442]

• 完全に構成されていない下位バージョン (Windows Server 2012 または 2012 R2) のクラスターを管理するときに問題が発生することがあります。 この問題の解決方法は、Windows の機能RSAT クラスタ リング PowerShellがインストールされ、クラスターの各メンバー ノードで有効になっていることを確認することです。 PowerShell でこれを行うには、すべてのクラスター ノードで Install-WindowsFeature -Name RSAT-Clustering-PowerShell コマンドを入力します。 [12524664]

• クラスターは正しく検出されるように全 FQDN を指定して追加する必要があります。

• ゲートウェイとしてインストールされた Windows Admin Center を使用してクラスターに接続する場合は、メンバー ノードを照会するために資格情報を利用できるように、Use these credentials for all connections (これらの資格情報をすべての接続に使用する) を選択する必要があります。

ハイパーコンバージド クラスター マネージャー ソリューション

• Drives - Update firmware、Servers - Remove、および Volumes - Open などの一部のコマンドは無効になっていて現在サポートされていません。

Azure サービス

Azure のログインとゲートウェイの登録

バージョン 2211 の Azure China または Azure US Gov クラウド ドメインにWindows Admin Center ゲートウェイを登録しようとすると、Azure グローバル サインイン エクスペリエンスにリダイレクトされる場合があります。 この問題を回避するには、以前のバージョンの Windows Admin Center を使用してください。

2009 リリースでは、Azure へのログイン時、または Windows Admin Center ゲートウェイの Azure への登録時に問題が発生する可能性があります。 以下に従うと、これらの問題を軽減できます。

• ゲートウェイの登録など、Windows Admin Center 内で Azure の機能を使用する前に、別のタブまたはウィンドウで Azure アカウントにサインインしていることを確認してください。 Azure portal にサインインすることをお勧めします。

• ゲートウェイの登録中に Azure に正常にサインインしたが、Windows Admin Center 設定の [Azure] ページに確認メッセージ等が表示されない場合は、[設定] の別のページに移動してから、[Azure] ページに戻ってみてください。

• このビルドでは、Azure サインインのポップアップがより頻繁に表示される場合があり、管理者が、Windows Admin Center のアクセス許可をより頻繁に付与しなければならなくなる可能性があります。

• Azure portal で Windows Admin Center の管理者の承認が既に付与されていて、それでも、「管理者の承認が必要です」というエラー メッセージが表示される場合は、[設定] ページではなく、Windows Admin Center の周囲のバナーのいずれかを使用して Azure にサインインしてみてください。

• プロキシの構成が誤っている場合は、「エラー: 値を Null にすることはでいません。パラメータ名: httpClientFactory」というエラー メッセージが表示されます。 [設定] ページに移動して、プロキシが正しく構成されていることを確認します。

Azure File Sync のアクセス許可

Azure File Sync には、バージョン 1910 より前の Windows Admin Center で提供されていなかった、Azure でのアクセス許可が必要です。 Windows Admin Center バージョン 1910 より前のバージョンを使用して Windows Admin Center ゲートウェイを Azure に登録した場合は、Microsoft Entra アプリケーションを更新して、最新バージョンの Windows Admin Center で Azure File Sync を使用するための正しいアクセス許可を取得する必要があります。 この追加のアクセス許可により、ストレージ アカウントへのアクセスの自動構成を Azure File Sync が実行できます。「ストレージ アカウントへのアクセス許可が Azure File Sync にあることの確認」の説明に従ってください。

Microsoft Entra アプリを更新するには、次の 2 つのいずれかを実行できます。

1. [設定]>[Azure]>[登録解除] にアクセスし、Windows Admin Center を Azure に再登録します。必ず、新しい Microsoft Entra アプリケーションを作成することを選んでください。

2. Microsoft Entra アプリケーションに移動し、Windows Admin Center に登録されている既存の Microsoft Entra アプリに必要なアクセス許可を手動で追加します。 これを行うには、以下を実行します。

   1. [設定]>[Azure]>[Azure のビュー].
   2. Azure の [アプリの登録] ブレードで [API のアクセス許可] に移動し、[アクセス許可の追加] を選択します。
   3. 下にスクロールして [Azure Active Directory Graph] を選択し、[委任されたアクセス許可] を選択します。[ディレクトリ] を展開し、[Directory.AccessAsUser] を選択します。
   4. [アクセス許可の追加] を選択して、アプリに更新を保存します。

Azure 管理サービスをセットアップするためのオプション

Azure Monitor、Azure Update Management、Azure Security Center を含む Azure 管理サービスは、同じエージェント (Microsoft Monitoring Agent) をオンプレミスのサーバーに使用します。 Azure Update Management では、サポートされているリージョンのセットが限られており、Log Analytics ワークスペースが Azure Automation アカウントにリンクされている必要があります。 この制限により、Windows Admin Center に複数のサービスをセットアップする場合は、最初に Azure Update Management を、次に Azure Security Center または Azure Monitor をセットアップする必要があります。 Microsoft Monitoring Agent を使用する Azure 管理サービスを構成した後に、Windows Admin Center を使用して Azure Update Management を設定しようとしている場合は、Windows Admin Center で Azure Update Management を構成できますが、Microsoft Monitoring Agent にリンクされた既存のリソースが Azure Update Management をサポートしている必要があります。 そうでない場合、2 つのオプションがあります。

1. [コントロール パネル]> [Microsoft Monitoring Agent] にアクセスして、Azure Monitor や Azure Security Center など、既存の Azure 管理ソリューションからサーバーを切断します。 次に、Windows Admin Center で Azure Update Management をセットアップします。 その後、Windows Admin Center を使用して、問題なく、他の Azure 管理ソリューションのセットアップすることができます。

2. Azure Update Management に必要な Azure リソースを手動でセットアップしてから、Windows Admin Center の外部で ワークスペースを手動で追加または削除し、使用する Update Management ソリューションに対応する新しいワークスペースを追加します。

Windows リモート管理エラー

一般的な接続エラー

エラー メッセージの例は次のとおりです。

Cluster wasn't created Connecting to remote server tk5-3wp13r1131.cfdev.nttest.microsoft.com failed
with the following error message:
WinRM cannot complete the operation. Verify that the specified computer name is valid, that the
computer is accessible over the network, and that a firewall exception for the WinRM service is
enabled and allows access from this computer. By default, the WinRM firewall exception for public
profiles limits access to remote computers within the same local subnet. For more information, see
the about_Remote_Troubleshooting Help topic.

このエラーは、WinRM 経由で接続するときに最も一般的です。 これには次のような理由があります。

• DNS を解決できない。 正しいサーバー名を使用していることを確認します。
• ネットワークの中断など、サーバー名にまったく到達できませんでした (接続の問題の可能性があります)。
• ファイアウォール規則が、WinRM サービス用に構成されていません。 ファイアウォール規則は、少なくともドメインおよび権限プロファイルに対して構成する必要があります。
• WinRM サービスが実行されていないか、無効になっていません。 サービスを有効にし、常に実行されていることを確認します。

認証エラー

エラー メッセージの例は次のとおりです。

Connecting to remote server ack failed with the following error message:
WinRM cannot process the request. The following error with error code 0x8009030e occurred while
using Negotiate authentication: A specified logon session does not exist. It may already have been
terminated. \r\n This can occur if the provided credentials are not valid on the target server, or
if the server identity could not be verified. If you trust the server identity add the server name
to the TrustedHosts list, and then retry the request. User winrm.cmd to view or edit the
TrustedHosts list. Note that computers in the TrustedHosts list might not be authenticated. For
more information about how to edit the TrustedHosts list, run the following command: winrm help
config. For more information, see the about_Remote_Troubleshooting Help topic.

このエラーは、ほとんどの場合、クラスター接続で発生します。 これは、次の理由により WinRM が接続できなかったことを示します。

• ローカル ユーザー管理者アカウントとしてログインしたときに、接続済みドメインにリモート接続をしようとしています。
• ユーザーがドメインにおり、サーバーに到達できる場合でも、ドメインにアクセスできません。 WinRM は、ユーザーがドメインにいないが、ドメイン アカウントへの接続が確立されたと見なします。

次のような軽減策が考えられます。

• ドメインを常にチェックし、ネットワーク操作後に常に接続できます。
• 接続しているすべてのコンピューターは、@{TrustedHosts="VS1.contoso.com,VS2.contoso.com,my2012cluster.contoso.com"} などの信頼されたホスト (FQDNS) に追加する必要があります。
• 一般的な接続エラーのすべての検証に合格する必要があります。

WinRM サービス

エラー メッセージの例は次のとおりです。

We cannot display the changes right now:
Connecting to remote server localhost failed with the
following error message : The client cannot connect to the destination specified in the request.
Verify that the service on the destination is running and is accepting requests. Consult the logs
and documentation for the WS-Management services running on the destination, mostly commonly IIS or
WinRM. If the destination is the WinRM service, run the following command on the destination to
analyze and configure the WinRM service: "winrm quickconfig". For more information, see the
about_Remote_Troubleshooting Help topic.

考えられる理由は次のとおりです。

• WinRM サービスが実行されていません。 サービスが一時的に無効になっているか、完全に実行されていない可能性があります。 WinRM サービスが常に実行されていることを確認します。
• WinRM リスナーが構成されていないか、破損しています。 この問題を解決する最も簡単な方法は、リスナーの作成に役立つ WinRM quickconfig を実行することです。 それに加えて、WinRM には https と http 接続用の 2 つのリスナーがあり、https 接続サーバーとクライアントの両方に同じ有効な認定資格証が必要です。

セキュリティ エラー

エラー メッセージの例は次のとおりです。

Connecting to remote server dc1.root.contoso.com failed with the following error message:
WinRM cannot process the request. The following error with errorcode 0x80090322 occurred while
using Kerberos authentication. An unknown security error occurred. At line:1 char:1 +
Enter-PSSession dc1.root.contoso.com + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo
:InvalidArgument:(dc1.root.contoso.com:String)[Enter-PSSession], PSRemotingTransportException +
FullyQualifiedErrorId : CreateRemoteRunspaceFailed

このエラーは一般的ではありません。 通常、問題は、リモート接続を実行しようとしているアカウントです。 ほとんどの場合、1 つ以上の既定の HTTP SPN がサービス アカウントに登録され、Kerberos 認証が失敗します。 通常、これは、サーバーにインストールされている一部のソフトウェアが正常に機能するために 1 つ以上の SPN (SQL Server Reporting Services、Microsoft Dynamics、SharePoint など) が必要であるために発生します。

1 つの SPN (例: HTTP/fully.qualified.domain.name) がサービス アカウントに登録され、もう 1 つは (例: HTTP/servername) ではない可能性があります。 その場合、WinRM 接続は、サーバー名 (Enter-PSSession サーバー名など) でセッションを開始しようとすると成功しますが、FQDN (例: Enter-PSSession fully.qualified.domain.name) でセッションを開始しようとすると失敗します。

1 つ以上の既定の HTTP SPN がサービス アカウントに登録されているかどうかを確認します。

setspn -q HTTP/servername.or.fqdn

SPN が見つかり、このエラー メッセージに示されているようにサーバー名が強調表示されたフィールドにない場合は、解決に進みます。これは、WinRM 接続が失敗する原因である可能性があるためです。

解決策は、ポート番号とマシン アカウントを指定して、WinRM の専用 SPN を設定することです。

setspn -s HTTP/servername.or.fqdn:5985 servername

PowerShell 経由で リモート接続する場合は、IncludePortInSPN パラメーターを使用します。

Enter-PSSession -ComputerName servername.or.fqdn -SessionOption (New-PSSessionOption -IncludePortInSPN)

WinRM 状態 500

エラー メッセージの例は次のとおりです。

Error: Connecting to remote server YAZSHCISIIH01.ad.yara.com failed with the following error message:
The WinRM client received an HTTP server error status (500), but the remote service did not include
any other information about the cause of the failure. For more information, see the
about_Remote_Troubleshooting Help topic.

このエラーは、まれにしか発生しません。 これは通常、WinRM が要求の処理に失敗したことを意味します。 これはさまざまな理由によって発生する可能性があり、コンテキストに基づいています。

この解決策は、リモート処理が有効であることと、要求を受け入れるように WinRM リスナーが構成されていることを確認することです。 イベント ログで他のエラーがないか確認します。たとえば、ファイル システム内の一部のファイルには読み取りアクセス許可しか付与されておらず、WinRM は接続を完全に実現するためにそれらのファイルにアクセスしようとしています。