Monthly archives: mars, 2016

NetScaler Unified Gateway och RDP Proxy

Många företag har under en längre period förlitat sig på Microsofts Forefront Unified Gateway för extern åtkomst av interna resurser så som RDP, ICA och webbapplikationer.

Microsofts Forefront Unified Gateway är nu endast tillgänglig med Extended Support och går End Of Life i april 2020.

Ungefär samtidigt som Forefront Unified Gateway Mainstream Support gick ut under förra året blev RDP-proxy tillgänglig via Citrix NetScaler. Det innebär att Citrix NetScaler Unified Gateway numera fungerar som en utmärkt ersättare för de som tidigare har kört Forefront Unified Gateway och nu letar nya lösningar.

Med NetScaler Unified Gateway kan en portal skapas där interna resurser publiceras, bilderna nedan visar hur det kan se ut när RDP, ICA och Intranät är publicerat.

1 2

RDP-Proxy via Unified Gateway är tillgänglig först i version 11 av Citrix NetScaler och kräver Platinum- eller Enterpriselicenser. Utöver det behövs lika många Universal licenser som samtidiga anslutningar.

 

 

 



Hög tillgänglighet i Azure virtuella maskiner

Windows Azure garanterar ett SLA på 99,95% men bara om du bygger dina virtuella maskiner i så kallade Availability Sets.

Det finns två saker som kan påverka tillgängligheten för dina virtuella maskiner, underhåll som är planerade eller oplanerade.

  • Planerade – Microsoft genomför periodiska uppdateringar av Azure plattformen. De flesta av dessa uppdateringar sker utan att VMs påverkas men ibland kan dina VMs behöva startas om.
  • Oplanerade – Om någon komponent fallerar, till exempel lokalt nätverk, ström, lokal disk eller fel i ett helt rack. Azure kommer då migrera över dina VMs till annan fysisk server. Detta händer sällan men detta kan också orsaka att din VM behöver startas om.

Xenit har noterat att de planerade underhållen kan orsaka flertalet omstarter av dina VMs och det kan ske under flertalet timmar som underhållet pågår och idag finns det inga möjligheter att styra när detta sker.

För att inte påverkas av detta bör du grupperna två eller flera VMs i ett Availibility Set. När du skapar VMs i ett Availibilty Set kommer Azure se till att placera dem i olika UD (Update Domain) och FD (Fault Domain). När de ligger i olika UD kommer de inte uppdateras samtidigt och när de ligger i olika FD så delar de inte samma ström eller nätverk, rent konkret skapas dessa VMs förmodligen i olika rack.

ud-fd-configuration

Rent tekniskt så måste med andra ord alla applikationer vara möjliga att installeras högtillgängligt och det finns flera sätt att göra det. Ett par exempel:

  • Domänkontrollantera för Active Directory har native stöd för hög tillgänglighet om de placeras på olika VMs
  • Citrix XenApp har också inbyggt stöd så de sprids över flera servrar
  • IIS, webbservrar kan lastdelas genom att använda en lastbalanserar som är inbyggt i Azure
  • SQL har flera olika sätt att ska högtillgänglighet mellan olika VMs

Kortfattat kan sägas att den applikation du deployar på VMs måste vara högtillgänglig och du nästan ska räkna med att dina VMs startar om utan att du kan påverka det.

Det kan tyckas något konstigt att Azure fungerar på det sättet och kan skapa en utmaning för hur du designar din miljö men det är högst medvetet från Microsofts sida. Först och främst anser Microsoft att vad du än kör i Azure så ska designen ”by default” vara högtillgänglig och det ska inte finnas några SPOF (Single-Point-of-Failure). Är det inte möjligt med din applikation så är kanske Azure inte rätt val för dig. Sedan föreslår Microsoft att bygga lösningar som baseras på deras ”cloud services” (app service, sql database, storage osv) snarare än Virtual Machines.

En teknisk anledning varför Azure väljer att inte flytta över VMs innan planerade underhåll är för de tillhandahåller extremt stora VMS, med upp till 448 GB minne. Att behöva flytta över alla dessa VMs skulle konsumera extremt stora datamängder i ”East-West bandbredd” som normalt behövas för annat.

Microsoft har inte annonserat några planer för att ändra detta upplägg men däremot känner Microsoft till synpunkter på denna funktion. Med största sannolikhet kommer uppdateringar betyda färre omstartarter och det är möjligt att vi i framtiden kan styra vilken tidpunkt planerade underhåll ska ske, något som inte går idag.

Vad du än har för applikation så kan Xenit kan hjälpa dig bygga en design för Azure.



Office Online Server Preview

Microsoft har släppt Office Online Server, uppföljande till Office Web App Server, som Technical Preview. I tidigare versionen, Office Web App Server har man enbart kunnat förhandsgranska Word, Excel, PowerPoint och OneNote-dokument i webbläsaren men i nya Office Online Server erbjuder man även nu möjligheten att redigera dokumenten direkt i webbläsaren utan att behöva ha Office lokalt installerat på sin klient.

Nedan följer exempel på hur det ser ut i webbmailen i en Exchange Server 2016-miljö

Utan Office Web Apps Server / Office Online Server

Exchange 2016 utan Office Web Apps Server och Office Online Server

Office Web Apps Server

Exchange 2016 med Office Web Apps Server

Office Online Server (Preview)

Exchange 2016 med Office Online Server - 2

Office Online Server Preview finns att ladda ner här:
http://www.microsoft.com/en-us/download/details.aspx?id=49028



Windows Defender Advanced Threat Protection

Microsoft tillkännagav nyligen nästa steg i utveckligen av Windows Defender som de kallar Windows Defender Advanced Threat Protection (Windows Defender ATP).

I korta drag är Windows Defender ATP samma produkt men ansluter till Windows 10 Enterprise Telemetry och utnyttjar Microsofts ”Big Data” moln för identifiering av attacker och sårbarheter i miljön.

Enligt Microsoft tar det ofta mer än 200 dagar för företag att upptäcka säkerhetsintrång och ytterligare 80 dagar att åtgärda sårbarheten.

Med hjälp av Windows Defender ATP skall företag mycket snabbare upptäcka, varnas och agera på dataintrång.
Windows Defender ATP utrustar Windows 10 klienter med ett säkerhetslager som upptäcker redan utförda attacker och spårar attackflödet från multipla klienter för att ge rekommenderade åtgärder till en IT-administratör.

Windows Defender ATP upptäcker avancerade attacker samt ger information om vem, vad och varför attacken inträffade. Detta gör den genom att jämföra insamlad data mot Microsofts moln som innehåller världens största samling av mätpunkter och kalibrerar mot omvärlden för att utvärdera naturen av attacken och ge rekommendation på åtgärd.

Via Windows Security Center kan IT personal göra närmare analys och undersöka hur attacken uppstod och kan ta åtgärder för att förhindra attacker i framtiden.
Windows Security Center ger möjlighet till analys av klienter över de senaste sex månader för enkel identifiering av utsatta områden och företags-funktioner.

Då Windows Defender ATP integreras med Microsoft Moln underhålls och uppdateras denna efter Windows 10 uppdateringscykel och kräver igen lokal infrastruktur samt att den integreras med Office 365 Advanced Threat Protection och Microsoft Advanced Threat Analytics.

Förhoppningsvis kommer detta ge företag som går över till Windows 10 ett enklare sätt att säkra upp miljön och lindra skador orsakade av attacker.

 

Källa:
https://blogs.windows.com/windowsexperience/2016/03/01/announcing-windows-defender-advanced-threat-protection/