Search This Blog

jeudi 21 décembre 2017

Ma nouvelle formation azure AD

Bonjour,

Je vous présente ma nouvelle formation sur Azure AD qui vient juste de sortir.

Introduction :

Azure Active Directory est le point central d’une solution cloud sur Azure ou Office 365.
Cette formation Azure Active directory est axée sur la mise en place d'un annuaire Azure Active directory et également les aspects hybrides avec les extensions des Active Directory locaux vers Azure Active directory avec AAD Connect.
Cette formation Azure Active directory montre tous les aspects techniques et d'architecture d'Azure Active directory et surtout d'AAD Connect, le moteur de synchronisation vers Azure AD.
Dans cette formation Azure Active directory, vous allez apprendre à administrer votre Azure AD en interface graphique via le nouveau portail Admin Center Azure AD et en PowerShell avec le Module Azure AD.

Objectifs :

  • Comprendre les concepts d’Azure Active Directory
  • Comprendre les enjeux d’une synchronisation d’un Active Directory local vers Azure Active Directory
  • Apprendre les nouvelles technologies avec Azure

Prérequis :

  • Bonne expérience autour de Windows Server 2012 / 2012 R2 / ou encore 2016
  • Bonnes connaissances Active Directory
  • Connaissances de base du Cloud 
  • Connaissances de base de PowerShell

Public concerné :

  • Ingénieur cloud
  • Architecte cloud


Voici le plan de formation :

Voici le lien de la formation : 


N’hésitez pas à me faire un retour sur cette formation :) 
Cordialement,
Seyfallah Tagrerout
Microsoft MVP 

mercredi 20 décembre 2017

Sauvegardez et restaurez votre configuration ADFS avec AD FS Rapid Restore Tool

Bonjour,


Nous allons voir aujourd’hui un sujet intéressant, ADFS et plus particulièrement le backup de la configuration ADFS.

ADFS Rapid Restore Tool


ADFS Rapid restore Tool est un outil de backup de la configuration ADFS, ce dernier vous permet de backuper et de restaurer votre configuration ADFS de manière efficace et optimale en cas de soucis.

Il sera possible d’exporter votre configuration ADFS vers un autre emplacement ou alors même vers azure en indiquant votre Azure container Storage.

Le backup est exporté de manière sécurisée et chiffré avec un password défini lors du backup.

Quel usage


ADFS RRT peut être utilisé dans les cas suivants :

  •           Crash de l’infrastructure ADFS et donc restauration rapide en urgence du service ADFS
  •           Faire un environnement de LAB identique à la production pour des test ou Dev

    

Ce que sauvegarde l’outil


ADFS RRT permet de sauvegarder les éléments suivants :
  •           Fichier de configuration de l’ADFS
  •           Toute la customisation de votre page ADFS
  •           La base de donnée ADFS qu’elle soit sur un SQL ou en WID
  •           Le certificat SSL  service communication ( attention, l’utilisateur qui fait le backup doit être en mesure d’exporter la clé privée du certificat et d’y accéder)
  •           Les certificats Token signing et token decryption and service communication)




-          Bien entendu toute la configuration ADFS avec les providers, les attributs stores, les claims provider etc ..

Téléchargement d’ AD FS Rapid Restore Tool


Allez sur le lien suivant afin de télécharger ADFS RRT ( Rapide restore tool)


Une fois téléchargé, vous aurez un fichier MSi qu’il faudra installer sur votre serveur ADFS primaire.

Ps : si vous avez plusieurs ADFS serveurs installés avec une base de données WID, il suffit de faire un Get-SyncProperties afin de determinerle serveur primaire ADFS, ( vu que ce dernier s’install sur le serveur ADFS primaire de la ferme ADFS )

Prérequis :

  •           ADFS Windows Server 2012 R2 / 2016
  •           .Net framework 4.0

      

Installation de l’outil 

 Suivre le wizard ci dessous :





Une fois installé, veuillez importer le module PowerShell d’ADFS Rapide Tool Restore comme ceci :

import-module 'C:\Program Files (x86)\ADFS Rapid Recreation 
Tool\ADFSRapidRecreationTool.dll'

Vérification avec un get-module

On peut voir le module ADFS Rapide restore tool installé sur notre serveur ADFs comme ceci :



Ce module dispose de deux cmdlets PowerShell :


On peut voir les options que dispose chaque commande comme ceci :

Backup-adfs :


Quelques explication sur les arguments :
  •           Storage Type : le type de stockage ou sera stocké le backup, possibilité de choisir soit du file système , ce qui veut dire que le backup sera placé dans un système de fichier sur le serveur ou dans un autre serveur ou dans un share par exemple, par contre le type azure vous permettra de stocker le backup dans azure dans un Azure Storage container
  •           storagePath : chemin du stockage ou sera stocké le backup
  •           EncryptionPassword :Le mots de passe qui va chiffrer et sécuriser le backup
  •           AzureConnectionCredentials :credential azure pour la connexion vers azure
  •           azureStoragecontainer : l’espace de stockage dans Azure ou sera stocké le backup si vous prenez ce type de storage
  •           BackupComment : commentaire sur le backup
  •           ServiceAccountCredential : Le compte de service qui fait tourner le service ADFS , ceci est nécessaire uniquement si vous souhaitez sauvegarder le DKM et que vous n’êtes pas Domain admin au moment du lancement du script de backup



en ce qui concerne la commande Backup-adfs :



En ce qui concerne la partie restaure, voici les paramètres :
  •           Storage Type : même chose que pour la commande backup-adfs
  •           DecryptionPassword : password qui permet déchiffrer les fichiers de backup ADFS
  •           AzureConnectionCredentials :credential azure pour la connexion vers azure
  •           azureStoragecontainer : l’espace de stockage dans Azure ou est stocké le backup si vous prenez ce type de storage
  •           ADFS name : le nom du service ADFS
  •           ServiceAccountCredential : compte de service qui fait tourner l’ADFS
  •           GroupServiceAccountIdentifier : le GMSA si vous souhaitez utiliser pour votre prochain infrastructure ADFS
  •           DBConnectionString : afin de chercher la base de donnée, il sera possible de la spécifiée ici  ( WId ou SQL)
  •           RestoreDKM : permet de restaurer le DKM



Backup Configuration ADFS


Une fois que nous avons le module PowerShell avec les différents paramètres, nous pourrons procéder au backup de notre configuration ADFS avec la commande suivante :

Backup-ADFS -StorageType "FileSystem" -StoragePath C:\temp\ADFS -EncryptionPassword "password123" -BackupComment "sauvegarde " -BackupDKM


Une fois sauvegardée on peut voir le backup comme ceci :



Nous avons :

  • Le fichier de configuration
  • La base de donnes
  • Le DKM
  • Les metadata
  • Le certificat SSL
  • Les paramètres d’installation 


Il est possible de faire plusieurs type de backup :

Backup sans le DKM :

Backup-ADFS -StorageType "FileSystem" -StoragePath C:\temp\ADFS -EncryptionPassword "password123" -BackupComment "sauvegarde ADFS "


Backup en spécifiant le compte de service ADFS :

Backup-ADFS -StorageType "FileSystem" -StoragePath C:\temp\ADFS -EncryptionPassword "password123" -BackupComment "sauvegarde ADFS " -ServiceAccountCredential $svcaccount


Backup dans un container Azure :

$cred = Get-Credential
Add-AzureAccount -Credential $cred

Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred  -AzureStorageContainer "adfs"  -EncryptionPassword "password123" -BackupComment "Clean Install of ADFS"




Restauration Configuration ADFS

Afin de restaurer votre configuration ADFS  alley sur votre nouveau server ADFS, faudra que ce dernier soit joint au domaine et lancez la commande suivante :

Ps . la commande restore-adfs s-occupe bien entendu d-installer la ferme ADFS etc en amont >

Restore-ADFS -StorageType “FileSystem” -StoragePath “D:\Data\ADFS” -DecryptionPassword “password123” -RestoreDKM -DBConnectionString “WID”

Ici il faudra spécifier la DBconnectionstring afin de spécifier la base de données ADFS , ici j’ai utilis; la WID.


Il est possible de faire plusieurs type de restauration également :

Restauration ADFS depuis un azure Storage container :

$cred = Get-Credential
Add-AzureAccount -Credential $cred

Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password123" -AzureStorageContainer "adfs"

Restauration ADFS avec une configuration SQL :

Restore-ADFS -StorageType "FileSystem" -StoragePath "D:\Data\ADFS” -DecryptionPassword "password123" - DBConnectionString "Data Source=srvsql\SQLDBADFS; Integrated Security=True"


Restauration ADFS en spécifiant le compte de service ADFS :

Restore-ADFS -StorageType "FileSystem" -StoragePath “D:\Data\ADFS”  -DecryptionPassword "password123" -ServiceAccountCredential $cred


Restauration ADFS avec un GMSA ( group managed service account)

Restore-ADFS -StorageType "FileSystem" -StoragePath “D:\Data\ADFS”  -DecryptionPassword "password123" -GroupServiceAccountIdentifier "mscloud\svcmgadfs$"

Conclusion

Avec cet outils de Microsoft, nous avons donc la possibilité de sauvegarder de manière sécurisée notre configuration ADFS vers un stockage file système classique ou dans un container Storage dans Azure, ceci nous offre une grande flexibilité en cas de crash de la configuration ADFS, ce qui permettra de restaurer son service ADFS de manière optimale.

N’hésitez pas à le mettre en place, c’est facile et ça prend pas beaucoup de temps, par contre cela peut vous faire gagner du temps et donc de l’argent en cas de soucis sur l’infrastructure ADFS.

Bien sûr, faire du backup c’est bien, mais tester les backup c’est encore mieux, donc n’hésitez pas a tester vos backup dans des serveurs cloisonnés afin de vérifier l’intégrité de vos backups ADFS 😊
Bon backup 😊

Cordialement,
Sezfallah Tagrerout
Microsoft MVP

mercredi 4 octobre 2017

Azure File Sync

Bonjour à tous,

Toujours dans notre sujet de base Azure File, nous allons voir aujourd’hui Azure File Sync ( en préview au moment de l’écriture de l’article).

Nous avons vu lors du précédent article Azure Storage File, ses avantages, son fonctionnement et son apport au quotidien.




Mais c’est quoi Azure File Sync ?

Introduction

Azure File Sync (en Preview au moment de l'ecriture) permet d’étendre ses serveurs de fichiers vers Azure, toujours dans le scénario hybride, Azure File Sync va permettre une réplication de vos partages de fichiers on-prem qui se trouvent sur un File server Windows Server vers un compte de stockage Azure.

Azure File Storage ne reprend pas à tous les besoins (limités), c’est pour cela que Microsoft a sorti cette fonctionnalité qui vous permettre de lier Cloud et on prem à la fois avec une meilleur sécurité au niveau de la haute disponibilité de vos données.

Concrètement avec Azure File Sync, les partages de fichiers seront à deux endroits à la fois, vous l’aurez compris, ils seront sur vos serveurs de fichier Windows classique et dans un compte de stockage grâce à une réplication de fichiers.

Ce qui permet aux machines virtuelles IaaS ou applications SaaS d’accéder aux partages de fichiers directement depuis Azure. Toutefois, les utilisateurs on-prem, pourront également accéder aux partages de fichier sur leur serveurs de fichiers. 

Cela rend donc le partage de fichier accessibles par tous, c’est à dire par les ressources locales interne de votre système d’information, et par les ressources qui sont dans le cloud (machines virtuelles ou applications SaaS).

Et le tout ne permet de dire : Centralisation des partages de fichier ! 


 Overview 


Azure File Sync pourrait être représenté comme ceci :

On peut voir la réplication des Shares qui sont envoyés vers le compte de stockage dans Azure (Storage Sync) . Ce qui permet aux Shares files qui se trouvent dans azure d’être accessibles par les ressources cloud.






Pour un plan d’ensemble plus détaillé, on peut avoir le scénario suivant :

Note : La synchronisation d’un file Share entre deux régions n’est pas encore disponible ( au moment de l’écriture du poste : 02 / 10 /2017) Ceci aura pour but de protéger vos données en les recopiant vers une autre région.

Mais il est tout à fait possible d’utiliser Azure Backup afin de sauvegarder votre file share. On le verra dans l’article 😊







Comment les utilisateurs et applications accèdent à ces partages réseaux :


Moyen
Accés directement depuis Azure
Azure File Sync
Quel protocoles
SMB 2.1, SMB 3.0 , API REST de fichier
SMB, NFS, FTPs etc
Ou se fera le workload
Accès directe aux fichiers par Azure File
En local depuis une machine / serveur en montant en partage le share qui se trouve dans Azure File
Le niveau d’ACL
Partage et des fichiers
Utilisateurs, fichiers et partages



Avantage 


 Azure File sync offre de nombreux avantages :
  1. ·         Centralisation des serveurs de fichiers
  2. ·         Permet une sauvegarde de vos partages de fichiers dans le Cloud avec Azure Backup
  3. ·         Accéder aux partages de fichiers depuis plusieurs ressources que ça soit cloud on on-prem


Mise en place 

Pour la mise en place nous aurons besoin des ressources suivantes :

  1. -          Un serveur de fichier sous Windows Server 2016
  2. -          Un compte de stockage  (pour la création du compte de stockage, je vous laisse voir mon précédent article, veuillez à faire attention, la localisation de votre compte de stockage doit être la même que votre prochain Storage Sync)
  3. -          Et avoir un file share dans ce compte de stockage (pour en créer un, voir mon procèdent article è https://seyfallah-it.blogspot.fr/2017/09/decouverte-dazure-files-storage.html

Commencer par cliquer sur New à partir de votre portail Azure, et tapez «  Azure File Syc » comme ceci :



 Cliquez ensuite sur Azure File Syc 



Une page d’introduction à Azure File Sync s’ouvre comme ceci, cette page est intéressante car elle donne une brève introduction d'Azure File Sync.

Cliquez sur « Create » pour commencer la création du Storage Sync :



 Veuillez ensuite saisir les informations suivantes :
  1. -          Nom : SyncShare01
  2. -          Votre Subscription
  3. -          Ressources groupe : j’utilise mon ressource groupe « File »
  4. -          La location : West Europe (même location que mon compte de Storage )




Une fois les informations saisies, vous pouvez cliquer sur « créer » :






Vous pouvez épingler votre Storage Sync comme ceci, une fois ce dernier crée :



Une fois le Storage Sync crée, allez dedans et cliquez ensuite su « Getting started » Cette page, vous récapitule les étapes qu’il faut faire pour votre déploiement d’Azure File Sync :





On peut voir qu’il y a deux étapes :

  1. -          Etape 1 : Enregistrement des serveurs de fichiers au niveau du storage Sync
  2. -          Etape 2 : Création du groupe Sync


Pour l’étape 1 :

Cliquez sur « Download the sync Agent » ça sera un agent qui va permettre l’enregistrement du serveur de fichier dans votre Storage Sync.

Un lien s’ouvrira comme ceci, remarquez les prérequis du Sync agent :

  1. -          Windows Server 2012 R2
  2. -          Windows Server 2016
  3. -          Azure RM Module 4.3.1 ou +
  4. -          Du WMF 5.1 si vous êtes en Windows Server 2012 R2

Cliquez sur Download :




Choisir ici la version « Windows Server 2012\StorageSyncAgent.msi »


Une fois téléchargé, vous pourrez commencer l’installation de ce dernier, en double cliquant dessus et suivez l’assistant :



Cliquez sur Next :

Remarquez ici : (En preview, les features ci-dessous sont installées par défaut, sans possibilité de choix) vous pouvez par contre choisir le path de l’installation et cliquer sur Next :




Pour finir, cliquez sur « Install » :



Une fois installé, et lancé, on peut voir le message suivant : Mon serveur ne dispose pas du module Powershell AzureRM.

Pas de soucis, nous pouvons l’installation avec la commande suivante : Install-Module AzureRM


Une fois installé, cela se passe mieux 😊 on a la possibilité d’enregistrer notre serveur de fichiers en cliquant sur « Sign In » : 



Une fenêtre d’authentification vous demandera les login et mots de passe de votre tenant Azure, veuillez les saisir et cliquez sur Connecter :




Une fois connecté,  il faut saisir les informations suivantes, votre abonnement Azure, le nom de votre ressources groupe « ici File » et le nom de votre Storage Sync crée précédemment.

Cliquez sur « Register » une fois les informations saisies :


Si tout va bien, vous devez voir ce beau message :

Votre serveur est bien enregistré sur votre Storage Sync 😊 Cliquez sur OK.



Maintenant, nous allons revenir sur notre portail Azure, au niveau de notre Storage Sync. Il faut ensuite créer un Group sync.

Cliquez sur « + Sync Group » :



Saisir les informations suivantes :

  1. -          Le nom du Sync Group : GRPSYNC
  2. -          Sélectionnez votre compte de stockage (qui doit être dans la même région que votre Storage Sync)
  3. -          Et sélectionnez votre File share crée précédemment au niveau de votre compte de stockage




Voici les informations rentrées de mon côté :



Une fois crée, vous devrez voir votre Sync Group comme ceci : « GRPSYNC »



Cliquez dessus, et vous devez voir cette interface, qui vous dit qu’il a 0 server Edpoints, normal nous n’avons pas encore crée notre server Edpoint :


Cliquez en haut sur « Add Server Edpoint » et mettez les informations suivantes :

  1. -          Le nom du serveur enregistré auparavant (notre serveur de fichier)
  2. -          Le chemin du partage réseau au niveau de votre serveur de fichier
  3. -          Possibilité d’activer ou non le teiring Cloud, pour l’instant nous allons le laisser sur « disabled »

Et cliquez sur OK pour finir l’ajout de votre server Edpoint

Une fois ajouté, vous devez voir ceci au niveau de votre Server Edpoint : Votre serveur de fichier avec le path du partage de fichier :



Nous allons vérifier le contenu de mon partage au niveau de mon serveur de fichier on prem , on peut voir que dans mon partage je dispose de plusieurs répertoires partagés pour mes users :



Vérifions également que mon partage à était synchronisé vers mon Storage Sync, ce qui veut dire que mon serveur de fichier à était étendu vers Azure Magique hein 😊 l’Hybride


Et là on retrouve la même chose que sur mon serveur on Prem , sauf que dans ce cas, les données sont stockées dans un compte de stockage Azure :





Conclusion 

Et voila, nous avons un serveur de fichiers on Prem qui est connecté et étendu vers un Storage Sync avec Azure File sync et tout le contenu de mon serveur de fichier est répliqué vers mon storage Sync.

 Ce qui me permet de centraliser tous mes serveurs de fichier si j'en ai plusieurs dans mon environnement local. Donc Facilité d'administration et surtout une haute dispo supplémentaire :)

Nous verrons la prochaine fois la sécurité au niveau des accès aux données .

Cordialement,
Seyfallah Tagrerout
Microsoft MVP
< >