Console serial do Azure para Windows
Aplica-se a: ✔️ Windows VMs
Observação
Esse artigo foi útil? Sua opinião é importante para nós. Use o botão Comentários nesta página para nos informar o quão bem este artigo funcionou para você ou como podemos melhorá-lo.
O console serial no portal do Azure fornece acesso a um console baseado em texto para máquinas virtuais (VMs) do Windows e instâncias de conjunto de dimensionamento de máquinas virtuais. Essa conexão serial se conecta à porta serial COM1 da VM ou da instância do conjunto de dimensionamento de máquinas virtuais, fornecendo acesso a ela independentemente da rede ou do estado do sistema operacional. O console serial só pode ser acessado usando o portal do Azure e é permitido apenas para os usuários que têm uma função de acesso de Colaborador ou superior para a VM ou conjunto de dimensionamento de máquinas virtuais.
O console serial funciona da mesma maneira para VMs e instâncias de conjunto de dimensionamento de máquinas virtuais. Neste documento, todas as menções a VMs incluirão implicitamente instâncias do conjunto de dimensionamento de máquinas virtuais, salvo indicação em contrário.
O Console Serial está geralmente disponível em regiões globais do Azure e em visualização pública no Azure Governamental. Ainda não está disponível na nuvem Azure China.
Para obter a documentação do console serial para Linux, consulte Console serial do Azure para Linux.
Observação
O console serial é compatível com uma conta de armazenamento de diagnóstico de inicialização gerenciada.
Pré-requisitos
Sua instância de conjunto de dimensionamento de VM ou máquina virtual deve usar o modelo de implantação de gerenciamento de recursos. As implantações clássicas não são compatíveis.
Sua conta que usa o console serial deve ter a função de colaborador de máquina virtual para a VM e a conta de armazenamento diagnóstico de inicialização
Sua instância de conjunto de dimensionamento de VM ou máquina virtual deve ter um usuário baseado em senha. Você pode criar uma com a função redefinir senha da extensão de acesso VM. Selecione Redefinir senha na seção Ajuda.
A VM para a instância do conjunto de dimensionamento de máquinas virtuais deve ter o diagnóstico de inicialização ativado.
Ativar a funcionalidade do console serial para Windows Server
Observação
Se você não estiver vendo nada no console serial, certifique-se de que o diagnóstico de inicialização esteja habilitado em sua VM ou conjunto de dimensionamento de máquinas virtuais.
Habilite o console serial em imagens personalizadas ou mais antigas
As imagens mais recentes do Windows Server no Azure têm o Special Administration Console (SAC) habilitado por padrão. O SAC tem suporte em versões de servidor do Windows, mas não está disponível em versões de cliente (por exemplo, Windows 10, Windows 8 ou Windows 7).
Para imagens mais antigas do Windows Server (criadas antes de fevereiro de 2018), você pode habilitar automaticamente o console serial por meio do recurso de comando de execução do portal do Azure. No portal do Azure, selecione Executar comando e selecione o comando denominado EnableEMS na lista.
Como alternativa, para habilitar manualmente o console serial para conjunto de dimensionamento de VMs/máquinas virtuais do Windows criado antes de fevereiro de 2018, siga estas etapas:
Conecte-se à sua máquina virtual do Windows usando a Área de Trabalho Remota
Em um prompt de comandos de administrador, execute o seguinte comando:
bcdedit /ems {current} on
, oubcdedit /ems '{current}' on
se estiver usando o PowerShellbcdedit /emssettings EMSPORT:1 EMSBAUDRATE:115200
Reinicie o sistema para que o console do SAC seja habilitado.
Se necessário, o SAC também pode ser habilitado off-line:
Anexe o disco do Windows para o qual você deseja que o SAC seja configurado como um disco de dados à VM existente.
Em um prompt de comandos de administrador, execute o seguinte comando:
bcdedit /store <mountedvolume>\boot\bcd /ems {default} on
bcdedit /store <mountedvolume>\boot\bcd /emssettings EMSPORT:1 EMSBAUDRATE:115200
Como posso saber se o SAC está habilitado?
Se SAC não estiver ativado, o console serial não exibirá o prompt do SAC. Em alguns casos, as informações de integridade da VM são mostradas e, em outros casos, estão em branco. Se você estiver usando uma imagem do Windows Server criada antes de fevereiro de 2018, o SAC provavelmente não será ativado.
Habilite o menu de inicialização do Windows no console serial
Se você precisar ativar os prompts do carregador de inicialização do Windows para exibição no console serial, poderá adicionar as seguintes opções adicionais aos seus dados de configuração de inicialização. Para obter mais informações, consulte bcdedit.
Conecte-se à VM do Windows ou à instância do conjunto de dimensionamento de máquinas virtuais usando a Área de Trabalho Remota.
Em um prompt de comandos de administrador, execute o seguinte comando:
bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 10
bcdedit /set {bootmgr} bootems yes
Reinicie o sistema para que o menu de inicialização seja ativado
Observação
O tempo limite definido para exibição do menu do gerenciador de inicialização afetará o tempo de inicialização do sistema operacional. Se você acha que o valor do tempo limite de 10 segundos é muito curto ou muito longo, defina-o com um valor diferente.
Usar console serial
Use CMD ou PowerShell no console serial
Conecte-se ao console serial. Se você se conectar com sucesso, o prompt será SAC>:
Digite
cmd
para criar um canal que tenha uma instância CMD.Insira
ch -si 1
ou pressione as teclas de atalho<esc>+<tab>
para alternar para o canal que está executando a instância CMD.Pressione Enter e insira suas credenciais de logon que tenham permissão administrativa.
Depois de inserir credenciais válidas, a instância do CMD é aberta.
Para iniciar uma instância do PowerShell, digite
PowerShell
na instância do CMD e pressione Enter.
Use o console serial para chamadas NMI
Uma interrupção não mascarável (NMI) é projetada para criar um sinal que o software em uma máquina virtual não irá ignorar. Historicamente, os NMIs têm sido usados para monitorar problemas de hardware em sistemas que exigiam tempos de resposta específicos. Hoje, os programadores e administradores de sistema costumam usar o NMI como um mecanismo para depurar ou solucionar problemas de sistemas que não estão respondendo.
O console serial pode ser usado para enviar um NMI para uma máquina virtual do Azure usando o ícone do teclado na barra de comandos. Depois que o NMI é entregue, a configuração da máquina virtual controlará como o sistema responde. O Windows pode ser configurado para travar e criar um arquivo de despejo de memória ao receber um NMI.
Para obter informações sobre como configurar o Windows para criar um arquivo de despejo de memória ao receber um NMI, consulte Como gerar um arquivo de despejo de memória usando um NMI.
Use as teclas de função no console serial
As teclas de função são habilitadas para uso do console serial em VMs do Windows. O F8 no menu suspenso do console serial oferece a conveniência de entrar facilmente no menu Advanced Boot Settings, mas o console serial é compatível com todas as outras teclas de função. Pode ser necessário pressionar Fn + F1 (ou F2, F3, etc.) no teclado, dependendo do computador do qual você está usando o console serial.
Usar WSL no console serial
O Windows Subsystem for Linux (WSL) foi habilitado para Windows Server 2019 ou posterior, portanto, também é possível habilitar o WSL para uso no console serial se você estiver executando o Windows Server 2019 ou posterior. Isso pode ser benéfico para usuários que também têm familiaridade com os comandos do Linux. Para obter instruções sobre como ativar o WSL para Windows Server, consulte o Guia de instalação.
Reinicie sua instância do conjunto de dimensionamento de VM/máquina virtual do Windows no console serial
Você pode iniciar uma reinicialização no console serial navegando até o botão liga/desliga e clicando em "Reiniciar VM". Isso iniciará uma reinicialização da VM e você verá uma notificação no portal do Azure sobre a reinicialização.
Isso é útil em situações em que você deseja acessar o menu de inicialização sem sair da experiência do console serial.
Desabilitar o console serial
Por padrão, todas as assinaturas têm acesso ao console serial ativado. Você pode desabilitar o console serial no nível de assinatura ou no nível de conjunto de dimensionamento de VM/máquina virtual. Para obter instruções detalhadas, visite Habilitar e desabilitar o console serial do Azure.
Segurança do console serial
Use o console serial com o firewall de conta de armazenamento de diagnóstico de inicialização personalizado ativado
O console serial usa a conta de armazenamento configurada para diagnóstico de inicialização em seu fluxo de trabalho de conexão. Quando um firewall é habilitado nesta conta de armazenamento, os IPs de serviço do console serial devem ser adicionados como exclusões. Para fazer isso, siga estas etapas:
Navegue até as configurações do firewall da conta de armazenamento de diagnóstico de inicialização personalizado que você habilitou.
Observação
Para determinar qual conta de armazenamento está habilitada para sua VM, na seção Suporte + solução de problemas, selecione Diagnóstico de inicialização>Configurações.
Adicione IPs de serviço do console serial como exclusões de firewall com base na geografia da VM.
A tabela a seguir lista os IPs que precisam ser permitidos como exclusões de firewall com base na região ou geografia onde a VM está localizada. Este é um subconjunto da lista completa de endereços IP do Console Serial usados na marca de serviço SerialConsole . Você pode limitar o acesso a contas de armazenamento de diagnóstico de inicialização por meio da marca de serviço SerialConsole . A etiqueta de serviço não é separada regionalmente. O tráfego na etiqueta de serviço é somente de entrada e o Console Serial não gera tráfego para Destinos Controláveis pelo Cliente. Embora os firewalls da conta de armazenamento do Azure atualmente não deem suporte a marcas de serviço, a marca de serviço SerialConsole pode ser consumida programaticamente para determinar a lista de IP. Para obter mais informações sobre etiquetas de serviço, veja Etiquetas de serviço de rede virtual.
Observação
Não há suporte para firewalls de conta de armazenamento para o Console Serial para VMs em regiões geográficas com apenas uma região, como Norte da Itália na Itália.
Endereço IP Regiões Geografia 102.37.86.194 Norte da África do Sul, Oeste da África do Sul África 20.87.80.28 Norte da África do Sul, Oeste da África do Sul África 20.205.69.28 Ásia Oriental, Sudeste Asiático Ásia-Pacífico 20.195.85.180 Ásia Oriental, Sudeste Asiático Ásia-Pacífico 20.53.53.224 Austrália Central, Austrália Central 2, Austrália Leste, Austrália Sudeste Austrália 20.70.222.112 Austrália Central, Austrália Central 2, Austrália Leste, Austrália Sudeste Austrália 191.234.136.63 Sul do Brasil, Sudeste do Brasil Brasil 20.206.0.194 Sul do Brasil, Sudeste do Brasil Brasil 52.228.86.177 Canadá Central, Canadá Leste Canadá 52.242.40.90 Canadá Central, Canadá Leste Canadá 20.45.242.18 Canário (EUAP) 20.51.21.252 Canário (EUAP) 52.146.139.220 Norte da Europa, Europa Ocidental Europa 20.105.209.72 Norte da Europa, Europa Ocidental Europa 20.111.0.244 França Central, França Sul França 52.136.191.10 França Central, França Sul França 51.116.75.88 Norte da Alemanha, Centro-Oeste da Alemanha Alemanha 20.52.95.48 Norte da Alemanha, Centro-Oeste da Alemanha Alemanha 20.192.168.150 Índia Central, Sul da Índia, Índia Ocidental Índia 20.192.153.104 Índia Central, Sul da Índia, Índia Ocidental Índia 20.43.70.205 Leste do Japão, Oeste do Japão Japão 20.189.228.222 Leste do Japão, Oeste do Japão Japão 20.200.196.96 Coreia Central, Coreia do Sul República da Coreia 52.147.119.29 Coreia Central, Coreia do Sul República da Coreia 20.100.1.184 Oeste da Noruega, Leste da Noruega Noruega 51.13.138.76 Oeste da Noruega, Leste da Noruega Noruega 20.208.4.98 Norte da Suíça, Oeste da Suíça Suíça 51.107.251.190 Norte da Suíça, Oeste da Suíça Suíça 20.45.95.66 Centro dos Emirados Árabes Unidos, Norte dos Emirados Árabes Unidos Emirados Árabes Unidos 20.38.141.5 Centro dos Emirados Árabes Unidos, Norte dos Emirados Árabes Unidos Emirados Árabes Unidos 20.90.132.144 Sul do Reino Unido, Oeste do Reino Unido Reino Unido 20.58.68.62 Sul do Reino Unido, Oeste do Reino Unido Reino Unido 51.12.72.223 Suécia Central, Suécia Sul Suécia 51.12.22.174 Suécia Central, Suécia Sul Suécia 20.98.146.84 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos 20.98.194.64 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos 20.69.5.160 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos 20.69.5.162 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos 20.83.222.102 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos 20.83.222.100 Central dos EUA, Leste dos EUA 2, Leste dos EUA, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA 2, Oeste dos EUA 3, Centro-Oeste dos EUA, Oeste dos EUA Estados Unidos 20.141.10.131 Todas as regiões de nuvem do governo dos EUA UsGov 52.235.252.253 Todas as regiões de nuvem do governo dos EUA UsGov 143.64.47.39 Norte da China 3 China 163.228.70.115 Leste da China 3 China Importante
- Os IPs que precisam ser permitidos são específicos da região onde a VM está localizada. Por exemplo, uma máquina virtual implantada na região Norte da Europa precisa adicionar as seguintes exclusões de IP ao firewall da conta de armazenamento para a geografia da Europa: 52.146.139.220 e 20.105.209.72. Veja a tabela acima para encontrar os IPs corretos para sua região e geografia.
- Na operação atual do console serial, o soquete da web é aberto para um ponto de extremidade como
<region>.gateway.serialconsole.azure.com
. Certifique-se de que o ponto de extremidadeserialconsole.azure.com
seja permitido para clientes de navegador em sua organização. Na nuvem do governo dos EUA (Fairfax), o sufixo do ponto de extremidade éserialconsole.azure.us
.
Para obter mais informações sobre como adicionar IPs ao firewall da conta de armazenamento, consulte Configurar firewalls de armazenamento do Azure e redes virtuais: Gerenciando regras de rede IP.
Depois que os endereços IP forem adicionados com êxito ao firewall da conta de armazenamento, tente novamente a conexão do console serial com a VM. Se você ainda tiver problemas de conexão, verifique se os endereços IP corretos foram excluídos do firewall da conta de armazenamento para a região da VM.
Segurança de acesso
O acesso ao console serial é limitado a usuários que tenham uma função de acesso de Virtual Machine Contributor ou superior para a máquina virtual. Se seu locatário do Microsoft Entra exigir MFA (autenticação multifator), o acesso ao console serial também precisará de MFA porque o acesso do console serial é por meio do portal do Azure.
Segurança do canal
Todos os dados enviados e recebidos são criptografados em trânsito com TLS 1.2 ou uma versão posterior.
Armazenamento e criptografia de dados
O console serial do Azure não revisa, inspeciona ou armazena dados transmitidos para dentro e para fora da porta serial da máquina virtual. Portanto, não há dados para criptografar em repouso.
Para garantir que todos os dados na memória que são paginados para discos por máquinas virtuais que executam o Console Serial do Azure sejam criptografados, use a criptografia baseada em host. A criptografia baseada em host é habilitada por padrão para todas as conexões do console serial do Azure.
Residência de dados
O portal do Azure ou Azure CLI atua como terminais remotos para a porta serial da máquina virtual. Como esses terminais não podem se conectar diretamente aos servidores que hospedam a máquina virtual na rede, um gateway de serviço intermediário é usado para fazer proxy do tráfego do terminal. O Console Serial do Azure não armazena nem processa esses dados do cliente. O gateway de serviço intermediário que transfere os dados residirá na geografia da máquina virtual.
Logs de auditoria
Todo o acesso ao console serial está atualmente registrado nos logs de diagnóstico de inicialização da máquina virtual. O acesso a esses logs pertence e é controlado pelo administrador da máquina virtual do Azure.
Cuidado
Nenhuma senha de acesso para o console é registrada. No entanto, se os comandos executados no console contiverem ou gerarem senhas, segredos, nomes de usuário ou qualquer outra forma de informações de identificação pessoal (PII), eles serão gravados nos logs de diagnóstico de inicialização da VM. Eles serão escritos junto com todos os outros textos visíveis, como parte da implementação da função de rolagem para trás do console serial. Esses logs são circulares e somente indivíduos com permissões de leitura para a conta de armazenamento de diagnósticos têm acesso a eles. No entanto, recomendamos seguir as práticas recomendadas de uso da Área de Trabalho Remota para qualquer coisa que envolva segredos e/ou PII.
Uso simultâneo
Se um usuário estiver conectado ao console serial e outro usuário solicitar com sucesso acesso a essa mesma máquina virtual, o primeiro usuário será desconectado e o segundo usuário conectado à mesma sessão.
Cuidado
Isso significa que um usuário desconectado não será desconectado. A capacidade de impor um logout após a desconexão (usando SIGHUP ou mecanismo semelhante) ainda está no roteiro. Para Windows, há um timeout automático habilitado no SAC; para Linux, você pode definir a configuração de tempo limite do terminal.
Acessibilidade
A acessibilidade é um foco principal para o console serial do Azure. Para esse fim, garantimos que o console serial seja acessível para pessoas com deficiência visual ou com deficiência auditiva, bem como para pessoas que talvez não consigam usar um mouse.
Navegação pelo teclado
Use a tecla Tab em seu teclado para navegar na interface do console serial do portal do Azure. Sua localização será destacada na tela. Para deixar o foco da janela do console serial, pressione Ctrl+F6 em seu teclado.
Use o console serial com um leitor de tela
O console serial possui suporte integrado ao leitor de tela. Navegar com um leitor de tela ativado permitirá que o texto alternativo do botão atualmente selecionado seja lido em voz alta pelo leitor de tela.
Cenários comuns para acessar o console serial
Cenário | Ações no console serial |
---|---|
Regras de firewall incorretas | Acesse o console serial e corrija as regras de firewall do Windows. |
Corrupção/verificação do sistema de arquivos | Acesse o console serial e recupere o sistema de arquivos. |
Problemas de configuração do RDP | Acesse o console serial e altere as configurações. Para obter mais informações, consulte a documentação RDP. |
Sistema de bloqueio de rede | Acesse o console serial do portal do Azure para gerenciar o sistema. Alguns comandos de rede estão listados em Comandos do Windows: CMD e PowerShell. |
Interagindo com o bootloader | Acesse o BCD por meio do console serial. Para obter informações, consulte Ativar o menu de inicialização do Windows no console serial. |
Problemas conhecidos
Estamos cientes de alguns problemas com o console serial e o sistema operacional da VM. Aqui está uma lista desses problemas e etapas para mitigação para VMs do Windows. Esses problemas e mitigações se aplicam a VMs e instâncias de conjunto de dimensionamento de máquinas virtuais. Se eles não corresponderem ao erro que você está vendo, consulte os erros comuns do serviço do console serial em Erros comuns do console serial.
Problema | Atenuação |
---|---|
Pressionar Enter após o banner de conexão não faz com que um prompt de login seja exibido. | Esse erro pode ocorrer se você estiver executando uma VM personalizada, dispositivo reforçado ou configuração de inicialização que faz com que o Windows não consiga se conectar corretamente à porta serial. Esse erro também ocorrerá se você estiver executando uma VM do Windows 10, porque apenas as VMs do Windows Server estão configuradas para ter o EMS habilitado. |
Apenas as informações de integridade são mostradas ao se conectar a uma VM do Windows | Este erro ocorre se o Console de administração especial não foi habilitado para sua imagem do Windows. Consulte Ativar o console serial em imagens personalizadas ou antigas para obter instruções sobre como ativar manualmente o SAC em sua VM do Windows. |
O SAC não ocupa toda a área do Console Serial no navegador | Este é um problema conhecido do Windows e do emulador de terminal. Estamos acompanhando esse problema com ambas as equipes, mas por enquanto não há mitigação. |
Não é possível digitar no prompt do SAC se a depuração do kernel estiver habilitada. | RDP para VM e execute bcdedit /debug {current} off em um prompt de comandos com privilégios elevados. Se você não pode RDP, em vez disso, você pode anexar o disco do sistema operacional a outra VM do Azure e modificá-lo enquanto anexado como um disco de dados executando bcdedit /store <drive letter of data disk>:\boot\bcd /debug <identifier> off e, em seguida, trocando o disco de volta. |
Colar no PowerShell no SAC resulta em um terceiro caractere se o conteúdo original tiver um caractere repetido. | Para obter uma solução alternativa, execute Remove-Module PSReadLine para descarregar o módulo PSReadLine da sessão atual. Esta ação não excluirá ou desinstalará o módulo. |
Algumas entradas de teclado produzem uma saída SAC estranha (por exemplo, [A, [3~). | As sequências de escape VT100 não são suportadas pelo prompt SAC. |
Colar strings longas não funciona. | O console serial limita o comprimento das strings coladas no terminal a 2.048 caracteres para evitar a sobrecarga da largura de banda da porta serial. |
Perguntas frequentes
P. Como posso enviar comentários?
R. Forneça feedback criando um problema no GitHub em https://aka.ms/serialconsolefeedback. Alternativamente (menos preferido), você pode enviar feedback via azserialhelp@microsoft.com ou na categoria de máquina virtual de https://feedback.azure.com.
P. O console serial suporta copiar/colar?
A. Sim. Use Ctrl+Shift+C e Ctrl+Shift+V para copiar e colar no ponto de extremidade.
P. Quem pode habilitar ou desabilitar o console serial para minha assinatura?
R. Para habilitar ou desabilitar o console serial em um nível de assinatura, você deve ter permissões de gravação para a assinatura. As funções que têm permissão de gravação incluem funções de administrador ou proprietário. As funções personalizadas também podem ter permissões de gravação.
P. Quem pode acessar o console serial da minha VM?
R. Você deve ter a função de Colaborador da Máquina Virtual ou superior para que uma VM acesse o console serial da VM.
P. Meu console serial não está exibindo nada, o que eu faço?
R. Sua imagem provavelmente está mal configurada para acesso ao console serial. Para obter informações sobre como configurar sua imagem para habilitar o console serial, consulte Habilitar o console serial em imagens personalizadas ou antigas.
P. O console serial está disponível para conjuntos de dimensionamento de máquinas virtuais?
R. É sim! Consulte Introdução ao console serial.
Próximas etapas
- Para obter um guia detalhado dos comandos CMD e PowerShell que você pode usar no Windows SAC, consulte Comandos do Windows: CMD e PowerShell.
- O console serial também está disponível para VMs Linux.
- Saiba mais sobre diagnóstico de inicialização.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.