Mit der Möglichkeit den Zugriff auf Azure Files mit AD DS zu authentifizieren ist nun eines der letzten lang ersehnten Puzzleteile offiziell verfügbar. Tom Rückert, Lead des Teams Digital Revolution, berichtet Ihnen in diesem Beitrag mehr über die direkte Anbindung des AD DS und zeigt das Ganze exemplarisch anhand des Aufbaus einer Testumgebung.
Es ist nun möglich ein File Share, dass mit Azure Files bereitgestellt wird, direkt mit einem vorhandenen AD DS zu integrieren. In der Vergangenheit ging dies nur mit einem Umweg über Azure AD Domain Services. Durch die direkte Anbindung des AD DS sind ab sofort nicht nur FileServer Migrationen denkbar. Ein immer wichtigerer UseCase von Azure Files ist auch die Bereitstellung von Shares für die Benutzerprofilentkopplung in Windows Virtual Desktop mit FSLogix, was durch die neue Authentifizierung einfacher wird.
Aufbau einer Testumgebung
Der Aufbau der folgenden Testumgebung erfolgte angelehnt an diese Microsoft Dokumentation.
Noch eins Vorab: Sollten Sie bereits den Artikel zu Azure Private Links gelesen und noch kein Private Endpoint eingerichtet haben, beginnen Sie am besten erst mit der Einrichtung der AD DS Authentifizierung. Wenn Sie die Authentifizierung erfolgreich eingerichtet haben, fahren Sie anschließend mit den Azure Private Links fort.
Voraussetzungen und Eigenschaften der Testumgebung:
- Azure Storage Account Version 2, wurde mit Standardwerten neu erstellt
- VNet mit Domain Controller (AD DS) als eigener DNS Service
- AD DS mit Windows Server 2019
- Fileshare “files” wurde bereits im Storage Account angelegt
Einrichtung der AD DS Authentifizierung
- Aktivieren Sie die AD DS-Authentifizierung für die Dateifreigabe mittels PS Skript, wie in der Microsoft Doku beschrieben
- Bevor die Berechtigungen erfolgen, legen Sie für das File Share drei Gruppen im lokalen AD DS an, welche auch mit dem Azure AD synchronisiert werden; dabei das AGDLP Prinzip beachten
- fs_weutomstestsno9-read
- fs_weutomstestsno9-write
- fs_weutomstestsno9-admin
- Ordnen Sie die erstellten und synchronisierten Gruppen anschließend wie im Screenshot gezeigt, unter Zugriffssteuerung (IAM), der Freigabe zu
- Setzen Sie nun die lokalen ACLs im FileSystem. Das geht am besten, wenn das Fileshare zunächst per Key verbunden wird. Anschließend kann der altbekannte Windows Explorer zum Setzen der ACLs genutzt werden. Auch hier werden die drei zuvor erstellen Gruppen entsprechend berechtigt.
- Somit ist die eigentliche Konfiguration und Berechtigung abgeschlossen
- Die Punkte 4 und 5 in der MS Doku sind weiterführend und sicherlich wissenswert Optional empfiehlt es sich das File Share den Nutzern nicht direkt zur Verfügung zu stellen, sondern per DFS Namespace zu veröffentlichen. Damit sind Sie zukünftig flexibler, sollte der FileService umziehen.
In diesem Fall wurde dies wie im Screenshot zu sehen gelöst:
PaaS Services zur Ablösung des klassischen File Servers
Mit den Azure File Services in Kombination mit der AD DS Authentifizierung, den Azure Private Links und dem Azure Backup für Azure Files erhalten Sie insgesamt vier PaaS Services, mit denen ein klassischer, selbst verwalteter File Server abgelöst werden kann. Definitiv ein weiterer Beitrag, die Bereitstellung von IT Services zu vereinfachen und gleichzeitig die Zuverlässigkeit sowie die Skalierbarkeit zu erhöhen!
Sie benötigen Unterstützung im Bereich Azure und möchten immer up to date bleiben? Als erfahrener Partner unterstützen wir Sie gerne und finden individuelle passende Lösungen für Sie – kontaktieren Sie uns!