Schlagwort-Archive: Active Directory

Configure Active Directory Auth for Azure files to use for Azure Fileshares and WVD

In the past I had a lot of talks about Azure File Sync, a lightwight solutions to sync servers from different locations and branches via Azure Files. One often questions was, it is possible to use Azure Files directly with the integrated Active Directory authentication – The great answer since a few days is Yes, this is possible.

Now you can use Azure Files with On-Prem Active Directory authentication as a fully replacement for Fileservers. No need for Azure Active Directory Domain Services (Azure AD ADDS) or different settings on Azure Files. This gives great new ways to using Azure Files for Fileshares and to use Azure Files directly for WVD and coming closer to a cloud native solution or to a fully replacement for On-Prem Fileserver.

In this article I will explain how to configure AD authentication for Azure Files and list information about region availability some basic steps and more. Please feel free to use the comment section or Twitter to get in touch with me and gives me feedback about the article and the solution.

General

Workflow to enable Azure AD authentication over SMB from Microsoft Docs

Region availability

Right now the service is in public preview and can use in a broad range of regions. The rollout for the biggest regions are running right now and the plan is to enable the feature in all available regions at the end of March.

The service is available right now in some of the following regions:

  • France Central
  • UK West
  • Germany West Central
  • West and North Europe

The service is not available in the following regions:

  • Not availabile in West US | West US 2
  • Not availabile in East US | East US 2

Requirements

There are some requirements to enable AD authentication for Azure Files:

  • Existing Active Directory Domain Service (ADDS)
  • Used identities must be synced via Azure AD Connect to Azure AD
  • Azure AD Tenant and the file share must be associate with the same subscription
  • VM must be joined in the existing AD
  • Use a supported region
  • Is only supported on machines newer then Windows 7 / WS2008R2 (EoL)
  • Azure Files PowerShell Modul
    • Needs Az module 2.0.0+ and Az.Storage 1.8.2-preview+
  • The Client must be domainjoined to use the module
    • The account must have permissions to create computer accounts or service accounts in the domain/OU

Keep in mind, it`s only possible to use one authentication provider for a Azure Fileshare – Azure AD Domain Services (Azure AD DS) or Active Directory (AD).

Recommendations

  • Use separate Storage Accounts for Azure Fileshare AD authentication
  • Create an own OU for Azure Fileshare AD authentication

For best practice it is useful to use separate Storage Accounts for Azure File AD authentication, because with activation the Fileshare will be a member of the the domain (this means in general the Storage Account join the domain).

Each Domain uses GPO to enable settings for each OU in the Domain. To avoid issues for Storage Accounts that will be member of the Domain, I recommend to create and use an separate OU for the Storage Accounts.

Preparation

To use Azure Files with integrated SMB authentication, there are additional Powershell modules needed. This module are available for download at Azure Samples GitHub Page. Please use the latest one.

Domain with separate OU for Azure fileshares

For a better management and separation, create a new OU for Storage Accounts.

Enable Azure Files for AD authentication

To enable Azure Files for AD authentication there are some steps needed.

  • Unzip the downloadad Zip Archiv AzFilesHybrid.zip
  • [Optional] Create an OU for the Storage Accounts
  • Create a (separate) Storage Account in Azure
  • Create a Azure file share in the Storage Account
  • Start a evalated PowerShell Session with rights to create computer and service accounts in the domain on a domain member client
  • Run the following powershell commands
    • green = optional
    • red = important
#Change the execution policy to unblock importing AzFilesHybrid.psm1 module 
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope Currentuser
#Navigate to where AzFilesHybrid is unzipped and stored and run to copy the files into your path .\CopyToPSPath.ps1
#Import AzFilesHybrid module
Import-Module -name AzFilesHybrid
#Login with an Azure AD credential that has either storage account owner or contributer RBAC assignment
Connect-AzAccount
#Select the target subscription for the current session Select-AzSubscription -SubscriptionId "<your-subscription-id-here>"
#Register the target storage account with your active directory environment under the target OU
join-AzStorageAccountForAuth -ResourceGroupName "<resource-group-name-here>" -Name "<storage-account-name-here>" -DomainAccountType "<ServiceLogonAccount|ComputerAccount>" -OrganizationUnitName "<ou-name-here>"

Here are an short code example:

join-AzStorageAccountForAuth -ResourceGroupName "Storage_rg" -Name "azfilesadauthsa" -DomainAccountType "ComputerAccount" -OrganizationalUnitName "AzFileShares"
Azure storage account join the domain

When using the correct permissions the storage account will join the domain as an Computerobject|Serviceobject and the following message will shown.

Domain OU shows an Azure storace account as computer object

Keep an eye on the OU that are indicated for joining and the result will be a new computer object with the name of the storage account.

With this steps the feature for AD authentication for Azure fileshares are enabled.

Now it´s useful to define the initial permissions from the Azure AD portal. This is explained in the article Why Azure AD RBAC roles are needed for Active Directory File share authentication.

Links

Kurz notiert: Project Honolulu Update 1802 verfügbar

Soeben wurde Server Management Blog das Update 1802 von Project Honolulu freigegeben, „The Nextgen Serverconsole“ wie das Tool auch gern bezeichnet wird.

Die Neuerungen beziehen sich vor allem auf Performance Verbesserungen und Unterstützung von HA-Umgebungen, sind also zunächst unter der Haube zu finden.

Kurz notiert: Project Honolulu Update 1802 verfügbar weiterlesen

AzureAD Connect mit AD Service Account konfigurieren

Eines der ersten Aufgaben bei Hybrid Szenarien ist die Einrichtung von AzureAD Connect, um die Domänenidentitäten für Cloud Produkte bereitzustellen und Single-Sign-On zu ermöglichen.

In diesem kleinen HowTo möchte ich die Einrichtung anhand eines Gatewayservers erläutern, der zwischen dem eigentlichem DC und AzureAD die Identitäten synchronisiert.

AzureAD Connect mit AD Service Account konfigurieren weiterlesen

Projekt #Honolulu – Installation und Konfiguration

Seit heute ist die Preview von Project Honolulu – Next Server Manager Console zum Download verfügbar. In diesem Blog Beitrag gehe ich auf die Installation und Konfiguration von dem Tool ein.

Vorwort

Bei Project Honolulu handelt es sich um eine vollständig, webbasierte Oberfläche für das zentrale Server Management von Windows Servern (ab 2012). Bedeutet das Tool ist nur über ein Webbrowser erreichbar und kann auch nur von hier verwaltet werden, dies ist für die spätere Installation von Relevanz.

Projekt #Honolulu – Installation und Konfiguration weiterlesen

Sichere Lokale Admin Kennwörter mit LAPS (Local Administrator Password Solution)

In einer Domänenumgebung ist eine häufig anzutreffende Herausforderung, dass Management von Lokalen Administratorkonten. Da durfte ich bereits in einer Vielzahl unterschiedlicher Landschaften einige Lösungen, von absolut unsicher über nicht händelbar, bis hin zu sehr kreativ sehen 😉

Doch genau für diese Herausforderung stellt Microsoft das Tool Local Administrator Password Solution kurz LAPS bereit. Dieses dient zum zentralen managen der Lokalen Administratorkonten in einer Domäne. Dabei werden pro Client dynamische Kennwörter generiert. Die Kennwörter werden im AD am jeweiligem Computerobjekt angehängt. Hier gelten dann die üblichen Berechtigungen, so könnt ihr im AD nur den berechtigten Admins das Auslesen dieser Information ermöglichen. Im folgenden gehe ich zunächst auf die Installation und Konfiguration ein. Für die Verwendung von LAPS ist eine Schema Erweiterung notwendig.

Sichere Lokale Admin Kennwörter mit LAPS (Local Administrator Password Solution) weiterlesen

Installation Azure Stack failed Step 41

Nachdem ich vor kurzem meinen Homeserver modernisiert habe und dieser sich nun perfekt für die Hardware-Anforderungen von Azure Stack eignet, habe ich mit der Installation begonnen.

Allerdings musste ich feststellen, dass die Installation bei Schritt 40/41 abbricht. Konkret wird folgende Fehlermeldung ausgegeben: „The VM ‚MAS-ADFS01‘ didn’t start in 900 seconds“

Installation Azure Stack failed Step 41 weiterlesen

Azure Active Directory Preview im neuen (Ibiza) Portal

Wenn es einen wichtigen Grund gab, noch das klassische Azure Portal aufzurufen, lag es sicherlich daran, dass nur dort Azure Active Directory zu finden war.

Allerdings ist Microsoft nach wie vor dran, alle „vorherigen“ APIs im neuen Portal verfügbar zu stellen.  Nun wurde ein neuer Meilenstein erreicht, in dem Azure Active Directory nun als Preview im aktuellen Ibiza Portal (portal.azure.com) verfügbar ist.

Azure Active Directory Preview im Ibiza Portal
Azure Active Directory Preview im Ibiza Portal

Die Oberfläche wirkt deutlich aufgeräumter und fügt sich nahtlos ins aktuelle Layout ein. Bei Channel 9 ist bereits ein Video verfügbar, welches die neuen Features vorstellt.

Innerhalb des neuen Portal lässt sich alles aufgeräumt verwalten und in wenigen Minuten das AAD mit dem lokalen AD verbinden, User verwalten, Apps hinzufügen uvm.

Schaut es euch an und evaluiert es für eure Zwecke, denn es gibt bereits eine Free Version die zahlreiche Features mitbringt. Eine Übersicht über die einzelnen Editionen und Featuresets findet ihr hier: Azure Active Directory Prizing Details

 

 

GPO News zum Windows 10 Redstone Update 1607

Wie versprochen hat Microsoft mit dem Rollout des Redstone  genannten großen Update für Windows 10 am 02.08.16 begonnen. Neben zahlreichen Features und Neuerungen wurden auch einige Fehler behoben.

Mit dem neuen Update kommt aber auch eine Änderung hinzu die speziell die Verwaltung der Windows 10 Editionen mittels Gruppenrichtlinien betrifft. Bisher war es so, dass alle Windows Editionen die Domänenfähig sind, mit einem Satz Gruppenrichtlinien verwaltet werden. Die ändert sich aber nun mit besagten Red Stone Update.

Es wird nun eine Unterscheidung zwischen Professional und Enterprise Edition eingeführt. Einige Einstellungen wirken sich auf die Enterprise Edition aus. Bisher betrifft dies nur wenige Funktionen, doch die Liste wird mit kommenden Updates länger.

Dies bedeutet bei der Editionswahl nun genau zu prüfen, ob die fehlenden Einstellungen evtl. notwendig sind. Dies wird zunächst vor allem größere Unternehmen betreffen. Für die Professional Edition fallen nur einmalig Lizenzkosten an. Die Enterprise Edition ist hingegen nur in Verbindung mit einem Volumenlizenzvertrag erhältlich. Sie bietet erweiterte Funktionen, wie Branch Cache, Direct Access, etc.

Ärgerlich ist allerdings, dass einige Funktionen sich nun nur noch auf die Enterprise Edition auswirken, die zuvor auch die Professional Version beeinflusst haben. Dazu zählt z.B. das deaktivieren der Ergebnisse der Websuche.

Einen Überblick über die Gruppenrichtlinien die nur für Windows 10 Enterprise wirken, gibt es bei Microsoft.