Azure Windows Server : GUI introuvable via RDP ou Windows Admin Center (WAC) — causes, solutions et bonnes pratiques

Vous vous connectez en RDP à votre VM Windows Server sur Azure et ne voyez que SConfig ? La connexion Windows Admin Center (WAC) échoue ? Voici pourquoi (indice : image Server Core) et comment récupérer une GUI, configurer WinRM et faire fonctionner WAC en toute sécurité.

Sommaire

Vue d’ensemble de la question

Un étudiant avec un abonnement Azure for Students parvient à établir une session RDP sur sa machine virtuelle (VM) Windows Server, mais n’obtient qu’un environnement minimaliste en ligne de commande (SConfig). Les tentatives de gestion via Windows Admin Center échouent. Il s’interroge :

sur l’éventuelle limitation liée à la licence « Azure for Students » ;
sur la méthode permettant d’obtenir la GUI (Desktop Experience) ;
sur la configuration nécessaire pour WAC.

Réponse courte : la licence Azure for Students n’impose aucune restriction d’interface. Si vous tombez sur SConfig, c’est qu’une image “Server Core” a été déployée. Pour une interface graphique complète, déployez une image Windows Server “Server with Desktop Experience”. Pour WAC, activez WinRM, ouvrez les ports requis et installez/autorisez la passerelle WAC.

Tableau de synthèse

Problème identifié	Explications	Solutions / bonnes pratiques
Image Windows Server Core déployée par erreur	L’édition Server Core est sans GUI par conception pour minimiser la surface d’attaque et l’empreinte système.	Redéployer la VM avec une image Windows Server “Server with Desktop Experience” du Marketplace. À partir de Windows Server 2016, on ne peut pas convertir une installation Core vers Desktop Experience : une réinstallation ou une nouvelle VM est nécessaire.
Confusion entre licence et fonctionnalités	L’abonnement Azure for Students n’ajoute aucune restriction liée à la présence d’une interface graphique.	Aucune action liée à la licence. Le choix de l’image lors du déploiement détermine la présence de la GUI.
Échec de Windows Admin Center	WAC nécessite WinRM opérationnel (5985/5986), un accès réseau autorisé, et l’installation de la passerelle WAC (extension Azure ou installation manuelle).	Vérifier les règles NSG/pare-feu, activer WinRM, installer l’extension Windows Admin Center et autoriser l’accès à la passerelle (groupe local WAC, Azure AD selon le modèle).
Administration sans GUI	Avec Server Core, tout reste administrable via PowerShell, WAC, et outils distants.	Conserver Core si la légèreté est recherchée : utiliser SConfig pour le socle, PowerShell Remoting pour l’automatisation, et WAC pour l’interface web.

Pourquoi vous voyez SConfig (et pas le Bureau Windows)

Les images Azure comportent plusieurs variantes : Datacenter, Datacenter (Server Core), parfois Azure Edition, etc. Toute image contenant « Server Core » est sans interface graphique. À l’inverse, les images indiquant « Desktop Experience » fournissent l’environnement graphique complet.

Comment vérifier rapidement le type d’installation

Depuis la session SConfig (ou via PowerShell), exécutez :

(Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").InstallationType
# Renvoie "Server Core" ou "Server" (Desktop Experience)

Vous pouvez aussi interroger l’image depuis Azure CLI :

az vm show -g <groupeRessources> -n <nomVM> --query "storageProfile.imageReference" -o table

Obtenir une GUI : la bonne méthode

À partir de Windows Server 2016, on ne bascule plus d’une installation Core vers Desktop Experience. Pour récupérer une interface graphique :

Créez une nouvelle VM avec une image Windows Server (Server with Desktop Experience).
Récupérez vos données de l’ancienne VM (attacher l’ancien disque comme disque de données, ou créer un disque à partir d’un instantané).

Étapes détaillées (Azure Portal)

Portail Azure → Créer une ressource → Windows Server → choisissez une version qui mentionne “Desktop Experience”.
Taillez la taille de VM (ex. D2s_v5), réseau, disque & balises selon vos besoins.
Terminez le déploiement, puis testez la connexion RDP : vous devez arriver sur l’écran de connexion Windows standard (GUI).

Étapes détaillées (Azure CLI – exemple)

# 1) Créer la VM Desktop Experience
az vm create \
  -g <rg> \
  -n <vm-gui> \
  --image "MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest" \
  --admin-username <admin> \
  --admin-password <MotDePasseSûr> \
  --size Standard_D2s_v5

# 2) (Optionnel) Arrêter l’ancienne VM et capturer un instantané de son disque OS

OLD_OS_DISK_ID=$(az vm show -g  -n  --query "storageProfile.osDisk.managedDisk.id" -o tsv)
az snapshot create -g  -n snap-old-os --source $OLD_OS_DISK_ID

# 3) Créer un disque de données à partir du snapshot

az disk create -g  -n data-from-old --source snap-old-os

# 4) Attacher le disque de données à la nouvelle VM GUI

az vm disk attach -g  --vm-name  --name data-from-old

Une fois le disque attaché, connectez-vous à la VM Desktop Experience, montez le volume et copiez vos fichiers (profils, logs, etc.).

Faire fonctionner Windows Admin Center (WAC)

Windows Admin Center est une passerelle web qui orchestre la gestion via WinRM/PowerShell Remoting. Trois éléments sont indispensables :

WinRM activé et fonctionnel sur la VM cible.
Réseau autorisé : ports 5985/5986 (WinRM) et 6516 (passerelle WAC si vous l’hébergez sur la VM).
Passerelle WAC installée (extension Azure ou installation MSI) et vous devez être autorisé (groupe local WAC, ou contrôle d’accès via Azure AD selon le modèle).

Activer WinRM sur la VM

Depuis SConfig :

Choisissez Option 4 – Configure Remote Management, et validez.
Choisissez Option 7 – Remote Desktop pour activer RDP si besoin.

En PowerShell :

# Activer la gestion distante
Enable-PSRemoting -Force

# Ouvrir WinRM HTTP (5985) et HTTPS (5986) côté pare-feu Windows

Enable-NetFirewallRule -DisplayGroup "Windows Remote Management"

# (Optionnel) Forcer l’utilisation d’HTTPS : créer/attribuer un certificat, puis configurer WinRM

# (Simplifié : rester en HTTP dans un réseau privé contrôlé, sinon préférez HTTPS)

Installer la passerelle WAC (extension Azure)

Si vous voulez héberger WAC sur la VM, utilisez l’extension Azure :

az vm extension set \
  -g <rg> \
  --vm-name <vm> \
  --publisher Microsoft.AdminCenter \
  --name WindowsAdminCenter

Puis autorisez l’accès au port 6516/TCP dans le NSG (idéalement depuis votre IP uniquement) :

az network nsg rule create \
  -g <rg> \
  --nsg-name <nsg> \
  -n Allow-WAC-6516 \
  --priority 200 \
  --direction Inbound \
  --access Allow \
  --protocol Tcp \
  --source-address-prefixes <Votre-IP-Publique> \
  --destination-port-ranges 6516

Astuce : si vous accédez via une IP publique dynamique, préférez un saut via Azure Bastion ou installez WAC sur une VM/PC dans le même réseau que vos serveurs.

Installer WAC sur votre poste (scénario recommandé)

Vous pouvez installer WAC sur votre PC/VM d’administration et ajouter les serveurs Azure comme cibles ; il suffit que la connectivité WinRM (5985/5986) soit possible (VPN/point‑à‑site/peering). Dans un environnement non joint au domaine (workgroup), ajoutez l’hôte de destination en TrustedHosts :

# Sur le poste qui exécute WAC
Set-Item WSMan:\localhost\Client\TrustedHosts -Value <IP-ou-FQDN-de-la-VM> -Force
Restart-Service WinRM

Ensuite, connectez-vous avec un compte ayant des droits Administrators sur la VM.

Erreurs WAC fréquentes et remèdes

Message / Symptôme	Cause probable	Correctif
« WinRM cannot complete the operation… »	Service WinRM inactif, pare-feu bloquant, DNS/nom injoignable.	Vérifier `Get-Service WinRM`, `Test-NetConnection <cible> -Port 5985`, règles NSG/pare-feu.
401/403 ou demande d’identifiants en boucle	Compte sans privilèges, problème d’auth (Kerberos/NTLM), horloge désynchronisée.	Utiliser un compte Administrators, synchroniser l’heure (`w32tm /resync`), en workgroup configurer TrustedHosts.
Erreur de certificat sur la passerelle WAC	Certificat auto-signé par défaut.	Remplacer par un certificat approuvé, ou accepter le certificat si politique locale le permet.
Connexion WAC OK mais outils qui échouent	Modules RSAT manquants, politiques d’exécution PowerShell restrictives, UAC.	Installer les fonctionnalités manquantes, assouplir de façon contrôlée `Set-ExecutionPolicy`, relancer en élévation.

Réseau : ports, NSG et alternatives sécurisées

RDP : 3389/TCP.
WinRM : 5985/TCP (HTTP) et 5986/TCP (HTTPS).
WAC (passerelle) : 6516/TCP.

Recommandations :

Limiter l’exposition publique : NSG restrictives par source (votre IP), ou pas d’exposition publique du tout (VPN/privé).
Privilégier Azure Bastion pour RDP/SSH via le navigateur sans ouvrir le port 3389 à Internet.
Si vous devez exposer, activez l’accès JIT (Just‑In‑Time) à travers la solution de sécurité Azure, ce qui n’ouvre les ports que sur demande et pour une durée limitée.

Exemple de règle NSG pour RDP depuis votre IP uniquement :

az network nsg rule create \
  -g <rg> \
  --nsg-name <nsg> \
  -n Allow-RDP-3389-MyIP \
  --priority 210 \
  --direction Inbound \
  --access Allow \
  --protocol Tcp \
  --source-address-prefixes <Votre-IP-Publique> \
  --destination-port-ranges 3389

Si vous gardez Server Core : bien l’administrer

Server Core n’a pas de shell graphique, mais il reste redoutablement efficace avec les bons outils.

Ce que vous pouvez faire avec SConfig

Changer le nom d’hôte, rejoindre un domaine, configurer l’IP.
Activer RDP et la gestion à distance.
Lancer Windows Update, activer Remote Mgmt, configurer le fuseau horaire.

Scripts utiles (à exécuter en PowerShell)

# 1) Activer RDP (si non fait via SConfig)
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# 2) WinRM fonctionnel

Enable-PSRemoting -Force
Test-WSMan # Valider la réponse WinRM

# 3) Ouvrir explicitement 5985/5986 si besoin

New-NetFirewallRule -DisplayName "WinRM-HTTP-In" -Direction Inbound -Protocol TCP -LocalPort 5985 -Action Allow
New-NetFirewallRule -DisplayName "WinRM-HTTPS-In" -Direction Inbound -Protocol TCP -LocalPort 5986 -Action Allow

Bonnes pratiques de sécurité

Comptes et rôles : principe du moindre privilège. Pour WAC, n’autorisez que les administrateurs nécessaires sur la passerelle (groupe local WAC / contrôle d’accès centralisé).
Segments réseau : isolez vos VMs dans des VNet/Subnets dédiés avec NSG restrictives.
Authentification : imposez MFA sur le compte Azure et des mots de passe forts (ou clés).
Chiffrement : privilégiez WinRM HTTPS (5986) et un certificat approuvé si exposition hors réseau privé.
Journalisation : activez les logs (Diagnostics, Azure Monitor) et surveillez les connexions RDP/WAC.

Procédure de diagnostic pas à pas

Identifier l’image (Core vs Desktop) avec la commande PowerShell ci‑dessus.
Vérifier la connectivité : Test-NetConnection <ip> -Port 3389/5985/6516 depuis une machine du même réseau.
Contrôler NSG : les règles Inbound autorisent-elles la source, le port et la priorité n’est-elle pas supplantée par un Deny ?
Contrôler le pare-feu Windows : groupes de règles Remote Desktop, Windows Remote Management, et règle personnalisée pour 6516 si WAC est local.
Valider WinRM sur la VM : Test-WSMan, Get-Service WinRM (Status : Running).
Installer/valider la passerelle WAC : extension ou MSI, certificat, écoute sur 6516, groupe d’autorisations.
Réessayer la connexion WAC en utilisant FQDN ou IP, et les bons identifiants (Kerberos si domaine ; sinon workgroup + TrustedHosts).

FAQ

Azure for Students bloque‑t‑il la GUI ?

Non. La GUI dépend uniquement de l’image choisie (Core ou Desktop Experience). L’abonnement « for Students » n’impose pas de restriction d’interface.

Puis‑je activer la GUI après coup ?

Non pour Windows Server 2016/2019/2022 : la conversion Core → Desktop Experience n’est pas supportée. Recréez la VM avec l’image adéquate et migrez les données.

Dois‑je héberger WAC sur chaque serveur ?

Non. Une seule passerelle WAC suffit pour gérer plusieurs serveurs. Vous pouvez aussi l’installer sur votre poste d’admin et cibler des VMs via WinRM.

WAC ne se charge pas, mais RDP fonctionne : que vérifier ?

Le plus souvent : WinRM bloqué (5985/5986), port 6516 non ouvert (si passerelle locale), ou droits insuffisants sur la passerelle WAC.

Modèles d’images Azure : bien choisir

Au moment de créer la VM, inspectez attentivement la désignation de l’image :

Windows Server 20xx Datacenter → GUI (Desktop Experience) selon la variante choisie.
Windows Server 20xx Datacenter – Server Core → sans GUI.
Windows Server Azure Edition → certaines déclinaisons sont Core pour bénéficier de fonctionnalités cloud avancées ; vérifiez la mention « Desktop Experience » si nécessaire.

Modèle d’automatisation : tout configurer en une fois

Script d’initialisation minimal pour une VM Server Core destinée à être gérée par WAC :

# 0) Variables (à adapter)
$AdminUser = "$env:USERNAME"

# 1) RDP + pare-feu

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# 2) WinRM

Enable-PSRemoting -Force
Enable-NetFirewallRule -DisplayGroup "Windows Remote Management"

# 3) Vérifications

Get-Service WinRM | Format-Table Status,Name,DisplayName
Test-WSMan

# 4) (Optionnel) Confiance mutuelle en workgroup (à exécuter côté poste d’admin)

# Set-Item WSMan:\localhost\Client\TrustedHosts -Value "" -Force

Check‑list finale

La VM a été créée avec une image Desktop Experience si vous voulez une GUI.
RDP activé et autorisé dans NSG/pare-feu (3389/TCP).
WinRM activé et test OK (5985/5986).
WAC installé (extension ou MSI), port 6516 autorisé, certificat prêt.
Accès contrôlé (groupe WAC/Azure AD), MFA et NSG restrictives.
En alternative, utilisez Azure Bastion pour éviter l’exposition de 3389.

Conclusion

Si votre session RDP démarre sur SConfig et que WAC refuse la connexion, le diagnostic est presque certain : image Server Core déployée et WinRM/WAC non configurés. La licence Azure for Students n’est pas en cause. Pour une interface complète, recréez la VM en Desktop Experience et migrez vos données ; si vous restez en Core, activez WinRM, ouvrez les ports nécessaires, installez WAC et profitez d’une administration moderne, sécurisée et scriptable.

Récapitulatif opérationnel

Vérifier InstallationType : Core ou Desktop Experience.
Besoin de GUI ? Recréer la VM avec l’image Desktop Experience.
Activer RDP et WinRM, ouvrir les ports côté NSG et pare-feu.
Installer/configurer WAC (extension Azure ou MSI), sécuriser l’accès.
Option sécurité : Azure Bastion et/ou JIT pour éviter l’exposition permanente.

En résumé : ce n’est pas la licence qui limite la GUI, mais le choix de l’image. Optez pour Desktop Experience si vous voulez un bureau, ou conservez Server Core avec une gestion 100 % distante via PowerShell et WAC correctement configuré.