ADMIN

2023

09

2023-08-30T12:00:00

Hochverfügbarkeit und Monitoring

PRAXIS

042

Cloud

Azure

Fernwartung lokaler Server aus der Cloud mit Azure Arc

Kontakt aus der Wolke

von Thomas Joos

Veröffentlicht in Ausgabe 09/2023 - PRAXIS

Durch die Installation des Azure-Arc-Agenten auf lokalen Maschinen lassen sich diese in Azure integrieren und remote verwalten. Für einen solchen Kontakt sind weder VPN noch Portfreigaben in der Firewall notwendig. Darüber hinaus erlaubt dieser Zugang auch Remote-PowerShell-Sitzungen und RDP-Verbindungen. Wir zeigen in diesem Workshop, wie sich Server von überall via Azure Arc verwalten lassen.

Es ist schon länger möglich, über das Windows Admin Center (WAC) Cloudressourcen aus Azure lokal zu verwenden. Vor allem für die Sicherung lokaler Daten in die Cloud mit Azure Backup ist das sinnvoll. Azure Arc geht den umgekehrten Weg und erlaubt, über das WAC in Azure die On-Premises-Server zu verwalten. Verbinden Sie also das WAC mit Azure, können Sie darüber Azure-VMs managen und übrigens auch VMs aus Hyper-V zur Ausfallsicherheit in die Cloud als Azure-VM synchronisieren. Die interessantesten Funktionen in Azure zur Unterstützung von lokalen Netzwerken sind Azure Backup, Azure Monitor, Security Center und Site Recovery. Es gibt noch weitaus mehr, aber von diesen Azure-Diensten profitieren auch lokale Netzwerke. Für kleine Unternehmen bietet dies den Vorteil, dass sie in der Lage sind, Azure-Funktionen einzusetzen, ohne eigene Server zu betreiben, Die Dienste lassen sich über das Windows Admin Center sehr einfach verwalten.
Verbindung zu Azure aufnehmen
Um das Windows Admin Center mit Azure zu verbinden, müssen Sie die entsprechende Konfiguration nur auf dem Computer vornehmen, auf dem das Admin-Center-Gateway installiert ist. Sobald die Anbindung einmal erfolgt ist, erhalten Admins, die sich via Webbrowser auf das Gateway verbinden, auch Zugriff auf die Azure-Funktionen, wenn Sie dazu berechtigt sind. Zur Kontaktaufnahme rufen Sie im WAC über das Zahnradsymbol die Einstellungen auf. Bei der Verwaltung der Gateways ist bei "Azure" ein Assistent zu finden, mit dem die Anmeldung an Azure erfolgt. Danach stehen die verschiedenen Azure-Dienste im Netzwerk zur Verfügung.
Alles, was für diese Dienste notwendig ist, bringt das Windows Admin Center mit. Nach der Installation ist es möglich, das WAC-Gateway mit Azure zu verbinden. Dadurch können Sie viele Azure-Dienste, teilweise kostenlos, im lokalen Rechenzentrum einsetzen und Ihre Server über Azure Arc mit Azure verbinden. Dadurch verwalten Sie anschließend im WAC des Azure-Portals die angebundenen Server auf die gleiche Weise wie mit dem lokalen WAC. Wie bereits erwähnt ist dazu weder ein VPN notwendig noch müssen Sie Ports in der Firewall freischalten. Alles, was Sie zur Verbindung brauchen, ist ein Agent für Azure Arc (dazu später mehr) auf den gewünschten, lokalen Servern.
Es ist schon länger möglich, über das Windows Admin Center (WAC) Cloudressourcen aus Azure lokal zu verwenden. Vor allem für die Sicherung lokaler Daten in die Cloud mit Azure Backup ist das sinnvoll. Azure Arc geht den umgekehrten Weg und erlaubt, über das WAC in Azure die On-Premises-Server zu verwalten. Verbinden Sie also das WAC mit Azure, können Sie darüber Azure-VMs managen und übrigens auch VMs aus Hyper-V zur Ausfallsicherheit in die Cloud als Azure-VM synchronisieren. Die interessantesten Funktionen in Azure zur Unterstützung von lokalen Netzwerken sind Azure Backup, Azure Monitor, Security Center und Site Recovery. Es gibt noch weitaus mehr, aber von diesen Azure-Diensten profitieren auch lokale Netzwerke. Für kleine Unternehmen bietet dies den Vorteil, dass sie in der Lage sind, Azure-Funktionen einzusetzen, ohne eigene Server zu betreiben, Die Dienste lassen sich über das Windows Admin Center sehr einfach verwalten.
Verbindung zu Azure aufnehmen
Um das Windows Admin Center mit Azure zu verbinden, müssen Sie die entsprechende Konfiguration nur auf dem Computer vornehmen, auf dem das Admin-Center-Gateway installiert ist. Sobald die Anbindung einmal erfolgt ist, erhalten Admins, die sich via Webbrowser auf das Gateway verbinden, auch Zugriff auf die Azure-Funktionen, wenn Sie dazu berechtigt sind. Zur Kontaktaufnahme rufen Sie im WAC über das Zahnradsymbol die Einstellungen auf. Bei der Verwaltung der Gateways ist bei "Azure" ein Assistent zu finden, mit dem die Anmeldung an Azure erfolgt. Danach stehen die verschiedenen Azure-Dienste im Netzwerk zur Verfügung.
Alles, was für diese Dienste notwendig ist, bringt das Windows Admin Center mit. Nach der Installation ist es möglich, das WAC-Gateway mit Azure zu verbinden. Dadurch können Sie viele Azure-Dienste, teilweise kostenlos, im lokalen Rechenzentrum einsetzen und Ihre Server über Azure Arc mit Azure verbinden. Dadurch verwalten Sie anschließend im WAC des Azure-Portals die angebundenen Server auf die gleiche Weise wie mit dem lokalen WAC. Wie bereits erwähnt ist dazu weder ein VPN notwendig noch müssen Sie Ports in der Firewall freischalten. Alles, was Sie zur Verbindung brauchen, ist ein Agent für Azure Arc (dazu später mehr) auf den gewünschten, lokalen Servern.
WAC bei Azure registrieren
Sie registrieren Ihr WAC-Gateway beim jeweiligen Azure-Abonnement nach der Installation im WAC über den Bereich "Azure Hybrid Center" (AHC) und den Link "Registrieren Sie Ihr Windows Admin Center-Gateway". Nun blendet das WAC ein Fenster ein, in dem zunächst die Anmeldung an Microsoft Azure erfolgt und sich danach das WAC mit dem Abonnement verbindet – der Vorgang dauert nur wenige Sekunden. Anschließend müssen Sie in den WAC-Einstellungen, die über das Zahnrad oben rechts zur Verfügung stehen, bei "Konto" einen lokalen Account für den Server hinterlegen und parallel auch eines bei Azure.
Sind Azure und WAC miteinander verknüpft, stehen bei der Verbindung mit einem Server im WAC bei "Azure-Hybrid Center" die Dienste zur Verfügung, mit denen sich Ressourcen aus Azure im lokalen Rechenzentrum nutzen lassen. Dienste, die bereits im Einsatz sind, sehen Sie über den Menüpunkt "Installierte Dienste". Über "Azure Arc" ist es im WAC mit wenigen Schritten möglich, lokale Server mit einem Agenten an Azure anzubinden. Nach kurzer Zeit ist der lokale Server im Azure-Portal über die jeweilige Ressourcengruppe verfügbar und Sie können den Server verwalten, absichern, überwachen und anpassen.
Parallel dazu ist es für lokale Ressourcen im Azure-Portal möglich, das Windows Admin Center zu aktivieren. Dadurch können berechtigte Admins über das Azure-Portal das WAC in der Cloud aufrufen und lokale Maschinen über den Azure-Arc-Agenten verwalten. Hier bestehen im Grunde genommen die gleichen Zugriffsmöglichkeiten wie bei der Verwaltung im lokalen Rechenzentrum. Das WAC steht innerhalb des Azure-Portals zur Verfügung und der Zugriff lässt sich natürlich entsprechend mit Berechtigungen aus dem Azure Active Directory absichern. Daneben ist es mit dem Azure-Hybrid-Center nach der Registrierung möglich, Azure-Dienste im lokalen Rechenzentrum einzubinden, wie Azure Backup für die Sicherung lokaler Daten in der Cloud.
Server remote verwalten
Um lokale Rechner mit Azure Arc in Kontakt zu bringen, registrieren Sie das WAC wie soeben besprochen zunächst bei einem Azure-Abonnement. Danach integrieren Sie im Azure-Hybrid-Center über "Einrichten" bei "Azure Arc einrichten" Ihren Server – das geht auch mit einem kostenlosen Azure-Abonnement. Wählen Sie nun das verbundene Azure-Abonnement aus, klicken Sie bei "Ressourcengruppe" die Option "Neu erstellen" und hinterlegen Sie den Namen des Servers, zum Beispiel "srv1". Bei Azure-Region nutzen Sie "West Europe". Klicken Sie danach auf "Einrichten". Anschließend ist der Server im Azure-Portal in Azure Arc bei "Server" zu sehen.
Bei dem Vorgang installiert das Windows Admin Center auf Ihrem Server einen Agenten für die Verbindung mit Azure. Sie sehen die aktuellen Vorgänge oben rechts über das Icon mit der Glocke. Überprüfen Sie nun auf dem Server durch Eingabe von appwiz.cpl, ob auf dem Server der "Azure Connected Machine Agent" installiert ist. Dieser sorgt für die Verbindung zwischen Azure und dem jeweiligen Server in Ihrem RecDie lokalen Maschinen lassen sich nun mit Azure-Policies verwalten, Inventarisierungen sind möglich und Sie können sowohl die Performance als auch die Sicherheit monitoren. Automatische Verwaltungsvorgänge stehen nun genauso zur Verfügung wie das Verteilen von Updates über das Azure Update Management Center. Ein weiteres Feature ist die Änderungsverfolgung (Change Tracking), mit der sich Konfigurationsänderungen nachverfolgen lassen. Über Erweiterungen können Sie die Zusammen- arbeit mit Azure noch intensivieren. So lassen sich zum Beispiel lokal betriebene SQL-Server eng mit Azure verknüpfen oder umfassende Überwachungsszenarien umsetzen.
Darüber hinaus bietet das Azure-Portal nun Fernwartung für lokale Server, zum Beispiel über SSH. Öffnen Sie dazu die Adresse "portal.azure.com" und klicken Sie auf "Alle Ressourcen". Nach Start des gewünschten Servers sehen Sie im unteren Bereich verschiedene Kacheln, mit denen Sie Verwaltungsaufgaben über das Internet vornehmen.
Der lokale Server zeigt sich nach der erfolgreichen Integration im WAC in Azure.
Remote-Verwaltung berechtigen
Damit sich Admins via WAC lokal auf dem Server anmelden dürfen, müssen Sie zuerst Benutzerkonten in der Cloud auswählen, die dazu berechtigt sein sollen. Klicken Sie im Azure-Portal auf die Ressourcengruppe Ihres Servers und danach auf der linken Seite auf "Zugriffssteuerung (IAM)". Hier legen Sie die Rechte fest, die Ihr Konto oder auch andere Nutzer für den Server erhalten.
Klicken Sie danach auf "Rollenzuweisung hinzufügen" bei "Zugriff auf diese Gruppe gewähren". Wählen Sie "Windows Admin Center Administrator Login" aus und klicken Sie auf "Weiter". Auf der nächsten Seite "Mitglieder auswählen" legen Sie über "Mitglieder" fest, welche Benutzerkonten Sie berechtigen. Mit der Schaltfläche "Überprüfen und zuweisen" schließen Sie den Vorgang ab. Unter "Zugriff anzeigen" bei "Mein Zugriff" im Menü "Zugriffssteuerung (IAM)", sehen Sie bei "Rollenzuweisungen" im Anschluss die entsprechenden Rechte.
So mit Berechtigungen ausgestattet, können Sie und die hinzugefügten Kollegen über die Ressourcengruppe des Servers via "Win­dows Admin Center" auf der linken Seite und der Schaltfläche "Verbinden" auf lokale Server zugreifen. Nach kurzer Zeit erscheint ein Anmeldefenster des Windows Admin Centers im Azure-Portal. Hier müssen Sie sich mit dem Administrator-Konto des lokalen Servers authentifizieren, nicht mit den Anmeldedaten von Azure. An dieser Stelle können Sie auch Active-Directory-Anmeldungen mit der Syntax "<Server oder Domäne>\<Benutzername>" nutzen.
Fazit
Zusammen mit Azure Arc lässt sich das Windows Admin Center aus der Cloud für eine sichere Verbindung zum lokalen Rechenzentrum nutzen. Die Einrichtung ist schnell und einfach abgeschlossen und mit der kostenlosen Version von Azure möglich. Kleine Unternehmen profitieren von der einfachen Verwaltung und der Unterstützung im Bereich Sicherheit, größere Unternehmen können das Changemanagement und Azure Monitor nutzen, um Cloudressourcen genauso effektiv zu überwachen und zu steuern wie Server im lokalen Rechenzentrum.
(jp)