Un DC en réplica sur Windows Azure : Part 2 – Mise en place

Sommaire

 

 

Introduction

Dans notre premier article « Un DC en réplica sur Windows Azure : Part 1 – Présentation », nous avons découvert brièvement la solution IaaS de Windows Azure et les avantages à y héberger un contrôleur de domaine. Nous allons désormais entrer dans le concret et nous intéresser à la mise en place.

 

 

Les prérequis

  1. Disposer d’un domaine Active Directory existant : si ce n’est pas le cas et si vous avez besoin d’un accompagnement pour mettre en place Active Directory, vous pouvez suivre notre article « Installation des services de domaine Active Directory sur 2008 R2 ».
  2. Disposer d’un compte Windows Azure : vous pouvez souscrire à la version d’essai limitée à 90 jours depuis le lien suivant : http://www.windowsazure.com/fr-fr/pricing/free-trial/.
  3. Avoir créé les composants essentiels sur Windows Azure : pour mener à bien la procédure, il vous faut un groupe d’affinité, un compte de stockage et un réseau virtuel.
  4. Avoir configuré la connexion VPN site-à-site : afin que le trafic soit sécurisé entre les deux réseaux, il va être nécessaire d’établir un lien IPSEC. Pour cela, consulter notre article « Connexion VPN site-à-site entre Windows Azure et Windows Server 2008 R2 ».

 

 

Spécificités techniques

L’utilisation d’une adresse IP statique sur une machine virtuelle hébergée sur Windows Azure n’est pas supportée sous peine d’une perte complète de connectivité. Cela n’est donc pas commun mais il faudra utiliser une adresse IP dynamique sur le contrôleur de domaine! Rassurez-vous toutefois car le bail durera tout le long de la vie de machine virtuelle.

Cela engendre également un second problème relatif à la configuration du client DNS du contrôleur de domaine car il doit pointer vers un contrôleur de domaine existant en tant que serveur DNS primaire et ensuite la boucle locale comme serveur DNS secondaire. Pour appliquer ces paramètres, il faudra créer la machine virtuelle à l’aide de PowerShell.

De plus, pour sécuriser les communications entre votre nouveau contrôleur de domaine en réplica sur le réseau Windows Azure et votre infrastructure physique, il va être nécessaire de créer un lien VPN. Notez également que seul les flux sortants vous seront facturés sur Windows Azure et il sera sans doute judicieux d’envisager le déploiement d’un contrôleur de domaine en lecture seule (RODC).

Enfin, si vous déployez un contrôleur de domaine sous Windows Server 2012, sachez que la fonctionnalité de clonage et le support des clichés instantanés n’est pas pris en charge sur Windows Azure.

 

 

La maquette

Afin de faciliter la compréhension de notre article, nous nous appuierons sur l’exemple d’architecture réseau et Active Directory suivant.

 

 

 

 

Création et préparation de la machine virtuelle

Comme nous le disions plus haut, il est nécessaire de passer par PowerShell pour créer correctement la machine virtuelle et surtout avec les bons paramètres DNS. Pour cela, consultez l’article « Créer une machine Windows Azure avec PowerShell » que nous avons réalisé et utilisez le script fourni pour générer votre machine virtuelle.

Veillez surtout à bien indiquer les paramètres DNS avec, en serveur DNS préféré le contrôleur de domaine sur votre site physique et, en DNS secondaire la boucle locale « 127.0.0.1 ».

Remarque : si vous comptez faire des sauvegardes de la base de données Active Directory sur cette machine virtuelle alors il faudra définir la taille de la machine à « Large » (Cmdlet New-AzureVMConfig / propriété InstanceType) pour pouvoir attacher deux disques.

Une fois le script exécuté, vous pouvez vérifier que le déploiement s’opère correctement depuis le portail Windows Azure. Vous pouvez vérifier également après le déploiement que les serveurs DNS sont correctement définis à l’aide de la commande « ipconfig /all ».

{gallery}64_AZURE_DCREPLICA2/02{/gallery}

 

 

 

 

 

 

 

La machine virtuelle est provisionnée et, désormais, vous allez devoir ajouter un nouveau disque pour le stockage de la base de données Active Directory. En effet, Windows Azure fournit deux types de disques pour les machines virtuelles dont l’un pour le système d’exploitation et l’autre pour les données. Il est donc fondamental de stocker la base de données sur un disque de données afin d’en assurer l’intégrité.

Pour cela, sélectionnez la machine virtuelle depuis la section « Ordinateurs virtuels » et cliquez sur « Attacher » | « Attacher un disque vide » depuis la barre d’outils. Depuis la fenêtre « Attacher un disque vide à l’ordinateur virtuel », contentez-vous de spécifier la taille (20 Go est un bon compromis).

{gallery}64_AZURE_DCREPLICA2/03{/gallery}

 

 

 

 

 

 

 

 

 

Connectez-vous ensuite sur la machine virtuelle en cliquant sur « Connecter » depuis la barre d’outils.

{gallery}64_AZURE_DCREPLICA2/04{/gallery}

 

 

 

 

 

 

 

 

Une fois connecté sur la machine virtuelle, ouvrez la console « Computer Management » et naviguez vers « Storage » | « Disk Management ». Le nouveau disque va être détecté et initialisé.

{gallery}64_AZURE_DCREPLICA2/05{/gallery}

 

 

 

 

 

Sur ce nouveau disque, créez une nouvelle partition et attribuez-lui une lettre de lecteur, un nom de volume ….

{gallery}64_AZURE_DCREPLICA2/06{/gallery}

 

 

 

 

 

 

 

 

 

Création du site Active Directory

Il est impératif de créer un site Active Directory pour votre réseau virtuel  Windows Azure.

Pour cela, lancez la console « Sites et services Active Directory » en saisissant la commande « dssite.msc » depuis « Démarrer » | « Exécuter ».

{gallery}64_AZURE_DCREPLICA2/07{/gallery}

 

 

 

 

 

Réalisez un clic droit sur « Sites » et sélectionnez « Nouveau site… ».

{gallery}64_AZURE_DCREPLICA2/08{/gallery}

 

 

 

 

 

 


Donnez lui un nom (dans notre exemple nous lui avons assigné le nom « SiteCloud ») et sélectionnez un lien de sites (par défaut « DEFAULTIPSITELINK » pour une réplication toutes les 180 minutes).

{gallery}64_AZURE_DCREPLICA2/09{/gallery}

 

 

 

 

 

 

 


Il faut ensuite créer le sous-réseau à l’aide d’un clic droit sur « Subnets » et en sélectionnant « Nouveau sous-réseau …».

{gallery}64_AZURE_DCREPLICA2/10{/gallery}

 

 

 

 

 

 

 

Indiquez le sous-réseau correspondant à celui déclaré sur Windows Azure et associez-le au site créé précédemment.

{gallery}64_AZURE_DCREPLICA2/11{/gallery}

 

 

 

 

 

 

 

 

 


Promotion du contrôleur de domaine supplémentaire

L’opération se décompose en deux étapes :

  • Installation du rôle Active Directory Domain Services.
  • Promotion du contrôleur de domaine.

 

Pour l’installation du rôle, vous n’avez qu’à suivre l’assistant « Add Roles and Features » et vous appuyer sur les imprime-écrans ci-dessous.

{gallery}64_AZURE_DCREPLICA2/12{/gallery}

 

 

 

 

 


 

Une fois le rôle installé, nous passons à la promotion du serveur. Depuis « Server Manager », allez dans zone de notifications (le petit drapeau en haut à droite) et sélectionnez « Promote this server to a domain controller ».

{gallery}64_AZURE_DCREPLICA2/13{/gallery}

 

 

 

 

 

 

L’assistant de déploiement Active Directory Domain Services démarre. Sélectionnez l’option de déploiement « Add ad domain controller to an existing domain », entrez le nom de votre domaine Active Directory et les informations d’authentification d’un compte administrateur du domaine.

{gallery}64_AZURE_DCREPLICA2/14{/gallery}

 

 

 

 

 

 


Activez le service « Domain Name System (DNS) Server », activez si nécessaire la fonctionnalité « Global Catalog (GC) » et définissez le nouveau contrôleur de domaine en tant que RODC si nécessaire (rappelez-vous que le RODC est très intéressant d’un point de vue économique sachant qu’il ne générera que peut de trafic sortant). Vérifiez également que le site est correctement défini et entrez un mot de passe pour le mode DSRM.

{gallery}64_AZURE_DCREPLICA2/15{/gallery}

 

 

 

 

 

 

 

Afin de faciliter la réplication initiale, nous décidons de répliquer depuis le contrôleur de domaine placé sur notre infrastructure locale.

{gallery}64_AZURE_DCREPLICA2/16{/gallery}

 

 

 

 

 

 


Définissez également la location des dossiers de stockage de la base de données, des journaux et du SYSVOL afin qu’ils pointent sur la partition de données créée précédement.

{gallery}64_AZURE_DCREPLICA2/17{/gallery}

 

 

 

 

 


 

Après que les pré-vérifications ont été réalisées, lancez l’installation. Remarquez que l’assistant vous alerte sur le fait que vous utilisez une adresse IP dynamique !

{gallery}64_AZURE_DCREPLICA2/18{/gallery}

 

 

 

 

 

 


Après redémarrage, votre machine virtuelle est désormais promue en tant que contrôleur de domaine supplémentaire.

How to Find Active Directory Schema Update History by Using PowerShell

Un DC en réplica sur Windows Azure : Part 1 – Présentation

Sommaire

 

 

Introduction

Avec la possibilité de pouvoir héberger des machines virtuelles et de les faire communiquer de manière sécurisée avec votre infrastructure existante, Windows Azure peut permettre de répondre à plusieurs besoins relativement au service d’annuaire Active Directory.

Nous allons donc découvrir au sein de cet article ce que représente la solution IaaS de Windows Azure, les bénéfices apportés par l’hébergement d’un contrôleur de domaine dans le « Cloud » et enfin les informations essentielles à connaitre concernant la tarification.

Notre second article « Un DC en réplica sur Windows Azure : Part 2 – Mise en place » permettra de rentrer plus en détail dans la technique en présentant le déploiement d’un contrôleur de domaine sur Windows Azure.

 

 

La solution IaaS de Microsoft Windows Azure

Microsoft étend sa solution « Cloud » et propose désormais  une solution IaaS (Infrastructure as a Service) depuis sa plateforme Windows Azure. En clair, vous pouvez gérer des machines virtuelles directement depuis Azure et installer ce que bon vous semble.

Avant d’aller plus en profondeur, les services de type « Cloud » méritent peut être quelques éclaircissements.

De manière générale, trois types de service sont proposés lorsque l’on parle de « Cloud » :

  • Infrastructure as a Service (IaaS)
  • Platform as a Service (PaaS)
  • Software as a Service (SaaS)

 

La principale différence entre ces services est le rapport autonomie/responsabilités. Par exemple, sur une solution IaaS vous aurez une souplesse dans le choix de votre système d’exploitation, des applications installées mais également la responsabilité de les maintenir à jour et de veiller à leur état de fonctionnement. Chose que vous n’aurez pas à faire avec une solution PaaS ou SaaS. Pour aller plus loin, vous pouvez aussi consulter l’article suivant : « Le cloud : quels enjeux et quels rôles pour les DSI ? ». L’article date un peu mais n’en ai pas moins inintéressant.

Dans le cadre de Windows Azure :

  • La solution IaaS vous permet de gérer des machines virtuelles.
  • La solution PaaS vous permet de gérer des plateformes comme SQL Server et IIS.
  • La solution SaaS vous permet de gérer des services applicatifs tels que Windows Azure Active Directory.

 

 

 

Windows Server Active Directory (AD DS) Vs Windows Azure Active Directory (AAD)

Il est important de différencier la mise en place d’une machine virtuelle « Windows Server Active Directory » sur l’infrastructure Windows Azure de la solution « Azure Active Directory » utilisée pour faire de la gestion d’identités et d’accès pour les applications dans le « Cloud » tel que Office 365, Dynamics CRM Online et Windows Intune.

Cet article se focalise exclusivement sut la mise en place d’une machine virtuelle sous Windows Server et de sa promotion en tant que contrôleur de domaine supplémentaire de votre annuaire existant. L’objectif étant clairement de pouvoir disposer d’un contrôleur de domaine supplémentaire hébergé sur Azure et de permettre de compléter votre infrastructure locale ou « On-Premise ».

 

 

 

Pourquoi déployer un contrôleur de domaine sur une machine virtuelle Windows Azure

De manière générale, avoir la capacité de placer des machines virtuelles dans un « Cloud » publique offre plusieurs avantages :

  • Couverture géographique étendue : Microsoft propose des centres de calcul un peu partout dans le monde alors que votre structure ne dispose pas forcément d’une couverture géographique aussi étendue. De ce fait, si votre entreprise, basée en Europe, se développe en Asie, elle peut donc disposer rapidement d’une infrastructure dans le Cloud et proposer un service d’une qualité supérieure.
  • Un site de recouvrement à moindre coût : Disposer de machines dans un centre de calculs et à un prix abordable permet de répondre aux besoins croissants des entreprises dans le domaine de la reprise après sinistre.

 

  • Une infrastructure agile : un coût à la consommation et en fonction des besoins qui peuvent varier en fonction des projets et des charges.
  • Coûts de maintenance et d’acquisition réduits : pas d’acquisition matérielle et aucune maintenance à réaliser, pas d’espace physique à allouer, aucune dépense énergétique… ce qui permet de rendre attractif une solution d’hébergement de type IaaS.

 

En résumé, la solution IaaS de Microsoft va permettre d’offrir une qualité de services supérieure localement à des utilisateurs distants ne disposant pas des infrastructures nécessaires à proximité et globalement en s’intégrant à un plan de recouvrement à moindre coût.

 

 

 

Tarification

La partie la plus compliquée à évaluer finalement… car tout va dépendre de l’usage. Si nous prenons le cas d’Active Directory, nous pouvons jouer sur plusieurs variables en fonction des besoins. Par exemple,  sur Windows Azure vous ne payez que la bande passante sortante donc un RODC (contrôleur de domaine en lecture seule) réduira nettement la facture. Si vous ne l’utilisez pas pour des besoins de recouvrement de données, vous pourrez vous abstenir de mettre en place la sauvegarde, limiter la taille du stockage nécessaire et la taille de la machine virtuelle.

Plus concrètement, Microsoft propose dans un premier temps un calculateur complet pour évaluer la tarification de base (la calculette est disponible ICI).

Ensuite, vous pouvez également consulter le détail de la tarification depuis la page « Détails de la tarification ». A savoir qu’il va falloir tenir compte des critères suivants :

  • La tarification Machines virtuelles avec les licences comprises pour une machine Microsoft en fonction du type de machine virtuelle.

  • La tarification du stockage en fonction de la quantité moyenne consommé sur le mois, du type de stockage utilisé (redondance locale ou géo-redondance) et le nombre de transactions (par tranche de 100 000).
  • La tarification du transfert de données (sur le volume de données sortantes).
  • L’établissement d’un lien VPN site-à-site pour sécuriser les communications entre Windows Azure et votre site « On-Premise » est payant également (facturation à l’heure et et sur le volume de données sortantes).

 

Enfin, vous pouvez également jeter un petit coup d’œil sur la vidéo « [Cloud IaaS] Comment calculer le coût de Windows Azure » très instructive et en français !

 

 

 

Débuter avec Windows Azure

Avant de vous engager, Microsoft vous permet de pouvoir évaluer Windows Azure dans son ensemble et bien entendu, en ce qui nous concerne, la partie IaaS.

Il propose un accès gratuit sur 90 jours. Malgré quelques limitations, cela devrait toutefois vous permettre de suivre notre tutoriel. Pour souscrire à l’accès gratuit, allez sur http://www.windowsazure.com/fr-fr/pricing/free-trial/.

Une fois votre accès activé, vous pouvez passer à l’étape suivante en consultant notre article « Un DC en réplica sur Windows Azure : Part 2 – Mise en place ».

 

 

How to Find Active Directory Schema Update History by Using PowerShell

Créer une machine Windows Azure avec PowerShell

Sommaire

 

 

Introduction

Passer par PowerShell va permettre d’automatiser la création et le provisionnement de machines virtuelles sur Windows Azure. Il sera même, dans certains cas, impératif de l’utiliser  pour palier à  des contraintes techniques.

Nous allons voir donc voir comment créer une machine virtuelle sous Windows Azure avec PowerShell.

 

 

Les prérequis

Il va falloir récupérer le module PowerShell de Windows Azure (disponible ICI) et l’installer.

Une fois le module PowerShell installé, il va falloir ensuite récupérer le certificat permettant d’accéder à votre plateforme Windows Azure. Pour cela :

  • Lancez PowerShell
  • Importez le module PowerShell Windows Azure à l’aide de la commande « Import-Module ‘C:\Program Files (x86)\Microsoft SDKs\Windows Azure\PowerShell\Azure\Azure.psd1’ »
  • Saisissez la commande « Get-AzurePublishSettingsFile »

 

Votre navigateur va automatiquement se connecter au site Microsoft, générer le fichier de certificat et vous proposer de le télécharger.

Attention !!! Stockez-le dans un endroit sécurisé car il contient toutes les informations d’accès à votre plateforme.

Si vous avez besoin de récupérer une nouvelle fois le certificat, il vous suffit de vous connecter sur le portail Windows Azure, de vous rendre dans « Paramètres » et de cliquer sur « Télécharger » situé en bas du portail.

{gallery}62_AZURE_CREATEVMPOSH/02{/gallery}

 

 

 

 

 

 

 

 

 

Le script de création

Le script que vous nous proposons a été récupéré depuis l’article Microsoft « Install a new Active Directory forest in Windows Azure » avec quelques modifications. Il faudra adapter les variables à votre environnement et à vos besoins.

{codecitation style= »brush:PowerShell »}

 

# Import du module PowerShell Windows Azure

Import-Module ‘C:\Program Files (x86)\Microsoft SDKs\Windows Azure\PowerShell\Azure\Azure.psd1’

 

# Import du certificat de connexion

Import-AzurePublishSettingsFile ‘C:\temp\MyWindowsAzureService.publishsettings’

 

# Defini la souscription Azure à utiliser

#Set-AzureSubscription -SubscriptionName « Services de la plateforme Windows Azure pour Visual Studio Profe » -CurrentStorageAccount alexwinner

Select-AzureSubscription -SubscriptionName « Services de la plateforme Windows Azure pour Visual Studio Profe »

 

# Nom de la VM

$VMComputerName = ‘MYVM-01’

 

# Précise un nom de service

$CloudServiceName = ‘AAR-DC-SVC11’

 

# Le groupe d’affinité à utiliser

$AffinityGroupName = ‘GroupeAffinite1’

 

# Le réseau virtuel à utiliser

$NetworkName = ‘ReseauCloud’

 

# Référence VHD de système d’exploitation

$ImageName = ‘a699494373c04fc0bc8f2bb1389d6106__Windows-Server-2012-Datacenter-201212.01-en.us-30GB.vhd’

 

# Création  des serveurs DNS utilisés par la VM

$PrimaryDNS = New-AzureDNS -Name ‘AARDNS’ -IPAddress ‘192.168.150.100’

$SecondaryDNS = New-AzureDNS -Name ‘AARDNS1’ -IPAddress ‘127.0.0.1’

 

# Génére la configuration de la VM

$MyVM = New-AzureVMConfig -name $VMComputerName -InstanceSize ‘Small’ -ImageName $ImageName |

Add-AzureProvisioningConfig -Windows -Password ‘Test1234!’ |

Set-AzureSubnet -SubnetNames ‘ReseauAD’

 

# Création de la VM

New-AzureVM -ServiceName $CloudServiceName -AffinityGroup $AffinityGroupName -VMs $MyVM -DnsSettings @($PrimaryDNS,$SecondaryDNS) -VNetName $NetworkName

 

{/codecitation}

 


Explication du script ligne par ligne

Nous importons en tout premier lieu le module PowerShell Windows Azure avec la commande « Import-Module ‘C:\Program Files (x86)\Microsoft SDKs\Windows Azure\PowerShell\Azure\Azure.psd1’ ».

 

Nous spécifions le certificat de connexion à utiliser avec la commande « Import-AzurePublishSettingsFile [CERTPATH] ».

 

Il faut que nous sélectionnons la souscription Windows Azure à l’aide de la commande « Select-AzureSubscription -SubscriptionName [NAME] ». Pour obtenir la liste des souscriptions ou ne serait-ce que le nom de votre souscription, vous pouvez utiliser la commande « Get-AzureSubscription | Select SubscriptionName ».

 

Il faut ensuite définir les paramètres généraux de la machine virtuelle par le biais de variables :

  • Le nom de la machine : $VMComputerName = [NAME]
  • Le service « Cloud » (nom d’hôte qui peut être partagé pour assurer la répartition de charge et de la tolérance de panne): $CloudServiceName = [NAME]
  • Le réseau virtuel : $NetworkName = [NAME]
  • Le groupe d’affinité (de préférence le même groupe que celui associé au réseau virtuel) : $AffinityGroupName = [NAME]

Remarque : vous pouvez utiliser la commande « Test-AzureName –Service [NAME] » pour vérifier la disponibilité du nom de votre service Cloud.


Il s’agit de définir désormais le type de système d’exploitation que vous allez utiliser. Pour cela, vous devrez spécifier au sein d’une variable le nom de l’une des images proposées au sein de Windows Azure. Il faut donc au préalable avoir la liste des images disponibles. Pour cela, saisissez la commande « Get-AzureVMImage | ft –Property ImageName,Label -Wrap -AutoSize ».

 

Il ne reste plus qu’à récupérer la valeur de la propriété ImageName au sein d’une variable (dans notre exemple nous avons décidé de déployer l’image de Windows Server 2012).

 

Etape facultative : Un des avantages de passer par PowerShell pour la création de notre VM est de pouvoir associer un paramétrage DNS tout en conservant l’adressage automatique impérativement nécessaire au sein de Windows Azure. Cela est particulièrement intéressant pour le déploiement de contrôleurs de domaine qui doivent disposer d’une configuration spécifique. Nous allons créer deux objets contenant les paramètres DNS pour définir un serveur DNS préféré et un serveur DNS secondaire par le biais des deux commandes suivantes :

  • $PrimaryDNS = New-AzureDNS –Name [NAME]-IPAddress [ADRESSEIP]
  • $SecondaryDNS = New-AzureDNS –Name [NAME] -IPAddress [ADRESSEIP]


Nous allons maintenant générer la configuration de notre machine virtuelle à l’aide des cmdlets suivantes :

  • New-AzureVMConfig : pour spécifier l’image à déployer et définir la taille de la machine virtuelle (ExtraSmall, Small, Medium, Large, ExtraLarge).
  • Add-AzureProvisioningConfig : pour préciser le mot de passe du compte « administrator ».
  • Set-AzureSubnet : pour attacher la machine virtuelle à un des sous-réseaux associés à notre réseau virtuel $NetworkName.

 

La commande  PowerShell est donc la suivante : $MyVM = New-AzureVMConfig -name $VMComputerName -InstanceSize ‘Small’ -ImageName $ImageName | Add-AzureProvisioningConfig -Windows -Password ‘*****’ | Set-AzureSubnet -SubnetNames ‘ReseauAD’


 

L’ultime étape est donc la création de la machine virtuelle. Il suffit juste de saisir la commande suivante : « New-AzureVM -ServiceName $CloudServiceName -AffinityGroup $AffinityGroupName -VMs $MyVM -DnsSettings @($PrimaryDNS,$SecondaryDNS) -VNetName $NetworkName »

Remarque : Supprimer le paramètre « DnsSettings » si vous n’avez pas à définir de serveurs DNS spécifiques.

 

 

 

How to Find Active Directory Schema Update History by Using PowerShell

Connexion VPN site-à-site entre Windows Azure et Windows Server 2008 R2

Sommaire

 

 

Introduction

Microsoft a introduit la fonctionnalité permettant de connecter de manière sécurisée votre infrastructure locale dite « On Premise » et vos machines virtuelles hébergées sur Windows Azure.

Nous allons donc voir au sein de cet article comment créer ce canal sécurisé à l’aide de Windows Server 2008 R2.

 

 

Les prérequis

La connexion sécurisée est établie tout simplement avec un tunnel IPSEC entre votre site physique et Windows Azure. Toutefois, Afin de pouvoir établir ce lien, votre équipement VPN doit nécessairement :

  • Disposer obligatoirement d’une adresse IP publique sur son interface externe
  • Supporter IKEv1
  • Etablir une association de sécurité en mode tunnel
  • Supporter le NAT Transversal (NAT-T)
  • Supporter la fonction d’encryption AES 128-bit, la fonction de hachage SHA-1 et l’échange de clés Diffie-Hellman Groupe 2
  • Assurer la fragmentation des paquets avant l’encapsulation des en-têtes VPN

 

Il se trouve que les prérequis sont respectés avec Windows 2008 R2 et donc nous pouvons l’utiliser pour établir le lien VPN. Mais, et cela peut paraître surprenant, Microsoft ne supporte pas l’établissement d’un lien VPN entre Windows Azure et Windows Server 2008. En réalité, seuls certains équipements CISCO et JUNIPER le sont mais cette limitation est surtout la conséquence des énormes efforts à fournir par Microsoft pour supporter un trop grand nombre d’équipements.

Windows 2008 R2 n’est donc pas supporté mais cela fonctionne…

Pour plus de détails sur les équipements supportés et sur les prérequis, vous pouvez consulter l’article MSDN « About VPN Devices for Virtual NetWork » relatif à ce sujet.

 

 

Topologie de notre maquette

Afin de vous aider dans la création de votre propre tunnel IPSEC, vous pouvez vous appuyer sur le schéma ci-dessous.

 

 

L’infrastructure « On-Premise » représente votre infrastructure locale. Le lien VPN sur ce site est géré par la machine AAR-RRAS, équipée de Windows Server 2008 R2 et disposant de deux interfaces réseaux.  La première interface permet de disposer d’une adresse IP publique (obligatoire). La deuxième interface est connectée au réseau local (192.168.150.0/24) pour router les requêtes du réseau de l’infrastructure locale vers le site distante Windows Azure et vice versa.

Du côté de Windows Azure, une passerelle est créée automatiquement sur demande avec une adresse IP publique sur une première interface réseau. La deuxième interface est liée au réseau privé virtuel (192.168.50.0/25) pour permettre les échanges avec le réseau « On-Premise ».

 

 

 

Création de la passerelle sur Azure

La création de la passerelle sur Azure ce fait sur un réseau privé virtuel. Il faut donc en créer un au préalable.

Depuis le portail de gestion Windows Azure, nous sélectionnons  « RESEAUX » depuis le menu et « Créer un réseau virtuel ».

{gallery}61_AZURE_VPN/02{/gallery}


 

 

 

 

 

 

 

L’assistant de création d’un nouveau réseau privé virtuel débute par vous demander un nom et un groupe d’affinités auquel l’associer.

{gallery}61_AZURE_VPN/03{/gallery}

 

 

 

 

 

 

Ensuite il va falloir associer un espace d’adresses et un ou plusieurs sous-réseaux. Faites attention au fait que la passerelle Windows Azure nécessite d’être hébergé sur un sous-réseau spécifique mais dans le même espace d’adresses. Dans notre exemple, notre espace d’adresses est « 192.168.50.0/24 », notre sous-réseau sera « 192.168.50.0/25 » et le sous-réseau de notre passerelle sera « 192.168.50.128/25 ».

{gallery}61_AZURE_VPN/04{/gallery}

 

 

 

 

 

 

L’étape suivante consiste à préciser les serveurs DNS à utiliser par vos machines virtuelles situées sur ce réseau privé virtuel. Cela peut-être un de vos serveurs DNS hébergés sur votre site physique, un serveur DNS publique… Ensuite, cochez la case « Configurez une connexion au réseau local », spécifiez l’adresse du sous-réseau pour votre passerelle et laissez par défaut « Spécifier un nouveau réseau local ».

{gallery}61_AZURE_VPN/05{/gallery}

 

 

 

 

 

 

La dernière étape consiste à renseigner les informations spécifiques de votre site physique et plus précisément l’adresse du sous-réseau et l’adresse IP publique.

{gallery}61_AZURE_VPN/06{/gallery}

 

 

 

 

 

 

 

Notre réseau privé virtuel désormais créé, nous allons nous diriger vers le tableau de bord de notre nouveau réseau. Nous avons d’ailleurs un message nous prévenant qu’aucune passerelle n’a été créée pour l’instant. Cliquez sur l’icône « Créer une passerelle » sur la barre d’outils situé tout en bas du portail. Après une demande de confirmation et quelques petites minutes d’attente, votre nouvelle passerelle est créée et vous disposez d’une adresse IP publique.

{gallery}61_AZURE_VPN/07{/gallery}

 

 

 

 

 

 

 

 

La toute dernière étape consiste a récupéré la clé pré-partagée pour établir le tunnel IPSEC avec votre serveur RRAS. Pour cela, sélectionnez « Gérer la clé » sur la barre d’outils situé tout en bas du portail.

{gallery}61_AZURE_VPN/08{/gallery}

 

 

 

 

 

 

 

 


Configuration du serveur Windows : Routage

Avant de débuter la configuration de votre serveur Windows, il est nécessaire d’installer un hotfix pour le support du NAT-Tranversal (NAT-T) sur Windows Server 2008 R2. Il est disponible depuis le lien : http://support.microsoft.com/kb/2523881

Le hotfix installé, nous pouvons configurer notre serveur. Il faut dans un premier temps installer le service de routage et d’accès distant sur le serveur. Pour cela, ouvrez la console « Gestionnaire de serveur » et cliquez sur « Ajouter des rôles ».

{gallery}61_AZURE_VPN/09{/gallery}

 

 

 

 

 


L’assistant « Ajout de rôles » se lance. Sélectionnez le rôle « Services de stratégie et d’accès réseau ».

{gallery}61_AZURE_VPN/10{/gallery}

 

 

 

 

 

 

 

Installez uniquement le services de rôle « Services Routage et accès distant ». L’assistant se termine.

{gallery}61_AZURE_VPN/11{/gallery}

 

 

 

 

 

 

 

Une fois le rôle installé, il faut activer le routage. Pour cela, nous allons commencer par ouvrir la console « Routage et accès distant » en exécutant la commande « rssamgmt.msc » depuis « Démarrer » | « Exécuter »

{gallery}61_AZURE_VPN/12{/gallery}

 

 

 

 

 

Depuis la console, réalisez un clic droit sur votre serveur et choisissez l’option « Configurer et active le routage et l’accès à distance ».

{gallery}61_AZURE_VPN/13{/gallery}

 

 

 

 

 

 


L’assistant démarre. Sélectionnez « Configuration personnalisée » et activez uniquement « Routage Réseau ». Démarrez le service et fermez l’assistant.

{gallery}61_AZURE_VPN/14{/gallery}

 

 

 

 

 

 

 

 

 

Configuration du serveur Windows : Tunnel IPSEC

Nous allons créer notre tunnel IPSEC en passant par la console « Pare-feu Windows avec fonctions avancés de sécurité ». Depuis « Démarrer » | « Exécuter », lancez « wf.msc ».

{gallery}61_AZURE_VPN/15{/gallery}

 

 

 

 


Faites un clic droit sur « Règles de sécurité de connexion » et sélectionnez « Nouvelle règle… ».

{gallery}61_AZURE_VPN/16{/gallery}

 

 

 

 

 

 


A la première étape, choisissez « Tunnel » et à l’étape suivante « Configuration personnalisée ».

{gallery}61_AZURE_VPN/17{/gallery}

 

 

 

 

 

 

 

Concernant les conditions requises d’authentification, choisissez « Exiger l’authentification pour les connexions entrantes et sortantes ».

{gallery}61_AZURE_VPN/18{/gallery}

 

 

 

 

 

 


 

La partie la plus complexe est la configuration des points de terminaison du tunnel. Il faut préciser les deux sous-réseaux et les deux adresses IP publiques. Reportez-vous à l’imprime-écran ci-dessous. Faites surtout attention a bien préciser l’espace d’adresses pour la partie Windows Azure et pas uniquement le sous-réseau.

{gallery}61_AZURE_VPN/19{/gallery}

 

 

 

 

 


Pour la méthode d’authentification, nous allons  sélectionner « Avancée » puis cliquer sur le bouton « Personnaliser… ».

Dans le menu de personnalisation, cliquez sur « Ajouter » et entrez la clé pré-partagée récupérée lors de la création de passerelle Windows Azure.

{gallery}61_AZURE_VPN/20{/gallery}

 

 

 

 

 

 

 

 


Appliquez la règle sur tous les profils de connexion et enfin spécifiez un nom pour identifier votre nouvelle règle.

{gallery}61_AZURE_VPN/21{/gallery}

 

 

 

 

 

 

 

 

 

Valider le tunnel

Maintenant que le tunnel VPN est configuré des deux côtés, le lien doit être établi. Nous allons pour cela vérifier que sur notre serveur le tunnel est bien monté depuis la console « Pare-feu Windows avec fonctions avancées de sécurité ». Si votre tunnel est correctement configuré, vous devrez pouvoir le visualiser dans la partie « Mode principal » et « Mode rapide » depuis « Analyse » | « Associations de sécurité ».

{gallery}61_AZURE_VPN/22{/gallery}

 

 

 

 

 

 


Vous pouvez également vous rendre sur le tableau de bord de votre réseau privé virtuel depuis le portail Windows Azure afin de vérifier que le lien est bien monté.

{gallery}61_AZURE_VPN/23{/gallery}

 

 

 

 

 

 


Enfin, il est possible que tant que vous ne tentez pas de communiquer entre les machines de votre réseau local et les machines virtuelles Windows Azure, le tunnel ne se monte pas. De ce fait, un simple envoi d’une requête ping peut suffire à établir le lien VPN. Notez toutefois qu’il est inutile de lancer une requête ping depuis votre serveur VPN. Il ne sera pas capable de communiquer avec le réseau distant.

Si vous avez besoin de créer une machine virtuelle sur Windows Azure vous pouvez l’article « Créer une machine virtuelle depuis le portail Windows Azure ».

How to Find Active Directory Schema Update History by Using PowerShell

Créer une machine virtuelle depuis le portail Windows Azure

Créer une machine virtuelle depuis le portail Azure est extrêmement simple.

Depuis le portail, cliquer sur « Nouveau » situé sur la barre d’outils en bas à gauche.

{gallery}60_AZURE-CREATEVM/01{/gallery}

 

 

 

 

 

 

 

 

Nous allons déployer la machine virtuelle  en nous appuyant sur la galerie que Microsoft met à notre disposition. Pour cela, allez à  « Calcul » | « Ordinateur virtuel » | « À partir de la galerie ».

{gallery}60_AZURE-CREATEVM/02{/gallery}

 

 

 

 

De là, il nous suffit de suivre l’assistant de création d’un ordinateur virtuel.

Nous choisissons donc dans un premier temps son système d’exploitation (dans notre exemple nous allons déployer un Windows Server 2012).

{gallery}60_AZURE-CREATEVM/03{/gallery}

 

 

 

 

 

 


La configuration de la machine se limite à spécifier un nom d’ordinateur, un mot de passe et sa capacité (cela va dépendre également du coût que vous pouvez évaluer depuis le calculateur disponible à cette adresse http://www.windowsazure.com/fr-fr/pricing/calculator/?scenario=virtual-machines).

{gallery}60_AZURE-CREATEVM/04{/gallery}

 

 

 

 

 

 

 

La troisième étape de création consiste à spécifier le stockage et le réseau de notre future machine virtuelle. Dans notre exemple, nous utilisons un compte de stockage préexistant pour stocker les fichiers de notre machine virtuelle et nous la connectons directement à notre réseau virtuel « ReseauCloud » correspondant au sous-réseau « 192.168.50.0/25 ».

Notez que vous pouvez connecter la machine à un ordinateur virtuel existant pour des besoins de répartition de charges. Nous nous contenterons de créer un « ordinateur virtuel autonome ». Pour plus de détails sur la répartition de charges, vous pouvez consulter l’article suivant « How to load balance virtual machines ».

{gallery}60_AZURE-CREATEVM/05{/gallery}

 

 

 

 

 

 


La dernière étape permet de spécifier ou non l’usage d’un groupe à haute disponibilité (cette fois-ci au niveau de la plateforme Azure). Nous n’en spécifions aucun et nous validons le processus de création de la machine virtuelle.

{gallery}60_AZURE-CREATEVM/06{/gallery}

 

 

 

 

 

 


Après quelques petites minutes d’attente, notre machine est désormais créée et nous pouvons nous y connecter à distance à l’aide d’une connexion RDP. Pour cela, sélectionnez votre nouvelle machine depuis le menu « Ordinateurs virtuels » et cliquez sur « Connecter » de la barre d’outils placée en bas.

{gallery}60_AZURE-CREATEVM/07{/gallery}

 

 

 

 

 

 


How to Find Active Directory Schema Update History by Using PowerShell