We continue our series of “Getting Started” articles, with most up-to-date information I use with Microsoft Partners and customers when enabling them with Azure infrastructure services. I follows the same structure which is: getting started, training videos if available, then reference architectures, capacity planning and pricing information.
Backup is generally not creating a lot of excitement in IT teams, that’s the very least we can say. The fundamentally difficult parts of it are:
defining data retention and archival policies.
defining the appropriate sizing for the solution.
executing the offsite data copy policy.
I’m not even talking about testing the restore of the backup, because people usually don’t do it
Here’s really why Azure can help:
You only have to size for the local backup storage system, archival is done is the cloud.
With all hidden costs of tape systems included like offsite processing, storage on cloud is very likely to be always cheaper than any on-premises storage.
You can easily test restoring data in a separate and isolated environment.
You can easily backup files on servers and client with a small backup agent
You can easily backup your applications running on Hyper-V on Vmware with Azure Backup Server.
Here’s what you need to get started building solutions on Azure:
If you want to get started on Azure the good way, you can register to IT Pro Cloud Essentials, it includes online trainings, MCP vouchers and monthly free credits to use Azure: https://www.microsoft.com/itprocloudessentials/en-US
Feel free to connect with me and provide feedbacks!
In this series of “Getting Started” articles, I will post the most up-to-date information I use with Microsoft Partners and customers when enabling them with Azure infrastructure services. I follows the same structure which is: getting started, training videos if available, then reference architectures, capacity planning and pricing information.
Disaster Recovery Plans aka DRP is one the most ungrateful work in IT. Because basically you are going to prepare for some situations that will be painful and difficult. However, this is a good exercise to protect against one of the most prevalent laws in IT: “Anything (Everything) will fail at some point, and very likely at the worst time”.
It puts you in a state of mind that most of people don’t like.and you will ask your boss money for something that you hope will never be used.
That’s where the cloud can help, for both virtualized and non virtualized workloads. Here’s how in 4 easy steps:
First step consists of replicating your production workloads as they are running.
Second step is to automating the disaster recovery plan execution.
Run the workloads in Azure.
Replicate your virtual machines back to your datacenter.
If you are MCSA certified on Windows Server 2012 or Windows Server 2008, you might want to upgrade your certification to Windows Server 2016. Fortunately you don’t have to go through the whole curriculum again and can just upgrade to MCSA Windows Server 2016 with one exam.
As an upgrade certification, 70-473 mainly verifies that you know the new features and differences compared to Windows Server 2012, so a very nice starting point is to review all the “What’s new in Windows Server 2016” sections for the different technologies and study their prerequisites, deployments methods and management techniques. The outline of this certification is located here: https://www.microsoft.com/en-us/learning/exam-70-743.aspx
Below is my list of links mapping to the different exam categories. This list is here to help you review before going to the exam, but of course is not sufficient to pass and you will need some hands-on experience to succeed.
Install Windows Servers in host and compute environments
There has been some significant improvements in the toolset you use to manage Windows, including a whole set of commands to manage the new DIY edition of Windows: Nano Server. In this area we check your basic knowledge of DSC to manage configurations of Windows, and let me remind you that you cannot anymore switch from graphical to core editions of Windows and vice/versa. Very importantly we want to make sure you know how to service images online or offline.
In this section we verify that you know how to configure a resilient storage infrastructure including support for DCB, Multipath IO and SMB 3.0. We verify that you know the scenarios and mechanisms for Storage replica server to server, cluster-to-cluster and in stretch cluster topology.
Hyper-V has evolved and now allows nested virtualization, secure boot with Linux VM, and PowerShell direct. Production checkpoints allows to do VM “snapshots” that are using VSS providers so that you can use that as a valid “backup”. Shielded VM (preventing the fabric administrator to access the VM data and to run the VM in another fabric.) are also a topic to work before you go to the exam.
The DNS service in Windows Server 2016 implements a couple of new features like policies which allows you to send different results to client request based on criteria like subnets or hour of the day. It allows also to query IPv6 root hints by default and has a request pacer to limit request-intensive clients.
Windows IPAM has new scenarios and integrated management possibilities. It will basically allows you to manage more efficiently your DNS and DHCP infrastructure without having the need to logon to the different consoles and granting you a better view on the whole infrastructure, physical or virtualized with VMM.
Implement network connectivity and remote access solutions
DirectAcccess had no major evolution in Windows Server 2016, so you can rely on your Windows Server 2012 R2 knowledge. Most of the new features are related to SDN multi-tenant gateway implementation and BGP support.
Implement virtual private network (VPN) and DirectAccess solutions
In this section, we evaluate your knowledge of the new SDN architecture of Windows Server 2016. It now has a real SDN controller which is acting as a central point to manage and deploy network definitions and policies via software calls.
Install and configure Active Directory Domain Services (AD DS)
AD has new features mainly related to Azure AD integration, better security and Just in Time Admin concepts. For the exam, we will also check that you know how to administer replication topology and FSMO roles operations in PowerShell.
Dans un article précédent, nous discutions de la solution Azure Multi-Factor Authentication pour mettre en place une authentification d’entreprise multi facteurs.
Pour rappel, cet article fait partie d’une série :
Installation et paramétrage pour ADFS (vous êtes ici)
L’objectif de ce dernier article et d’ajouter MFA à une infrastructure ADFS déjà en place afin d’enrichir l’authentification fédérée avec l’utilisation du téléphone.
Il sera nécessaire d’installer les binaires MFA sur le ou les serveurs ADFS (si on a une ferme de serveur ADFS). On pourra se référer à l’article 2 de cette série pour le premier serveur, et à l’article 3 pour un serveur additionnel.
1. Installation de l’adaptateur ADFS
Une fois les binaires du serveur MFA installés sur le serveur ADFS, on va dans la console MFA, vérifie qu’il est bien partenaire des autres serveurs MFA de l’organisation si nécessaire et on sélectionne Install ADFS Adapter dans la partie ADFS :
Une fois le setup passé, on va activer les méthodes d’authentification que l’on souhaite pour les utilisateurs d’ADFS et si on leur autorise l’enrôlement :
Il nous faut maintenant paramétrer la partie ADFS.
2. Enregistrement de l’adaptateur MFA pour ADFS
La première étape consiste à enregistrer le serveur MFA comme fournisseur d’authentification pour ADFS. On va pour cela lancer le script PowerShell présent dans \Program Files\Multi-Factor Authentication Server et qui s’appelle Register-MultiFactorAuthenticationAdfsAdapter.ps1
On doit ensuite redémarrer le service ADFS, j’utilise Restart-Service adfssrv –force pour redémarrer automatiquement aussi le service drs, qui en dépend.
Une fois cela validé, je vais l’activer comme méthode d’authentification disponible sur mon serveur.
Je vais pour cela dans ma console de gestion ADFS et choisi la section Authentication Policies, click droit sur Edit Global Multi-Factor Authentication.
je choisis d’ajouter la méthode AzureMFA :
Nous allons maintenant activer cette fonctionnalité pour une application et valider l’expérience utilisateur.
3. Activation pour une application
Pour activer cette fonctionnalité, je vais choisir mon application de base claimapp, et je vais demander une authentification MFA pour un utilisateur en particulier.
Je reste dans ma console ADFS et descend dans l’arborescence pour choisir Per Relying party trust. Je clique sur ma partie claimapp et selectionne Add dans la partie Multi-factor :
Ici, je fais le test sur un utilisateur, je prendrais évidemment un groupe dans la vraie vie.
Il est intéressant de remarquer, que l’on peut exiger du multifacteur SI un utilisateur n’est PAS sur un périphérique enregistré dans l’organisation (via workplace join). On peut alors combiner toutes sortes d’options pour couvrir les différents scenarios BYOD (Bring Your Own Device) que l’entreprise souhaite.
On valide et teste l’application via mon portail ADFS.
4. Expérience utilisateur
J’accède à mon application claimapp, qui fait l’authentification via ADFS (cette application est publié via WAP Web Application Proxy, et je n’ai rien eu à changer sur ce serveur)
Une fois que cet utilisateur a validé son mot de passe, on demande une authentification additionnelle, on a la possibilité de choisir si l’on effectue cela par certificat client ou pas Azure Multi Factor Authentication.
On clique sur MFA et on l’écran suivant qui prévient de la notification ou de l’appel téléphonique :
Une fois validé, j’ai bien accès à mon application claimapp !
Voila, c’est la fin de cette série sur Azure Multi Factor Authentication, j’espère qu’elle vous aura intéressé !
N’hésitez pas à m’envoyer vos remarques par ce blog ou sur mon Twitter @arnaudlheureux
Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :
Dans un article précédent, nous discutions de la solution Azure Multi-Factor Authentication pour mettre en place une authentification d’entreprise multi facteurs.
Pour rappel, cet article fait partie d’une série :
Parce que l’on n’est pas toujours disponible pour un appel téléphonique, mettons en œuvre la configuration pour faire fonctionner l’application mobile Multifactor Authentication.
Pour rappel, avec Azure Multi Factor Authentication, on peut utiliser une application disponible sur les plateformes suivantes :
L’objectif de cet article est de décrire comment mettre en œuvre dans un environnement de test la partie serveur permettant l’utilisation de ces applications.
Pour cela, je vais utiliser un serveur web et y installer les web services et SDK, je publierai ensuite ce serveur web en utilisant le reverse proxy de Windows Server 2012 R2 : Web Application Proxy.
Dans un premier temps nous devons installer sur le serveur MFA les composants qui permettront l’appel des API depuis le frontal Web.
Comme pour le cas du portail utilisateurs, un assistant permet de s’assurer que les prérequis sont remplis. Il s’agit sans doute du même développeur taquin qui nous propose de lire la documentation ; passons rapidement cette blague.
Les prérequis étant atteints, on peut lancer le setup.
Le choix du Virtual Directory importe assez peu, puisque ce seront des appels uniquement techniques qui seront faits à cette URL, l’utilisateur n’aura jamais à saisir cette URL.
Le setup se déroule sans accroc…
2. Installation de l’application mobile
L’application mobile a pour vocation d’être installé sur un serveur Web diffèrent du serveur MFA, dans mon cas pour ne pas multiplier les efforts, je l’installe sur le serveur MFA, cela me fera l’économie d’une machine.
Les binaires d’installation de l’application mobile sont situés dans l’arborescence des exécutables du serveur MFA. Soit dans mon cas, il faut aller chercher cela dans : C:\Program Files\Multi-Factor Authentication Server et récupérons MultiFactorAuthenticationMobileAppWebServiceSetup64.msi
Notons que le répertoire virtuel utilisé par défaut est MultiFactorAuthMobileAppWebService.
Nous devons maintenant paramétrer cette application web.
3. Paramétrage de l’application mobile
Le paramétrage de l’application consiste à modifier le fichier web.config pour spécifier la chaine de connexion au serveur hébergeant le SDK , ainsi que les credentials nécessaires pour s’authentifier auprès des web services.
Dans le répertoire ou l’application Web a été installée, on va chercher le fichier Web.config et on localise particulièrement la section : WEB_SERVICE_SDK_AUTHENTICATION_USERNAME et WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD
On va alors remplir ces rubriques avec les nom d’utilisateur et mot de passe du compte utilisé:
Afin de régler le sujet toute de suite, le Technical Writer qui a écrit la doc de la configuration officielle sur Technet devait sans doute être au fond de la salle adossé au radiateur lors des cours de sécurité web, car on vient de stocker le mot de passe du compte en clair dans le fichier web.config.
Soyons clair, si quelqu’un fait cela chez vous, la réponse la plus appropriée : humiliation en place publique, épandage des tripes sur la place du marché, chacun jugera selon les coutumes les plus en usage dans sa région.
Sauvegardez le fichier avec les credentials en texte clair, et procédons à un peu de magie.
Localisez le répertoire contenant l’outil aspnet_regiis.exe. Sur mon Windows Server 2012 R2, il s’agit de c:\windows\Microsoft.NET\Framework64\v4.0.30319
Cela va modifier le fichier web.config et on aura alors chiffré les credentials de la section <appsettings>
Microsoft (R) ASP.NET RegIIS version 4.0.30319.33440 Administration utility to install and uninstall ASP.NET on the local machine. Copyright (C) Microsoft Corporation. All rights reserved. Encrypting configuration section… Succeeded!
Quand on va vérifier le fichier web.config, on a maintenant :
Une autre alternative consiste en l’utilisation d’un certificat pour cette authentification mais nous ne la décrirons pas ici !
Connection au backend MFA :
On spécifie ensuite la chaine de connexion au serveur MFA en backend, pensez URL complète et valide car on utilise SSL, à moins d’ajouter la valeur : <add key="SSL_REQUIRED" value="false"/> dans la chaine de connexion.
Dans mon environnement, j’utilise Web Application Proxy de Windows Server 2012 R2, j’utilise une publication en mode pass-through, l’authentification sera faite par l’application. L’URL que je publie est /MultiFactorAuthMobileAppWebService car j’ai déjà publié le portail utilisateur précédemment (/MultiFactorAuth).
5. Test de l’application mobile
L’utilisateur se loggue sur le portail et sélectionne l’option activer l’application.
On a alors un tag qui représente l’URL du Webservice, ce qui est pratique pour éviter de se taper l’URL sur le clavier du téléphone :
Je peux alors prendre mon téléphone et lancer l’application MultiFactor Auth :
Ajout de mon compte :
Utilisation du bouton de scan de tag :
Validation par la possession de la section relative à notre environnement :
Et voila!
Il ne restera plus qu’a spécifier que l’utilisateur peut utiliser l’application dans l’ensemble des méthodes d’authentification supportées :
L’utilisateur sera alors notifié qu’une authentification demande sa confirmation :
Il valide avec son code PIN
Tada!
La suite au prochain épisode !
Pour continuer, l’aventure, quelques lectures et références :
Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :
