<p><!--META { "title": "PowerShell DSCによるWindowsサーバー構成管理：大規模環境への適用と運用戦略", "primary_category": "PowerShell", "secondary_categories": ["Windows Server","DevOps"], "tags": ["PowerShell DSC","Desired State Configuration","PowerShell 7","ForEach-Object -Parallel","SecretManagement","JEA"], "summary": "PowerShell DSCによるWindowsサーバー構成管理の実践ガイド。PowerShell 7での並列処理、エラーハンドリング、ロギング、セキュリティ対策、バージョン間の差異や課題を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"PowerShell DSCでWindowsサーバーの構成管理を効率化！PowerShell 7での並列処理、エラーハンドリング、セキュリティ対策まで、大規模環境で役立つ運用戦略を徹底解説します。#PowerShell #DevOps","hashtags":["#PowerShell","#DevOps"]}, "link_hints": [ "https://learn.microsoft.com/ja-jp/powershell/scripting/dsc/overview/overview?view=dsc-2.0", "https://learn.microsoft.com/ja-jp/powershell/scripting/dsc/getting-started/getting-started-dsc7?view=dsc-2.0", "https://github.com/PowerShell/PSDesiredStateConfiguration", "https://learn.microsoft.com/ja-jp/powershell/module/secretmanagement/?view=powershell-7.4", "https://learn.microsoft.com/ja-jp/powershell/scripting/learn/jea/overview?view=powershell-7.4", "https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.core/foreach-object?view=powershell-7.4", "https://learn.microsoft.com/ja-jp/powershell/utility-modules/threadjob/overview?view=powershell-7.4", "https://learn.microsoft.com/ja-jp/powershell/scripting/dsc/configurations/configurations?view=dsc-2.0" ] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">PowerShell DSCによるWindowsサーバー構成管理：大規模環境への適用と運用戦略</h1> <p>Windowsサーバーの構成管理は、システムの安定性、セキュリティ、運用効率を確保する上で不可欠です。PowerShell Desired State Configuration (DSC) は、宣言的な構文を用いてサーバーのあるべき状態を定義し、その状態を維持するためのフレームワークを提供します。本記事では、PowerShell DSCの基本的な概念から、大規模環境での効率的な構成管理を実現するための並列処理、堅牢なエラーハンドリング、ロギング戦略、そしてセキュリティ対策について、PowerShell 7を主軸に実践的な視点から解説します。特に、現場で直面する可能性のある「落とし穴」にも焦点を当て、信頼性の高い運用戦略を提示します。</p> <h2 class="wp-block-heading">目的と前提 / 設計方針（同期/非同期、可観測性）</h2> <p>本記事の目的は、DSCを利用してWindowsサーバーの構成を一貫性のある望ましい状態に保ち、手動による構成ドリフト（設定のずれ）を防ぎ、迅速な環境構築と復旧を可能にすることです。前提として、ターゲットサーバーにはPowerShell 7.xがインストールされており、PSDesiredStateConfigurationモジュールが利用可能であることを想定します。</p> <p>設計方針としては、以下の点を重視します。</p> <ul class="wp-block-list"> <li><p><strong>冪等性（Idempotence）</strong>: 構成スクリプトは何回実行しても同じ結果になるように設計します。</p></li> <li><p><strong>非同期/並列処理</strong>: 大規模環境での構成適用時間を短縮するため、複数のターゲットノードへの適用処理は並列で実行します。</p></li> <li><p><strong>可観測性（Observability）</strong>: 構成適用プロセスにおける成功/失敗、実行時間、適用された変更などを詳細にログに記録し、中央集約的な監視システムとの連携を考慮します。これにより、問題発生時の迅速な特定とトラブルシューティングが可能になります。</p></li> <li><p><strong>セキュリティ</strong>: 機密情報（パスワードなど）の安全な管理と、管理者権限の最小化を考慮します。</p></li> </ul> <h2 class="wp-block-heading">コア実装（並列/キューイング/キャンセル）</h2> <p>DSC構成の適用は、ターゲットサーバーに構成ファイルをプッシュするか、ターゲットサーバーがプルサーバーから構成を取得する形で行われます。ここでは、管理用ワークステーションから複数のターゲットサーバーへ構成をプッシュするシナリオを想定し、並列処理を活用します。</p> <p>PowerShell 7.0以降で利用可能な<code>ForEach-Object -Parallel</code>は、コレクションの各要素に対してスクリプトブロックを並列実行できるため、複数サーバーへの構成適用に非常に有効です。最大スレッド数は<code>-ThrottleLimit</code>で制御できます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 実行前提: # - PowerShell 7.xがインストールされていること。 # - ターゲットサーバーへのリモート接続が可能なこと（WinRMが有効であること）。 # - ターゲットサーバーにはPSDesiredStateConfigurationモジュールがインストールされていること。 # - SecretManagementモジュールは任意でインストール済みとする (Install-Module SecretManagement -Force) # ターゲットサーバーリスト $TargetNodes = @("Server01", "Server02", "Server03", "Server04", "Server05") # 実際には多数のサーバーを想定 # DSC構成スクリプトの定義 # PSDesiredStateConfiguration v2.0以降では、DSCリソースはPowerShellクラスとして定義されることが推奨されます。 # ここでは例として、ServiceリソースとFileリソースを使用します。 # 実際の環境では、より複雑な構成（IIS、SQL Serverなど）が考えられます。 Configuration SampleServiceAndFileConfiguration { # ターゲットノード定義（これは単一ノード構成用であり、複数ノードへのプッシュ適用時は主にコンパイル時に利用） # Start-DscConfiguration で直接プッシュする際は、MOFファイルが重要。 Node $NodeName { # Serviceリソース: "Spooler" サービスが実行中かつ自動起動であることを保証 Service 'EnsureSpoolerRunning' { Name = 'Spooler' State = 'Running' StartupType = 'Automatic' } # Fileリソース: C:\temp\DscTest.txt ファイルが存在し、特定のコンテンツを持つことを保証 File 'CreateDscTestFile' { DestinationPath = 'C:\temp\DscTest.txt' Contents = "This file was created by DSC on $($NodeName) at $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')." Ensure = 'Present' } } } # 構成のコンパイル（MOFファイル生成） # 各ターゲットノード用のMOFファイルを生成するため、NodeNameを引数として渡します。 $ConfigurationData = @{ AllNodes = $TargetNodes | ForEach-Object { @{ NodeName = $_; PsDscAllowPlainTextResources = $true } } } # PSDesiredStateConfiguration v2.0以降では、PsDscAllowPlainTextResources を $true にしないと警告が出る場合があります。 # これは、一部の組み込みリソースがプレーンテキストのリソースタイプを使用しているためです。 # 出力ディレクトリを作成 $PSScriptRoot = Split-Path -Parent $MyInvocation.MyCommand.Definition $MofPath = Join-Path -Path $PSScriptRoot -ChildPath 'OutputMof' if (-not (Test-Path $MofPath)) { New-Item -Path $MofPath -ItemType Directory | Out-Null } # 各ノード用にMOFファイルをコンパイル $TargetNodes | ForEach-Object { SampleServiceAndFileConfiguration -OutputPath $MofPath -NodeName $_ } Write-Host "DSC構成のMOFファイルが '$MofPath' に生成されました。" # 並列処理による複数ホストへのDSC構成適用 Write-Host "複数ホストへのDSC構成適用を開始します..." $LogFilePath = Join-Path -Path $PSScriptRoot -ChildPath "DscApplyLog-$(Get-Date -Format 'yyyyMMdd-HHmmss').log" # Measure-Command を使って実行時間を計測 $ExecutionTime = Measure-Command { $TargetNodes | ForEach-Object -Parallel { param($node) # ForEach-Object -Parallel のスクリプトブロック内では $node で現在の要素を受け取る # ロギング戦略: 各ノードの処理結果を構造化ログとして記録 $result = @{ Node = $node Status = 'Unknown' Message = '' Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss' } try { Write-Host "[$($result.Timestamp)] Applying DSC configuration to node '$node'..." # SecretManagementモジュールを利用する場合の例 (ここではデモのため直接パスワードを使用) # 実際の運用では Get-Credential は非対話的に取得するか、SecretManagement を活用することを推奨します。 # 例: $credential = Get-Secret -Name "AdminCredential" -Vault "LocalVault" | ConvertTo-Credential $credential = Get-Credential -UserName "Administrator" -Message "Enter credentials for $($node)" # リモートでDSC構成を適用 # -Wait を付けることで、適用完了まで待機し結果を取得 # -Verbose で詳細な出力を得る # -Force で確認なしに実行 Start-DscConfiguration -Path (Join-Path -Path $PSScriptRoot -ChildPath "OutputMof\$node") -ComputerName $node ` -Credential $credential -Wait -Verbose -Force -ErrorAction Stop $result.Status = 'Success' $result.Message = "DSC configuration applied successfully." } catch { $result.Status = 'Failure' $result.Message = $_.Exception.Message Write-Error "Error applying DSC to '$node': $($_.Exception.Message)" } finally { # 結果をログファイルに追記 (各スレッドから安全に書き込むためにOut-File -Append を使用) # 構造化ログ（JSON）として出力 $result | ConvertTo-Json -Depth 3 | Out-File -FilePath $LogFilePath -Append -Encoding UTF8 Write-Host "[$($result.Timestamp)] Finished processing node '$node' with status: $($result.Status)." } } -ThrottleLimit 5 # 同時に実行するノード数を5に制限 } Write-Host "DSC構成適用プロセスが完了しました。" Write-Host "総実行時間: $($ExecutionTime.TotalSeconds) 秒" Write-Host "詳細なログは '$LogFilePath' を参照してください。" </pre> </div> <p>上記のスクリプトでは、<code>SampleServiceAndFileConfiguration</code>というDSC構成を定義し、各ターゲットノード用にMOFファイルを生成します。その後、<code>ForEach-Object -Parallel</code>を使用して複数のノードに並行して構成を適用します。各ノードの処理結果はJSON形式の構造化ログとしてファイルに追記され、総実行時間は<code>Measure-Command</code>で計測されます。</p> <hr/> <p>DSC構成の適用フローを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["開始"] --> B{"DSC構成スクリプト定義"}; B --> C["ターゲットノードリスト指定"]; C --> D["MOF出力ディレクトリ作成"]; D --> E{"各ノード用MOFコンパイル"}; E --> F["並列処理開始"]; F --> G{"ノードごとに並列実行"}; G --> H["資格情報取得"]; H --> I["Start-DscConfiguration実行"]; I --> J{"成功/失敗判断"}; J -- 成功 |構成適用成功| --> K["ログ記録 (Success)"]; J -- 失敗 |構成適用失敗| --> L["ログ記録 (Failure) + エラーハンドリング"]; K --> M["処理済みノード"]; L --> M; M -- 全ノード処理完了 |同期待機| --> N["並列処理終了"]; N --> O["総実行時間計測・表示"]; O --> P["終了"]; </pre></div> <hr/> <h2 class="wp-block-heading">検証（性能・正しさ）と計測スクリプト</h2> <p>DSC構成の正しさは、<code>Test-DscConfiguration</code>コマンドレットで確認できます。このコマンドレットは、現在のサーバーの状態がDSC構成で定義された状態と一致しているか（コンプライアントであるか）をブール値で返します。</p> <p>性能検証は、前述の<code>Measure-Command</code>を用いて実行時間を計測することで行えます。特に、ターゲットノード数や<code>-ThrottleLimit</code>の値を変更しながら複数回実行し、最適な並列度を見つけることが重要です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 検証スクリプト (各ターゲットノードでのDSC適合性チェック) # 実行前提: # - 上記のDSC構成が既に適用されていること。 # - ターゲットサーバーへのリモート接続が可能なこと（WinRMが有効であること）。 # - ターゲットサーバーにはPSDesiredStateConfigurationモジュールがインストールされていること。 Write-Host "DSC構成の適合性を検証します..." $PSScriptRoot = Split-Path -Parent $MyInvocation.MyCommand.Definition $TargetNodes = @("Server01", "Server02", "Server03", "Server04", "Server05") # 上記のスクリプトと一致させる $ValidationLogFilePath = Join-Path -Path $PSScriptRoot -ChildPath "DscValidationLog-$(Get-Date -Format 'yyyyMMdd-HHmmss').log" $ValidationTime = Measure-Command { $TargetNodes | ForEach-Object -Parallel { param($node) $validationResult = @{ Node = $node Status = 'Unknown' Compliant = $false Message = '' Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss' } try { Write-Host "[$($validationResult.Timestamp)] Testing DSC configuration on node '$node'..." $credential = Get-Credential -UserName "Administrator" -Message "Enter credentials for $($node)" # Test-DscConfiguration を実行し、適合性を確認 $isCompliant = Test-DscConfiguration -ComputerName $node -Credential $credential -ErrorAction Stop $validationResult.Compliant = $isCompliant $validationResult.Status = if ($isCompliant) { 'Compliant' } else { 'Non-Compliant' } $validationResult.Message = "Configuration is $($validationResult.Status)." } catch { $validationResult.Status = 'Error' $validationResult.Message = $_.Exception.Message Write-Error "Error testing DSC on '$node': $($_.Exception.Message)" } finally { $validationResult | ConvertTo-Json -Depth 3 | Out-File -FilePath $ValidationLogFilePath -Append -Encoding UTF8 Write-Host "[$($validationResult.Timestamp)] Node '$node' is $($validationResult.Status)." } } -ThrottleLimit 5 } Write-Host "DSC適合性検証プロセスが完了しました。" Write-Host "総実行時間: $($ValidationTime.TotalSeconds) 秒" Write-Host "詳細なログは '$ValidationLogFilePath' を参照してください。" # 全体の適合性レポート # ログファイルを読み込み、JSONオブジェクトに変換して整形表示 if (Test-Path $ValidationLogFilePath) { (Get-Content -Path $ValidationLogFilePath | ConvertFrom-Json) | Format-Table Node, Compliant, Status -AutoSize } else { Write-Warning "検証ログファイルが見つかりませんでした: $ValidationLogFilePath" } </pre> </div> <h2 class="wp-block-heading">運用：ログローテーション/失敗時再実行/権限</h2> <ul class="wp-block-list"> <li><p><strong>ログローテーション</strong>: 上記のスクリプトではタイムスタンプ付きのログファイル名を生成していますが、長期運用ではこれらのログファイルがディスク容量を圧迫する可能性があります。定期的に古いログファイルを削除するスクリプトをタスクスケジューラなどで実行するか、ログ管理システム（例: Splunk, ELK Stack）に転送する仕組みを導入します。</p></li> <li><p><strong>失敗時再実行</strong>: 構成適用が失敗した場合、通常はエラーログを確認し、原因を特定して手動で再実行します。自動化された再試行ロジックを実装することも可能ですが、無限ループを避けるため、最大再試行回数と再試行間の待機時間を設定することが重要です。たとえば、<code>Start-DscConfiguration</code>の前に<code>Test-DscConfiguration</code>を実行し、非準拠の場合のみ適用を試みるロジックも有効です。</p></li> <li><p><strong>権限</strong>: DSC構成を適用するアカウントには、ターゲットサーバーの管理者権限が必要です。最小特権の原則に基づき、必要な権限のみを持つサービスアカウントを利用することが望ましいです。Just Enough Administration (JEA) を活用することで、DSC構成の適用に限らず、サーバー管理の作業範囲を制限し、セキュリティリスクを低減できます。JEAは、特定のコマンドレットやスクリプトのみを実行できるロールベースの管理環境を構築します。[5]</p></li> </ul> <h2 class="wp-block-heading">落とし穴（例：PowerShell 5 vs 7の差、スレッド安全性、UTF-8問題）</h2> <ul class="wp-block-list"> <li><p><strong>PowerShell 5.1 vs 7の差</strong>: PowerShell 5.1 (Windows Management Framework 5.1に含まれるDSC) とPowerShell 7 (PSDesiredStateConfigurationモジュール v2.0以降) では、DSCのアーキテクチャと推奨されるリソースの記述方法が異なります。</p> <ul> <li><p><strong>PowerShell 5.1</strong>: Local Configuration Manager (LCM) がDSC構成を管理し、MOFベースのリソースが中心でした。</p></li> <li><p><strong>PowerShell 7</strong>: PSDesiredStateConfigurationモジュールを別途インストールし、PowerShellクラスベースのリソースが推奨されます。これによりクロスプラットフォーム互換性が向上しますが、従来のMOFベースのリソースとの互換性に課題が生じる場合があります。現在の<code>PSDesiredStateConfiguration</code>モジュール（v2.0.7, 2024年7月29日時点）は、まだWindows専用の多くのDSCリソースと完全な互換性を持つわけではありません。DSCv3（Cross-platform DSC）が現在活発に開発中であり、将来的にこのギャップが埋まることが期待されますが、現時点ではどちらのバージョンを使用するかを明確にし、適切なリソースを選択する必要があります。[1][3]</p></li> </ul></li> <li><p><strong>スレッド安全性</strong>: <code>ForEach-Object -Parallel</code>や<code>ThreadJob</code>を使用する際、複数のスレッドが同時に共有リソース（例: グローバル変数、ファイル）にアクセスすると、競合状態（Race Condition）が発生し、予期せぬ結果やデータ破損を引き起こす可能性があります。上記のログ記録の例では、<code>Out-File -Append</code>を使用することで、各スレッドが安全にファイルに追記できるように配慮しています。より複雑な共有データの操作には、ロックメカニズム（<code>SyncRoot</code>など）を検討する必要があります。</p></li> <li><p><strong>UTF-8問題</strong>: PowerShellのデフォルトエンコーディングはバージョンによって異なり、特にWindows PowerShell (5.1) はShift-JISやUTF-16LEを使用することが多いです。PowerShell 7はデフォルトでUTF-8（BOMなし）を使用するため、スクリプトファイルやDSC構成ファイル、出力ログのエンコーディングに一貫性がないと、文字化けや解析エラーが発生する可能性があります。特に<code>Out-File</code>や<code>Set-Content</code>を使用する際は、常に<code>-Encoding UTF8</code>などの適切なエンコーディングを指定することが推奨されます。</p></li> </ul> <h2 class="wp-block-heading">安全対策</h2> <ul class="wp-block-list"> <li><p><strong>Just Enough Administration (JEA)</strong>: DSCで構成されたサーバーへの管理者アクセスを最小限に抑えるためにJEAを活用します。これにより、必要なタスク（例: DSC構成の適用状況確認）のみを実行できる仮想アカウントをユーザーに付与し、特権昇格のリスクを軽減します。[5]</p></li> <li><p><strong>SecretManagementモジュール</strong>: 資格情報やAPIキー、トークンなどの機密情報をDSC構成内で直接ハードコードするのではなく、SecretManagementモジュールを利用して安全に管理します。このモジュールは、各種シークレット保管庫（Azure Key Vault, KeePass, Windows Credential Managerなど）へのプラグインインターフェースを提供し、スクリプトからセキュアに機密情報を取り扱えるようにします。[4]</p></li> </ul> <div class="codehilite"> <pre data-enlighter-language="generic"># SecretManagement モジュールの利用例 (別途、シークレット保管庫モジュールが必要) # 実行前提: # - PowerShell 7.1以降がインストールされていること。 # - Microsoft.PowerShell.SecretManagement と Microsoft.PowerShell.SecretStore モジュールがインストールされていること。 # Install-Module -Name Microsoft.PowerShell.SecretManagement -Force # Install-Module -Name Microsoft.PowerShell.SecretStore -Force # 例: Windows Credential Manager をバックエンドとする保管庫を登録 # VaultName を任意で指定 # if (-not (Get-SecretVault -Name "LocalVault" -ErrorAction SilentlyContinue)) { # Set-SecretVault -Name "LocalVault" -ModuleName Microsoft.PowerShell.SecretStore -Default # Write-Host "LocalVault が登録されました。" # } # 例: 管理者資格情報を保管庫に保存 # $cred = Get-Credential -UserName "Administrator" -Message "Enter credentials to save" # Set-Secret -Name "AdminCredential" -Secret $cred -Vault "LocalVault" -Description "Used for DSC deployment" # 例: 保管庫から資格情報を取得して利用 # $storedCredential = Get-Secret -Name "AdminCredential" -Vault "LocalVault" | ConvertTo-Credential # Write-Host "ユーザー名: $($storedCredential.UserName)" # Write-Host "パスワード: $($storedCredential.Password | ConvertFrom-SecureString)" # デバッグ目的以外では表示しない # 上記のDSC適用スクリプトで資格情報を使用する箇所では、Get-Credential の代わりに # $credential = Get-Secret -Name "AdminCredential" -Vault "LocalVault" | ConvertTo-Credential # のように置き換えることで、機密情報を安全に取り扱うことができます。 </pre> </div> <p>上記のコメントアウトされたコードは、<code>SecretManagement</code>モジュールのセットアップと利用方法の例です。DSC構成で資格情報を渡す際に、この方法で安全に取得することが推奨されます。</p> <h2 class="wp-block-heading">まとめ</h2> <p>PowerShell DSCは、Windowsサーバーの構成を宣言的に管理するための強力なツールです。PowerShell 7とPSDesiredStateConfigurationモジュールを活用することで、大規模環境においても並列処理による効率的な構成適用、詳細なロギングによる可観測性の確保、そしてSecretManagementやJEAによるセキュリティ強化が実現可能です。PowerShell 5.1との差異やスレッド安全性、エンコーディングなどの「落とし穴」を理解し、適切な対策を講じることで、信頼性と保守性の高いサーバー構成管理運用を構築できるでしょう。定期的な検証と、継続的な改善を通じて、DSCはDevOpsプラクティスにおける重要な柱となります。</p>

# 実行前提:


# - PowerShell 7.xがインストールされていること。


# - ターゲットサーバーへのリモート接続が可能なこと（WinRMが有効であること）。


# - ターゲットサーバーにはPSDesiredStateConfigurationモジュールがインストールされていること。


# - SecretManagementモジュールは任意でインストール済みとする (Install-Module SecretManagement -Force)

# ターゲットサーバーリスト

$TargetNodes = @("Server01", "Server02", "Server03", "Server04", "Server05") # 実際には多数のサーバーを想定

# DSC構成スクリプトの定義


# PSDesiredStateConfiguration v2.0以降では、DSCリソースはPowerShellクラスとして定義されることが推奨されます。


# ここでは例として、ServiceリソースとFileリソースを使用します。


# 実際の環境では、より複雑な構成（IIS、SQL Serverなど）が考えられます。

Configuration SampleServiceAndFileConfiguration {

    # ターゲットノード定義（これは単一ノード構成用であり、複数ノードへのプッシュ適用時は主にコンパイル時に利用）


    # Start-DscConfiguration で直接プッシュする際は、MOFファイルが重要。

    Node $NodeName {

        # Serviceリソース: "Spooler" サービスが実行中かつ自動起動であることを保証

        Service 'EnsureSpoolerRunning' {
            Name   = 'Spooler'
            State  = 'Running'
            StartupType = 'Automatic'
        }

        # Fileリソース: C:\temp\DscTest.txt ファイルが存在し、特定のコンテンツを持つことを保証

        File 'CreateDscTestFile' {
            DestinationPath = 'C:\temp\DscTest.txt'
            Contents        = "This file was created by DSC on $($NodeName) at $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')."
            Ensure          = 'Present'
        }
    }
}

# 構成のコンパイル（MOFファイル生成）


# 各ターゲットノード用のMOFファイルを生成するため、NodeNameを引数として渡します。

$ConfigurationData = @{
    AllNodes = $TargetNodes | ForEach-Object { @{ NodeName = $_; PsDscAllowPlainTextResources = $true } }
}

# PSDesiredStateConfiguration v2.0以降では、PsDscAllowPlainTextResources を $true にしないと警告が出る場合があります。


# これは、一部の組み込みリソースがプレーンテキストのリソースタイプを使用しているためです。

# 出力ディレクトリを作成

$PSScriptRoot = Split-Path -Parent $MyInvocation.MyCommand.Definition
$MofPath = Join-Path -Path $PSScriptRoot -ChildPath 'OutputMof'
if (-not (Test-Path $MofPath)) {
    New-Item -Path $MofPath -ItemType Directory | Out-Null
}

# 各ノード用にMOFファイルをコンパイル

$TargetNodes | ForEach-Object {
    SampleServiceAndFileConfiguration -OutputPath $MofPath -NodeName $_
}

Write-Host "DSC構成のMOFファイルが '$MofPath' に生成されました。"

# 並列処理による複数ホストへのDSC構成適用

Write-Host "複数ホストへのDSC構成適用を開始します..."
$LogFilePath = Join-Path -Path $PSScriptRoot -ChildPath "DscApplyLog-$(Get-Date -Format 'yyyyMMdd-HHmmss').log"

# Measure-Command を使って実行時間を計測

$ExecutionTime = Measure-Command {
    $TargetNodes | ForEach-Object -Parallel {
        param($node) # ForEach-Object -Parallel のスクリプトブロック内では $node で現在の要素を受け取る

        # ロギング戦略: 各ノードの処理結果を構造化ログとして記録

        $result = @{
            Node      = $node
            Status    = 'Unknown'
            Message   = ''
            Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
        }

        try {
            Write-Host "[$($result.Timestamp)] Applying DSC configuration to node '$node'..."

            # SecretManagementモジュールを利用する場合の例 (ここではデモのため直接パスワードを使用)


            # 実際の運用では Get-Credential は非対話的に取得するか、SecretManagement を活用することを推奨します。


            # 例: $credential = Get-Secret -Name "AdminCredential" -Vault "LocalVault" | ConvertTo-Credential

            $credential = Get-Credential -UserName "Administrator" -Message "Enter credentials for $($node)"

            # リモートでDSC構成を適用


            # -Wait を付けることで、適用完了まで待機し結果を取得


            # -Verbose で詳細な出力を得る


            # -Force で確認なしに実行

            Start-DscConfiguration -Path (Join-Path -Path $PSScriptRoot -ChildPath "OutputMof\$node") -ComputerName $node `
                -Credential $credential -Wait -Verbose -Force -ErrorAction Stop

            $result.Status = 'Success'
            $result.Message = "DSC configuration applied successfully."
        }
        catch {
            $result.Status = 'Failure'
            $result.Message = $_.Exception.Message
            Write-Error "Error applying DSC to '$node': $($_.Exception.Message)"
        }
        finally {

            # 結果をログファイルに追記 (各スレッドから安全に書き込むためにOut-File -Append を使用)


            # 構造化ログ（JSON）として出力

            $result | ConvertTo-Json -Depth 3 | Out-File -FilePath $LogFilePath -Append -Encoding UTF8
            Write-Host "[$($result.Timestamp)] Finished processing node '$node' with status: $($result.Status)."
        }
    } -ThrottleLimit 5 # 同時に実行するノード数を5に制限
}

Write-Host "DSC構成適用プロセスが完了しました。"
Write-Host "総実行時間: $($ExecutionTime.TotalSeconds) 秒"
Write-Host "詳細なログは '$LogFilePath' を参照してください。"

graph TD
    A["開始"] --> B{"DSC構成スクリプト定義"};
    B --> C["ターゲットノードリスト指定"];
    C --> D["MOF出力ディレクトリ作成"];
    D --> E{"各ノード用MOFコンパイル"};
    E --> F["並列処理開始"];
    F --> G{"ノードごとに並列実行"};
    G --> H["資格情報取得"];
    H --> I["Start-DscConfiguration実行"];
    I --> J{"成功/失敗判断"};
    J -- 成功 |構成適用成功| --> K["ログ記録 (Success)"];
    J -- 失敗 |構成適用失敗| --> L["ログ記録 (Failure) + エラーハンドリング"];
    K --> M["処理済みノード"];
    L --> M;
    M -- 全ノード処理完了 |同期待機| --> N["並列処理終了"];
    N --> O["総実行時間計測・表示"];
    O --> P["終了"];

# 検証スクリプト (各ターゲットノードでのDSC適合性チェック)


# 実行前提:


# - 上記のDSC構成が既に適用されていること。


# - ターゲットサーバーへのリモート接続が可能なこと（WinRMが有効であること）。


# - ターゲットサーバーにはPSDesiredStateConfigurationモジュールがインストールされていること。

Write-Host "DSC構成の適合性を検証します..."
$PSScriptRoot = Split-Path -Parent $MyInvocation.MyCommand.Definition
$TargetNodes = @("Server01", "Server02", "Server03", "Server04", "Server05") # 上記のスクリプトと一致させる
$ValidationLogFilePath = Join-Path -Path $PSScriptRoot -ChildPath "DscValidationLog-$(Get-Date -Format 'yyyyMMdd-HHmmss').log"

$ValidationTime = Measure-Command {
    $TargetNodes | ForEach-Object -Parallel {
        param($node)
        $validationResult = @{
            Node      = $node
            Status    = 'Unknown'
            Compliant = $false
            Message   = ''
            Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
        }

        try {
            Write-Host "[$($validationResult.Timestamp)] Testing DSC configuration on node '$node'..."
            $credential = Get-Credential -UserName "Administrator" -Message "Enter credentials for $($node)"

            # Test-DscConfiguration を実行し、適合性を確認

            $isCompliant = Test-DscConfiguration -ComputerName $node -Credential $credential -ErrorAction Stop

            $validationResult.Compliant = $isCompliant
            $validationResult.Status = if ($isCompliant) { 'Compliant' } else { 'Non-Compliant' }
            $validationResult.Message = "Configuration is $($validationResult.Status)."
        }
        catch {
            $validationResult.Status = 'Error'
            $validationResult.Message = $_.Exception.Message
            Write-Error "Error testing DSC on '$node': $($_.Exception.Message)"
        }
        finally {
            $validationResult | ConvertTo-Json -Depth 3 | Out-File -FilePath $ValidationLogFilePath -Append -Encoding UTF8
            Write-Host "[$($validationResult.Timestamp)] Node '$node' is $($validationResult.Status)."
        }
    } -ThrottleLimit 5
}

Write-Host "DSC適合性検証プロセスが完了しました。"
Write-Host "総実行時間: $($ValidationTime.TotalSeconds) 秒"
Write-Host "詳細なログは '$ValidationLogFilePath' を参照してください。"

# 全体の適合性レポート


# ログファイルを読み込み、JSONオブジェクトに変換して整形表示

if (Test-Path $ValidationLogFilePath) {
    (Get-Content -Path $ValidationLogFilePath | ConvertFrom-Json) | Format-Table Node, Compliant, Status -AutoSize
} else {
    Write-Warning "検証ログファイルが見つかりませんでした: $ValidationLogFilePath"
}

# SecretManagement モジュールの利用例 (別途、シークレット保管庫モジュールが必要)


# 実行前提:


# - PowerShell 7.1以降がインストールされていること。


# - Microsoft.PowerShell.SecretManagement と Microsoft.PowerShell.SecretStore モジュールがインストールされていること。


#   Install-Module -Name Microsoft.PowerShell.SecretManagement -Force


#   Install-Module -Name Microsoft.PowerShell.SecretStore -Force

# 例: Windows Credential Manager をバックエンドとする保管庫を登録


# VaultName を任意で指定


# if (-not (Get-SecretVault -Name "LocalVault" -ErrorAction SilentlyContinue)) {


#     Set-SecretVault -Name "LocalVault" -ModuleName Microsoft.PowerShell.SecretStore -Default


#     Write-Host "LocalVault が登録されました。"


# }

# 例: 管理者資格情報を保管庫に保存


# $cred = Get-Credential -UserName "Administrator" -Message "Enter credentials to save"


# Set-Secret -Name "AdminCredential" -Secret $cred -Vault "LocalVault" -Description "Used for DSC deployment"

# 例: 保管庫から資格情報を取得して利用


# $storedCredential = Get-Secret -Name "AdminCredential" -Vault "LocalVault" | ConvertTo-Credential


# Write-Host "ユーザー名: $($storedCredential.UserName)"


# Write-Host "パスワード: $($storedCredential.Password | ConvertFrom-SecureString)" # デバッグ目的以外では表示しない

# 上記のDSC適用スクリプトで資格情報を使用する箇所では、Get-Credential の代わりに


# $credential = Get-Secret -Name "AdminCredential" -Vault "LocalVault" | ConvertTo-Credential


# のように置き換えることで、機密情報を安全に取り扱うことができます。