Neue How-To Serie:

Hallo lieber Leser und Leserin,
mit diesem Artikel möchte ich eine neue How-To Reihe beginnen. Hierbei wird die fiktive Person “Carl Weissichnicht” einige aus meinem Blicwinkel ganz normale Arbeits- und Alltagsaufgaben erleben. Sicher sind diese nicht immer auf den oder die jeweiligen Leser(in) übertragbar, aber vielleicht hilft es trotzdem.
Auch kann es vorkommen, dass nicht immer jede Entscheidung die “einzig Wahre” sein wird, daher versuche ich dann auch mit Unterstützung des “Use Case”, die Anforderung zu dokumentieren.

Viel Spass beim Lesen,
Michael

How-To: Windows AZURE als Extranet Fileserver nutzen – Teil 1

Seit dem Start von Microsoft’s neuer Software as a Service (SaaS) Plattform Office 365 im Februar 2013 mit den neuen Produkten der Versionen 2013, hat sich auch bei Windows AZURE einiges getan. Windows AZURE ist das parallele Angebot mit Schwerpunkt Infrastruktur as a Service (IaaS) und Plattform as a Service (PaaS).

In diesem Beitrag möchte ich darstellen, wie man nun die Welten miteinander verbinden kann. Sicher gibt es hier noch viele weitere Ansätze, aber in einem Beitrag kann ich leider nicht auf alle Möglichkeiten eingehen.

Gehen wir nun mal davon aus, dass der Freiberufler “Carl Weissichnicht”, den ich im folgenden Carl nennen möchte, sehr oft in seinem Beruf als Außendienstmitarbeiter einer internationalen Beratungsgesellschaft unterwegs ist. Er ist ein IT Profi und arbeitet dabei in mehreren IT-Projekten unter Umständen gleichzeitig. Seine IT Ausstattung für unterwegs begrenzt sich auf einem Handy (ein Windows Phone 8 Smartphone), einem Notebook mit Windows 7 (das Upgrade steht auf Windows 8 noch aus) mit integrierter UMTS Karte und einem Rucksack einiger USB Sticks. Er ist auch meistens in einem Windows getriebenes Umfeld unterwegs, wobei je nach Kunde auch der eine oder andere Linux Server vorkommen kann. Sicher hat er sich auch einige Zeit mit Linux als Betriebssystem beschäftigt, aber seine Zeit Abends im Hotel wollte er nicht mehr mit Updates von irgendwelchen Kernels und Abhängigkeiten vergeuden und der Gefahr ausgesetzt sein, dass die Kompatibilität leidet und er am nächsten Tag sein Notebook nicht mehr einsetzen kann.

Sicher hat dies auch Kosten zur Folge, aber jede Stunde, welche er mit dem kompilieren von Software beschäftigt war, konnte er keine (niedrig angesetzte) 50,- EURO Stundenlohn in Rechnung setzen. Bei 4 Stunden am Abend, waren dies immerhin 200,- EURO, die ihm keiner der Kunden zahlte.

So beschloss Carl im März 2013, seine Softwareausstattung über einen gemanagten Service eines befreundeten Microsoft Partners zu beziehen.
Darin enthalten sind folgende Produkte für einen Benutzer enthalten:

  • Office 365 E3 Plan
  • Windows Intune (mit Betriebssystem)
  • Windows AZURE Account

Für den Bezug eines Office 365 E Plans gab es die Überlegung, dass dies der einzige Plan ist, in dem nicht nur alle Komponenten in der Enterprise Edition enthalten sind (SharePoint 2013, Exchange 2013 und Lync 2013), sondern dieser Plan auch alle Möglichkeiten der Datenverschlüsselung (Information Rights Management – IRM) bietet. Denn auch als erfahrener IT-ler wollte und darf er der Cloud nicht zu 100% vertrauen. Durch die Möglichkeit der Verschlüsselung von sensiblen Daten allerdings, minimiert er das Risiko, so als würden die Daten auf einer externen Festplatte gespeichert sein.

In einem neuen Projekt gibt es die Anforderung, dass Carl große Dateimengen auslagern muss, diese aber zu groß für die lokale Festplatte sind. Sicher hat er mit seinem Office 365 E3 Plan auch einen SkyDrive pro Account, aber er kann die Dateimenge weder überschauen noch kann er diese aufgrund einer gut gefüllten Festplatte lokal dupliziert besitzen. Daher ergeben sich für ihn nun zwei Optionen. Entweder er installiert sich in Windows AZURE einen Fileserver mit Windows 2012 der über die neue Datendepluzierungstechnik verfügt oder er nutzt die Option der Daten BLOBs, einer virtuellen Festplatte. Der Nachteil bei der virtuellen Festplatte könnte sein, dass Carl nicht sicherstellen kann, dass er immer Zugriff aus fremden Netzwerken darauf hat. Er muss sicherstellen, dass der Zugriff über ein Zugriffsprotokoll stattfinden kann, welches auch in externen Netzwerken freigeschaltet ist. In der Regel ist dies SSL, eine Verbindung über HTTPS, Port 443. Doch die Einrichtung eines SSL VPN Servers und dessen Betrieb ist Carl zu aufwendig.

Daher nutzt Carl nun die Anbindung an AZURE über die neue Funktion “Windows AZURE Virtual Network Point-to-Site Connectivity” – “Punkt-zu-Standort Konnektivität” (P2S). Eine P2S Verbindung ist im Grunde nichts anderes wie eine SSL-VPN Anbindung für mobile Benutzer und mobile Anforderungen.

Anders wie die “Site-to-Site” (S2S) Verbindung, welche über eine feste öffentliche IP Adresse realisiert werden muss und einen lokalen kompatiblen IPSec Gateway Router (Hardware oder Software basiert) benötigt, kann die P2S Verbindung mit dynamischen Client IP Adressen genutzt werden. Dies wird durch die ganz klassische VPN Einwahlfunktionalität eines modernen Betriebssystems ohne weitere Implementation bereitgestellt. Die folgenden Windows Betriebssysteme werden “Out-of-the-Box” unterstützt:

  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012

Das soll nicht heißen, dass nicht andere Clientsysteme eine erfolgreiche Verbindung aufbauen können, sondern der mitgelieferte Client wird nur auf den Systemen unterstützt. Technisch ist die Anbindung über das Standardprotokoll SSTP (Secure Sockets Tunneling Protocol), welches eine transparente Verbindung über HTTPS auch durch Firewalls aufbaut. Nach einem erfolgreichen Verbindungsaufbau, kann jede beliebige PaaS Ressource innerhalb des eigenen virtuellen Netzwerks aufgebaut werden.

Um aber nun unseren Fileshare zum Laufen zu bekommen, benötigen wir einen Server, dieser ist bei Carl ein Windows 2012 Server. Im Folgenden werden nun die einzelnen Schritte zum Aufbau der virtuellen Umgebung aufgezeigt.

Anlegen eines Microsoft AZURE Accounts

Sollten Sie noch keinen Windows AZURE Account besitzen, so legen Sie sich einfach einen kostenfreien 90 Tage Test Account über diesen Link an. Windows AZURE 90 Tage Test.
Bitte beachten Sie, dass zur Verifikation sowohl ein Handy und eine gültige Kreditkarte vorhanden sein müssen. Leider ist die Kreditkarte unumgänglich, da Microsoft ein eventuelles Überbuchen nach den 90 Tagen kommerziell sicherstellen möchte. Allerdings wird Ihre Kreditkarte nicht belastet, solange Sie dies nicht selbst explizit bestätigen. Das bringt unter anderem mit sich, dass Sie auch schon während des Testzeitraums eine Überbuchung der kostenfreien Elemente erreichen könnten, zum Beispiel wenn Sie 10 BizTalk Server eine Woche laufen lassen. Solange Sie dann nicht die Abbuchung über die Kreditkarte bestätigen, werden die kostenpflichtigen Leistungen und somit Ihre bereitgestellten PaaS Ressourcen deaktiviert. Nach einiger Zeit, spätestens nach den 90 Tagen wird der Account komplett deaktiviert und dann endgültig gelöscht.

Planen der Umgebung

Auch wenn Sie vielleicht kein Netzwerkprofi sind, müssen wir uns trotzdem einige Grundgedanken machen. Hierbei möchte ich Ihnen mit folgenden Fragen unterstützen:

  • Besitzen Sie ein lokales Netzwerk? Wenn ja, dann notieren Sie bitte die Netzwerkadressen. (Carl besitzt noch zwei Homegeräte, welche über eine FritzBox die Standard IPs aus dem Netz 192.168.2.x erhalten)
  • Ist Ihr mobiler Client in einer Netzwerkdomäne? (Im Beispiel von Carl ist die Antwort “Nein”)
  • Wie soll der Server später heißen? (Carl nennt ihn wahrscheinlich ganz simpel “MyCloud-FileShare”)
  • Wie soll später der FQDN, also der im Internet erreichbare Servername heißen?
  • Besitzen Sie eventuell schon Windows Server Lizenzen mit aktueller Software Assurance? Dann könnten Sie sich die Windows fähigen VMs auch ohne Lizenz bei AZURE bestellen, das fällt unter “Lizenz Mobilität”. (Carl hat keine eigenen Serverlizenzen mit SA)

Anlegen eines virtuellen Netzwerks

In der Windows AZURE Management Konsole auf “Netzwerk” à “virtuelles Netzwerk” à “Benutzerdefiniert erstellen”

Anschließend die notwendigen Infos eintragen. Carl möchte sicher gehen, dass seine Daten auf jeden Fall in Europa gespeichert werden, daher wählt er zwischen und Nord- und Westeuropa. Wobei Nordeuropa für das Rechenzentrum Dublin und Westeuropa für Amsterdam liegt.

Im folgenden Dialogfeld muss unter anderem die Option “Punkt-zu-Webseite” aktiviert werden. Der Menüpunkt für DNS Eintrag ist optional. Hierbei kann zwischen einem lokalen DNS Server und der einem öffentlichen DNS entschieden werden. Wenn keine Auswahl getroffen wird, wird ein DNS Server über AZURE für das interne Netzwerk bereitgestellt.

Nachfolgend wird der IP Adressbereich eingerichtet, wobei dies in der Regel nur eine Bestätigung ist. Da eigentlich alle mir bekannten Heimrouter für DSL Anschlüsse IP Bereiche aus dem 192.168.x.x Bereich bereitstellen, ist bei der Auswahl eines 10.x.x.x Bereichs in der Regel kein Konflikt zu erwarten, selbst dann nicht, wenn man sein Notebook mit einer festen IP Adresse bestückt hat.

Die Auswahl ist dann nur noch zu übernehmen. Im nächsten Dialog ist anschließend das Gatewaysubnetz noch hinzuzufügen.

Die 8 hinzugefügten IP Adressen sind nicht für VPN Clients oder andere VMs nutzbar.

Nachdem das neue Netzwerk erstellt wurde, sehen Sie im Dashboard die folgende Übersicht. Das erste, was nahe liegt, ist der Versuch, den Gateway zu erstellen. Sie sollten aber erst alle Konfigurationen abschließen. Denn nachdem das Netzwerk fertig erstellt wurde und der Gateway aktiviert wurde, ist keine Änderung mehr möglich. Ein virtuelles Netzwerk kann nur geändert werden, sofern keine Ressourcen hinzugefügt sind, weder virtuelle Maschinen, Storage oder ein Gateway.

Der nächste Schritt ist dann ein Zertifikat zu erstellen.

Dies ist allerdings gar nicht so einfach, sofern Sie kein Programmierer sind… Denn in der Regel wird auf eine Visual Studio Installation verwiesen, in dem das kostenfreie Tool “makecert” enthalten ist. Sofern Sie Visual Studio installiert haben, können Sie dies lokal unter “Developer Command Prompt for VS2012” finden.

Sollten Sie kein Entwickler sein, müssen Sie sich leider zumindest einen Teil der SDK Software downloaden. Versuchen Sie einen der folgenden Links

Microsoft Windows SDK for Windows 7 and .NET Framework 4 – http://www.microsoft.com/en-us/download/details.aspx?id=8279

(Dies ist eine webbasierte Installation, Sie benötigen nur “Tools” à “Native Code Development” à und dann in den Verzeichnissen “%ProgramFiles%\Microsoft SDKs\Windows\v7.1\Bin” bzw. “%ProgramFiles%\Microsoft SDKs\Windows\v7.1\Bin\x64“. Nachdem Sie mit Administratorrechte eine Kommandozeile geöffnet haben, können Sie aus dem Verzeichnis das Zertifikat erstellen.

Zum Erstellen eines Root Zertifikats, welches später zu AZURE hoch geladen muss.

makecert -sky exchange -r -n “CN=MyPrivateRoot” -pe -a sha1 -len 2048 -ss My

Zum Erstellen des Client Zertifikats, welches dann zusätzlich zum Root Zertifikat auf jeden Client verteilt werden muss.

Über die Kommandozeile dann die Managementkonsole für Zertifkate mit “certmgr” öffnen und das Root Zertifikat “MyPrivateRoot” als .cer exportieren.

Da in diesem Fall dem Root Zertifikat noch nicht vertraut wird (siehe Bild), empfehle ich einen Export als *.cer

Im Verzeichnis, welches Sie gerade benutzt haben, können Sie durch “Import” das Root Zertifikat importieren und installieren.

Es sollte ein ähnlicher Dialog erscheinen.

Anschließend vertrauen auch Sie Ihrem eigenen Clientzertifikat.

Nun kann das Root Zertifikat in der AZURE Dashboard Konsole hochgeladen werden.

Der Gateway wird erstellt und einige Minuten später mit einer öffentlichen IP präsentiert.

Nachdem nun der Gateway erstellt wurde, können Sie nun den VPN Client downloaden und installieren. Nach der Installation finden Sie ihn in der “Netzwerk Übersicht”. Mit einem Doppelklick öffnet sich die Verbindungsabfrage, die Sie nur bestätigen müssen.

Nun sind Sie mit Ihrer private Cloud in Windows AZURE verbunden und können den Windows File Server installieren.

Windows Server 2012 als Fileserver bereit stellen

 

Der Vorgang ist inzwischen sehr einfach geworden.

Aus dem Katalog eine fertige VM Vorlage auswählen.

Anschließend den vorher ausgedachten Computernamen (maximal 15 Zeichen) eingeben, die kleine VM mit 1 Kern und 1,75 GB RAM reicht vollkommen aus.

Bei der Auswahl des lokalen Administrators sollten Sie bedenken, dass Sie entweder den gleichen Benutzernamen und das identische Passwort Ihres Notebooks wählen, oder aber später solch einen Benutzer lokal im Server erstellen. Das erleichtert den Zugriff auf das Fileshare später.

Im nächsten Schritt geben Sie einen FQDN Host ein, der Ihren Server später auch im Internet erreichbar machen kann. Dies wird in erster Linie für den externen RDP Zugriff benötigt.

Das Speicherkonto automatisch erstellen lassen und dann unser eben erstelltes privates Netzwerk auswählen.

Ob Sie hier schon an das Thema Ausfallsicherheit denken möchten, sei Ihnen überlassen. Wir werden das aber in einem späteren Beitrag weiter beleuchten.

Und nun wird die Maschine erstellt.

Sobald der neue Fileserver bereitgestellt wurde, ist dieser entweder über eine externe IP Adresse oder über die interne per RDP erreichbar.

Im nächsten Schritt benötigen wir eine weitere VHD als virtuelle Festplatte, um diese in der VM anzuhängen. Denn eine Datendepluzierung geht nicht auf dem Systemlaufwerk. Allerdings fallen hierfür später Kosten an.

In dem Dashboard der virtuellen Maschine müssen Sie dann eine neue leere Festplatte anfügen.

Wählen Sie die gewünschte Größe der neuen Festplatte aus und aktivieren Sie den Host Cache (Lesen/Schreiben) zur Leistungssteigerung.

Wie bei einer ganz normalen neuen Festplatte, erscheint diese dann im Festplattenmanager. Diese muss dann nur noch initiiert und formatiert werden.

Bei der Freigabeberechtigung habe ich “Everyone” das leserecht entzogen und nur meinem lokalen Benutzer die vollen Rechte übergeben. Bitte nicht bei “Everyone” irgendetwas auf “Deny” setzen, das schliesst Sie selber auch ein!

Einrichten der Datendepluzierung

 

Zum Abschluss noch etwas PowerShell und schon sind wir fertig J

Dazu starten Sie am besten innerhalb des Servermanagers à Tools à “Windows PowerShell ISE” und führen folgende Zeilen aus:

Import-Module ServerManager

Add-WindowsFeature -name FS-Data-Deduplication

Import-Module Deduplication

Und dann aktivieren Sie Option der Datendepluzierung und stellen Ihre gewünschten Timer ein.

Das wars….

Nun kann mit dem Sharezugriff \\IP-Adresse\ShareName ein lokales Laufwerk hinzugefügt werden, welches in der Cloud liegt.

Viel Spass….

Weitere Informationsquellen:

Allgemein AZURE Networks

http://www.windowsazure.com/en-us/home/scenarios/infrastructure-services/

http://weblogs.asp.net/scottgu/archive/2013/04/16/windows-azure-general-availability-of-infrastructure-as-a-service-iaas.aspx

http://www.windowsazure.com/en-us/manage/services/networking/?fb=de-de

http://msdn.microsoft.com/en-us/library/windowsazure/dn133792.aspx

Virtual Network FAQ

http://msdn.microsoft.com/en-us/library/windowsazure/dn133803.aspx

Datendepluzierung

http://technet.microsoft.com/de-de/library/hh831434.aspx

The short URL of the present article is: http://wp.me/p1MQAv-MN

Tagged with:

Filed under: AzureInfrastructureOffice 365 GridOffice365