2015.07.11 に開催された Interact × Cloud Samurai Roadshow 2015年7月 のセッション資料です。

1. PowerShell 5.0 で広がる
運用管理の世界
Interact × Cloud Samurai Roadshow 2015 年 7月 (2015.07.11)
Kazuki Takai – System Center User Group Japan

2. 自己紹介
 高井 一輝 (Takai Kazuki)
 某ISP勤務
 クラウドサービスの開発、設計、設備維持
 Windows Server / System Center / Linux / etc…
 System Center User Group Japan (SCUGJ)
 Twitter : @zhuky7 / Facebook : kazuki.takai
 Blog : http://operationslab.wordpress.com/
2

3. 本日の内容
 本日の内容 (お話しすること)
 PowerShell 5.0 / WMF 5.0 を中心とした運用管理系のテクノロジー、ソリューション
 標準コマンドレットの拡充
 構成管理 (Desired State Configuration)
 パッケージ管理 (Package Manager)
 セキュリティの強化 (Just Enough Administration、Just in Time Administration/PAM)
 お話ししないこと
 運用管理に直接関係ない PowerShell 5.0 の新機能
 各機能の細かい仕様や設定方法
3

4. セッションのゴール
 PowerShell と周辺のテクノロジーを組み合わせることで、
何ができるかをイメージできる
 PowerShell を (より) 使ってみたくなる
4

5. はじめる前に
 このセッションでは Preview 版の製品、テクノロジーについて記載しています
 2015/07 時点の情報をベースにしています
 今後のリリースで機能や動作が変更、削除される可能性があります
 主に、Windows PowerShell 5.0 について記載します
 厳密には、PowerShell 5.0 の新機能ではないものも含まれています
 Windows Server 2016 の新機能に紐づく個々のコマンドレットについては
(ほとんど) 記載しません
5

6. 本日の環境
 WMF 5.0 Preview
 Windows 10 Pro Insider Preview (Build 10162, 10166)
 Windows Server 2016 TP2 (Build 10072)
 Package Repository, MIM
 Windows Server 2012 R2
 Windows 8.1
6

7. Windows Server と PowerShell
 Windows Server の進化とともに、PowerShell も進化
 PowerShell 1.0 : Windows Server 2003, Windows XP, Vista の追加コンポーネント
 PowerShell 2.0 : Windows Server 2008 R2 に標準搭載 (2003 – 2008 対応)
 PowerShell 3.0 : Windows Server 2012 に標準搭載 (2008, 2008 R2 対応)
 PowerShell 4.0 : Windows Server 2012 R2 に標準搭載 (2008 R2, 2012 対応)
 PowerShell 5.0 : Windows Server 2016 に標準搭載予定 (2008 R2 – 2012 R2 対応？)
 デフォルトで有効化
 Windows 10 にも搭載予定！？
7

8. 2012 R2 vs 2016
8
 Windows Server 2012 R2
 Build Version : 6.3.9600.16394
 Windows Server 2012 R2 with KB3000850
 Build Version : 6.3.9600.17400
 Windows Server 2016 TP2
 Build Version : 10.0.10074.0
 Windows Server 2012 R2 with WMF 5.0 Preview
 Build Version : 10.0.10105.0
 Windows 10 Insider Preview
 Build Version : 10.0.10162.0 (Slow Ring), 10.0.10166.0 (Fast Ring)

9. WMF 5.0 Preview April 2015
 2015/07/10 現在、以下の OS に対応
 Windows Server 2012 R2, Windows 8.1
 Windows Server 2012
 Windows Server 2008 R2, Windows 7
 KB3055381 or KB3055377 or KB2908075 をインストールすることで利用可能
 OS 毎に指定の KB をインストール
 詳細はリリースノートを参照
 英語の言語パックがインストールされていない環境ではインストールに失敗する(かも)
9

10. PowerShell 5.0 の新機能
 PackageManagement を使用したソフトウェアのインストール
 PowerShellGet を使用したモジュールの管理
 クラスの定義
 デバッグ関連の機能追加（拡充）
 DSC 関連の機能追加
 OData エンドポイントからコマンドレットを生成
 監査/ロギング機能の強化
 ネットワークスイッチ管理のためのコマンドレット追加
 ZIP ファイルの操作
 シンボリックリンク関連の機能強化
 文字列から構造化オブジェクトを生成
 etc...
10

11. 本日紹介する機能
 標準コマンドレットの拡充
 PowerShell Direct
 Remote Copy
 etc...
 構成管理
 DSC (Windows/Linux)
 パッケージ管理
 Package Management
 PowerShell Get
 セキュリティの強化
 Just Enough Administration
 Just in Time Administration/PAM
11

12. 標準コマンドレットの拡充
 運用管理面で便利なコマンドレッド、スイッチの追加および機能の拡張
 PowerShell Direct
 Remote Copy
 Transcript
 Get-Clipboard, Set-Clipboard
 Compress-Archive, Expand-Archive
 -Recurse with -Depth
 -NoNewLine
 -ItemType SymbolicLink
12

13. PowerShell Direct
 Hyper-V ホストからゲスト VM に対してアクセス可能
 ホストからゲストへの PSSession
 Hyper-V ゲストサービス不要
 PowerShell Remoting 構成不要
 ネットワーク接続不要
 Enter-PSSession / Invoke-Command
 New-PSSession では使用できない (少なくとも Preview においては)
 Copy-VMFile と組み合わせると、初期構成が可能
13

14. PowerShell Direct
 注意点
 ホスト、ゲストともに Windows 10 or Windows Server 2016 である必要がある
 評価上の注意点
 ホストとゲストの組み合わせにより、うまく動作しない場合がある
 Windows 10 Insider Preview Build 10162 -> Windows Server 2016 TP2 Build 10072 : NG
 Windows 10 Insider Preview Build 10162 -> Windows 10 Insider Preview Build 10166 : OK
 Windows Server 2016 TP2 Build 10072 -> Windows Server 2016 TP2 Build 10072 : OK
 なるべく同じ Build Version を使用する
14

15. Remote Copy
 PSSession 経由でアイテムのコピーが可能
 Session は事前に確立しておく必要あり (New-PSSession)
 Copy-Item コマンドレットの追加パラメータを使用
 -FromSession
 -ToSession
 SSH (SCP) のような使い方が可能に！
15

16. 監査/ロギング機能の強化
 Transcripting の改善
 ファイル名自動生成機能 (保存先フォルダーのみ指定)
 コマンド実行時刻の自動記録が可能
 外部コマンドの出力を記録可能
 Script Block のロギング
 全てのスクリプトブロックをイベントログへ記録
 Microsoft-Windows-PowerShell/Operational
 グループポリシーで有効化
 Administrative Templates -> Windows Components -> Windows PowerShell
16
※ BuildVersion 6.3.9600.17400 以降で利用可能

17. Script Block のロギング
17
※ BuildVersion 6.3.9600.17400 以降で利用可能

18. Demo
New & Update Cmdlets
18
 PowerShell Direct
 Remote Copy
 Transcript

19. Desired State Configuration (DSC)
 Windows PowerShell Desired State Configuration
 サーバーの構成と管理を行うための機能
 操作 (構築) 手順ではなく、状態を記述することでサーバーを自動構成
 DSC によるサーバーの構成手順
 PowerShell で構成後のサーバーの状態を定義
 PowerShell コードから構成データが含まれる MOF ファイルを生成
 MOF ファイルを使用してサーバーを構成
19

20. DSC 関連の機能追加
 複数コンピューター間でのリソース依存関係の記述 (Wait for All/Any)
 DSC リソース実行時のアカウント指定 (Run as Credential)
 Linux サーバへの適用 (DSC for Linux)
 64bit 環境における 32bit プロセス環境 (WOW64) の構成をサポート
 Configuration Status の集中管理 (情報の集約/レポーティング)
 PowerShell ISE の DSC 編集サポートの強化
 DSC Local Configuration Manager 向けの Meta-Configuration Attribute
 DSC Configuration の分割記述
 ConfigurationRepositoryWeb 経由で外部の記述をインポート
20

21. DSC 関連の機能追加
 追加のリソース
 PowerShell Gallery (など) からダウンロード
 PowerShellGet を使用してインストール
 (または) モジュールフォルダーに手動で展開
 PowerShell DSC for Linux
 http://www.microsoft.com/en-us/download/details.aspx?id=46919
 ダウンロードファイル (パッケージ) 内に、以下が含まれる
 Windows Server (PowerShell) 上で利用可能な Linux 向けの DSC リソース (nx)
 Linux 用の DSC パッケージ
21

22. Demo  Local Configuration (User)
 Wait for & Run as Credential
 DSC for Linux
Desired State Configuration
22

23. PackageManager
 リポジトリベースのパッケージ管理システム
 コアシステム
 管理用のコマンドレット
 PowerShell 上から操作・管理可能
 *-Package コマンドレット群
 リポジトリの追加が可能
 *-PackageProvider
23

24. うまく動かないときは
 NuGet プロバイダが登録されているか確認する
 初めて Find-Package, Install-Package, Find-Module, Install-Module などを
実行した際に、NuGet プロバイダ用のファイルをインストールするか確認される
 NuGet プロバイダが追加されていない場合は、以下コマンドレットが必要
 Get-PackageProvider –Name NuGet –ForceBootstrap
 追加プロバイダーの保存先
 管理者として実行した場合 : $env:PROGRAMFILES¥OneGet¥ProviderAssemblies
 それ以外の場合 : $env:LOCALAPPDATA¥OneGet¥ProviderAssemblies
24

25. NuGet プロバイダーの追加
25

26. PowerShellGet
 PowerShell のモジュールや DSC リソースを管理するための仕組み
 リポジトリからモジュールやリソースをダウンロードしてインストール
 *-Module / *-DscResource コマンドレット群
 リポジトリの追加や変更が可能
 Register-PSRepository / Unregister-PSRepository
 Get-PSRepogitory / Set-PSRepogitory
26

27. ローカルリポジトリ
 内部の (管理された) リポジトリを使用可能
 パッケージをホスト (ダウンロード) 可能なサーバー
 パッケージ情報をフィードする仕組み
 上記 2 点を満たすサーバーであれば、リポジトリとして利用可能
 お手軽に試す場合は…
 NuGet.Server などを利用可能
27

28. Demo
Package & Module
Management
28
 Package Management
 PowerShellGet
 Local Repository

29. セキュリティ
 JEA (Just Enough Administration)
 実行可能な操作やアクセス可能なオブジェクトを制限
 Just-in-Time Admin Access
 MIM (Microsoft Identity Manager) と連携して、必要なときのみ権限を付与
 Privileged groups / TTL
 ロギング・監査機能の強化
 前述
29

30. Just Enough Administration
 利用可能なコマンドレットを制限する仕組み
 事前に、専用のエンドポイントを作成
 エンドポイントに対して、利用可能なコマンドレットやパラメータを設定
 作業時は、エンドポイントに接続して操作
 New-PSSession などのコマンドレットで、-ConfigurationName を指定
 エンドポイント環境内では、事前の構成に従って、実行可能なコマンドレットや
指定可能なパラメータが制限される
 構成には DSC の xJEA リソースを使用 (すると、簡単に設定可能)
30

31. JIT Admin (PAM)
31
 Just-In-Time Administration
 必要な時だけ、期限を区切って特権を取得することで、よりセキュアに
 ワークフローへの組み込みなども可能
 Active Directory Domain Service と Microsoft Identity Manager を使用
 普段利用しているドメインアカウントからは権限を削除
 リクエストに応じて、MIM が動的に権限を付与 (セキュリティグループへ追加)
 あらかじめ設定された、またはリクエストされた TTL を経過すると、
Kerberos チケットが失効
 特権取得のリクエストに PowerShell を使用可能

32. Demo
Security
32
 Just Enough Administration
 JIT Admin

33. まとめ
 PowerShell 5.0 は着実に進化
 DSCの利用範囲/適用範囲が拡大
 ソフトウェア/モジュールのインストール簡易化
 セキュリティの強化
 まずは利用してみる！
33

34. 参考資料
 What‘s New in Windows PowerShell – TechNet
 http://technet.microsoft.com/en-us/library/hh857339.aspx
 Windows PowerShell Blog
 http://blogs.msdn.com/b/powershell/
 PowerShell Gallery
 https://www.powershellgallery.com/
34