Sinds een aantal weken is Windows Admin Center (WAC) beschikbaar en hebben wij binnen SCCT inmiddels al aardig wat test-uren erop zitten waardoor er een goede indruk is ontstaan wat er op dit moment al mogelijk is. Vooropgesteld is dat de huidige versie nog vrij minimalistisch is om de dagelijkse (beheer)taken mee uit te voeren, zonder gebruik te maken van de reeds bestaande toolling (neem als voorbeeld het ontbreken van de Active directory users & computers extensie). Toch zijn er een aantal extensies waar we wat dieper op in willen gaan, aangezien deze direct extra toegevoegde waarde kunnen bieden.
De keuze om gebruik te maken van Azure active directory (AAD) als identity provider is nu ook mogelijk, waardoor je gebruikersgroepen en/of specifieke gebruikers rechten kan toekennen binnen WAC en afdwingen van multi-factor authenticatie en inrichten van conditional access behoren ook tot de mogelijkheden. Deze methodieken in combinatie met Role-based access control (RBAC) maken het plaatje helemaal compleet.
In de test-omgeving is er een dedicated server ingericht welke fungeert als ‘gateway’ en is met behulp van een geldig SSL-certificaat beschikbaar gesteld voor gebruik vanaf het internet door gebruik te maken van een moderne browser (Edge/Chrome). Een groot pluspunt van deze inrichting is dat het openzetten van de https-poort het enige wat noodzakelijk is om vanaf een willekeurige werkplek toch dat datgene te kunnen doen wat nodig is. De gateway kan geïnstalleerd worden op Windows server 2016, Windows versie 1709 of hoger en is niet verplicht om toegevoegd te worden aan een domein.
In het bovenstaande schema wordt er vanaf een client de gateway benaderd welke in aparte subnet geplaatst is en voorzien is van een Network security group (NSG) welke alleen verkeer op https toestaat. Na het succesvol authentiseren al dan niet in combinatie met AAD is het vervolgens mogelijk om een verbinding op te zetten met één van de servers in het netwerk welke ook afgeschermd is door een NSG waarbij alleen de Windows remote management (WinRM) en Powershell remote (PSremote) poorten worden toegelaten.
De extensie Remote Desktop kan worden gebruikt voor het overnemen van een server voor het uitvoeren van taken waarbij een GUI vereist is, of vanuit Roles & Features is het direct mogelijk om bepaalde Windows features te installeren. Het is zelfs mogelijk om vanuit de updates extensie bepaalde Windows updates te installeren. Voor een groot aantal handelingen is WAC prima geschikt, maar wij zien graag de extensies uitgebreid worden met:
• Active directory users & computers;
• DNS, DHCP-management;
• Remote desktop, RemoteApp management.
Tevens is het mogelijk om ook zelf extensies te bouwen, die kan met behulp van de beschikbare SDK welke op het moment van schrijven nog in preview is, maar al hier te vinden is. Enkele leveranciers (DataON en Fuijtsu) hebben al reeds een extensie beschikbaar gesteld waarbij je direct kan zien waar de kracht van WAC zit en dat vele leveranciers nog zullen komen.
Al met al ben ik op zeker tevreden met wat ik tot nu toe heb gezien en getest De opzet zoals hierboven beschreven zorgt ook direct voor een betere beveiliging voor het beheren van servers op afstand zonder daarvoor allerlei verschillende RDP en/of andere managementpoorten voor open te hoeven zetten.
To be continued…
Meer weten?
Wilt u meer weten over de toegevoegde waarde van Microsoft Azure? Neem dan contact met mij op.