Windows 用 Azure シリアル コンソール
適用対象: ✔️ Windows VM
Note
この記事は役に立ちましたか? あなたの入力は私たちにとって重要です。 このページの Feedback ボタンを使用して、この記事がどれだけうまく機能したか、または改善方法をお知らせください。
Azure portal のシリアル コンソールでは、Windows 仮想マシン (VM) および仮想マシン スケール セット インスタンス用のテキスト ベースのコンソールへのアクセスが提供されます。 このシリアル接続は、ネットワークやオペレーティング システムの状態には関係なく、VM または仮想マシン スケール セット インスタンスの COM1 シリアル ポートに接続してそのポートへのアクセスを提供します。 このシリアル コンソールは Azure portal を使用してのみアクセスでき、VM または仮想マシン スケール セットへの共同作成者以上のアクセス ロールを持つユーザーに対してのみ許可されます。
シリアル コンソールは、VM と仮想マシン スケール セット インスタンスに対して同じ方法で動作します。 このドキュメントでは、特に記載のない限り、VM という記述にはすべて仮想マシン スケール セット インスタンスが暗黙的に含まれます。
シリアル コンソールは、グローバル Azure リージョンで一般公開されており、Azure Government ではパブリック プレビュー段階にあります。 Azure China Cloud ではまだ利用できません。
Linux のシリアル コンソールのドキュメントについては、「Linux 用 Azure シリアル コンソール」をご覧ください。
Note
シリアル コンソールは、マネージド ブート診断ストレージ アカウントと互換性があります。
前提条件
VM または仮想マシン スケール セット インスタンスは、リソース管理デプロイ モデルを使用する必要があります。 クラシック デプロイはサポートされていません。
シリアル コンソールを使用するアカウントには、VM の仮想マシン共同作成者ロールおよびブート診断ストレージ アカウントが必要です
VM または仮想マシン スケール セット インスタンスには、パスワード ベースのユーザーが必要です。 このアカウントは、VM アクセス拡張機能のパスワードのリセット機能を使用して作成することができます。 Help セクションから Reset password を選択します。
仮想マシン スケール セット インスタンス用 VM では、ブート診断が有効になっている必要があります。
Windows Server 向けのシリアル コンソール機能を有効にする
Note
シリアル コンソールに何も表示されていない場合は、VM または仮想マシン スケール セットでブート診断が有効になっていることを確認してください。
カスタム イメージまたは古いイメージでシリアル コンソールを有効にする
Azure の新しい Windows Server イメージでは、既定で Special Administration Console (SAC) が有効です。 SAC は Windows のサーバー バージョンではサポートされていますが、クライアント バージョン (Windows 10、Windows 8、Windows 7 など) では使用できません。
以前の Windows Server イメージ (2018 年 2 月より前に作成されたもの) では、Azure portal の実行コマンド機能を使用してシリアル コンソールを自動的に有効にすることができます。 Azure Portal で、[実行コマンド] を選択し、一覧から EnableEMS という名前のコマンドを選択します。
あるいは、2018 年 2 月より前に作成された Windows VM/仮想マシン スケール セット用のシリアル コンソールを手動で有効にするには、次の手順に従います。
リモート デスクトップを使用して Windows 仮想マシンに接続します。
管理コマンド プロンプトで次のコマンドを実行します。
bcdedit /ems {current} on
、PowerShell の場合はbcdedit /ems '{current}' on
bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
システムを再起動して、SAC コンソールを有効にします。
必要に応じて、SAC をオフラインでも有効にすることができます。
SAC を構成する Windows ディスクをデータ ディスクとして既存の VM にアタッチします。
管理コマンド プロンプトで次のコマンドを実行します。
bcdedit /store <mountedvolume>\boot\bcd /ems {default} on
bcdedit /store <mountedvolume>\boot\bcd /emssettings EMSPORT:1 EMSBAUDRATE:115200
SAC が有効になっているかどうかを知る方法
SAC が有効になっていない場合、シリアル コンソールに SAC プロンプトは表示されません。 VM の正常性情報が表示される場合もありますが、それ以外は空白になります。 2018 年 2 月より前に作成された Windows Server イメージを使用している場合、SAC が有効になっていない可能性があります。
シリアル コンソールの Windows ブート メニューの有効化
Windows ブート ローダーのプロンプトを有効にしてシリアル コンソールに表示する必要がある場合は、ブート構成データに次のオプションを追加します。 詳細については、bcdedit に関するページをご覧ください。
リモート デスクトップを使用して、Windows VM または仮想マシン スケール セット インスタンスに接続します。
管理コマンド プロンプトで次のコマンドを実行します。
bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 10
bcdedit /set {bootmgr} bootems yes
システムを再起動して、ブート メニューを有効にします。
Note
ブート マネージャー メニューの表示に対して設定するタイムアウトは、OS ブート時間に影響します。 10 秒のタイムアウト値が短すぎるか、長すぎると思われる場合は、別の値に設定します。
シリアル コンソールの使用
シリアル コンソールで CMD または PowerShell を使用する
シリアル コンソールに接続します。 正常に接続した場合、プロンプトは SAC> です。
「
cmd
」と入力して、CMD インスタンスがあるチャネルを作成します。「
ch -si 1
」と入力するか、<esc>+<tab>
のショートカット キーを押して、CMD インスタンスを実行しているチャネルに切り替えます。Enter キーを押して、管理アクセス許可を持つサインイン資格情報を入力します。
有効な資格情報を入力すると、CMD インスタンスが開きます。
PowerShell インスタンスを起動するには、CMD インスタンスに「
PowerShell
」と入力し、Enter キーを押します。
NMI 呼び出しにシリアル コンソールを使用する
マスク不可能割り込み (NMI) は、仮想マシン上のソフトウェアで無視されない信号を作成するために設計されています。 従来より、NMI は、特定の応答時間を要したシステム上でのハードウェアの問題を監視するために使用されてきました。 現在、プログラマーやシステム管理者は、応答していないシステムのデバッグやトラブルシューティングのためのメカニズムとして、NMI をよく使用しています。
シリアル コンソールは、コマンド バーのキーボード アイコンを使用して、NMI を Azure 仮想マシンに送信するために使用できます。 NMI が配信された後は、仮想マシン構成によってシステムの応答方法が制御されます。 NMI を受信したときにメモリ ダンプ ファイルをクラッシュして作成するように Windows を構成できます。
NMI を受信したときにクラッシュ ダンプ ファイルを作成するように Windows を構成する方法については、「NMI を使用してクラッシュ ダンプ ファイルを生成する方法」を参照してください。
シリアル コンソールでファンクション キーを使用する
Windows VM のシリアル コンソールでファンクション キーを有効にして使用することができます。 シリアル コンソールのドロップダウンで F8 キーを押すと、詳細ブート設定メニューを簡単に表示することができますが、シリアル コンソールは他のすべてのファンクション キーと互換性があります。 シリアル コンソールを使用しているコンピューターによっては、キーボードの Fn + F1 (または F2、F3 など) を押すことが必要になる場合があります。
シリアル コンソールで WSL を使用する
Windows Subsystem for Linux (WSL) は Windows Server 2019 以降で有効なので、Windows Server 2019 以降を実行している場合は、シリアル コンソール内で WSL を有効にして使用することもできます。 この点は、Linux コマンドも熟知しているユーザーに役立つ可能性があります。 WSL for Windows Server を有効にする手順については、インストール ガイドに関するページを参照してください。
シリアル コンソール内で Windows VM/仮想マシン スケール セット インスタンスを再起動します
電源ボタンに移動し、[Restart VM] (VM の再起動) をクリックすることによって、シリアル コンソール内で再起動を開始できます。 これにより VM の再起動が始まり、Azure portal 内に再起動に関する通知が表示されます。
これは、シリアル コンソールから離れることなくブート メニューにアクセスしたい状況で役立ちます。
シリアル コンソールを無効にする
既定では、すべてのサブスクリプションは、シリアル コンソールのアクセスが有効になっています。 サブスクリプション レベルまたは VM/仮想マシン スケール セット レベルのいずれかで、シリアル コンソールを無効にすることができます。 詳細な手順については、「Azure シリアル コンソールの有効化と無効化」を参照してください。
シリアル コンソールのセキュリティ
カスタム ブート診断ストレージ アカウントのファイアウォールが有効になっているシリアル コンソールを使用する
シリアル コンソールは、接続ワークフローでブート診断用に構成されたストレージ アカウントを使用します。 このストレージ アカウントでファイアウォールが有効になっている場合は、シリアル コンソール サービス IP を除外として追加する必要があります。 これを行うには、次の手順を実行します。
有効にしたカスタム ブート診断ストレージ アカウント ファイアウォールの設定に移動します。
Note
VM で有効になっているストレージ アカウントを確認するには、 Support + troubleshooting セクションで Boot diagnostics>Settings を選択します。
VM の地理的な場所に基づいて、ファイアウォールの除外としてシリアル コンソール サービス IP を追加します。
次の表に、VM が配置されているリージョンまたは地域に基づいてファイアウォールの除外として許可する必要がある IP を示します。 これは、 SerialConsole サービス タグで使用されるシリアル コンソールの IP アドレスの完全な一覧のサブセットです。 SerialConsole サービス タグを使用して、ブート診断ストレージ アカウントへのアクセスを制限できます。 サービス タグはリージョンで区切られません。 サービス タグのトラフィックは受信のみであり、シリアル コンソールは顧客制御可能な宛先へのトラフィックを生成しません。 現在、Azure ストレージ アカウント のファイアウォールではサービス タグはサポートされていませんが、 SerialConsole サービス タグをプログラムで使用して IP 一覧を特定できます。 サービス タグについて詳しくは、「仮想ネットワークのサービス タグ」を参照してください。
Note
シリアル コンソールのストレージ アカウント ファイアウォールは、イタリアのイタリア北部など、リージョンが 1 つだけの地域の VM ではサポートされていません。
IP アドレス (IP address) 地域 地理的な場所 102.37.86.194 南アフリカ北部、南アフリカ西部 アフリカ 20.87.80.28 南アフリカ北部、南アフリカ西部 アフリカ 20.205.69.28 東アジア、東南アジア AsiaPacific 20.195.85.180 東アジア、東南アジア AsiaPacific 20.53.53.224 オーストラリア中部、オーストラリア中部 2、オーストラリア東部、オーストラリア南東部 オーストラリア 20.70.222.112 オーストラリア中部、オーストラリア中部 2、オーストラリア東部、オーストラリア南東部 オーストラリア 191.234.136.63 ブラジル南部、ブラジル南東部 ブラジル 20.206.0.194 ブラジル南部、ブラジル南東部 ブラジル 52.228.86.177 カナダ中部、カナダ東部 カナダ 52.242.40.90 カナダ中部、カナダ東部 カナダ 20.45.242.18 カナリア (EUAP) 20.51.21.252 カナリア (EUAP) 52.146.139.220 北ヨーロッパ、西ヨーロッパ ヨーロッパ 20.105.209.72 北ヨーロッパ、西ヨーロッパ ヨーロッパ 20.111.0.244 フランス中部、フランス南部 フランス 52.136.191.10 フランス中部、フランス南部 フランス 51.116.75.88 ドイツ北部、ドイツ中西部 ドイツ 20.52.95.48 ドイツ北部、ドイツ中西部 ドイツ 20.192.168.150 インド中部、インド南部、インド西部 インド 20.192.153.104 インド中部、インド南部、インド西部 インド 20.43.70.205 東日本、西日本 日本 20.189.228.222 東日本、西日本 日本 20.200.196.96 韓国中部、韓国南部 韓国 52.147.119.29 韓国中部、韓国南部 韓国 20.100.1.184 ノルウェー西部、ノルウェー東部 ノルウェイ 51.13.138.76 ノルウェー西部、ノルウェー東部 ノルウェイ 20.208.4.98 スイス北部、スイス西部 スイス 51.107.251.190 スイス北部、スイス西部 スイス 20.45.95.66 アラブ首長国連邦中部、アラブ首長国連邦北部 アラブ首長国連邦 20.38.141.5 アラブ首長国連邦中部、アラブ首長国連邦北部 アラブ首長国連邦 20.90.132.144 英国南部、英国西部 UnitedKingdom 20.58.68.62 英国南部、英国西部 UnitedKingdom 51.12.72.223 スウェーデン中部、スウェーデン南部 スウェーデン 51.12.22.174 スウェーデン中部、スウェーデン南部 スウェーデン 20.98.146.84 米国中部、米国東部 2、米国東部、米国中北部、米国中南部、米国西部 2、米国西部 3、米国中西部、米国西部 米国 20.98.194.64 米国中部、米国東部 2、米国東部、米国中北部、米国中南部、米国西部 2、米国西部 3、米国中西部、米国西部 米国 20.69.5.162 米国中部、米国東部 2、米国東部、米国中北部、米国中南部、米国西部 2、米国西部 3、米国中西部、米国西部 米国 20.83.222.102 米国中部、米国東部 2、米国東部、米国中北部、米国中南部、米国西部 2、米国西部 3、米国中西部、米国西部 米国 20.83.222.100 米国中部、米国東部 2、米国東部、米国中北部、米国中南部、米国西部 2、米国西部 3、米国中西部、米国西部 米国 20.141.10.131 すべての米国政府機関向けクラウド リージョン UsGov 52.235.252.253 すべての米国政府機関向けクラウド リージョン UsGov 143.64.47.39 中国北部 3 中国 163.228.70.115 中国東部 3 中国 重要
- 許可する必要がある IP は、VM が配置されているリージョンに固有です。 たとえば、北ヨーロッパ リージョンにデプロイされた仮想マシンでは、ヨーロッパ地域のストレージ アカウント ファイアウォール (52.146.139.220 および 20.105.209.72) に次の IP 除外を追加する必要があります。 上記の表を参照して、地域と地域に適した IP を見つけます。
- 現在のシリアル コンソール操作では、Web ソケットが
<region>.gateway.serialconsole.azure.com
などのエンドポイントに対して開かれます。 組織内のブラウザー クライアントに対してエンドポイントserialconsole.azure.com
が許可されていることを確認します。 米国政府 (Fairfax) クラウドでは、エンドポイント サフィックスはserialconsole.azure.us
。
ストレージ アカウント ファイアウォールに IP を追加する方法の詳細については、「 Azure Storage ファイアウォールと仮想ネットワークの構成: IP ネットワーク規則の管理」を参照してください。
IP アドレスがストレージ アカウントのファイアウォールに正常に追加されたら、VM へのシリアル コンソール接続を再試行します。 接続に問題がある場合は、VM のリージョンのストレージ アカウント ファイアウォールから正しい IP アドレスが除外されていることを確認します。
アクセス セキュリティ
シリアル コンソールへのアクセスは、仮想マシンに対する仮想マシン共同作成者以上のアクセス ロールを持つユーザーだけが限定されています。 Microsoft Entra テナントで多要素認証 (MFA) が必要な場合は、シリアル コンソールのアクセスが Azure ポータルを介しているため、シリアル コンソールへのアクセスにも MFA が必要になります。
チャネル セキュリティ
送受信されるすべてのデータは、TLS 1.2 以降のバージョンで転送中に暗号化されます。
データストレージと暗号化
Azure シリアル コンソールでは、仮想マシンのシリアル ポートとの間で送受信されるデータの確認、検査、格納は行われません。 そのため、保存時に暗号化するデータはありません。
Azure シリアル コンソールを実行している仮想マシンによってディスクにページングされるメモリ内データが確実に暗号化されるようにするには、 ホスト ベースの暗号化を使用します。 ホストベースの暗号化は、すべての Azure シリアル コンソール接続に対して既定で有効になっています。
データの保存場所
Azure portal または Azure CLI は、仮想マシンのシリアル ポートへのリモートターミナルとして機能します。 これらのターミナルは、ネットワーク経由で仮想マシンをホストするサーバーに直接接続できないため、中間サービス ゲートウェイを使用してターミナル トラフィックをプロキシします。 Azure シリアル コンソールでは、この顧客データは格納または処理されません。 データを転送する中間サービス ゲートウェイは、仮想マシンの地理的な場所に存在します。
監査ログ
現在、シリアル コンソールへのすべてのアクセスが、仮想マシンのブート診断ログに記録されます。 これらのログへのアクセスは、Azure 仮想マシン管理者が所有し、制御します。
注意事項
コンソールのアクセス パスワードはログに記録されません。 ただし、コンソール内で実行されるコマンドにパスワード、シークレット、ユーザー名、またはその他の形式の個人を特定できる情報 (PII) が含まれていたり、出力されたりした場合、それらの情報は VM のブート診断ログに書き込まれます。 それらは、シリアル コンソールのスクロールバック機能の実装の一部として、表示される他のすべてのテキストと共に書き込まれます。 これらのログは循環型であり、診断ストレージ アカウントに対する読み取りアクセス許可を持つユーザーだけがアクセスできます。 ただし、シークレットや PII が含まれている可能性のあるものにはリモート デスクトップを使用するというベスト プラクティスに従うことをお勧めします。
同時使用
ユーザーがシリアル コンソールに接続しているときに、別のユーザーがその同じ仮想マシンへのアクセスを要求し、その要求が成功した場合、最初のユーザーが切断され、2 番目のユーザーが同じセッションに接続されます。
注意事項
つまり、切断されたユーザーはログアウトされません。(SIGHUP または同様のメカニズムを使用して) 切断時にログアウトを強制する機能は、まだロードマップにあります。 Windows では SAC で自動タイムアウトが有効になっていますが、Linux ではターミナルのタイムアウト設定を構成できます。
アクセシビリティ
アクセシビリティは、Azure シリアル コンソールの重点事項です。 そのため、視覚や聴覚に障碍があるユーザーや、マウスを使用できない可能性があるユーザーがシリアル コンソールにアクセスできるようにしました。
キーボード ナビゲーション
Azure portal からシリアル コンソール インターフェイスでナビゲートするには、キーボードの Tab キーを使用します。 現在の場所が画面上で強調表示されます。 シリアル コンソール ウィンドウのフォーカスを解除するには、キーボードの Ctrl+F6 キーを押します。
スクリーン リーダーでシリアル コンソールを使用する
シリアル コンソールには、スクリーン リーダーのサポートが組み込まれています。 スクリーン リーダーを有効にしてナビゲートすると、現在選択されているボタンの代替テキストをスクリーン リーダーで読み上げることができます。
シリアル コンソールにアクセスする一般的なシナリオ
シナリオ | シリアル コンソールでのアクション |
---|---|
不適切なファイアウォール規則 | シリアル コンソールにアクセスし、Windows ファイアウォール規則を修正します。 |
ファイル システムの破損/チェック | シリアル コンソールにアクセスし、ファイルシステムを復旧します。 |
RDP 構成の問題 | シリアル コンソールにアクセスし、設定を変更します。 詳しくは、RDP のドキュメントをご覧ください。 |
システムのネットワーク ロックダウン | Azure portal からシリアル コンソールにアクセスして、システムを管理します。 一部のネットワーク コマンドは、「Windows コマンド: CMD と PowerShell」に記載されています。 |
ブートローダーの操作 | シリアル コンソールを使用して BCD にアクセスします。 詳細については、「シリアル コンソールの Windows ブート メニューの有効化」を参照してください。 |
既知の問題
Microsoft は、シリアル コンソールおよび VM のオペレーティング システムには問題がいくつかあることを認識しています。 Windows VM のそのような問題と軽減手順を以下に示します。 これらの問題と軽減策は、VM と仮想マシン スケール セット インスタンスの両方に適用されます。 表示されているエラーと一致しない場合は、シリアル コンソールに関する一般的なエラーに関する記事で一般的なシリアル コンソール サービス エラーを参照してください。
問題点 | 対応策 |
---|---|
接続バナーの後に Enter キーを押しても、サインイン プロンプトが表示されない。 | このエラーは、Windows がシリアル ポートに正常に接続できない原因となるカスタム VM、堅牢化されたアプライアンス、ブート構成を実行している場合に発生する可能性があります。 このエラーは Windows 10 VM を実行している場合にも発生します。Windows Server VM のみが EMS を有効にするように構成されているからです。 |
Windows VM に接続したときに、正常性情報だけが表示される | このエラーは、Windows イメージ用に Special Administration Console が有効になっていない場合に発生します。 Windows VM で SAC を手動で有効にする方法については、「カスタム イメージまたは古いイメージでシリアル コンソールを有効にする」を参照してください。 |
SAC がブラウザーのシリアル コンソール領域全体に表示されない | これは、Windows とターミナル エミュレーターに関する既知の問題です。 両方のチームでこの問題を追跡していますが、現在は軽減策がありません。 |
カーネル デバッグを有効にすると、SAC プロンプトで入力できない。 | VM に RDP で接続して、管理者特権でのコマンド プロンプトから bcdedit /debug {current} off を実行します。 RDP で接続できない場合は、代わりに OS ディスクを別の Azure VM に接続して、データ ディスクとしてアタッチされている間に bcdedit /store <drive letter of data disk>:\boot\bcd /debug <identifier> off を実行して変更し、ディスクを戻すこともできます。 |
元のコンテンツに反復する文字が含まれる場合、SAC の PowerShell に貼り付けると 3 文字目が生成される。 | 回避策は、Remove-Module PSReadLine を実行して、現在のセッションから PSReadLine モジュールをアンロードすることです。 このアクションは、モジュールを削除またはアンインストールしません。 |
一部のキーボード入力で、不適切な SAC 出力が生成される (例: [A、[3~)。 | VT100 エスケープ シーケンスは SAC プロンプトでサポートされていません。 |
長い文字列を貼り付けると機能しない。 | シリアル コンソールでは、シリアル ポートの帯域幅に対する過負荷を防止するために、ターミナルに貼り付けられる文字列の長さが 2048 文字に制限されます。 |
よく寄せられる質問
Q. フィードバックを送信するにはどうすればよいですか?
A. GitHub の問題を作成したフィードバックの提供https://aka.ms/serialconsolefeedbackします。 (あまりお勧めしませんが) azserialhelp@microsoft.com、または https://feedback.azure.com の仮想マシン カテゴリでフィードバックをお送りいただくこともできます。
Q. シリアル コンソールでは、コピー/貼り付けが可能ですか。
A. はい。 Ctrl+Shift+C キーでコピーし、Ctrl+Shift+V キーでターミナルに貼り付けます。
Q. 私のサブスクリプションのシリアル コンソールは誰が有効にしたり、無効にしたりできますか。
A. あるサブスクリプション レベルでシリアル コンソールを有効または無効にするには、そのサブスクリプションの書き込み権限が必要です。 書き込み権限が与えられているロールには、管理者ロールと所有者ロールが含まれます。 カスタム ロールにも、書き込み権限が与えることができます。
Q. 私の VM のシリアル コンソールには誰がアクセスできますか。
A. VM のシリアル コンソールにアクセスするには、VM に対して仮想マシン共同作成者以上のロールが必要です。
Q. シリアル コンソールに何も表示されません。どうすればよいでしょうか。
A. シリアル コンソールのアクセスに関して、おそらく、イメージが間違って構成されています。 シリアル コンソールを有効にするようにイメージを構成する方法については、「カスタム イメージまたは古いイメージでシリアル コンソールを有効にする」を参照してください。
Q. シリアル コンソールは仮想マシン スケール セットに利用できますか。
A. はい。 「 Get started with Serial Console(シリアル コンソールの使用を開始する)」を参照。
次のステップ
- Windows SAC で使用できる CMD および PowerShell コマンドの詳細なガイドについては、「Windows コマンド: CMD と PowerShell」を参照してください。
- シリアル コンソールは、Linux VM でも使用できます。
- ブート診断の詳細については、こちらを参照してください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。