administrativen Zugriff auf Ordnerumleitungen / Home Directorys / Userprofils hinzufügen

Möchte man Ordnerumleitungen, Home Directorys oder Userprofiles migrieren oder im Nachhinein einen administrativen Zugriff einrichten, steht man vor dem Problem der Besitzübernahme, Berechtigungsvergabe und Besitzrückgabe. Klar, der Besitz ist schnell übernommen und der Zugriff gesetzt aber wie nun weiter? Bei den meisten Skripten werden die Ordner nicht mehr zurück an den User übergeben, was bei verschiedenen Anwendungen oder Verwendung von Quotas Probleme macht. Ich habe den Vorgang mit einem Batchskript automatisiert. Das Skript bedient sich den Ordnernamen, daher muss der Ordnername dem Usernamen entsprechen.

Migrationsweg

  1. Besitzübernahme und Vererbung des Root Folders
  2. Veränderung der Berechtigung des Root Folders
  3. Skript ausführen
    1. Variable Temp in ein temporäres Verzeichnis anpassen
    2. Variable Folder auf den Root Folder anpassen
    3. Variable NETBIOS auf den Domänen-Netbios Namen ändern
    4. Skript mit Ausgabeumleitung für rudimentäres Logging aufrufen Add-FC_OS.cmd > C:\Temp\Add-FC_OS.log 2>&1

@echo off

REM set variables
set Tempfolder=C:\Temp
set Folder=C:\Temp\Test\
set NETBIOS=lab

REM Create list of folders
dir /a:d /b %Folder% > %Tempfolder%\Folderdir.txt

REM set token from each line
for /f „tokens=*“ %%G in (%Tempfolder%\Folderdir.txt) do (

REM set ACL Full Control for ech folder
icacls „%Folder%\%%G“ /T /GRANT „%NETBIOS%\%%G:(OI)(CI)(F)“

REM set ownership for each folder
icacls „%Folder%\%%G“ /T /setowner „%NETBIOS%\%%G“

echo.
)

VPN zwischen Microsoft Azure Regionen

Initiiert durch eine Prüfungsfrage hat mich das Thema Azure Inter-Datacenter Kommunikation schon länger interessiert. Wie funktioniert es also, wenn ich VMs in zwei unterschiedlichen Regionen miteinander kommunizieren lassen will? Technisch könnte ich zwar Endpunkte der VMs veröffentlichen und die externe IP des anderen Cloud Service ansprechen, aber diese Lösung ist aufwändig, nicht secure und nicht skalierbar. Viel besser, ich konfiguriere ein exklusiv für mich bereitgestelltes Site to Site VPN Netzwerk. Dafür benötige ich VMs, einen Cloud-Dienst und ein virtuelles Netzwerk in jeder der beiden Azure Regionen. An das virtuelle Netzwerk wird je ein Gateway angeschlossen und als Site-to-Site VPN konfiguriert. Nochmal alle Schritte im Überblick.

  1. virtuelles Netz 1 in Region 1 erstellen
  2. virtuelles Netz 2 in Region 2 erstellen
  3. Gateway am virtuellen Netzwerk Region 1 erstellen
  4. Gateway am virtuellen Netzwerk Region 2 erstellen
  5. Verbindung konfigurieren
  6. Verbindung aufbauen
  7. Cloud-Dienst 1 und VM 1 im virtuelles Netz 1 erstellen
  8. Cloud-Dienst 2 und VM 2 im virtuelles Netz 2 erstellen

Nun alle Schritte im Detail. In dieser Konfiguration verwendete ich folgende virtuelle Netzwerke.

 Name VNet-Westeuropa VNet-Nordeuropa
Speicherort Westeuropa Nordeuropa
Adressraum 192.168.0.0/23 192.168.2.0/23
Subnetz für VMs 192.168.0.0/24 192.168.2.0/24
Subnetz für Gateway 192.168.1.0/24 192.168.3.0/24
Zugelassenes Remote Subnetz 192.168.2.0/24 192.168.0.0/24

Im ersten Schritt erstelle ich ein virtuelles Netzwerk im Speicherort Westeuropa.

48

Dabei klicke ich zusätzlich den Site-To-Site-VPN Hacken an.

49

Anschließend vergebe ich einen Namen für das Remote Netzwerk und den Adressraum der anderen VPN Site. Die öffentliche IP-Adresse des VPN-Gerätes kann erstmal frei gewählt werden. Diese muss ich später nochmal ändern, da die öffentlichen IP-Adressen der späteren Gateways ja noch unbekannt sind.

50

Nun wird der eigene Adressraum des virtuellen Netzwerkes konfiguriert. Er besteht aus der Netzadresse + CIDR, welche alle Teile der Subnetze umfasst. Darunter können die eigentlichen Subnetze angelegt werden. In meinem Fall benötige ich ein Subnetz für die VMs selbst und das Gatewaysubnetz, was dem Routing dient.

51

Gleiche Schritte muss ich nun noch einmal für das virtuelle Netzwerk im Speicherort Nordeuropa durchführen. Hier habe ich dann die Subnetze der oberen Tabelle verwendet.

68

Für eine Azure to Azure Verbindung wird ein Gateway vom Typ Dynamisches Routing benötigt. Diesen erstelle ich je im virtuellen Netzwerk durch das untere Aktionsfeld. Das Erstellen  dauert bis zu 30 Minuten.

56

Nun sind auch die öffentlichen Gateway-Adressen festgelegt und bekannt. Diese muss ich in das vorhin definierte Remotenetz (lokales Netzwerke) eintragen. Die Gateway-IP-Adresse von vnet-nordeuropa wird in das lokale Netzwerk Nordeuropa eingetragen und die Gateway-IP-Adresse von vnet-westeuropa wird in das lokale Netzwerk Westeuropa eingetragen. Etwas verwirrend, aber das lokale Netzwerk Nordeuropa ist ja ein Teil der Konfiguration von Westeuropa. Das Gateway Westeuropa muss wissen über welche IP-Adresse es das Netz Nordeuropa erreichen kann.

57

59

69

In einer Azure to Azure Verbindung müssen die Schlüssel natürlich gleich sein. Derzeit verwendet jedes Gateway seinen eigenen Schlüssel. Dieser Schritt kann nur über die Microsoft Azure Powershell durchgeführt werden.

Set-AzureVNetGatewayKey -VNetName VNet-Nordeuropa -LocalNetworkSiteName Westeuropa -SharedKey <neuer Key>

Set-AzureVNetGatewayKey -VNetName VNet-Westeuropa -LocalNetworkSiteName Nordeuropa -SharedKey <neuer Key>

60

Nun kann die Verbindung von einer der beiden Seiten im Aktionsfeld des virtuellen Netzwerks aufgebaut werden. Das Resultat sieht dann so aus:

61

62

Abschließend erstelle ich noch in jedem virtuellen Netzwerk eine VM. Dabei achte ich darauf, dass ich in der Region / Affinitätsgruppe / virtuelles Netzwerk das zuvor erstellte virtuelle Netzwerk  VNet-Nordeuropa und VNet-Westeuropa auswähle.

VM Westeuropa VM Nordeuropa
Cloud-Dienst Westeuropa Nordeuropa
Region / Affinitätsgruppe / virtuelles Netzwerk VNet-Westeuropa VNet-Nordeuropa
Automatisch zugeordnete IP-Adresse 192.168.0.4 192.168.2.4

63

64

Abschließend öffne ich in der Firewall die ICMP Regel und teste die Verbindung.

66

Derzeit ist die Bandbreite auf max. 100 Mbit/s begrenzt. Bei einer Messung schwanken die Werte und ich erreiche im mittel ca. 80 Mbit/s.

67

Im Design sollte man berücksichtigen, dass neben den Kosten der Gateways selbst, ausgehender Datenverkehr normal berechnet wird. Nur eingehender Datenverkehr ist frei.

Microsoft Azure – Deutsche Videos

Es gibt mittlerweile unzählig viele englische Videos zum Thema Azure. Deutsche Videos sind eher die Seltenheit und schwer zu finden. Deshalb möchte ich hier auf die Reihe Windows Azure im Überblick Germany im Channel 9 hinweisen.  Der Speaker Holger Sirtl von der Microsoft Deutschland GmbH stellt in insgesamt 8 Videos vor was Microsoft Azure ist. Die Videos sind Ende 2013 erstellt, einiges fehlt also. Dagegen ist die Reihe Techtalk.Cloud mit derzeit 6 Folgen, ebenfalls von Holger Sirtl ganz frisch auf dem Portal und wird stetig erweitert. Eine echte Empfehlung für den sanften Einstieg in die Thematik.