RemoteDesktop Gateway Farm Unreachable / Firewall

Bei der Einrichtung einer RemoteDesktop Gateway Farm unter Windows Server 2016 (sicherlich auch 2012R2) gibt es eine Besonderheit zu beachten. Entgegen des restlichen Setups werden die Regeln in der Windows Firewall zwar erstellt aber nicht aktiviert. Damit der gegenseitige Zugriff klappt, müssen die Regeln im Nachgang aktiviert werden. Etwas unschön finde ich, dass die Ports beidseitig dynamisch geregelt werden.

147 148 149 150

Werbeanzeigen

Windows Server 2016 Workgroup Cluster ohne DNS

Die neue Funktion in Windows Server 2016 einen Hyper-V Cluster auch in einer Workgroup zu betreiben ist besonders für DMZ Szenarien interessant. In der Regel ist man in der DMZ bestrebt, die Abhängigkeiten zu anderen Diensten zu minimieren. Für Active Directory geht das nun, warum also nicht gleich auch für DNS? In dem bisher einzigen Artikel zum Workgroup Cluster wird die Anforderung zum DNS mit „sollte“ beschrieben. In der Praxis funktioniert der Cluster auch wunderbar, wenn die Namen der Knoten und des Clusters je in der Host Datei aufgenommen werden. Ist zwar etwas Oldschool aber der Cluster startet ohne jede Abhängigkeit. Microsoft zögert aktuell noch, dass als offiziell supported zu bezeichnen, da versuche ich gerade noch der Produktgruppe ein Statement abzuringen. Es wird aber auch nicht als unsupported bezeichnet. Dazu noch folgende Hinweise.

  • entfernt die DNS Registrierung in den TCP/IP Einstellungen, sonst meldet der Cluster ständig Fehler
  • verwendet ein Quorum

In DMZ Szenarien

  • überprüft welche der Windows Firewall Regeln noch geschlossen werden können
  • trennt das Management Netz vom VM Netz
  • entfernt die GUI nach der Konfiguration, oder lieber gleich Nano Server 😉

144 145 146

Azure Active Directory Domain Services ARM Network – Gateway oder VNet-Peering

Zwischen den Feiertagen stand das Thema Azure Active Directory Domain Services auf dem Aufarbeitungsplan. An sich ist das ja keine komplizierte Sache, nur wird aktuell der Service komplett in ASM (manage.windowsazure.com) bereitgestellt. Der Service setzt ein verbundenes VNet voraus. Nun erratet Ihr schon das Problem, es können natürlich direkt keine ARM VNets angebunden werden. Die Kritik dazu ist in den Foren und Blogs schon relativ hoch. Verständlich, warum announced Microsoft im Oktober einen Service GA, der letztlich nur im alten Deploymentmodel zur Verfügung steht. Das es auch anders geht zeigt bspw. der Service StorSimple. In diesem kann man direkt aus ASM – ASM und ARM Speicherkonten hinterlegen.

Generell gibt es zwei Möglichkeiten den Services mit ARM zu verheiraten. Entweder über ein Gateway oder über VNet-Peering. Der Unterschied liegt vor allem in den zusätzlichen Gateway Kosten, auch ist die Einrichtung des Gateways wesentlich komplexer. Dafür kann über das Gateway eine Verbindung zwischen Regionen aufgebaut werden, währenddessen sich VNet-Peerings nur für Verbindungen innerhalb einer Region eignen. In der Doku wird das Thema leider gar nicht behandelt. Es gibt bisher in den offiziellen Microsoft Blogs nur einen Artikel der das Szenario mit Gateway beschreibt. Auch liefert Google nicht gleich den gewünschten Treffer, was mit letztlich zum Schreiben des Beitrages animiert hat.

https://blogs.technet.microsoft.com/markrenoden/2016/06/10/using-azure-active-directory-domain-services-with-arm-vnets/

Die Schritte für das VNet-Peering sind sehr einfach. Nachdem der Azure Active Directory Domain Services komplett samt VNet im ASM erstellt wurde, wechsle ich ins Azure Portal und erstelle ein zweites VNet in einem anderen Adressbereich und verbinde die VNets miteinander. Danach noch der Domain Join und fertig.

143

144

145

147

146

148

Hier auch nochmal die Azure Dokumentation dazu.

https://docs.microsoft.com/de-de/azure/virtual-network/virtual-network-peering-overview

Ob man den Services aktuell produktiv ausrollen sollte ist zumindest fragwürdig. Zum einen holt man sich wieder unnütze ASM Altlast in das Deployment, zum anderen stehen die ganzen modernden Funktionen wie bspw. Role-Based Access Control nicht zur Verfügung.

Azure Stack Unable to display virtual machine sizes

Langsam nähere ich mich dem Thema Azure Stack. Nachdem wir die erste Demounit mit TP1 aufgesetzt haben, kommt es hin- und wieder zu Fehlern. Unter anderem funktioniert das VM Deployment gelegentlich nicht mehr. Die ganze Infrastruktur neu zu starten ist recht aufwändig. Ursache des Fehlers „Azure Stack Unable to display virtual machine sizes“ sind einige abgestürzte Dienste auf dem Core Server xRPVM. Das Starten der Dienste behebt auch den Fehler.

Get-Service CRP|Start-Service -Verbose
Get-Service AvailabilitySetController|Start-Service -Verbose
Get-Service BlobManager|Start-Service -Verbose
Get-Service ClusterManager|Start-Service -Verbose
Get-Service ComputeController|Start-Service -Verbose
Get-Service DiagnosabilityManager|Start-Service -Verbose
Get-Service ExtensionManager|Start-Service -Verbose
Get-Service GuestArtifactRepository|Start-Service -Verbose
Get-Service IsoManager|Start-Service -Verbose
Get-Service ManifestProvider|Start-Service -Verbose
Get-Service MetadataServer|Start-Service -Verbose
Get-Service NetworkManager|Start-Service -Verbose
Get-Service PlacementManager|Start-Service -Verbose
Get-Service PlatformImageRepository|Start-Service -Verbose
Get-Service TopologyManager|Start-Service -Verbose

AzureStack

xRPVM

03

2012R2 Deutsch GPO zentral Store funktioniert nicht?

Mir ist gerade ein neuer 2012R2 Domain Controller über den Weg gelaufen, auf dem ich den zentralen GPO Speicher aktivieren wollte. Bei der Kontrolle hatte ich mich immer auf die Beschreibung in der GPO verlassen und mich auf das Wort „Store“ konzentriert. Leider übersetzt Microsoft den „central Store“ mit „zentraler Computer“. Nach einem kurzen Test durch hinzufügen von neuen ADMX Vorlagen, habe ich es dann auch gemerkt.

130

129

131

132

In 5 Minuten zur / zum performanten Website / Cloud-Service weltweit – mit Azure Traffic Manager

Der Azure Traffic Manager ist ein Netzwerk Service von Microsoft Azure. Grundlegend ist der Azure Traffic Manager für 4 Anwendungsszenarien entwickelt.

  • Verbessern der Verfügbarkeit wichtiger Anwendungen (automatisches Failover auf ein anderes Azure Rechenzentrum)
  • Verbessern der Performance (Auswertung des Aufrufers „welches Rechenzentrum erreiche ich am schnellsten“)
  • Wartung ohne Dienstausfall
  • Verteilung von Last auf verschiedene Rechenzentren

Wie funktioniert Azure Traffic Manager?

In der Konfiguration wird ein globaler DNS Name festgelegt. Dieser CNAME verweist auf den Traffic Manager Domänennamen. In der Konfiguration wird festgelegt, welche Endpunkte in welchen Rechenzentren über diese URL erreichbar sind. Weiterhin wird festgelegt nach welcher Lastenausgleichsmethode verteilt werden soll.

  • Leistung
  • Roundrobin
  • Failover

Der Preis wird dabei in Millionen Anfragen berechnet. Weitere Informationen findet ihr in der Azure Dokumentation und in den Preisdetails.

Zunächst erstelle ich in den Rechenzentren Nordeuropa und USA, Mitte/Norden je eine leere Azure Website. Möglich sind hier aber auch Cloud Services und damit letztlich auch eigene VMs mit eigenen Diensten.

127

130

128

129

Damit ich später sehe, in welchem Rechenzentrum ich lande, bearbeite ich die Startseite der Website. Hierzu nehme ich FileZilla. Die Anmeldedaten entnehme ich dem Veröffentlichungsprofil.

131

Dabei gilt:

  • FileZilla Server = publishUrl
  • Benutzername = userName
  • Passwort = UserPWD

132

Ich lade mir die Startseite herunter und ersetze im Text die Lokationen.

134

133

Der Traffic Manager benötigt mindestens den Standardplan. Ich muss also beide Web-Apps in den Standardplan ändern.

136

Als nächstes erstelle ich den Traffic Manager unter Verwendung eines globalen Namens …

135

… und füge die beiden Web-App Endpunkte hinzu.

137

138

Abschließend ändere ich den Überwachungseinstellungen den relativen Pfad auf die Startseite.

139

Zum Test rufe ich die Seite über meinen Browser auf. Ich werde in das Rechenzentrum Nordeuropa geleitet.

140

Verwende ich einen Webproxy aus den Staaten, lande ich im Rechenzentrum der USA.

141

Beende ich nun die Wep-App Nordeuropa werde ich durch die Überwachung automatisch in die Staaten umgeleitet.

142

Update Rollup 6 for System Center 2012 R2 Virtual Machine Manager

Am Dienstag wurde das Update Rollup 6 für System Center 2012R2 veröffentlicht. Für DPM gibt es, wie erwartet den SQL 2014 Support und eine neue Funktion beim Löschen der Protection Groups. Daneben wurden 15 Fehler korrigiert. In VMM können nun Azure Subscriptions integriert werden, dazu wurde die Integration von ASR verbessert. Gen2 VMs können nun für Services und VMRoles verwendet werden und die Netzwerkauslastung ist im Management Pack integriert. Daneben wurde eine Option zum Überbuchen des RAMs bei replizierten VMs ergänzt. Dazu kommen 46 Fehlerkorrekturen.

Für die Integration der Azure Subscription wird ein Management Zertifikat benötigt. Dieser Vorgang wird im MSDN beschrieben. Das Management Zertifikat muss auf dem VMM Server im Benutzerspeicher installiert werden.

122

123

125

126