Partilhar via


Console serial do Azure para Windows

Aplica-se a: ✔️ Windows VMs

Observação

Esse artigo foi útil? Sua opinião é importante para nós. Use o botão Comentários nesta página para nos informar o quão bem este artigo funcionou para você ou como podemos melhorá-lo.

O console serial no portal do Azure fornece acesso a um console baseado em texto para máquinas virtuais (VMs) do Windows e instâncias de conjunto de dimensionamento de máquinas virtuais. Essa conexão serial se conecta à porta serial COM1 da VM ou da instância do conjunto de dimensionamento de máquinas virtuais, fornecendo acesso a ela independentemente da rede ou do estado do sistema operacional. O console serial só pode ser acessado usando o portal do Azure e é permitido apenas para os usuários que têm uma função de acesso de Colaborador ou superior para a VM ou conjunto de dimensionamento de máquinas virtuais.

O console serial funciona da mesma maneira para VMs e instâncias de conjunto de dimensionamento de máquinas virtuais. Neste documento, todas as menções a VMs incluirão implicitamente instâncias do conjunto de dimensionamento de máquinas virtuais, salvo indicação em contrário.

O Console Serial está geralmente disponível em regiões globais do Azure e em visualização pública no Azure Governamental. Ainda não está disponível na nuvem Azure China.

Para obter a documentação do console serial para Linux, consulte Console serial do Azure para Linux.

Observação

O console serial é compatível com uma conta de armazenamento de diagnóstico de inicialização gerenciada.

Pré-requisitos

  • Sua instância de conjunto de dimensionamento de VM ou máquina virtual deve usar o modelo de implantação de gerenciamento de recursos. As implantações clássicas não são compatíveis.

  • Sua conta que usa o console serial deve ter a função de colaborador de máquina virtual para a VM e a conta de armazenamento diagnóstico de inicialização

  • Sua instância de conjunto de dimensionamento de VM ou máquina virtual deve ter um usuário baseado em senha. Você pode criar uma com a função redefinir senha da extensão de acesso VM. Selecione Redefinir senha na seção Ajuda.

  • A VM para a instância do conjunto de dimensionamento de máquinas virtuais deve ter o diagnóstico de inicialização ativado.

    Captura de tela da opção de diagnóstico de inicialização nas configurações de diagnóstico.

Ativar a funcionalidade do console serial para Windows Server

Observação

Se você não estiver vendo nada no console serial, certifique-se de que o diagnóstico de inicialização esteja habilitado em sua VM ou conjunto de dimensionamento de máquinas virtuais.

Habilite o console serial em imagens personalizadas ou mais antigas

As imagens mais recentes do Windows Server no Azure têm o Special Administration Console (SAC) habilitado por padrão. O SAC tem suporte em versões de servidor do Windows, mas não está disponível em versões de cliente (por exemplo, Windows 10, Windows 8 ou Windows 7).

Para imagens mais antigas do Windows Server (criadas antes de fevereiro de 2018), você pode habilitar automaticamente o console serial por meio do recurso de comando de execução do portal do Azure. No portal do Azure, selecione Executar comando e selecione o comando denominado EnableEMS na lista.

Captura de tela da página de comando Executar do portal do Azure, com o comando EnableEMS realçado.

Como alternativa, para habilitar manualmente o console serial para conjunto de dimensionamento de VMs/máquinas virtuais do Windows criado antes de fevereiro de 2018, siga estas etapas:

  1. Conecte-se à sua máquina virtual do Windows usando a Área de Trabalho Remota

  2. Em um prompt de comandos de administrador, execute o seguinte comando:

    • bcdedit /ems {current} on, ou bcdedit /ems '{current}' on se estiver usando o PowerShell
    • bcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
  3. Reinicie o sistema para que o console do SAC seja habilitado.

    GIF animado mostra processo de reinicialização do sistema e habilitação do console SAC.

Se necessário, o SAC também pode ser habilitado off-line:

  1. Anexe o disco do Windows para o qual você deseja que o SAC seja configurado como um disco de dados à VM existente.

  2. Em um prompt de comandos de administrador, execute o seguinte comando:

    • bcdedit /store <mountedvolume>\boot\bcd /ems {default} on
    • bcdedit /store <mountedvolume>\boot\bcd /emssettings EMSPORT:1 EMSBAUDRATE:115200

Como posso saber se o SAC está habilitado?

Se SAC não estiver ativado, o console serial não exibirá o prompt do SAC. Em alguns casos, as informações de integridade da VM são mostradas e, em outros casos, estão em branco. Se você estiver usando uma imagem do Windows Server criada antes de fevereiro de 2018, o SAC provavelmente não será ativado.

Habilite o menu de inicialização do Windows no console serial

Se você precisar ativar os prompts do carregador de inicialização do Windows para exibição no console serial, poderá adicionar as seguintes opções adicionais aos seus dados de configuração de inicialização. Para obter mais informações, consulte bcdedit.

  1. Conecte-se à VM do Windows ou à instância do conjunto de dimensionamento de máquinas virtuais usando a Área de Trabalho Remota.

  2. Em um prompt de comandos de administrador, execute o seguinte comando:

    • bcdedit /set {bootmgr} displaybootmenu yes
    • bcdedit /set {bootmgr} timeout 10
    • bcdedit /set {bootmgr} bootems yes
  3. Reinicie o sistema para que o menu de inicialização seja ativado

Observação

O tempo limite definido para exibição do menu do gerenciador de inicialização afetará o tempo de inicialização do sistema operacional. Se você acha que o valor do tempo limite de 10 segundos é muito curto ou muito longo, defina-o com um valor diferente.

Usar console serial

Use CMD ou PowerShell no console serial

  1. Conecte-se ao console serial. Se você se conectar com sucesso, o prompt será SAC>:

    Captura de tela da saída do comando para conectar ao console serial, que solicita SAC>.

  2. Digite cmd para criar um canal que tenha uma instância CMD.

  3. Insira ch -si 1 ou pressione as teclas de atalho <esc>+<tab> para alternar para o canal que está executando a instância CMD.

  4. Pressione Enter e insira suas credenciais de logon que tenham permissão administrativa.

  5. Depois de inserir credenciais válidas, a instância do CMD é aberta.

  6. Para iniciar uma instância do PowerShell, digite PowerShell na instância do CMD e pressione Enter.

    Captura de tela da saída do comando start PowerShell.

Use o console serial para chamadas NMI

Uma interrupção não mascarável (NMI) é projetada para criar um sinal que o software em uma máquina virtual não irá ignorar. Historicamente, os NMIs têm sido usados para monitorar problemas de hardware em sistemas que exigiam tempos de resposta específicos. Hoje, os programadores e administradores de sistema costumam usar o NMI como um mecanismo para depurar ou solucionar problemas de sistemas que não estão respondendo.

O console serial pode ser usado para enviar um NMI para uma máquina virtual do Azure usando o ícone do teclado na barra de comandos. Depois que o NMI é entregue, a configuração da máquina virtual controlará como o sistema responde. O Windows pode ser configurado para travar e criar um arquivo de despejo de memória ao receber um NMI.

Captura de tela do botão Enviar interrupção não mascarável (NMI) na barra de comandos.

Para obter informações sobre como configurar o Windows para criar um arquivo de despejo de memória ao receber um NMI, consulte Como gerar um arquivo de despejo de memória usando um NMI.

Use as teclas de função no console serial

As teclas de função são habilitadas para uso do console serial em VMs do Windows. O F8 no menu suspenso do console serial oferece a conveniência de entrar facilmente no menu Advanced Boot Settings, mas o console serial é compatível com todas as outras teclas de função. Pode ser necessário pressionar Fn + F1 (ou F2, F3, etc.) no teclado, dependendo do computador do qual você está usando o console serial.

Usar WSL no console serial

O Windows Subsystem for Linux (WSL) foi habilitado para Windows Server 2019 ou posterior, portanto, também é possível habilitar o WSL para uso no console serial se você estiver executando o Windows Server 2019 ou posterior. Isso pode ser benéfico para usuários que também têm familiaridade com os comandos do Linux. Para obter instruções sobre como ativar o WSL para Windows Server, consulte o Guia de instalação.

Reinicie sua instância do conjunto de dimensionamento de VM/máquina virtual do Windows no console serial

Você pode iniciar uma reinicialização no console serial navegando até o botão liga/desliga e clicando em "Reiniciar VM". Isso iniciará uma reinicialização da VM e você verá uma notificação no portal do Azure sobre a reinicialização.

Isso é útil em situações em que você deseja acessar o menu de inicialização sem sair da experiência do console serial.

O GIF animado mostra o processo de reinicialização da VM no console serial.

Desabilitar o console serial

Por padrão, todas as assinaturas têm acesso ao console serial ativado. Você pode desabilitar o console serial no nível de assinatura ou no nível de conjunto de dimensionamento de VM/máquina virtual. Para obter instruções detalhadas, visite Habilitar e desabilitar o console serial do Azure.

Segurança do console serial

Use o console serial com o firewall de conta de armazenamento de diagnóstico de inicialização personalizado ativado

O console serial usa a conta de armazenamento configurada para diagnóstico de inicialização em seu fluxo de trabalho de conexão. Quando um firewall é habilitado nesta conta de armazenamento, os IPs de serviço do console serial devem ser adicionados como exclusões. Para fazer isso, siga estas etapas:

  1. Navegue até as configurações do firewall da conta de armazenamento de diagnóstico de inicialização personalizado que você habilitou.

    Observação

    Para determinar qual conta de armazenamento está habilitada para sua VM, na seção Suporte + solução de problemas, selecione Diagnóstico de inicialização>Configurações.

  2. Adicione IPs de serviço do console serial como exclusões de firewall com base na geografia da VM.

    A tabela a seguir lista os IPs que precisam ser permitidos como exclusões de firewall com base na região ou geografia onde a VM está localizada. Este é um subconjunto da lista completa de endereços IP do Console Serial usados na marca de serviço SerialConsole . Você pode limitar o acesso a contas de armazenamento de diagnóstico de inicialização por meio da marca de serviço SerialConsole . A etiqueta de serviço não é separada regionalmente. O tráfego na etiqueta de serviço é somente de entrada e o Console Serial não gera tráfego para Destinos Controláveis pelo Cliente. Embora os firewalls da conta de armazenamento do Azure atualmente não deem suporte a marcas de serviço, a marca de serviço SerialConsole pode ser consumida programaticamente para determinar a lista de IP. Para obter mais informações sobre etiquetas de serviço, veja Etiquetas de serviço de rede virtual.

    Observação

    Não há suporte para firewalls de conta de armazenamento para o Console Serial para VMs em regiões geográficas com apenas uma região, como Norte da Itália na Itália.

    Endereço IP Regiões Geografia
    102.37.86.194 Norte da África do Sul, Oeste da África do Sul África
    20.87.80.28 Norte da África do Sul, Oeste da África do Sul África
    20.205.69.28 Ásia Oriental, Sudeste Asiático Ásia-Pacífico
    20.195.85.180 Ásia Oriental, Sudeste Asiático Ásia-Pacífico
    20.53.53.224 Austrália Central, Austrália Central 2, Austrália Leste, Austrália Sudeste Austrália
    20.70.222.112 Austrália Central, Austrália Central 2, Austrália Leste, Austrália Sudeste Austrália
    191.234.136.63 Sul do Brasil, Sudeste do Brasil Brasil
    20.206.0.194 Sul do Brasil, Sudeste do Brasil Brasil
    52.228.86.177 Canadá Central, Canadá Leste Canadá
    52.242.40.90 Canadá Central, Canadá Leste Canadá
    20.45.242.18 Canário (EUAP)
    20.51.21.252 Canário (EUAP)
    52.146.139.220 Norte da Europa, Europa Ocidental Europa
    20.105.209.72 Norte da Europa, Europa Ocidental Europa
    20.111.0.244 França Central, França Sul França
    52.136.191.10 França Central, França Sul França
    51.116.75.88 Norte da Alemanha, Centro-Oeste da Alemanha Alemanha
    20.52.95.48 Norte da Alemanha, Centro-Oeste da Alemanha Alemanha
    20.192.168.150 Índia Central, Sul da Índia, Índia Ocidental Índia
    20.192.153.104 Índia Central, Sul da Índia, Índia Ocidental Índia
    20.43.70.205 Leste do Japão, Oeste do Japão Japão
    20.189.228.222 Leste do Japão, Oeste do Japão Japão
    20.200.196.96 Coreia Central, Coreia do Sul República da Coreia
    52.147.119.29 Coreia Central, Coreia do Sul República da Coreia
    20.100.1.184 Oeste da Noruega, Leste da Noruega Noruega
    51.13.138.76 Oeste da Noruega, Leste da Noruega Noruega
    20.208.4.98 Norte da Suíça, Oeste da Suíça Suíça
    51.107.251.190 Norte da Suíça, Oeste da Suíça Suíça
    20.45.95.66 Centro dos Emirados Árabes Unidos, Norte dos Emirados Árabes Unidos Emirados Árabes Unidos
    20.38.141.5 Centro dos Emirados Árabes Unidos, Norte dos Emirados Árabes Unidos Emirados Árabes Unidos
    20.90.132.144 Sul do Reino Unido, Oeste do Reino Unido Reino Unido
    20.58.68.62 Sul do Reino Unido, Oeste do Reino Unido Reino Unido
    51.12.72.223 Suécia Central, Suécia Sul Suécia
    51.12.22.174 Suécia Central, Suécia Sul Suécia
    20.98.146.84 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos
    20.98.194.64 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos
    20.69.5.160 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos
    20.69.5.162 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos
    20.83.222.102 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos
    20.83.222.100 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos
    20.141.10.131 Todas as regiões de nuvem do governo dos EUA UsGov
    52.235.252.253 Todas as regiões de nuvem do governo dos EUA UsGov
    143.64.47.39 Norte da China 3 China
    163.228.70.115 Leste da China 3 China

    Importante

    • Os IPs que precisam ser permitidos são específicos da região onde a VM está localizada. Por exemplo, uma máquina virtual implantada na região Norte da Europa precisa adicionar as seguintes exclusões de IP ao firewall da conta de armazenamento para a geografia da Europa: 52.146.139.220 e 20.105.209.72. Veja a tabela acima para encontrar os IPs corretos para sua região e geografia.
    • Na operação atual do console serial, o soquete da web é aberto para um ponto de extremidade como <region>.gateway.serialconsole.azure.com. Certifique-se de que o ponto de extremidade serialconsole.azure.com seja permitido para clientes de navegador em sua organização. Na nuvem do governo dos EUA (Fairfax), o sufixo do ponto de extremidade é serialconsole.azure.us.

    Para obter mais informações sobre como adicionar IPs ao firewall da conta de armazenamento, consulte Configurar firewalls de armazenamento do Azure e redes virtuais: Gerenciando regras de rede IP.

Depois que os endereços IP forem adicionados com êxito ao firewall da conta de armazenamento, tente novamente a conexão do console serial com a VM. Se você ainda tiver problemas de conexão, verifique se os endereços IP corretos foram excluídos do firewall da conta de armazenamento para a região da VM.

Segurança de acesso

O acesso ao console serial é limitado a usuários que tenham uma função de acesso de Virtual Machine Contributor ou superior para a máquina virtual. Se seu locatário do Microsoft Entra exigir MFA (autenticação multifator), o acesso ao console serial também precisará de MFA porque o acesso do console serial é por meio do portal do Azure.

Segurança do canal

Todos os dados enviados e recebidos são criptografados em trânsito com TLS 1.2 ou uma versão posterior.

Armazenamento e criptografia de dados

O console serial do Azure não revisa, inspeciona ou armazena dados transmitidos para dentro e para fora da porta serial da máquina virtual. Portanto, não há dados para criptografar em repouso.

Para garantir que todos os dados na memória que são paginados para discos por máquinas virtuais que executam o Console Serial do Azure sejam criptografados, use a criptografia baseada em host. A criptografia baseada em host é habilitada por padrão para todas as conexões do console serial do Azure.

Residência de dados

O portal do Azure ou Azure CLI atua como terminais remotos para a porta serial da máquina virtual. Como esses terminais não podem se conectar diretamente aos servidores que hospedam a máquina virtual na rede, um gateway de serviço intermediário é usado para fazer proxy do tráfego do terminal. O Console Serial do Azure não armazena nem processa esses dados do cliente. O gateway de serviço intermediário que transfere os dados residirá na geografia da máquina virtual.

Logs de auditoria

Todo o acesso ao console serial está atualmente registrado nos logs de diagnóstico de inicialização da máquina virtual. O acesso a esses logs pertence e é controlado pelo administrador da máquina virtual do Azure.

Cuidado

Nenhuma senha de acesso para o console é registrada. No entanto, se os comandos executados no console contiverem ou gerarem senhas, segredos, nomes de usuário ou qualquer outra forma de informações de identificação pessoal (PII), eles serão gravados nos logs de diagnóstico de inicialização da VM. Eles serão escritos junto com todos os outros textos visíveis, como parte da implementação da função de rolagem para trás do console serial. Esses logs são circulares e somente indivíduos com permissões de leitura para a conta de armazenamento de diagnósticos têm acesso a eles. No entanto, recomendamos seguir as práticas recomendadas de uso da Área de Trabalho Remota para qualquer coisa que envolva segredos e/ou PII.

Uso simultâneo

Se um usuário estiver conectado ao console serial e outro usuário solicitar com sucesso acesso a essa mesma máquina virtual, o primeiro usuário será desconectado e o segundo usuário conectado à mesma sessão.

Cuidado

Isso significa que um usuário desconectado não será desconectado. A capacidade de impor um logout após a desconexão (usando SIGHUP ou mecanismo semelhante) ainda está no roteiro. Para Windows, há um timeout automático habilitado no SAC; para Linux, você pode definir a configuração de tempo limite do terminal.

Acessibilidade

A acessibilidade é um foco principal para o console serial do Azure. Para esse fim, garantimos que o console serial seja acessível para pessoas com deficiência visual ou com deficiência auditiva, bem como para pessoas que talvez não consigam usar um mouse.

Navegação pelo teclado

Use a tecla Tab em seu teclado para navegar na interface do console serial do portal do Azure. Sua localização será destacada na tela. Para deixar o foco da janela do console serial, pressione Ctrl+F6 em seu teclado.

Use o console serial com um leitor de tela

O console serial possui suporte integrado ao leitor de tela. Navegar com um leitor de tela ativado permitirá que o texto alternativo do botão atualmente selecionado seja lido em voz alta pelo leitor de tela.

Cenários comuns para acessar o console serial

Cenário Ações no console serial
Regras de firewall incorretas Acesse o console serial e corrija as regras de firewall do Windows.
Corrupção/verificação do sistema de arquivos Acesse o console serial e recupere o sistema de arquivos.
Problemas de configuração do RDP Acesse o console serial e altere as configurações. Para obter mais informações, consulte a documentação RDP.
Sistema de bloqueio de rede Acesse o console serial do portal do Azure para gerenciar o sistema. Alguns comandos de rede estão listados em Comandos do Windows: CMD e PowerShell.
Interagindo com o bootloader Acesse o BCD por meio do console serial. Para obter informações, consulte Ativar o menu de inicialização do Windows no console serial.

Problemas conhecidos

Estamos cientes de alguns problemas com o console serial e o sistema operacional da VM. Aqui está uma lista desses problemas e etapas para mitigação para VMs do Windows. Esses problemas e mitigações se aplicam a VMs e instâncias de conjunto de dimensionamento de máquinas virtuais. Se eles não corresponderem ao erro que você está vendo, consulte os erros comuns do serviço do console serial em Erros comuns do console serial.

Problema Atenuação
Pressionar Enter após o banner de conexão não faz com que um prompt de login seja exibido. Esse erro pode ocorrer se você estiver executando uma VM personalizada, dispositivo reforçado ou configuração de inicialização que faz com que o Windows não consiga se conectar corretamente à porta serial. Esse erro também ocorrerá se você estiver executando uma VM do Windows 10, porque apenas as VMs do Windows Server estão configuradas para ter o EMS habilitado.
Apenas as informações de integridade são mostradas ao se conectar a uma VM do Windows Este erro ocorre se o Console de administração especial não foi habilitado para sua imagem do Windows. Consulte Ativar o console serial em imagens personalizadas ou antigas para obter instruções sobre como ativar manualmente o SAC em sua VM do Windows.
O SAC não ocupa toda a área do Console Serial no navegador Este é um problema conhecido do Windows e do emulador de terminal. Estamos acompanhando esse problema com ambas as equipes, mas por enquanto não há mitigação.
Não é possível digitar no prompt do SAC se a depuração do kernel estiver habilitada. RDP para VM e execute bcdedit /debug {current} off em um prompt de comandos com privilégios elevados. Se você não pode RDP, em vez disso, você pode anexar o disco do sistema operacional a outra VM do Azure e modificá-lo enquanto anexado como um disco de dados executando bcdedit /store <drive letter of data disk>:\boot\bcd /debug <identifier> off e, em seguida, trocando o disco de volta.
Colar no PowerShell no SAC resulta em um terceiro caractere se o conteúdo original tiver um caractere repetido. Para obter uma solução alternativa, execute Remove-Module PSReadLine para descarregar o módulo PSReadLine da sessão atual. Esta ação não excluirá ou desinstalará o módulo.
Algumas entradas de teclado produzem uma saída SAC estranha (por exemplo, [A, [3~). As sequências de escape VT100 não são suportadas pelo prompt SAC.
Colar strings longas não funciona. O console serial limita o comprimento das strings coladas no terminal a 2.048 caracteres para evitar a sobrecarga da largura de banda da porta serial.

Perguntas frequentes

P. Como posso enviar comentários?

R. Forneça feedback criando um problema no GitHub em https://aka.ms/serialconsolefeedback. Alternativamente (menos preferido), você pode enviar feedback via azserialhelp@microsoft.com ou na categoria de máquina virtual de https://feedback.azure.com.

P. O console serial suporta copiar/colar?

A. Sim. Use Ctrl+Shift+C e Ctrl+Shift+V para copiar e colar no ponto de extremidade.

P. Quem pode habilitar ou desabilitar o console serial para minha assinatura?

R. Para habilitar ou desabilitar o console serial em um nível de assinatura, você deve ter permissões de gravação para a assinatura. As funções que têm permissão de gravação incluem funções de administrador ou proprietário. As funções personalizadas também podem ter permissões de gravação.

P. Quem pode acessar o console serial da minha VM?

R. Você deve ter a função de Colaborador da Máquina Virtual ou superior para que uma VM acesse o console serial da VM.

P. Meu console serial não está exibindo nada, o que eu faço?

R. Sua imagem provavelmente está mal configurada para acesso ao console serial. Para obter informações sobre como configurar sua imagem para habilitar o console serial, consulte Habilitar o console serial em imagens personalizadas ou antigas.

P. O console serial está disponível para conjuntos de dimensionamento de máquinas virtuais?

R. É sim! Consulte Introdução ao console serial.

Próximas etapas

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.