Archivi autore: epansecco

Azure: copiare una VM utilizzando gli snapshot dei dischi “managed”

In questo articolo vediamo come copiare (clonare) un Virtual Machine in Azure utilizzando le snapshot dei dischi di tipo managed.

Questa procedura può risultare utile per:

  • spostare una VM tra vNet
  • clonare un piccolo ambiente composto da poche VM. Per ambiente più grossi meglio utilizzare altre soluzioni

In macro step, le operazioni da fare sono:

Creare la snapshot

  1. Assicurarsi che la VM da copiare sia deallocata
  2. Identificati i dischi che compongono la macchina, creare le snapshot:
    Create snapshot
  3. Seguire le indicazione del wizard
  4. Eseguire i punti 2 e 3 per tutti i dischi che compongono la macchina

Creare i dischi

  1. Creare una nuova risorsa “managed disk”
  2. Compilare tutte le informazioni richieste. Indicare come sorgente la snapshot precedentemente creata
  3. Eseguire il punto 1 e 2 per tutti i dischi che compongono la macchina

Configurare la VM

Posizionarsi sul disco del sistema operativo configurato nello step precedente, e cliccare su “+ Create VM”.

Terminata la procedura di creazione della macchina virtuale, procedere con l’aggiungere tutti i dischi che componevano la macchina originale.

Microsoft Teams: come avere finestre isolate per ogni chat.

Gli ultimi aggiornamenti che hanno riguardato Microsoft Teams hanno introdotto diverse nuove feature, come avere uno sfondo personalizzato nelle videochiamate, “alzare la mano” e la possibilità di avere delle finestre dedicate per le chat scollegate dal client principale.

Ecco i metodi per isolare le singole finestre delle chat:

  • Doppio click sulla conversazione
  • Passare col mouse sulla chat interessata. Comparirà l’icona : cliccandoci sopra aprirà la nuova finestra con la chat
  • Nella chat, in alto a destra cliccare sull’icona
  • Nella barra dei comandi, digitare “/pop” ed il nome della persona con cui si vuole parlare

Nota: la versione utilizzata di Teams è la 1.3.00.12058

Active Directory Domain Services (AD DS), Azure Active Directory (Azure AD) e Azure Active Directory Domain Services (Azure AD DS): differenze ed integrazione tra loro

Microsoft mette a disposizione tre identity services:

  • Active Directory Domain Services (AD DS)
  • Azure Active Directory (Azure AD o AAD)
  • Azure Active Directory Domain Service (Azure AD DS o AAD DS)

Questo può portare confusione nella scelta della soluzione da adottare in quanto il nome Active Directory compare in tutti e tre i servizi, nonostante le tre soluzioni siano differenti tra di loro.

In questo post analizzerò i servizi, come si integrano tra di loro e quando adottarli.

Active Directory Domain Services (AD DS)

Active Directory Domain Services è la versione tradizionale del servizio per la gestione centralizzata delle risorse.

Tra le caratteristiche del servizio:

  • gestione gerarchiale delle risorse;
  • gestione di utenze e risorse tramite group policies;
  • on-premises idendity & authenitcation;
  • autenticazione tramite Kerberos, NTLM o LDAP;
  • trust di domini e foreste

AD DS, dominio autogestito, richiede un alto utilizzo di risorse per la gestione del servizio stesso: gestione dei backup, patching del sistema, upgrade, repliche, etc.

Azure Active Directory (Azure AD)

Se sono utilizzati servizi di Office 365 o di Azure, Azure AD è utilizzata.

A differenza del servizio AD DS, che utilizza l’autenticazione network-based, Azure AD utilizza l’autenticazione web-based.

Tra le caratteristiche del servizio :

  • cloud-based identification & authentication;
  • servizio di gestione account per:
    • accesso al portale Azure
    • Office 365
    • applicazioni SaaS
  • Mobile Device Management (MDM)

Con Azure AD non è possibile:

  • joinare computer al dominio;
  • effettuare autenticazione tramite protocollo Kerberos o NTLM;
  • implementare organization unit;
  • utilizzare implementare\utilizzare account di tipo domain o enterprise admin

Il servizio è garantito, gestito ed ospitato da Microsoft. La gestione delle risorse avviene tramite portale web.

Azure Active Directory Domain Services (Azure AD DS)

Azure AD DS è una soluzione simile alla soluzione on-premise AD DS, con la differenza che è erogato come servizio PaaS in Azure.

Tra le caratteristiche del servizio:

  • servizio PaaS;
  • Autenticazione tramite Kerberos, NTLM o LDAP (read only);
  • trust di domini e foreste non supportata;
  • nessun account “domain admin” o “enterprise admin”

Azure AD DS è integrato con Azure AD: creando un utente in Azure AD automaticamente sarà replicato in Azure AD DS.

Integrazione dei servizi

Come detto sopra, Azure Active Directory è in costante replica con Azure Active Directory Services

Azure AD e Azure AD DS

Azure AD, a sua volta, può essere sincronizzato con l’ambiente on premise di Active Directory Domain Services tramite AD Connect

AD DS, Azure AD e Azure AD DS

Quanto implementare AD DS, Azure AD o Azure AD DS

Active Directory Domain Services se:

  • necessità di configurare relazioni di trust ;
  • necessità di estendere lo schema;
  • la connettività internet è limitata o instabile;
  • necessità di utilizzare account domain o enterprise admin

Azure Active Directory se:

  • l’infrastruttura è interamente sul cloud, senza server configurati on premise;
  • vengono utilizzati solo servizi di tipo PaaS o SaaS;
  • vengono utilizzati solo sistemi di modern authentication

Azure Active Directory Domain Services se:

  • l’infrastruttura è cluod native;
  • utilizzo di servizi IaaS

Azure File Sync: limitare la banda utilizzata

Azure File Sync (AFS) è il servizio di Microsoft che permette di centralizzare i file aziendali in Azure tramite l’installazione di un agente di sincronizzazione installato sul server, sia in Azure che on-premise.

Una volta installato, di default, AFS sfrutta tutta la banda internet disponibile per la sincronizzazione dei dati (sia in upload che in download). Questo comportamento potrebbe però portare a dei malfunzionamenti agli altri workload, nasce quindi la necessità di limitare la banda utilizzata dal servizio.

E’ possibile limitare l’utilizzo della banda da parte di Azure File Sync tramite comandi Powershell (non è possibile da interfaccia grafica).

  1. Importare il modulo AFS
    Import-Module “C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll”
  2. Configurare la regola di QoS. In questo esempio la banda viene limitata dal lunedì al venerdì e dalle 09 alle 19 a 2 Mpbs:
    New-StorageSyncNetworkLimit -Day Monday, Tuesday, Wednesday, Thursday, Friday -StartHour 7 -EndHour 19 -LimitKbps 2000
  3. Verifica della regola configurata:
    Get-StorageSyncNetworkLimit

NOTA: le regole che si configurano influenzano solo il download del dato e non è possibile governare il download del dato, almeno nella data in cui scrivo (16 – 01 – 2010)

Azure: come rimanere aggiornati

Il mondo di Azure è in continua e veloce evoluzione e rimanere aggiornati sulle ultime novità non sempre è semplice.

In questo articolo, alcuni suggerimenti per come non perdere nessuna novità sul cloud targato Microsoft.

Tutte le novità e aggiornamenti vengono pubblicati sul sito Azure Updates. Iscrivendosi ai feed RSS si può rimanere costantemente aggiornati.

Azure Heat Maps è uno strumento scritto da non di Microsoft che visualizza gli ultimi aggiornamenti in maniera grafica ed avere una panoramica immediata delle ultime novità. E’ possibile filtrare gli aggiornamenti per tecnologia, paese e altro.

Schermata di Azure Heat Map

Un altro metodo per rimanere aggiornati è quello di seguire sui social come LinkedIn le pagine ufficiali.

Troubleshooting: Azure Application Gateway e “Inbound Anomaly Score Exceeded”

Scenario:
In Azure, un Application Gateway gestisce gli accessi ad un sito web.
Provando ad accedere al sito dall’esterno, la pagina non viene visualizzata correttamente

Soluzione:
Andando ad analizzare i log dell’Application Gateway (vedere il seguente link per abilitare la diagnostica: https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-diagnostics) è presente questo evento:

[…]
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "0",
"ruleGroup": "Default",
"message": "Mandatory rule. Cannot be disabled. Inbound Anomaly Score Exceeded (Total Score: 5)",
"action": "Blocked",
"site": "Global",
[…]


Generalmente, questo evento è generato quando la richiesta è stata bloccata da una o più cause. Il problema è quindi da ricercare nei log precedenti.

Powershell: script autenticazione su Azure CSP con scelta customer e subscription

Lo script sotto esegue l’autenticazioni su sottoscrizioni Azure di tipo CSP e la selezione della sottoscrizione da utilizzare tramite due menù di scelta.

<#
Requirement:
Powershell 5.1
Module: 
- Partner Center
- Az
#>

Import-Module PartnerCenter

Connect-PartnerCenter  
# Select customer
$customer = Get-PartnerCustomer | Out-GridView -Title "Select the partner and click OK" -PassThru

Login-Azaccount -TenantId $customer.CustomerId

# Select subscription
$Subscription = Get-AzSubscription | Out-GridView -Title "Select the Subscription and click OK" -PassThru
Select-AzSubscription -SubscriptionId $Subscription.Id -TenantId $Subscription.TenantId

Volendo, è possibile memorizzare le credenziali per evitare che vengano richieste due volte tramite il cmdlet “get-credential”. Nel momento in cui sto scrivendo, parrebbe che il comando “connect-partnercenter” generi un errore nel passaggio delle variabili (nonostante il fatto che l’autenticazione si concluda comunque con successo).

Disclaimer: nessuna garanzia è fornita con questo script. Lo scrivente non è responsabile di qualunque danno possa eventualmente derivarne – lo utilizzate a vostro rischio.

DPM (o Azure Backup Server): leggere il file di log FailedFilesLog.txt

In caso di errore ID 32538, il DPM generera un log in \?\Volume{VolumeGUID}\someID.
Il volume è posizionato in
– per il server Azure Backup
C:\Program Files\Microsoft Azure Backup Server\DPM\DPM\Volumes\Replica
– Per il DPM “classico”
C: \Program Files\Microsoft DPM\DPM\Volumes\Replica\servername\File System

Se si prova ad accedere al volume, può dare un errore di “access deny”

Per poter quindi aprire il file:

  • scariacre il tool PSEXEC (www.sysinternals.com)
  • da una command line con privilegi amministrativi eseguire il comando “psexec64 -I -d -s c:\windows\explorer.exe
  • dalla nuova finestra, accedere al file FailedFilesLog.txt

Enterprise Vault: could not load file or assembly kvs.enterprisevault.interop.evpstapi

Scenario.
Server con installata la console di Enterprise Vault.
Script per l’esportazione degli archivi in PST (requisito: da avviare in Poweshell 23 bit)
Verifica se il modulo è di Etnerprise Vault è installato
if (!(Get-Module "enterprisevault")) {import-module enterprisevault}
$exportTOpst = import-csv "C:\temp\test.csv" -Delimiter ";"
foreach ($archive in $exportTOpst){
Write-Host -ForegroundColor Magenta "Dearchiviazione dell'archivio "$archive.ArchiveName
Export-EVArchive -ArchiveId $archive.archiveID -Format PST -OutputDirectory D:\Temp -MaxPSTSizeMB 51200
}

Problema
Durante l’esecuzione dello script, viene generato l’errore “could not load file or assembly kvs.enterprisevault.interop.evpstapi”

Soluzione
Copiare nella directory di installazione di Enterprice Valut (p.e. C:\Program Files (x86)\Enterprise Vault) il file KVS.EnterpriseVault.Interop.EVPstApi.dll (presente nel server EV) e riavviare i servizi di EV

Hyper-V 2016: The cluster request in not valid for this object (error 0x800713b8)

In un cluster di test basato su Windows 2016 stavo configurando un CSV. Entrambi i nodi del cluster erano configurati anche come Domain Controler.
Al momento di aggiungere il disco CSV viene notificato dal sistema che l’operazione fallisce con il messaggio sotto riportato:

Error code 0x800713b8: The cluster request in not valid for this object

Mentre fino a Windows 2012 R2 si poteva configurare un nodo di un cluster anche come Domain Controller, pur se altamente sconsigliato, in Windows 2016 questo non è più possibile.

Occorre disinstallare il ruolo da DC e configurare successivamente il disco come CSV. Nel mio caso ho dovuto anche distruggere il cluster e rifarlo.