Team Access Control est disponible pour Windows Azure Pack. Ce plugin va vous permettre de pouvoir donner le choix à vos clients de définirs les permissions…Le produit est disponible ici : http://www.terawe.com/tac4wapack

TAC n’est pas disponible au téléchargement. Vous pouvez simplement l’installer depuis le Web Platform Installer. Seulement, vous ne pourrez pas spliter les rôles en passant par le WebPi. le meilleur moyen est donc de télécharger l’installeur, via la commande suivante:

webpicmd.exe /offline /Products:TAC_WAP_Extensions /Path:C:\Temp

Allez ensuite dans le dossier que vous avez donné pour récupérer l’exécutable:

Lancez l’installeur sur votre serveur qui contient la partie administration:

Acceptez la licence:

 
Suivant le type de déploiement que vous avez, choisissez les composants à installer. Pour ma part, sur le 1er serveur j’installerai la partie Admin/API et sur le 2ème serveur la partie Tenant:

 
Cliquez sur Install:

 
L’installation est maintenant terminée:

 
Un nouveau site web est apparu dans IIS:

 
Une fois l’installation sur le 2ème serveur terminée, nous pouvons commencer la configuration. Pour commencer, nous avons besoin de générer un mot de passe aléatoire ainsi qu’une clé de chiffrement. Exécutez la commande suivante sur le serveur qui contient le service API:

cd %ProgramFiles%
cd Terawe\TAC4WAPack\bin
TACConfig.exe -action:genkeys

Maintenant qu’on a les bons mot de passes pour chaque compte, on va pouvoir configurer le service. Utilisez la commande suivante pour effectuer la configuration:

.\TACConfig.exe -action:install -path:C:\inetpub\TAC4WAPack\Web.Config -apiusername:TACApiClient -tenantpublicapiurl:https://devo-wap02.devoteam.lab:30006 -sqlserver:DEVO-SQL01\INST_WAP -dbuserpwd:dbuserpasswd -apiuserpwd:apipasswd -encryptkey:encrytionkey

Vous pouvez modifier le nom de l’utilisateur si vous le souhaitez. La base de données a bien été créée:

 
Allez maintenant sur votre administration de WAP, dans la partie Team Access Control. Nous allons connecter l’API.

Donnez l’url du service API ainsi que l’utilisateur et le mot de passe associé:

 
L’API est maintenant enregistré:

Vous pouvez ajouter le service Team Manager à un plan:

Vous pouvez choisir de limiter ou non le nombre de team par suscription et de membre par team:

 
Créez un plan pour les membres. Pour ma part, il se nomme GOLD – Team member, je l’ai associé au service Team member et est public:

 
Allez maintenant sur votre portail. Vous devriez avoir le Team Manager:

 
Avant de créer une Team, téléchargez le fichier de configuration, via https://tenant.votresite.com/publishsettings et importez le dans le Team Manager > Management Certificates. Si vous n’effectuez pas cette étape, vos membres ne pourront effectuer aucune actions:

 
Maintenant, créez une Team:

 
Vous allez pouvoir voir ce que consomme chaque team et y ajouter des quotas. Ajoutons des membres dedans (le champ member id correspond à l’adresse mail de la personne enregistré):

Vous pouvez modifier les rôles et les quotas pour cet utilisateur:

 
En cliquant sur usage, vous allez pouvoir voir ce que l’utilisateur consomme:

 
Pour avoir l’utilisation global de la team, allez sur Usage:

 
Dans le suivi de la suscription, il est possible de voir combien de membres sont associés à la souscription et combien de team ont été créées:

 
Connectez vous maintenant avec le deuxième utilisateur. Vous ne devriez voir que le ressource provider Team Member:

Je vais maintenant créer une nouvelle VM via ce compte:

La VM est maintenant créée et je peux me connecter dessus:

Je peux également déployer des VMs depuis le compte administrateur et les attribuer à une Team en allant dans Team Manager > Virtual Machines > Assign Team:

 
Il est aussi possible d’assigner cette VM a un membre de la team:

 
On peut ensuite assigner des rôles. Pour faire ceci, il faut créer un rôles:

 
Une fois le rôle créé, il faut l’assigner à un ou des utilisateurs:

 
Et ensuite donner les permissions du rôle à une VM:

 
Dans l’interface Membre, on voit donc la VM qui nous a été assignée avec les différentes permissions assignées au rôle IT:

 
Enfin, on peut suivre la consommation des ressources par rapport à notre quota:

 
Vous l’aurez donc compris, ce plugin va vous permettre de donner à vos clients la possibilité de mieux gérer les permissions et de ne pas mettre tout le monde co-administrateurs.

Aujourd’hui j’ai eu un problème lors de la reconfiguration de mon WebSite Clouds dans Windows Azure Pack.

Au moment de la reconfiguration, je me suis retrouvé avec les messages d’erreurs suivants:

• Date: 3/20/2015 10:51:38 AM, Level: Error, Server DEVO-WEB-MGT01, Message: Failed to run operation 'CheckCloudId (7.9.10699.3)'. Operation failed to complete. Server DEVO-WEB-MGT01 does not belong to web farm ManagementServers with cloud ID C7452E7F-46C1-4080-942A-2E50F5D0E7E9, therefore no further operation will be performed.
• Date: 3/20/2015 10:51:38 AM, Level: Error, Server DEVO-WEB-MGT01, Message: Failed to run operation 'AddServer'. Operation failed to complete. Server DEVO-WEB-MGT01 does not belong to web farm ManagementServers with cloud ID C7452E7F-46C1-4080-942A-2E50F5D0E7E9, therefore no further operation will be performed.

En fait, lors de la reconfiguration, le Cloud ID change, sauf qu’il ne peut pas réécrire dans les clés de registre des serveurs qui sont déjà déployés.

La solution est donc de supprimer la clé CloudId qui se trouve dans HKLM > SOFTWARE > Microsoft > IIS Extensions > WebFarmAgent sur les serveurs suivants:

• Management Server
• FrontEnd
• Web Server
• File Server
• Publisher Server

Vous pouvez maintenant relancer la configuration de WAP ou allez dans la console IIS et faire une réparation de tous les serveurs:

Aujourd’hui, je vais vous montrer comment créer une vue dynamique basé sur une clé de registre particulière. Par dynamique, j’entend le fait que la vue se modifiera de façon automatique, si la clé de registre défini existe. J’avais déjà écrit un article à propos des groupes dynamiques, mais par rapport à un service bien spécifique (lien ici).

Tout d’abord, définissez la clé de registre qui doit être présente sur le serveur. Dans mon cas, ce sera la clé pour savoir si un serveur a le rôle cluster installé: HKLM > Cluster

Dans la console SCOM allez dans Authoring > Management Pack Objects > Attributes et faites Create a New Attribute. Donnez un nom à votre attribut:

Dans le type de découverte, choisissez Registry. Dans la partie cible, choisissez Windows Computer et choisissez le management pack où sera stocké cet attribut :

Dans la fenêtre suivante, choisissez si vous souhaitez vérifier la présence d’une clé ou d’une valeur. Indiquez le chemin vers votre clé.
La fréquence indique la fréquence d’exécution de cette règle, dans mon cas, 1 fois par jour:

 
Maintenant, créez une vue de type State. Donnez un nom à cette vue et ciblez les serveurs qui sont de la classe que vous avez sélectionnez précédemment, dans mon cas, Windows Computer_Extended. Choisissez ensuite d’afficher que les serveurs qui ont la clé  Cluster et donc, la valeur true doit être retournée:

 
La découverte des objets s’effectuera dans les 24h. Si vous ne souhaitez pas attendre, redémarrez le service sur les serveurs en questions ou baissez le temps de découverte:

Par défaut, certains resources provider sont créés. Dans mon cas, le resource provider de mysqlservers n’existait pas dans la facturation.

Pour le rajouter, allez dans le portail d’administration de WAP, et modifiez votre profile. Cliquez sur Add:

Et remplissez comme ceci:

• Provider Name: mysqlservers
• Service Type: Correspond au groupe qui contient votre serveur MySQL
• Metered Resource Name: DatabaseCount
• Resource Display Name: Ce que vous souhaitez
• Monthly Unit Price: Ce que vous souhaitez
• Unit Display Name: Hours
• Is Collection Enabled: Yes

Et sur la 2ème page:

• Unit Multiplier: 1
• Monthly Crédits (UNITS): 0
• Record Type: TimeRange_Continuous_Usage
• Region: Default

Sauvegardez et faites de même, avec les valeur suivante:

• Provider Name: mysqlservers
• Service Type: Correspond au groupe qui contient votre serveur MySQL
• Metered Resource Name: TotalAllottedSpace
• Resource Display Name: Ce que vous souhaitez
• Monthly Unit Price: Ce que vous souhaitez
• Unit Display Name: MB Hours
• Is Collection Enabled: Yes
• Unit Multiplier: 1
• Monthly Crédits (UNITS): 0
• Record Type: TimeRange_Continuous_Usage
• Region: Default

Redémarrez le service BillingAgentService, et, après quelques minutes vous pouvez rechargez votre page Tenant et voir que la partie MySQL est apparue:

En naviguant sur le forum Technet aujourd’hui, je suis tombé sur un poste où la personne souhaitait utiliser le SMTP de Office 365 pour envoyer les alertes.

Après avoir cherché sur Internet, je me suis aperçu qu’il fallait passer par un SMTP Relay pour pouvoir envoyer les emails via Office 365 et le lier à SCOM. Je suis tombé sur ce lien Technet qui explique les grandes lignes de la configuration du SMTP Relay. Je vais vous expliquer de A à Z aujourd’hui comment mettre en place cette solution.

Dans un premier temps, choisissez un serveur qui aura le rôle de relai SMTP. J’ai choisi pour ma part le serveur SCOM. Installer la feature SMTP Server ainsi que ses dépendances:

Une fois l’installation terminée, ouvrez la console IIS 6:

 
Une fois ouverte, ouvrez les propriétés du serveur SMTP virtuel:

 
Allez dans l’onglet Access et ouvrez la partie Authentication:

 
Cochez Anonymous et Integrated Windows Authentication:

 
Ouvrez maintenant la partie Connection:

 
Insérez l’IP local de votre serveur SMTP et l’IP de votre ou vos serveurs SCOM:

Ouvrez la partie Relay:

Donnez l’autorisation à votre serveur SCOM de pouvoir utiliser ce SMTP:

Cliquez sur Apply et passez à l’onglet Delivery. Ici, cliquez sur Outbound Security:

 
Renseignez l’adresse mail qui va être utilisé pour se connecter à Office 365. Une souscription est requise pour ce compte. N’oubliez pas de cocher la case TLS encryption:

 
Cliquez maintenant sur Outbound connections:

Changez le port TCP par 587, le port du SMTP de Office 365:

  
Cliquez maintenant sur Advanced:

Dans smart host, renseignez le serveur SMTP de Office 365, smtp.office365.com. Vérifiez bien que la ligne Attempt direct Delivery before sending to smart host est décochée:

Fermez la fenêtre et cliquez sur Apply et OK. Nous allons maintenant enregistrer le domaine de notre adresse email, pour pouvoir envoyer des emails sans problèmes. Allez dans Domains et cliquez sur New > Domain:

Choisissiez Remote et cliquez sur Next:

 
Renseignez votre domaine et cliquez sur Finish:

Ouvrez les propriétés de ce domaine. Cliquez sur Outbound Security:

Choisissez l’authentification basic et renseignez l’adresse mail, comme fait précédemment et cochez TLS encryption:

Renseignez de nouveau le serveur smart host:

Redémarrez le site web SMTP Virtual ainsi que le service SMTPSVC (net stop SMTPSVC && net start SMTPSVC). Vous pouvez maintenant configurer votre channel SMTP dans SCOM en faisant pointer le connecteur sur votre serveur SMTP Relay. N’oubliez que l’authentification anonyme a été activée plus tôt et que donc, vous pouvez l’utiliser ici. Utilisez également comme Return Address l’adresse utilisée pour le SMTP Relay:

Créez maintenant des suscriptions. Vous devriez maintenant recevoir les emails de SCOM, via le SMTP de Office 365:

Si vous avez des questions, n’hésitez pas :-)

Après vous avoir parlé de la mise à disposition de l’outil de facturation de Cloud Assert, je vais maintenant parler de l’installation et de la configuration de ce dernier.

Après vous être enregistré, vous avez eu la possibilité de télécharger l’installeur et la documentation. Plusieurs scénarios d’installation existent. Pour ma part, je vais installer tous les rôles sur la VM qui héberge Windows Azure Pack. Assurez vous d’avoir également une instance SQL pour héberger la base de données. Lancez l’exécutable CloudAssert.WAP.Billing.Setup.msi sur le serveur où vous souhaitez installer l’outil de facturation et cliquez sur Next:

Acceptez la licence d’utilisation:

Choisissez les rôles à installer. Dans mon cas, j’installe tous les rôles sur le même serveur que WAP. Il est tout à fait possible d’éclater les rôles sur 4,3 ou 2 serveurs différents:

Cliquez sur Install:

L’installation est terminée, vous pouvez fermer l’assistant d’installation:

Déplacez vous dans le dossier où vous avez installer le site qui contient l’API, par défaut C:\inetpub\MgmtSvc-CloudAssertBilling et éditez le fichier Web.config. C’est dans ce fichier que nous allons modifier le mot de passe admin qui nous permettra de se connecter à l’interface CloudAssertBilling.

Ici, vous pouvez changer le mot de passe par défaut pour le compte admin. Vous pouvez également changer le nom du compte admin. Sauvegardez:

Il est maintenant temps d’enregistrer le portail CloudAssertBilling dans l’onglet qui est apparu dans la partie Admin de WAP. Cliquez sur le lien qui se trouve dans l’onglet QuickStart :

Ici, fournissez l’URL qui permet de se connecter au site qui contient l’API, ainsi que le nom d’utilisateur et le mot de passe configurés plus tôt:

L’enregistrement s’est bien déroulé:

Configurez maintenant la base de données:

 
Choisissez d’activer ou non la possibilité pour les tenants de créer des règles pour l’envoie de mails:

Configurons maintenant le service qui tournera sur le serveur WAP. Allez dans C:\Program Files\CloudAssertBilling\CloudAssert.WAP.Billing.AgentService et ouvrez le fichier CloudAssert.WAP.Billing.AgentService.exe.config:

Modifiez les 2 connectionString DefaultConnection et WapMembershipDatabase avec les informations qui permettront de se connecter aux différents base de données. Modifiez également les parties suivantes (XXX correspond à toutes les clés):

• WAPAdminXXX
• UsageProcessorXXX
• CloudAssertBillingApiXXX
• NotificationsXXX
• WHMCSXXX (si vous avez un système de facturation)

Les droits que doivent avoir les différents comptes:

• WAPAdmin => Administrateur de Windows Azure Pack
• Usage Processor => Compte qui est associé au namespace UsageService (Get-MgmtSvcSetting -Namespace UsageService)
• CloudAssertBillingApi => Compte configuré dans le web.config du site CloudAssertBilling

Attention, pour la partie WAPAdminUserDomain, remplissez avec le domaine sans son extension. Par exemple, pour contoso.com, renseignez juste contoso. Sinon vous aurez des erreurs comme quoi le service ne peut pas se connecter à l’API Admin dans le journal d’évènement.

Quand ceci est terminé, démarrez le service CloudAssert Billing Agent avec la commance net start billingagentservice:

Vérifiez que le journal d’évènement ne contient pas d’erreur (CloudAssert-WAP-Billing).

Il est maintenant temps de commencer la configuration des profils, que nous associerons par la suite à nos plans. Commencez par dupliquer le profil par défaut:

Modifiez le pour l’adapter à votre environnement:

Vous pouvez modifiez le prix des différentes unités. Attention, par exemple, pour SQLSERVERS, si votre group s’appelle CLOUD, vous devez modifier la valeur du service qui est default par CLOUD (dans mon cas, Tenant):

 
Maintenant, modifiez un plan et ajoutez lui le service CloudAssertBilling. Configurez le avec le bon profil:

 
NOTE: Au moment de l’écriture de cet article, un bug existe au niveau de l’association du profil. Seul le profil défaut fonctionne.

Une fois ceci terminé, vous pouvez vous rendre sur la partie tenant. Vous devriez voir un nouvel onglet, Usage and Billing. Cliquez dessus pour y accéder:

Vous pouvez avoir des graphique de votre consommation:

 
Si vous voulez choisir la facturation d’une autre souscription, c’est tout à fait possible:

Si vous souhaitez avoir le détail de la facturation, c’est possible en cliquant en bas sur Download Usage. Un fichier CSV sera alors téléchargé:

Vous pouvez avoir une vue plus global et sur plus long terme dans la partie Usage History. Dans la partie Notifications, vous pourrez créer une alerte pour vous envoyer un mail quand votre crédit est passé en dessous d’un certain seuil:

 
Voici pour la présentation de ce produit, qui à selon moi, pas mal de capacité et est prometteur pour la suite.

Je viens de créer un VMRole qui vous permettra d’ajouter un nouveau contrôleur de domaine sous Windows Server 2012 R2 à votre forêt actuelle. J’ai également ajouté la possibilité de choisir la langue de son clavier et des paramètres régionaux.

Voici les modifications que j’ai effectué par rapport au rôle de base:

• Possibilité de définir le nouveau serveur comme global catalog
• Possibilité de définir le nouveau serveur comme serveur DNS
• Possibilité de choisir la langue (fr-BE, nl-BE et en-US, possibilité d’en ajouter d’autres)
  

Vous pouvez télécharger ce VMRole ici : https://gallery.technet.microsoft.com/VMRole-Additional-Domain-b10d557e

N’hésitez pas à me contacter si vous avez des remarques/améliorations.

Si après avoir mis à jour votre Data Protection Manager 2012 R2 vers l’UR5 vous rencontrez des crash de la console et même des commandlet PowerShell, Microsoft est au courant et à sorti un patch pour corriger ce problème. En effet, beaucoup de personnes se plaignaient de ce problème sur les forum TechNet.

Ce KB, numéroté 45914, peut être téléchargé à l’adresse suivante:

https://www.microsoft.com/en-us/download/details.aspx?id=45914

Seul prérequis pour installer ce patch, vous l’aurez compris, c’est d’être en UR5.

Je viens de modifier le VMRole Exchange Server 2013 fourni par l’équipe Building Cloudsde Microsoft pour l’adapter au SP1 et Windows Server 2012 R2. J’ai également ajouté la possibilité de choisir sa taille de mailbox par défaut (en MB) et de l’appliquer à toutes les mailbox de la base de données. Il est également possible de choisir la langue de son clavier et des paramètres régionaux.

Voici les modifications que j’ai effectué par rapport au rôle de base:

• Installation des nouveaux prérequis
• Mise à jour des prérequis à télécharger
• Mise à jour vers Windows Server 2012 R2
• Ajout du choix de la taille des mailbox par défaut
• Ajout du choix de la langue (fr-BE, nl-BE et en-US, possibilité d’en ajouter d’autres)

Vous pouvez télécharger ce VMRole ici : https://gallery.technet.microsoft.com/VMRole-Exchange-Server-18cf3c18

N’hésitez pas à me contacter si vous avez des remarques/améliorations.

En parcourant le journal d’évènement de mon serveur WAP qui contient l’interface Admin, je suis tombé sur l’évènement 165, de type Warning dans le journal MgmtSvc-Usage. Je l’ai également retrouvé dans MgmtSvc-TenantAPI. Cette évènement nous signal que la validation du certificat n’est pas effectué:

En faisant un Get-MgmtSvcSetting, je me suis effectivement que les valeurs de DisableSslCertValidation étaient à True. Ayant des certificats valides sur tous mes sites, j’ai exécutez le script suivant:

Set-MgmtSvcSetting -Namespace "UsageCollector" -Name "DisableSslCertValidation" -Value False
Set-MgmtSvcSetting -Namespace "TenantApi" -Name "DisableSslCertValidation" -Value False
Set-MgmtSvcSetting -Namespace "AdminApi" -Name "DisableSslCertValidation" -Value False
Set-MgmtSvcSetting -Namespace "AdminSite" -Name "DisableCertificateValidation" -Value False

J’ai ensuite fait Get-MgmtSvcSetting, et cette fois-ci les valeur étaient à False.

J’ai fait de même pour la partie Tenant:

Set-MgmtSvcSetting -Namespace "TenantPublicApi" -Name "DisableSslCertValidation" -Value False
Set-MgmtSvcSetting -Namespace "TenantSite" -Name "DisableCertificateValidation" -Value False

Et depuis, plus de message d’erreur dans le journal d’évènement.

Aujourd’hui, j’ai eu l’erreur suivante au moment d’associer un group SQL Server à un plan:

One or more errors occurred while contacting the underlying resource providers. The operation may be partially completed. Details: An error occurred while sending the request.

Je suis allé voir dans le journal d’évènement, dans la partie MgmtSvc-AdminAPI, et j’ai pu voir les 2 évènements suivants (160 et 12):

Event id 160
Unexpected exception for operation 'Fanout', version '', client request Id '', server request Id '', exception 'System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: Unable to connect to the remote server ---> System.Net.Sockets.SocketException: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond 172.X.X.X:30010
   at System.Net.Sockets.Socket.EndConnect(IAsyncResult asyncResult)
   at System.Net.ServicePoint.ConnectSocketInternal(Boolean connectFailure, Socket s4, Socket s6, Socket& socket, IPAddress& address, ConnectSocketState state, IAsyncResult asyncResult, Exception& exception)
   --- End of inner exception stack trace ---
   at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)
   at System.Net.Http.HttpClientHandler.GetResponseCallback(IAsyncResult ar)
   --- End of inner exception stack trace ---
   at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at Microsoft.WindowsAzure.Server.Management.Core.RequestSenderExtensions.<SendRequestAsync>d__1b.MoveNext()'.

Event ID 12
Error:
HttpStatusCode: InternalServerError, ErrorCode: ErrorFromUnderlyingResourceProviders, ClientErrorMessage:One or more errors occurred while contacting the underlying resource providers. The operation may be partially completed.
--->
Microsoft.WindowsAzure.Server.Management.Core.ManagementServiceException: One or more errors occurred while contacting the underlying resource providers. The operation may be partially completed. Details: An error occurred while sending the request.
   at Microsoft.WindowsAzure.Server.Management.Core.QuotaManager.ThrowFanoutException(ResourceProviderException resourceProviderException)
   at Microsoft.WindowsAzure.Server.Management.Core.QuotaManager.<AddServiceToPlanAsync>d__fd.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at Microsoft.WindowsAzure.Server.AdminManagement.Service.Controllers.PlanServicesController.<AddServiceToPlan>d__0.MoveNext()
<---
, operationName:, version:, accept language:, subscription Id:, client request Id:, principal Id:, page request Id:, server request id:

Ayant changé les Resources Providers de SQL Server pour les faire pointer vers une VIP, je suis allé voir de ce côté la. Et je me suis aperçu que la SQLServerClient dans la colonne TenantUsername ne correspondait pas à la VIP mais à un seul et unique serveur. De même pour la colonne UsageUsername:

J’ai alors modifié ces 2 lignes par l’URL de la VIP.

J’ai pu ajouté mon groupe SQL à mon plan sans erreur.

L’équipe de Cloud Assert vient d’annoncer la mise à disposition d’un nouvel outil de facturation pour Windows Azure Pack. Ce produit vient se placer en tant que concurrent direct de Cloud Cruiser.

Voici un aperçu rapide de l’interface d’administration:

Ci-dessous, ce que peut voir votre client depuis son interface de management:

La version d’essaie du produit peut être téléchargée ici : https://www.cloudassert.com/LinkClick.aspx?link=%2fSolutions%2fUsage%23usageRegistration&tabid=100&portalid=0&mid=481

L’article d’annonce officiel peut être lu ici : https://www.cloudassert.com/Blogs/announcing-usage-and-billing-52809

Et ici avec plus de détail sur le modèle utilisé : https://www.cloudassert.com/Solutions/Usage

Je ferai prochainement un article sur l’installation et la configuration de ce produit.