Querid@s amig@s del blog de Encora, bienvenid@s a un nuevo post sobre Azure. Soy Nacho Bellido y os voy a hablar sobre Azure files. Os comentaré la integración con un AD y posteriormente con Azure AD y AD DS.
Tendréis más información de todo esto en el post que está escribiendo mi compañero Raúl Mimó que es nuestro especialista en entornos Microsoft.
Índice de artículos sobre Azure
Los compañeros del Encora Team estamos escribiendo una serie de posts sobre la tecnología Azure que tanto nos pedís los clientes y amigos de Encora:
- Azure desde Cero. Ir al artículo.
- Azure AD. Ir al artículo.
- Azure Files. Ese artículo.
- ADConnect, Ir al artículo.
- Azure y las zonas geográficas.
- Panel de Azure, apartados y configuración.
- Creación del entorno de red (firewall, redes, security groups, peering…).
- Tipos de almacenamiento.
- Máquinas virtuales (tipos, instancias reservadas, redes, discos…).
- Servicios de BBDD.
- Servicios Web Apps.
- Conexión entre sites (Azure-Azure-Onpremise).
- Monitorización y alertas.
- Copia de seguridad.
- Migración de cargas de trabajo.
- Disaster Recovery.
Si echáis en falta alguna tecnología de Microsoft Azure decidnos y la incorporaremos.
¡¡¡Venga, vamos al lío con Azure Files!!!
¿Qué es Azure Files?
Azure Files es un servicio de Azure que unifica el espacio en disco y el rol de servidor de ficheros, con lo que no necesitamos conectar un disco a un servidor para hacer un recurso de red.
Creación de la VM para Azure Files
Antes de empezar con Azure Files, es muy importante tener bien organizado nuestro entorno, así que nos creamos un nuevo grupo de recursos, para no afectar al resto de servicios que tengamos corriendo en el Tenant de Azure.
Aunque parece un poco obvio, lo mejor es seguir una nomenclatura que sea descriptiva. No penséis en que ahora mismo es un grupo y poco mas, pensad en unos meses/años …
Así que lo mejor, las dos primeras letras que identifiquen qué es. En este caso RG de Resource Group. Después yo le añado iniciales, somos varios compañeros y así sabemos de quien es cada cosa, así que NB de Nacho Bellido. Por ultimo a que se dedica el recurso que en este caso es para la serie de Post sobre Azure. De modo que lo dejo creado con el nombre RG-NB-PostAzure y ya puedo ir metiendo dentro todo lo que quiera.

La idea que tenemos es crear un entorno de Azure files en el que tener los ficheros y lo queremos presentar por SMB3. Por buenas prácticas le queremos dar un poco de seguridad y no compartir el recurso con un full hasta la cocina no??.
Así que vamos a hacerlo con validación de Directorio Activo. En nuestro caso en este tenant ya tenemos el AD en office 365, así que parte del proceso no lo podremos ver, pero es algo muy sencillo, pero mi compañero Raúl lo tratara en sus post sobre Azure AD, AD Connect…
Creación de red virtual en Azure Files
Creamos una red virtual para poder alojar el proyecto. Mi compañero Eric Ros hablará ámpliamente sobre temas de seguridad y redes en Microsoft Azure.
De momento creamos una Red Virtual.

¿Qué es AD Domain Services?
Para continuar tenemos que crear AD Domain Services, más conocido como AD DS. Antes de crearlo, una breve explicación:
Por resumir mucho AD DS es la herramienta que nos elimina la necesidad de tener que montar controladores de dominio, ya que con este servicio tenemos las mismas funcionalidades que con los controladores tradicionales.

El objetivo es poder tener máquinas en el dominio (crearemos una VM para la gestión del AD), validación, permisos…
Así que sin mas, vamos al Marketplace y buscamos los domain services y lo creamos.

Dentro del proceso de creación, nos da esta advertencia que es importante de cara al resto de máquinas que estarán en la red y es que se va a crear un grupo de seguridad asociado a la red de AD DS.

Un grupo de seguridad no es más que un recurso súper útil sobre el que podemos aplicar políticas para que se apliquen de forma global a todos los recursos que están dentro.
Seguimos con el proceso y le damos a crear.

Una advertencia, sobre características que no pueden ser cambiadas mas adelante:

TIP: Lentitud en zonas de Azure
Cuando estaba escribiendo este post, la zona de Oeste de Europa, estaba un poco colapsada, así que la creación y replicación del AD DS tardaba bastante mas de lo habitual.
Solo es tener un poco de paciencia, realmente no te detiene al 100% ya que he ido creando el resto de los objetos necesarios. Tened en cuenta que hasta que no ponga running y todo en verde, mejor no tocar nada relativo al AD.
Una vez aceptado se inicia el proceso de creación.

Una vez implementado el AD DS, lo primero será hacer un update de las DNS, de forma que todas las maquinas de la red puedan alcanzar el dominio sin ningún problema: es súper sencillo.
Le damos al botón de configure y listo. Importante: No lo hagáis directamente sobre la maquina virtual, porque se vuelve un poco loca… Os lo dice uno que lo hizo a la “antigua”.

Creación de VM con Windows Server 2016
En paralelo, podemos ir creando una nueva máquina para un Windows server 2016. La usaremos para gestionar el dominio y para los permisos NTFS del Azure Files. Así que como será una máquina que tenga poco trabajo, vamos a la mas barata de las que podemos usar, una Standard F2s_v2.
En nuestro caso activamos la opción para indicar que ya tenemos la licencia del sistema operativo

Sino la tenéis lo que hace, es que dentro del pago por uso mensual, os añade el coste de la licencia.
Seleccionamos el disco básico

Elegimos la red:

TIP: Atentos al tema de las redes que después no te va a dejar cambiar (de forma fácil) la máquina de una vnet a otra.
Atentos al cuadro azul que nos indica que el entorno se encuentra protegido por un Security Group (lo que hemos comentado mas arriba).
Como es un laboratorio, le he activado el apagado automático, aunque después usaremos los playbook para crear reglas de apagado y demás (lo veremos en otro post).

Le damos a review+create y si todo ha ido bien, la máquina empezará a crearse.
Cuando finalice, vamos a nuestra máquina y vemos las formas de conexión que tenemos:

Como veis, tenemos SSH, RDP y bastion. Las dos primeras son conocidas por todos más que de sobra, así que os cuento para que vale la tercera.
¿Qué es Azure Bastion?
Azure Bastion no es más que una forma de simplificar nuestra conexión a la vez que lo hace más seguro, ya que no necesitamos exponer una dirección ip publica al exterior.
Podemos validarnos en nuestro entorno desde el propio navegador web y trabajar sobre nuestra máquina sin ningún problema.
Así que, como lo vamos a utilizar mucho, vamos a crearlo:

Una vez que tenemos la red de bastion, nos conectamos a la maquina virtual y empezamos a prepararla para poder gestionar el AD DS, para esto, vamos a Roles y características y agregamos las herramientas de AD DS.


Añadimos la VM al Dominio
Para poder utilizar las herramientas de AD DS lo ideal es que la maquina este en el dominio, así que sin mas, la agregamos a nuestro dominio:

TIP: Durante la creación del laboratorio, me dio diversos errores con el usuario y demás. Por algún motivo que desconozco, me daba errores de usuario bloqueado cuando no lo estaba, así que al final fui al AD DS y cambie la contraseña de mi usuario y lo deje bloqueado 30 minutos, para después desbloquearlo. Una vez que replico funciono a la primera.
Con esto, ya podemos gestionar nuestro AD como siempre

Hasta aquí, han sido todo tareas de preparación del entorno, así que ahora tenemos que crear el repositorio de Azure Files
Preparando el repositorio de Azure Files
Para preparar el repositorio de Azure Files creamos una cuenta de almacenamiento:

Y dentro de esta un nuevo File Share

Y ya esta!!!! Ya podemos subir ficheros

Pero como nosotros queremos que exista una validación de AD, antes vamos a habilitar el acceso vía ADDS

Después de esto, conectamos una unidad de red nueva, y procedemos a asignar los permisos de acceso a las distintas carpetas.

Y desde aquí ya podemos asignar los permisos igual que en un entorno tradicional.

¡Azure Files configurado!
Después solo tenemos que indicar a nuestros usuarios la ruta de conexión y ya tenemos un servidor de ficheros, desde Azure Files.
Como veis es muy divertido trabajar con Microsoft Azure. Estos proyectos son complejos y tiene su miga.
Muchas gracias a todos.
Un saludo!!
Nacho Bellido.