RemoteDesktop Gateway Farm Unreachable / Firewall

Bei der Einrichtung einer RemoteDesktop Gateway Farm unter Windows Server 2016 (sicherlich auch 2012R2) gibt es eine Besonderheit zu beachten. Entgegen des restlichen Setups werden die Regeln in der Windows Firewall zwar erstellt aber nicht aktiviert. Damit der gegenseitige Zugriff klappt, müssen die Regeln im Nachgang aktiviert werden. Etwas unschön finde ich, dass die Ports beidseitig dynamisch geregelt werden.

147 148 149 150

Windows Server 2016 Workgroup Cluster ohne DNS

Die neue Funktion in Windows Server 2016 einen Hyper-V Cluster auch in einer Workgroup zu betreiben ist besonders für DMZ Szenarien interessant. In der Regel ist man in der DMZ bestrebt, die Abhängigkeiten zu anderen Diensten zu minimieren. Für Active Directory geht das nun, warum also nicht gleich auch für DNS? In dem bisher einzigen Artikel zum Workgroup Cluster wird die Anforderung zum DNS mit „sollte“ beschrieben. In der Praxis funktioniert der Cluster auch wunderbar, wenn die Namen der Knoten und des Clusters je in der Host Datei aufgenommen werden. Ist zwar etwas Oldschool aber der Cluster startet ohne jede Abhängigkeit. Microsoft zögert aktuell noch, dass als offiziell supported zu bezeichnen, da versuche ich gerade noch der Produktgruppe ein Statement abzuringen. Es wird aber auch nicht als unsupported bezeichnet. Dazu noch folgende Hinweise.

  • entfernt die DNS Registrierung in den TCP/IP Einstellungen, sonst meldet der Cluster ständig Fehler
  • verwendet ein Quorum

In DMZ Szenarien

  • überprüft welche der Windows Firewall Regeln noch geschlossen werden können
  • trennt das Management Netz vom VM Netz
  • entfernt die GUI nach der Konfiguration, oder lieber gleich Nano Server 😉

144 145 146

Azure Active Directory Domain Services ARM Network – Gateway oder VNet-Peering

Zwischen den Feiertagen stand das Thema Azure Active Directory Domain Services auf dem Aufarbeitungsplan. An sich ist das ja keine komplizierte Sache, nur wird aktuell der Service komplett in ASM (manage.windowsazure.com) bereitgestellt. Der Service setzt ein verbundenes VNet voraus. Nun erratet Ihr schon das Problem, es können natürlich direkt keine ARM VNets angebunden werden. Die Kritik dazu ist in den Foren und Blogs schon relativ hoch. Verständlich, warum announced Microsoft im Oktober einen Service GA, der letztlich nur im alten Deploymentmodel zur Verfügung steht. Das es auch anders geht zeigt bspw. der Service StorSimple. In diesem kann man direkt aus ASM – ASM und ARM Speicherkonten hinterlegen.

Generell gibt es zwei Möglichkeiten den Services mit ARM zu verheiraten. Entweder über ein Gateway oder über VNet-Peering. Der Unterschied liegt vor allem in den zusätzlichen Gateway Kosten, auch ist die Einrichtung des Gateways wesentlich komplexer. Dafür kann über das Gateway eine Verbindung zwischen Regionen aufgebaut werden, währenddessen sich VNet-Peerings nur für Verbindungen innerhalb einer Region eignen. In der Doku wird das Thema leider gar nicht behandelt. Es gibt bisher in den offiziellen Microsoft Blogs nur einen Artikel der das Szenario mit Gateway beschreibt. Auch liefert Google nicht gleich den gewünschten Treffer, was mit letztlich zum Schreiben des Beitrages animiert hat.

https://blogs.technet.microsoft.com/markrenoden/2016/06/10/using-azure-active-directory-domain-services-with-arm-vnets/

Die Schritte für das VNet-Peering sind sehr einfach. Nachdem der Azure Active Directory Domain Services komplett samt VNet im ASM erstellt wurde, wechsle ich ins Azure Portal und erstelle ein zweites VNet in einem anderen Adressbereich und verbinde die VNets miteinander. Danach noch der Domain Join und fertig.

143

144

145

147

146

148

Hier auch nochmal die Azure Dokumentation dazu.

https://docs.microsoft.com/de-de/azure/virtual-network/virtual-network-peering-overview

Ob man den Services aktuell produktiv ausrollen sollte ist zumindest fragwürdig. Zum einen holt man sich wieder unnütze ASM Altlast in das Deployment, zum anderen stehen die ganzen modernden Funktionen wie bspw. Role-Based Access Control nicht zur Verfügung.

Azure Stack Unable to display virtual machine sizes

Langsam nähere ich mich dem Thema Azure Stack. Nachdem wir die erste Demounit mit TP1 aufgesetzt haben, kommt es hin- und wieder zu Fehlern. Unter anderem funktioniert das VM Deployment gelegentlich nicht mehr. Die ganze Infrastruktur neu zu starten ist recht aufwändig. Ursache des Fehlers „Azure Stack Unable to display virtual machine sizes“ sind einige abgestürzte Dienste auf dem Core Server xRPVM. Das Starten der Dienste behebt auch den Fehler.

Get-Service CRP|Start-Service -Verbose
Get-Service AvailabilitySetController|Start-Service -Verbose
Get-Service BlobManager|Start-Service -Verbose
Get-Service ClusterManager|Start-Service -Verbose
Get-Service ComputeController|Start-Service -Verbose
Get-Service DiagnosabilityManager|Start-Service -Verbose
Get-Service ExtensionManager|Start-Service -Verbose
Get-Service GuestArtifactRepository|Start-Service -Verbose
Get-Service IsoManager|Start-Service -Verbose
Get-Service ManifestProvider|Start-Service -Verbose
Get-Service MetadataServer|Start-Service -Verbose
Get-Service NetworkManager|Start-Service -Verbose
Get-Service PlacementManager|Start-Service -Verbose
Get-Service PlatformImageRepository|Start-Service -Verbose
Get-Service TopologyManager|Start-Service -Verbose

AzureStack

xRPVM

03

2012R2 Deutsch GPO zentral Store funktioniert nicht?

Mir ist gerade ein neuer 2012R2 Domain Controller über den Weg gelaufen, auf dem ich den zentralen GPO Speicher aktivieren wollte. Bei der Kontrolle hatte ich mich immer auf die Beschreibung in der GPO verlassen und mich auf das Wort „Store“ konzentriert. Leider übersetzt Microsoft den „central Store“ mit „zentraler Computer“. Nach einem kurzen Test durch hinzufügen von neuen ADMX Vorlagen, habe ich es dann auch gemerkt.

130

129

131

132

In 5 Minuten zur / zum performanten Website / Cloud-Service weltweit – mit Azure Traffic Manager

Der Azure Traffic Manager ist ein Netzwerk Service von Microsoft Azure. Grundlegend ist der Azure Traffic Manager für 4 Anwendungsszenarien entwickelt.

  • Verbessern der Verfügbarkeit wichtiger Anwendungen (automatisches Failover auf ein anderes Azure Rechenzentrum)
  • Verbessern der Performance (Auswertung des Aufrufers „welches Rechenzentrum erreiche ich am schnellsten“)
  • Wartung ohne Dienstausfall
  • Verteilung von Last auf verschiedene Rechenzentren

Wie funktioniert Azure Traffic Manager?

In der Konfiguration wird ein globaler DNS Name festgelegt. Dieser CNAME verweist auf den Traffic Manager Domänennamen. In der Konfiguration wird festgelegt, welche Endpunkte in welchen Rechenzentren über diese URL erreichbar sind. Weiterhin wird festgelegt nach welcher Lastenausgleichsmethode verteilt werden soll.

  • Leistung
  • Roundrobin
  • Failover

Der Preis wird dabei in Millionen Anfragen berechnet. Weitere Informationen findet ihr in der Azure Dokumentation und in den Preisdetails.

Zunächst erstelle ich in den Rechenzentren Nordeuropa und USA, Mitte/Norden je eine leere Azure Website. Möglich sind hier aber auch Cloud Services und damit letztlich auch eigene VMs mit eigenen Diensten.

127

130

128

129

Damit ich später sehe, in welchem Rechenzentrum ich lande, bearbeite ich die Startseite der Website. Hierzu nehme ich FileZilla. Die Anmeldedaten entnehme ich dem Veröffentlichungsprofil.

131

Dabei gilt:

  • FileZilla Server = publishUrl
  • Benutzername = userName
  • Passwort = UserPWD

132

Ich lade mir die Startseite herunter und ersetze im Text die Lokationen.

134

133

Der Traffic Manager benötigt mindestens den Standardplan. Ich muss also beide Web-Apps in den Standardplan ändern.

136

Als nächstes erstelle ich den Traffic Manager unter Verwendung eines globalen Namens …

135

… und füge die beiden Web-App Endpunkte hinzu.

137

138

Abschließend ändere ich den Überwachungseinstellungen den relativen Pfad auf die Startseite.

139

Zum Test rufe ich die Seite über meinen Browser auf. Ich werde in das Rechenzentrum Nordeuropa geleitet.

140

Verwende ich einen Webproxy aus den Staaten, lande ich im Rechenzentrum der USA.

141

Beende ich nun die Wep-App Nordeuropa werde ich durch die Überwachung automatisch in die Staaten umgeleitet.

142

Update Rollup 6 for System Center 2012 R2 Virtual Machine Manager

Am Dienstag wurde das Update Rollup 6 für System Center 2012R2 veröffentlicht. Für DPM gibt es, wie erwartet den SQL 2014 Support und eine neue Funktion beim Löschen der Protection Groups. Daneben wurden 15 Fehler korrigiert. In VMM können nun Azure Subscriptions integriert werden, dazu wurde die Integration von ASR verbessert. Gen2 VMs können nun für Services und VMRoles verwendet werden und die Netzwerkauslastung ist im Management Pack integriert. Daneben wurde eine Option zum Überbuchen des RAMs bei replizierten VMs ergänzt. Dazu kommen 46 Fehlerkorrekturen.

Für die Integration der Azure Subscription wird ein Management Zertifikat benötigt. Dieser Vorgang wird im MSDN beschrieben. Das Management Zertifikat muss auf dem VMM Server im Benutzerspeicher installiert werden.

122

123

125

126

 

 

Blogserie Azure MFA – Part 4 Installation Azure MFA Mobil App

Als weitere Möglichkeit der Authentifizierung, neben SMS und Anruf, steht die Mobile App zur Verfügung. Wie jeder TAN Generator muss zwischen Server und Client eine Synchronisierung stattfinden. In der on Premise Lösung wird dazu eine Website eingesetzt. Das Setup befindet sich auf dem MFA Server im Installationspfad. In meinem Beispiel verändere ich den Standardpfad des virtuellen Verzeichnisses.

114

Sobald die URL in der Installation verändert wird, muss diese auch in der Web.config des MFA Webportals angepasst werden.

116

In den globalen Einstellungen des Benutzerportals sollte die Mobile Anwendung nun erlaubt werden. Es muss ein Wert für die maximale Anzahl gleichzeitig aktivierter Geräte festgelegt werden.

117

Nun kann der User sich am Portal anmelden und einen Aktivierungscode generieren.

118

Dieser dient zur Erstsynchronisierung.

119

Die App ist in den jeweiligen Stores kostenlos erhältlich.

120

Der Code kann manuell eingegeben oder über den QR Code gescant werden. Nach der Eingabe verbindet sich die App mit dem Webportal, registriert das Gerät und legt einen geheimen Algorithmus zur Schlüsselerzeugung fest.

 121

Nun kann die mobile App als TAN Generator zur Authentifizierung verwendet werden.

Blogserie Azure MFA – Part 3 Installation Azure MFA User Portal / SDK

Normalerweise ist die Installation des Portals genauso einfach, wie die des Servers, eigentlich und auch nur laut MSDN! Werden alle Rollen auf einem Server ausgeführt, soll die Kommunikation intern über RPC funktionieren. Leider klappt das in der Praxis nicht. Bisher habe ich auch keine Anleitung im Netz gefunden, die überhaupt funktionierte. Mit einigem Aufwand und viel Troubleshooting habe ich es zum Laufen bekommen.

Zunächst wird auf dem MFA Server die IIS Serverrolle installiert. Dabei werden folgende zusätzliche Features der Rolle benötigt.

  • Basic Authentication
  • Windows Authentication
  • ASP.NET 3.5
  • ASP.NET 4.5
  • ISS 6 Metabase Compatibility

93

Die Kommunikation zwischen SDK und Userportal muss verschlüsselt sein. Dafür wird ein gültiges Zertifikat benötigt. In meinem Beispiel stammt das Zertifikat von einer internen CA. In der Praxis wird das Userportal und die Mobile App im Internet veröffentlicht, sodass sich hier ein öffentliches Zertifikat empfiehlt. Es sollte in jedem Fall der FQDN des MFA Servers bzw. der externen Adresse verwendet werden.

94

Zunächst installiere ich das Azure MFA SDK (ebenfalls ein Webservice) auf dem Server. Das SDK stellt die Verbindung zwischen dem MFA Server und dem User Portal her. Es kann über die Konsole des MFA Server installiert werden.

95

In der Installation wird die Active Directory Gruppe Phone Admins group erzeugt.

96

Ich habe die Website unter der Standardwebsite belassen. Hier kann aber auch im Vorfeld eine eigene erstellt und ausgewählt werden.

 97

Im zweiten Schritt installiere ich nun aus der MFA Konsole das User Portal.

98

In der Installation wird der Active Directory Benutzer PFUP_MFA Account erstellt.

99

Auch hier wird die Standardwebsite verwendet.

100

Das Passwort des Active Directory Benutzers wird während der Installation generiert. Ich benötige es jedoch später in einer Konfigurationsdatei, deshalb setze ich es nach der Installation zurück.

101

Nun binde ich das SSL Zertifikat im IIS an die Standardwebsite mit dem Port 443.

102

Das Userportal muss wissen, dass es den Umweg über das SDK gehen soll. Dafür wird die Web.Config im Pfad C:\inetpub\wwwroot\MultiFactorAuth editiert.

<add key=“USE_WEB_SERVICE_SDK“ value=“true“/>

<add key=“WEB_SERVICE_SDK_AUTHENTICATION_USERNAME“ value=“domäne\PFUP_MFA“/>

<add key=“WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD“ value=“Passwort“/>

<value>https://<MFASERVER FQDN>/MultiFactorAuthWebServicesdk/PfWsSdk.asmx</value>

103

In der Standardinstallation verwenden SDK und Userportal die .NET Version 4.o, jedoch benötigt das SDK die Version 2.0. Dazu wähle ich im IIS den Default App Pool und klicke auf View Applications.

104

Nun wähle ich die Website des SDK aus und ändere den Application Pool …

105

… auf Classic .NET App Pool.

106

Auf der Website des SDK ändere ich die Authentifizierung. Ich deaktiviere die anonyme Authentifizierung und aktiviere die Windows Authentifizierung.

107

Nun kann ich mich endlich mit der Konfiguration des User Portals selbst beschäftigen. In der Konsole des MFA Servers hinterlege ich die URL des Userportals und gebe einige Standardeinstellung an.

108
Nun funktioniert das Portal und der Login der Benutzer ist möglich.

109

Sofern nicht anders konfiguriert wird der Benutzer zuerst auf die Seite zur Beantwortung der Sicherheitsfragen weitergeleitet.

110

Was der Benutzer im Portal darf und was nicht regelt der Administrator in der Konsole des MFA Servers.

111
113

Sollte es beim Aufruf der Website zu folgenden Fehlern kommen, stimmt etwas in der Konfiguration nicht.

Web Service SDK: 3 – Web service requests must be protected with SSL. – Fehler bei der SSL Verschlüsselung vom SDK, tritt auch auf wenn der SDK ausgeschalten wird

 Web Service SDK: 4 – Web service requests must be protected with SSL. – Fehler bei der SSL Verschlüsselung vom SDK, tritt auch auf wenn der SDK ausgeschalten wird

 Azure MFA Web service requests must be protected by authentication. – Windows Authentifizierung auf der SDK Website fehlt 

Error communicating with the local Multi-Factor Authentication service. Please contact your administrator. – Verbindung zwischen User Portal und MFA Server funktioniert nicht

HTTP Error 500.24 – Internal Server Error – Entweder fehlt das .NET Framework oder die Zuordnung der Application Pools ist falsch

Server Error in ‚/MultiFactorAuth‘ Application. – Entweder fehlt das .NET Framework oder die Zuordnung der Application Pools ist falsch

Blogserie Azure MFA – Part 2 Installation Azure MFA

Kommen wir nun zur Grundinstallation. Aus meiner Sicht auch der einfachste Teil der ganzen Sache. Es wird ein Microsoft Azure Zugang benötigt. Im ersten Schritt erzeuge ich einen neuen Anbieter für die mehrstufige Authentifizierung.

In der Demo verwende ich die beiden Server dc.contoso.com (AD DS, AD CS) und mfa.contoso.com (MFA Server, MFA User Portal, MFA SDK, MFA Phone App).82

Anschließend wähle ich den neuen Anbieter aus und öffne die Verwaltung. Hier merkt man ganz gut, dass das Produkt noch nicht voll in Azure integriert ist.83

Im MFA Portal kann ich den Server herunterladen. Bei den Anmeldeinformationen handelt es sich um ein Einmalpasswort zur Installation des Servers. Es hat nur eine Gültigkeit von 10 Minuten.84

Auf dem Server selbst benötige ich das .NET Framework 3.5.

85

 Die Installation ist selbsterklärend, next, next, next finish.

86

 Der nachfolgende Assistent kann abgebrochen werden und sollte nur für komplexe Multi-Server-Deployment Szenarien verwendet werden.

87

Anschließend muss der Server bei dem Microsoft Azure Dienst registriert werden. Hier verwende ich das generierte Einmalpasswort und die E-Mail Adresse.

88

Nun kann der MFA Server einer bestehenden Gruppe hinzugefügt werden (für Hochverfügbarkeitsszenarien oder wenn der Server migriert wurde) oder eine neue Gruppe erstellt werden. Sollte die Gruppe nicht existieren wird sie automatisch angelegt.

89

 Abschließend füge ich die Benutzer einzeln hinzu oder konfiguriere eine Synchronisierung mit dem Active Directory. Sofern nicht schon aus dem Active Directory ausgelesen, erhält der Benutzer die Handynummer und die Art der Authentifizierung.

90

Nun kann ich den Dienst schon testen.

91

92