Windows Admin Center をワークグループ環境で利用する際のメモ at SE の雑記

Windows Admin Center をワークグループ環境で使用する際のメモを。

検証用環境だと、Windows Admin Center をインストールした環境と、管理対象をワークグループにしてしまっていることが多いので…。

接続の対象は Windows Server 2019 を想定したものとなります。

Contents

ワークグループ環境で利用する際に確認するとよいドキュメント

ワークグループ環境で Admin Center を利用する際のドキュメントですが、次のドキュメントで情報が公開されています。

管理対象のビルトインの Administrator を使用して接続する場合は、作業は不要ですが、「Administrators グループ」のユーザーで接続を行う場合には、LocalAccountTokenFilterPolicy の設定 (UAC リモートアクセスを無効にする) が必要となります。

接続には、WinRM HTTP (TCP 5985) が使用されますので、接続対象の TCP 5985 に接続ができる必要があります。

Admin Center から、Azure Kubernetes サービスをインストールす際には、資格情報の委任として CredSSP を有効にする必要があります。

CredSSP の設定としては、次のようになるかと。（この辺毎回わからなくなるんですよね)

接続元の Admin Cerver で「次のターゲットに対する新しい資格情報の委任を許可する」ように構成されている
- 「Enable-WsManCredSSP -Role Client -DelegateComputer *」で有効化できる
- HKLM\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
  に、接続先「WSMAN/<コンピューター名>」で追加されている
  - グループポリシーの場合は「コンピューターの構成」->「管理用テンプレート」->「システム」->「資格情報の委任」->「NTLM のみのサーバー認証で新しい資格情報の委任を許可する」に「WSMAN/コンピューター名」を追加 (今回は検証環境なので「WSMAN/*」を追加してしまっていますが)
接続元の Admin Center で TurstedHost が構成されている
- Set-Item WSMan:\localhost\Client\TrustedHosts -Value *
  - HKLM\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client
  - こちらも検証なので * 使っていますが、本来は対象を限定したほうが良いかと。
接続先の Windows Server 2019 で「リモートクライアントコンピューターからの資格情報を受け取る」ように構成されている (デフォルトで有効化されているかと)
- Enable-WSManCredSSP -Role Server

ワークグループ環境については、上記の設定で、対応できるかと思います。

この辺、わからなくなったときは、次のドキュメントを毎度眺めています。

この現象はワークグループは関係ないですが、Admin Center 2103.2 でリモートデスクトップで接続をしようとすると、次のエラーが発生するケースがあるようです。(私の環境はつながりません…)

予期しないエラーが発生しました: ‘handle[name] is not a function’

~~これについては、以下の記事でも取り上げられていますが、現状は静観するしかなさそうです。~~

追記

Admin Center のリモートデスクトップの拡張機能を更新して、最新化すると解消されます。