Team Access Control est disponible pour Windows Azure Pack. Ce plugin va vous permettre de pouvoir donner le choix à vos clients de définirs les permissions…Le produit est disponible ici : http://www.terawe.com/tac4wapack
TAC n’est pas disponible au téléchargement. Vous pouvez simplement l’installer depuis le Web Platform Installer. Seulement, vous ne pourrez pas spliter les rôles en passant par le WebPi. le meilleur moyen est donc de télécharger l’installeur, via la commande suivante:
webpicmd.exe /offline /Products:TAC_WAP_Extensions /Path:C:\Temp
Allez ensuite dans le dossier que vous avez donné pour récupérer l’exécutable:
Lancez l’installeur sur votre serveur qui contient la partie administration:
Acceptez la licence:
Suivant le type de déploiement que vous avez, choisissez les composants à installer. Pour ma part, sur le 1er serveur j’installerai la partie Admin/API et sur le 2ème serveur la partie Tenant:
Cliquez sur Install:
L’installation est maintenant terminée:
Un nouveau site web est apparu dans IIS:
Une fois l’installation sur le 2ème serveur terminée, nous pouvons commencer la configuration. Pour commencer, nous avons besoin de générer un mot de passe aléatoire ainsi qu’une clé de chiffrement. Exécutez la commande suivante sur le serveur qui contient le service API:
cd %ProgramFiles% cd Terawe\TAC4WAPack\bin TACConfig.exe -action:genkeys
Maintenant qu’on a les bons mot de passes pour chaque compte, on va pouvoir configurer le service. Utilisez la commande suivante pour effectuer la configuration:
.\TACConfig.exe -action:install -path:C:\inetpub\TAC4WAPack\Web.Config -apiusername:TACApiClient -tenantpublicapiurl:https://devo-wap02.devoteam.lab:30006 -sqlserver:DEVO-SQL01\INST_WAP -dbuserpwd:dbuserpasswd -apiuserpwd:apipasswd -encryptkey:encrytionkey
Vous pouvez modifier le nom de l’utilisateur si vous le souhaitez. La base de données a bien été créée:
Allez maintenant sur votre administration de WAP, dans la partie Team Access Control. Nous allons connecter l’API.
Donnez l’url du service API ainsi que l’utilisateur et le mot de passe associé:
L’API est maintenant enregistré:
Vous pouvez ajouter le service Team Manager à un plan:
Vous pouvez choisir de limiter ou non le nombre de team par suscription et de membre par team:
Créez un plan pour les membres. Pour ma part, il se nomme GOLD – Team member, je l’ai associé au service Team member et est public:
Allez maintenant sur votre portail. Vous devriez avoir le Team Manager:
Avant de créer une Team, téléchargez le fichier de configuration, via https://tenant.votresite.com/publishsettings et importez le dans le Team Manager > Management Certificates. Si vous n’effectuez pas cette étape, vos membres ne pourront effectuer aucune actions:
Maintenant, créez une Team:
Vous allez pouvoir voir ce que consomme chaque team et y ajouter des quotas. Ajoutons des membres dedans (le champ member id correspond à l’adresse mail de la personne enregistré):
Vous pouvez modifier les rôles et les quotas pour cet utilisateur:
En cliquant sur usage, vous allez pouvoir voir ce que l’utilisateur consomme:
Pour avoir l’utilisation global de la team, allez sur Usage:
Dans le suivi de la suscription, il est possible de voir combien de membres sont associés à la souscription et combien de team ont été créées:
Connectez vous maintenant avec le deuxième utilisateur. Vous ne devriez voir que le ressource provider Team Member:
Je vais maintenant créer une nouvelle VM via ce compte:
La VM est maintenant créée et je peux me connecter dessus:
Je peux également déployer des VMs depuis le compte administrateur et les attribuer à une Team en allant dans Team Manager > Virtual Machines > Assign Team:
Il est aussi possible d’assigner cette VM a un membre de la team:
On peut ensuite assigner des rôles. Pour faire ceci, il faut créer un rôles:
Une fois le rôle créé, il faut l’assigner à un ou des utilisateurs:
Et ensuite donner les permissions du rôle à une VM:
Dans l’interface Membre, on voit donc la VM qui nous a été assignée avec les différentes permissions assignées au rôle IT:
Enfin, on peut suivre la consommation des ressources par rapport à notre quota:
Vous l’aurez donc compris, ce plugin va vous permettre de donner à vos clients la possibilité de mieux gérer les permissions et de ne pas mettre tout le monde co-administrateurs.
Aujourd’hui j’ai eu un problème lors de la reconfiguration de mon WebSite Clouds dans Windows Azure Pack.
Au moment de la reconfiguration, je me suis retrouvé avec les messages d’erreurs suivants:
En fait, lors de la reconfiguration, le Cloud ID change, sauf qu’il ne peut pas réécrire dans les clés de registre des serveurs qui sont déjà déployés.
La solution est donc de supprimer la clé CloudId qui se trouve dans HKLM > SOFTWARE > Microsoft > IIS Extensions > WebFarmAgent sur les serveurs suivants:
Vous pouvez maintenant relancer la configuration de WAP ou allez dans la console IIS et faire une réparation de tous les serveurs:
Aujourd’hui, je vais vous montrer comment créer une vue dynamique basé sur une clé de registre particulière. Par dynamique, j’entend le fait que la vue se modifiera de façon automatique, si la clé de registre défini existe. J’avais déjà écrit un article à propos des groupes dynamiques, mais par rapport à un service bien spécifique (lien ici).
Tout d’abord, définissez la clé de registre qui doit être présente sur le serveur. Dans mon cas, ce sera la clé pour savoir si un serveur a le rôle cluster installé: HKLM > Cluster
Dans la console SCOM allez dans Authoring > Management Pack Objects > Attributes et faites Create a New Attribute. Donnez un nom à votre attribut:
Dans le type de découverte, choisissez Registry. Dans la partie cible, choisissez Windows Computer et choisissez le management pack où sera stocké cet attribut :
Dans la fenêtre suivante, choisissez si vous souhaitez vérifier la présence d’une clé ou d’une valeur. Indiquez le chemin vers votre clé.La fréquence indique la fréquence d’exécution de cette règle, dans mon cas, 1 fois par jour:
Maintenant, créez une vue de type State. Donnez un nom à cette vue et ciblez les serveurs qui sont de la classe que vous avez sélectionnez précédemment, dans mon cas, Windows Computer_Extended. Choisissez ensuite d’afficher que les serveurs qui ont la clé Cluster et donc, la valeur true doit être retournée:
La découverte des objets s’effectuera dans les 24h. Si vous ne souhaitez pas attendre, redémarrez le service sur les serveurs en questions ou baissez le temps de découverte:
Par défaut, certains resources provider sont créés. Dans mon cas, le resource provider de mysqlservers n’existait pas dans la facturation.
Pour le rajouter, allez dans le portail d’administration de WAP, et modifiez votre profile. Cliquez sur Add:
Et remplissez comme ceci:
Et sur la 2ème page:
Sauvegardez et faites de même, avec les valeur suivante:
Redémarrez le service BillingAgentService, et, après quelques minutes vous pouvez rechargez votre page Tenant et voir que la partie MySQL est apparue:
En naviguant sur le forum Technet aujourd’hui, je suis tombé sur un poste où la personne souhaitait utiliser le SMTP de Office 365 pour envoyer les alertes.
Après avoir cherché sur Internet, je me suis aperçu qu’il fallait passer par un SMTP Relay pour pouvoir envoyer les emails via Office 365 et le lier à SCOM. Je suis tombé sur ce lien Technet qui explique les grandes lignes de la configuration du SMTP Relay. Je vais vous expliquer de A à Z aujourd’hui comment mettre en place cette solution.
Dans un premier temps, choisissez un serveur qui aura le rôle de relai SMTP. J’ai choisi pour ma part le serveur SCOM. Installer la feature SMTP Server ainsi que ses dépendances:
Une fois l’installation terminée, ouvrez la console IIS 6:
Une fois ouverte, ouvrez les propriétés du serveur SMTP virtuel:
Allez dans l’onglet Access et ouvrez la partie Authentication:
Cochez Anonymous et Integrated Windows Authentication:
Ouvrez maintenant la partie Connection:
Insérez l’IP local de votre serveur SMTP et l’IP de votre ou vos serveurs SCOM:
Ouvrez la partie Relay:
Donnez l’autorisation à votre serveur SCOM de pouvoir utiliser ce SMTP:
Cliquez sur Apply et passez à l’onglet Delivery. Ici, cliquez sur Outbound Security:
Renseignez l’adresse mail qui va être utilisé pour se connecter à Office 365. Une souscription est requise pour ce compte. N’oubliez pas de cocher la case TLS encryption:
Cliquez maintenant sur Outbound connections:
Changez le port TCP par 587, le port du SMTP de Office 365:
Cliquez maintenant sur Advanced:
Dans smart host, renseignez le serveur SMTP de Office 365, smtp.office365.com. Vérifiez bien que la ligne Attempt direct Delivery before sending to smart host est décochée:
Fermez la fenêtre et cliquez sur Apply et OK. Nous allons maintenant enregistrer le domaine de notre adresse email, pour pouvoir envoyer des emails sans problèmes. Allez dans Domains et cliquez sur New > Domain:
Choisissiez Remote et cliquez sur Next:
Renseignez votre domaine et cliquez sur Finish:
Ouvrez les propriétés de ce domaine. Cliquez sur Outbound Security:
Choisissez l’authentification basic et renseignez l’adresse mail, comme fait précédemment et cochez TLS encryption:
Renseignez de nouveau le serveur smart host:
Redémarrez le site web SMTP Virtual ainsi que le service SMTPSVC (net stop SMTPSVC && net start SMTPSVC). Vous pouvez maintenant configurer votre channel SMTP dans SCOM en faisant pointer le connecteur sur votre serveur SMTP Relay. N’oubliez que l’authentification anonyme a été activée plus tôt et que donc, vous pouvez l’utiliser ici. Utilisez également comme Return Address l’adresse utilisée pour le SMTP Relay:
Créez maintenant des suscriptions. Vous devriez maintenant recevoir les emails de SCOM, via le SMTP de Office 365:
Si vous avez des questions, n’hésitez pas :-)
Après vous avoir parlé de la mise à disposition de l’outil de facturation de Cloud Assert, je vais maintenant parler de l’installation et de la configuration de ce dernier.
Après vous être enregistré, vous avez eu la possibilité de télécharger l’installeur et la documentation. Plusieurs scénarios d’installation existent. Pour ma part, je vais installer tous les rôles sur la VM qui héberge Windows Azure Pack. Assurez vous d’avoir également une instance SQL pour héberger la base de données. Lancez l’exécutable CloudAssert.WAP.Billing.Setup.msi sur le serveur où vous souhaitez installer l’outil de facturation et cliquez sur Next:
Acceptez la licence d’utilisation:
Choisissez les rôles à installer. Dans mon cas, j’installe tous les rôles sur le même serveur que WAP. Il est tout à fait possible d’éclater les rôles sur 4,3 ou 2 serveurs différents:
L’installation est terminée, vous pouvez fermer l’assistant d’installation:
Déplacez vous dans le dossier où vous avez installer le site qui contient l’API, par défaut C:\inetpub\MgmtSvc-CloudAssertBilling et éditez le fichier Web.config. C’est dans ce fichier que nous allons modifier le mot de passe admin qui nous permettra de se connecter à l’interface CloudAssertBilling.
Ici, vous pouvez changer le mot de passe par défaut pour le compte admin. Vous pouvez également changer le nom du compte admin. Sauvegardez:
Il est maintenant temps d’enregistrer le portail CloudAssertBilling dans l’onglet qui est apparu dans la partie Admin de WAP. Cliquez sur le lien qui se trouve dans l’onglet QuickStart :
Ici, fournissez l’URL qui permet de se connecter au site qui contient l’API, ainsi que le nom d’utilisateur et le mot de passe configurés plus tôt:
L’enregistrement s’est bien déroulé:
Configurez maintenant la base de données:
Choisissez d’activer ou non la possibilité pour les tenants de créer des règles pour l’envoie de mails:
Configurons maintenant le service qui tournera sur le serveur WAP. Allez dans C:\Program Files\CloudAssertBilling\CloudAssert.WAP.Billing.AgentService et ouvrez le fichier CloudAssert.WAP.Billing.AgentService.exe.config:
Modifiez les 2 connectionString DefaultConnection et WapMembershipDatabase avec les informations qui permettront de se connecter aux différents base de données. Modifiez également les parties suivantes (XXX correspond à toutes les clés):
Les droits que doivent avoir les différents comptes:
Attention, pour la partie WAPAdminUserDomain, remplissez avec le domaine sans son extension. Par exemple, pour contoso.com, renseignez juste contoso. Sinon vous aurez des erreurs comme quoi le service ne peut pas se connecter à l’API Admin dans le journal d’évènement.
Quand ceci est terminé, démarrez le service CloudAssert Billing Agent avec la commance net start billingagentservice:
Vérifiez que le journal d’évènement ne contient pas d’erreur (CloudAssert-WAP-Billing).
Il est maintenant temps de commencer la configuration des profils, que nous associerons par la suite à nos plans. Commencez par dupliquer le profil par défaut:
Modifiez le pour l’adapter à votre environnement:
Vous pouvez modifiez le prix des différentes unités. Attention, par exemple, pour SQLSERVERS, si votre group s’appelle CLOUD, vous devez modifier la valeur du service qui est default par CLOUD (dans mon cas, Tenant):
Maintenant, modifiez un plan et ajoutez lui le service CloudAssertBilling. Configurez le avec le bon profil:
NOTE: Au moment de l’écriture de cet article, un bug existe au niveau de l’association du profil. Seul le profil défaut fonctionne.
Une fois ceci terminé, vous pouvez vous rendre sur la partie tenant. Vous devriez voir un nouvel onglet, Usage and Billing. Cliquez dessus pour y accéder:
Vous pouvez avoir des graphique de votre consommation:
Si vous voulez choisir la facturation d’une autre souscription, c’est tout à fait possible:
Si vous souhaitez avoir le détail de la facturation, c’est possible en cliquant en bas sur Download Usage. Un fichier CSV sera alors téléchargé:
Vous pouvez avoir une vue plus global et sur plus long terme dans la partie Usage History. Dans la partie Notifications, vous pourrez créer une alerte pour vous envoyer un mail quand votre crédit est passé en dessous d’un certain seuil:
Voici pour la présentation de ce produit, qui à selon moi, pas mal de capacité et est prometteur pour la suite.
Je viens de créer un VMRole qui vous permettra d’ajouter un nouveau contrôleur de domaine sous Windows Server 2012 R2 à votre forêt actuelle. J’ai également ajouté la possibilité de choisir la langue de son clavier et des paramètres régionaux.
Voici les modifications que j’ai effectué par rapport au rôle de base:
Vous pouvez télécharger ce VMRole ici : https://gallery.technet.microsoft.com/VMRole-Additional-Domain-b10d557e
N’hésitez pas à me contacter si vous avez des remarques/améliorations.
Si après avoir mis à jour votre Data Protection Manager 2012 R2 vers l’UR5 vous rencontrez des crash de la console et même des commandlet PowerShell, Microsoft est au courant et à sorti un patch pour corriger ce problème. En effet, beaucoup de personnes se plaignaient de ce problème sur les forum TechNet.
Ce KB, numéroté 45914, peut être téléchargé à l’adresse suivante:
https://www.microsoft.com/en-us/download/details.aspx?id=45914
Seul prérequis pour installer ce patch, vous l’aurez compris, c’est d’être en UR5.
Je viens de modifier le VMRole Exchange Server 2013 fourni par l’équipe Building Cloudsde Microsoft pour l’adapter au SP1 et Windows Server 2012 R2. J’ai également ajouté la possibilité de choisir sa taille de mailbox par défaut (en MB) et de l’appliquer à toutes les mailbox de la base de données. Il est également possible de choisir la langue de son clavier et des paramètres régionaux.
Vous pouvez télécharger ce VMRole ici : https://gallery.technet.microsoft.com/VMRole-Exchange-Server-18cf3c18
En parcourant le journal d’évènement de mon serveur WAP qui contient l’interface Admin, je suis tombé sur l’évènement 165, de type Warning dans le journal MgmtSvc-Usage. Je l’ai également retrouvé dans MgmtSvc-TenantAPI. Cette évènement nous signal que la validation du certificat n’est pas effectué:
En faisant un Get-MgmtSvcSetting, je me suis effectivement que les valeurs de DisableSslCertValidation étaient à True. Ayant des certificats valides sur tous mes sites, j’ai exécutez le script suivant:
Set-MgmtSvcSetting -Namespace "UsageCollector" -Name "DisableSslCertValidation" -Value FalseSet-MgmtSvcSetting -Namespace "TenantApi" -Name "DisableSslCertValidation" -Value FalseSet-MgmtSvcSetting -Namespace "AdminApi" -Name "DisableSslCertValidation" -Value FalseSet-MgmtSvcSetting -Namespace "AdminSite" -Name "DisableCertificateValidation" -Value False
J’ai ensuite fait Get-MgmtSvcSetting, et cette fois-ci les valeur étaient à False.
J’ai fait de même pour la partie Tenant:
Set-MgmtSvcSetting -Namespace "TenantPublicApi" -Name "DisableSslCertValidation" -Value FalseSet-MgmtSvcSetting -Namespace "TenantSite" -Name "DisableCertificateValidation" -Value False
Et depuis, plus de message d’erreur dans le journal d’évènement.
Aujourd’hui, j’ai eu l’erreur suivante au moment d’associer un group SQL Server à un plan:
One or more errors occurred while contacting the underlying resource providers. The operation may be partially completed. Details: An error occurred while sending the request.
Je suis allé voir dans le journal d’évènement, dans la partie MgmtSvc-AdminAPI, et j’ai pu voir les 2 évènements suivants (160 et 12):
Event id 160Unexpected exception for operation 'Fanout', version '', client request Id '', server request Id '', exception 'System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: Unable to connect to the remote server ---> System.Net.Sockets.SocketException: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond 172.X.X.X:30010 at System.Net.Sockets.Socket.EndConnect(IAsyncResult asyncResult) at System.Net.ServicePoint.ConnectSocketInternal(Boolean connectFailure, Socket s4, Socket s6, Socket& socket, IPAddress& address, ConnectSocketState state, IAsyncResult asyncResult, Exception& exception) --- End of inner exception stack trace --- at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) at System.Net.Http.HttpClientHandler.GetResponseCallback(IAsyncResult ar) --- End of inner exception stack trace --- at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) at Microsoft.WindowsAzure.Server.Management.Core.RequestSenderExtensions.<SendRequestAsync>d__1b.MoveNext()'.
Event ID 12Error:HttpStatusCode: InternalServerError, ErrorCode: ErrorFromUnderlyingResourceProviders, ClientErrorMessage:One or more errors occurred while contacting the underlying resource providers. The operation may be partially completed. ---> Microsoft.WindowsAzure.Server.Management.Core.ManagementServiceException: One or more errors occurred while contacting the underlying resource providers. The operation may be partially completed. Details: An error occurred while sending the request. at Microsoft.WindowsAzure.Server.Management.Core.QuotaManager.ThrowFanoutException(ResourceProviderException resourceProviderException) at Microsoft.WindowsAzure.Server.Management.Core.QuotaManager.<AddServiceToPlanAsync>d__fd.MoveNext()--- End of stack trace from previous location where exception was thrown --- at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) at Microsoft.WindowsAzure.Server.AdminManagement.Service.Controllers.PlanServicesController.<AddServiceToPlan>d__0.MoveNext() <---, operationName:, version:, accept language:, subscription Id:, client request Id:, principal Id:, page request Id:, server request id:
Ayant changé les Resources Providers de SQL Server pour les faire pointer vers une VIP, je suis allé voir de ce côté la. Et je me suis aperçu que la SQLServerClient dans la colonne TenantUsername ne correspondait pas à la VIP mais à un seul et unique serveur. De même pour la colonne UsageUsername:
J’ai alors modifié ces 2 lignes par l’URL de la VIP.
J’ai pu ajouté mon groupe SQL à mon plan sans erreur.
L’équipe de Cloud Assert vient d’annoncer la mise à disposition d’un nouvel outil de facturation pour Windows Azure Pack. Ce produit vient se placer en tant que concurrent direct de Cloud Cruiser.
Voici un aperçu rapide de l’interface d’administration:
Ci-dessous, ce que peut voir votre client depuis son interface de management:
La version d’essaie du produit peut être téléchargée ici : https://www.cloudassert.com/LinkClick.aspx?link=%2fSolutions%2fUsage%23usageRegistration&tabid=100&portalid=0&mid=481
L’article d’annonce officiel peut être lu ici : https://www.cloudassert.com/Blogs/announcing-usage-and-billing-52809
Et ici avec plus de détail sur le modèle utilisé : https://www.cloudassert.com/Solutions/Usage
Je ferai prochainement un article sur l’installation et la configuration de ce produit.