Azure ARC

Im Oktober ist mir auf Windows 2022 das erste mal ein neues Icon in der aufgefallen, was nicht mit einem installierten Programm zu tun hat, sondern aus meiner Sicht eine Werbung ist. Aber bei der weiteren Analyse habe ich langsam Gefallen an AzureARC gefunden.

Azure Arc-Icon

Nach der Anmeldung auf einem Windows 2022 Server mit dem Oktober 2023-Update (KB5031364) finde ich neben der Uhrzeit ein kleines, bislang nicht bekanntes Icon. Beim Klick darauf sehen sie folgende Information:

Der Link geht zu:

Start unterbinden

Speziell auf einem Server sollten nur die Programme gestartet werden, die auch erforderlich sind und dazu gehört sicher keine "Azure Arc"-Werbung. Zum Glück liefert Windows selbst schon die Information, wo ich schauen muss:

Über die Systemsteuerung kann ich einfach den Start deaktivieren:

Damit wäre da schon mal erledigt. Besser ist es aber vielleicht, das Feature gleich ganz zu entfernen. Die Komponente wurde nämlich als "Windows Optional Feature" einfach mal selbst installiert. Die Deinstallation ist über den Servermanager möglich:

Oder natürlich per administrativer PowerShell:

Disable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup

Achtung: Warum auch immer braucht der Server danach einen Neustart!

Den Status sehen sie auch auf dem Server Management

Allerdings finde ich das Vorgehen schon bedenklich, auf Servern im Rahmen eines regulären monatlichen Update eigentlich optionale Features automatisch zu aktivieren. Schon im Namen "Optional" steckt doch drin, dass man sie nicht braucht. Microsoft hat dazu aber im Readme zu KB5031364 sehr schnell folgendes addiert:

Neu! Dieses Update fügt eine optionale Komponente für das Azure Arc-Setup hinzu. Sie enthält ein neues Symbol für die Azure Arc-Taskleiste und einen neuen Server-Manager-Eintrag für die Azure Arc-Verwaltung. Es gibt auch ein grafisches Installationsprogramm für den Azure Connected Machine-Agent. Jetzt können Sie Azure Arc mit nur wenigen Klicks aktivieren. Sie müssen kein PowerShell-Skript ausführen. Weitere Informationen finden Sie unter Verbinden von Windows Server-Computern mit Azure über das Azure Arc-Setup.
https://support.microsoft.com/help/5031364

Wer also das Readme zum Updates später noch mal gelesen hat, konnte diesen Text sehen. Er wurde aber erst addiert, als die Updates schon im Rollout waren.

Was ist Azure ARC?

Nachdem Microsoft nun ja alle Aufmerksamkeit hat, wollte ich auch wissen, was Azure ARC ist und ob es mir helfen könnte. Die ersten Hinweise hat Microsoft auf der Ignite 2019 genannt und auf der Ignite 2020 wurde Azure Arc für Server und die erste Preview für Datenbanken gestartet.

Wer heute schon in Azure mit Server-VMs, Datenbanken etc. einen Teil seines Rechenzentrums in die Cloud verlagert hat, wird auch die Möglichkeiten zur Automatisierung, Überwachung etc. schätzen. Mit Azure ARC wird eine Brücke zu lokalen Servern und Diensten geschlagen. Der Administrator installiert einen kleinen Agenten auf dem lokalen Server, der dann eine Verbindung zu einer Azure Subscription herstellt und dort als Ressource erscheint.

Dabei ist die Liste der lokal unterstützten Systeme sehr umfangreich und selbst im November 2023 werden Windows 2008R2SP1/2012/2012R2 unterstützt, die schon lange keinen direkten Support mehr haben.

Sie können sogar Windows 10/11 Client damit verwalten. Damit sind aber eher nicht reguläre Büroarbeitsplätze gemeint, sondern Windows Desktop Systeme kommen durchaus in der Produktion bei Messerfassungen o.ä. zum Einsatz. Der lokal installierte Agent kommuniziert per HTTPS/443 mit Azure und kann sogar einen HTTP-Proxy nutzen:

Es gibt noch einen Hebel, den Microsoft mit Azure Arc für lokale Server einsetzt. Nach 10 Jahren gibt es ja keine Security Updates mehr. Für Enterprise-Kunden gibt es bis zu drei weitere Jahre "Extended Security Updates (ESU)". Mittels Azure Arc wird dies auch allgemein verfügbar.

Einrichtung

Wenn Sie nicht zufällig einen Windows 2022 Server mit Okt 2023 Update haben, dann müssen Sie das Azure Arc Setup erst aktivieren. Es ist ein "optionales Windows Feature"

Enable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup

Bei anderen Versionen müssen Sie den Agenten von Hand installieren. gehen Sie dazu auf folgende URL

Dort müssen Sie einige Daten angeben, mit welcher Azure Subscription, Ressourcegroup, Datacenterregion  etc. ihr Server verbunden wird.

Nach der optionalen Eingabe weiterer Tags zeigt ihnen der Assistent ein PowerShell-Script an, welches Sie auf den Server herunterladen und als Admin ausführen. Auf meiner VM konnte ich folgendes sehen:

Das ist nur die einfache Installation. Sie können auch ein Skript für ein Massendeployment per Gruppenrichtlinien, System Center Configuration Manager, DSC, Ansible abrufen. Danach ist der Server erst einmal eine Resourcen in ihrer Azure Subscription:

Der Agent wird über Windows Updates mit aktualisiert:

Management

Interessant wird das ganze Konzept, wenn Sie mit dem Agenten den Server genauso verwalten, Sie sie bislang ihre Dienste in Azure verwaltet haben. Denn auch wenn der Server noch "OnPremises" steht oder vielleicht eine VM in einem anderen Datacenter eines Mittbewerbers wie AWS ist, können Sie ihn über ihre Azure Subscription verwalten:

Sie können Updates steuern, Logs einsammeln, Performancecounter nutzen aber auch Konfigurationen vorgeben und anwenden. Die ganzen Möglichkeiten hier zu beschreiben, würde die Seite sprengen.

Einschätzung

Es gibt Kunden, die nicht nur MIcrosoft365 nutzen, sondern auch Azure mit Diensten und Servern. Sehr schnell merken sie dabei, dass Azure-Dienste sehr umfangreich automatisierbar sind, z.B.: durch Azure Functions, Runbooks, Konfiguration etc., was die meisten Administratoren auf ihren lokal selbst betriebenen Servern oft nicht erreicht haben. Mit Azure Arc können Sie nun einen Großteil der Funktionen aus Azure auch auf lokale Server anwenden. Gegen Einwurf mehr oder minder vielen Münzen erhalten Sie über Azure Arc sogar erweiterte Sicherheitsupdates. Die meisten Basisfunktionen sind kostenfrei aber wenn Sie z.B. Änderungen speichern, dann fallen natürlich Kosten für "LogAnalytics". Kennzahlen und Überwachungen führen zu Kosten für "Azure Monitor"  an, etc, ehe dann ggfls. noch Zusatzkosten für Extended Security Updates anfallen.

Aber auch ein alternatives Überwachungsprogramm ist nicht kostenfrei möglich und kann Dienst ein Azure vielleicht weniger effektiv überwachen. Anstatt aber dann zwei unterschiedliche Plattform für OnPremises und Azure oder andere Cloud-Plattformen zu nutzen, könnte AzureArc die Verwaltung in Azure konsolidieren

Azure Arc ist interessant und jeder Server Administrator sollte sich ein paar Stunden Zeit nehmen, um die Möglichkeiten zu verstehen und die Kosten für Zusatzfunktionen abzuschätzen. Insofern hat Microsoft durch seine freche Bereitstellung des Azure Arc-Assistenten über das Oktober 2023-Update bei genau das erreicht, was sie wohl erreichen wollten: Ich habe einige Zeit für die Recherche aber auch Evaluierung aufgebracht. Ich verwalte mit Azure Arc aktuell nur einen Server aus meiner Lab-Umgebung, der zugleich Domaincontroller und ADSync-Server zu einem meiner Tenants ist. Insofern ist dies keine repräsentative Umgebung. Nun sind Sie an der Reihe, den Nutzen für ihre Firma auszuloten.

Weitere Links