In diesem neu aufgelegten 5-Tage Kurs kombinieren wir die wichtigsten Themen aus den beiden Kursen Azure Admin und Azure Hybrid die nicht mehr einzeln angeboten werden.

Es werden alle notwendigen Schritte vom Aufbau eines Azure Tenants bis hin zur Einbindung der „On-Premises“ Ressourcen in die Azure Welt behandelt.

Nachdem ein Azure Tenant erstellt wurde, wird mindestens eine Subscription benötigt, um Azure Ressourcen erstellen zu können. Wenn ein Unternehmen mehrere Subscriptions besitzt, ist es sehr zu empfehlen eine Management Group Struktur anzulegen. Management Groups sind logische Einheiten, denen die Subscriptions zugeordnet werden können. Außerdem können einer Management Group Berechtigungen und Policies zugewiesen werden, um den Zugriff und die Verwaltung von Ressourcen zu steuern und zu kontrollieren. Zusätzlich kann eine ordentliche Management Group Struktur auch für eine Kostenübersicht genutzt werden.

In diesem Kurs wird daher der Aufbau dieser Strukturen praktiziert. Anschließend werden wir die Zuweisung von Berechtigungen auf Subscriptions, Management Groups, Resource Groups und Ressourcen erläutern und auch anwenden.

Durch Berechtigungen lässt sich zwar das „Wer“ abdecken, nicht aber das „Wie“. Hierfür können die Azure Policies verwendet werden. Mithilfe der Azure Policies ist es möglich für die Erstellung von Ressourcen Rahmenbedingungen festzulegen. Beispielsweise kann konfiguriert werden, dass innerhalb einer Management Group die Ressourcen nur in einer bestimmten Azure Region erstellt werden dürfen. Das Thema Azure Policies wird in diesem Kurs ebenfalls unterrichtet.

Beim Aufbau eines Tenants ist es besonders wichtig eine virtuelle Netzwerkinfrastruktur zu planen und zu realisieren. Diese dient später dazu, Azure Ressourcen miteinander zu verbinden. Für eine Hybrid-Stellung muss natürlich auch die Netzwerkverbindung zum On-Premises Datacenter in die Planung mit einfließen. Die Verbindung zwischen Azure und dem On-Premises Netz wird über ein VPN Site-to-Site Gateway oder einer Express Route hergestellt.

Wenn eine Verbindung zwischen dem On-Premises und dem Azure Netzwerk hergestellt wurde, muss auch die Namesauflösung (DNS) konfiguriert werden. Damit Benutzer auf Azure Ressourcen über den privaten DNS Namen zugreifen können, kann der DNS Private Resolver eingerichtet werden. Dieser Azure Service erlaubt ein DNS Forwarding aus dem On-Premises Netzwerk ins Azure Netzwerk und umgekehrt.

Wenn das On-Premises und das virtuelle Netzwerk in Azure über ein VPN-Site-to-Site Gateway verbunden wurde, sollte auch der Zugriff auf die Azure Ressourcen über das Private Netz erfolgen und nicht über das Internet.
Wenn die Verbindung auf die Azure Ressourcen über das Private Netzwerk erfolgen soll, muss ein Private Endpoint erstellt werden. Der Private Endpoint erhält eine Netzwerkkarte und diese wiederrum eine Private IP-Adresse aus dem virtuellen Netzwerk in Azure. Die Private IP-Adresse trägt sich zusätzlich in eine Private DNS-Zone ein. Die Private DNS-Zone kann mithilfe des DNS Private Resolvers aus dem On-Premises Netzwerk durch Conditional Forwarding aufgelöst werden. Über die vergebene private IP-Adresse kann anschließend auf die Azure Ressourcen zugegriffen werden.
Bei bestimmten Azure Ressourcen wird zusätzlich zum Private Endpoint noch ein sogenannter Private Link Scope benötigt. Es handelt es sich um Azure Arc und Monitoring Ressourcen wie z.B. der Log Analytic Workspace.

Wenn in Azure Ressourcen erstellt werden müssen diese immer einer Ressourcen Gruppe angehören. Ressourcen können beispielsweise virtuelle Maschinen oder ein Storage Account sein. Es wird empfohlen, Ressourcen, die in etwa den gleichen Lebenszyklus haben, in eine gemeinsame Ressourcen Gruppe aufzunehmen. Dies erleichtert das spätere Verwalten und Löschen der Ressourcen.

Das Erstellen von Azure Ressourcen wird in diesem Kurs auch behandelt. Es werden in Azure Virtuelle Maschinen, Storage Accounts, Private Endpoints, virtuelle Netzwerke und ein Azure App Service erstellt.

Ein Storgae Account kann für Blob, File, Queue und Table verwendet werden. Wenn ein Storage Account für die Verwendung von Files verwendet wird, können Benutzer mithilfe von SMB und mit Kerberos Authentifizierung auf diesen zugreifen. Der Inhalt kann mithilfe von Azure File Sync synchronisiert werden.

Durch Extentions für Virtuelle Maschinen können nützliche Erweiterung integriert werden. Es kann z.B. ein PowerShell Skript ausgeführt werden oder durch die Extension Azure AD Login for Windows wird eine Azure VM in Azure AD aufgenommen. Mithilfe des Azure Ressource Model (ARM) wird berechtigt, wer sich anmelden darf.

Eine neue Funktion von Windows Server 2022 Azure Edition ist „SMB over Quic“. Über diese Funktion können Windows 11 Clients ohne eine VPN Verbindung auf ihre Netzwerklaufwerk aus dem Internet zugreifen. Auch der Zugriff auf einen Storage Account über das Internet ist mit SMB und der Kerberos Authentifizierung mittlerweile möglich. Die Funktion nennt Microsoft Azure AD Kerberos Authentication.

Hat man nun diverse Ressourcen in Azure angelegt ist es natürlich möglich Benutzern den Zugriff auf diese Ressourcen zu ermöglichen. In der Regel sollen Benutzerkonten aus dem On-Premises AD weiterverwendet werden. Um dies zu erreichen, muss AAD-Connect eingerichtet werden, um die On-Premises Benutzerkonten nach Azure zu synchronisieren. Wenn die Identität eines Benutzers in Azure AD bekannt ist, kann ihm z.B. der Zugriff auf einen Storage Account gewährt werden oder die Möglichkeit, sich an einer Azure VM anzumelden.

Bei der Einrichtung von AAD-Connect ist vor allem die Authentifizierungsmethode ein wichtiger Punkt. Während die On-Premises Welt mit Kerberos und NTLM arbeitet, wird in Azure OAuth2 verwendet.

Folgende vier Authentifizierungsmethoden stehen zur Auswahl:

• PHS (Password-Hash Sync)
• PTA (Pass-Through Authentication)
• ADFS (Active Directory Federation Services)
• PingFederate

Eine große Stärke von Azure ist die Automatisierung. In diesem Kurs wird daher auch das automatische Erstellen von Ressourcen praktiziert. Die Automatisierung basiert weitgehend auf Templates. Das Format dieser Templates ist JSON (JavaScript Object Notation), welches sich in Azure großer Beliebtheit erfreut.

Zusätzlich ist es auch möglich PowerShell Skripte in Azure auszuführen. Diese können Aktionen sowohl in Azure als auch in der On-Premises Umgebung ausführen.

Damit die Ausführung der Skripte für die On-Premises Umgebung funktioniert, wird der Hybrid Runbook Worker benötigt. Dieser wird im Kurs unterrichtet.