Azure ARC
Im Oktober ist mir auf Windows 2022 das erste mal ein neues Icon in der aufgefallen, was nicht mit einem installierten Programm zu tun hat, sondern aus meiner Sicht eine Werbung ist. Aber bei der weiteren Analyse habe ich langsam Gefallen an AzureARC gefunden.
Azure Arc-Icon
Nach der Anmeldung auf einem Windows 2022 Server mit dem Oktober 2023-Update (KB5031364) finde ich neben der Uhrzeit ein kleines, bislang nicht bekanntes Icon. Beim Klick darauf sehen sie folgende Information:
Der Link geht zu:
Start unterbinden
Speziell auf einem Server sollten nur die Programme gestartet werden, die auch erforderlich sind und dazu gehört sicher keine "Azure Arc"-Werbung. Zum Glück liefert Windows selbst schon die Information, wo ich schauen muss:
Über die Systemsteuerung kann ich einfach den Start deaktivieren:
Damit wäre da schon mal erledigt. Besser ist es aber vielleicht, das Feature gleich ganz zu entfernen. Die Komponente wurde nämlich als "Windows Optional Feature" einfach mal selbst installiert. Die Deinstallation ist über den Servermanager möglich:
Oder natürlich per administrativer PowerShell:
Disable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup
Achtung: Warum auch immer braucht der Server danach einen Neustart!
Den Status sehen sie auch auf dem Server Management
Allerdings finde ich das Vorgehen schon bedenklich, auf Servern im Rahmen eines regulären monatlichen Update eigentlich optionale Features automatisch zu aktivieren. Schon im Namen "Optional" steckt doch drin, dass man sie nicht braucht. Microsoft hat dazu aber im Readme zu KB5031364 sehr schnell folgendes addiert:
Neu! Dieses Update fügt eine optionale Komponente für das Azure Arc-Setup hinzu.
Sie enthält ein neues Symbol für die Azure Arc-Taskleiste und einen neuen
Server-Manager-Eintrag für die Azure Arc-Verwaltung. Es gibt auch ein grafisches
Installationsprogramm für den Azure Connected Machine-Agent. Jetzt können Sie
Azure Arc mit nur wenigen Klicks aktivieren. Sie müssen kein PowerShell-Skript
ausführen. Weitere Informationen finden Sie unter Verbinden von Windows
Server-Computern mit Azure über das Azure Arc-Setup.
https://support.microsoft.com/help/5031364
Wer also das Readme zum Updates später noch mal gelesen hat, konnte diesen Text sehen. Er wurde aber erst addiert, als die Updates schon im Rollout waren.
- KB5031364 10. Oktober 2023 – KB5031364 (Betriebssystembuild 20348.2031)
https://support.microsoft.com/help/5031364 - What is AzureArcSysTray.exe doing on my Windows Server?
https://blog.workinghardinit.work/2023/10/12/what-is-azurearcsystray-exe-doing-on-my-windows-server/ - Windows Server 2022: Update KB5031364 installiert Azure Arc Setup
https://www.borncity.com/blog/2023/10/18/windows-server-2022-update-kb5031364-installiert-azure-arc-setup/
Was ist Azure ARC?
Nachdem Microsoft nun ja alle Aufmerksamkeit hat, wollte ich auch wissen, was Azure ARC ist und ob es mir helfen könnte. Die ersten Hinweise hat Microsoft auf der Ignite 2019 genannt und auf der Ignite 2020 wurde Azure Arc für Server und die erste Preview für Datenbanken gestartet.
- Bring innovation anywhere with Azure’s
multi-cloud, multi-edge hybrid capabilities
https://azure.microsoft.com/en-us/blog/bring-innovation-anywhere-with-azures-multicloud-multiedge-hybrid-capabilities/
Wer heute schon in Azure mit Server-VMs, Datenbanken etc. einen Teil seines Rechenzentrums in die Cloud verlagert hat, wird auch die Möglichkeiten zur Automatisierung, Überwachung etc. schätzen. Mit Azure ARC wird eine Brücke zu lokalen Servern und Diensten geschlagen. Der Administrator installiert einen kleinen Agenten auf dem lokalen Server, der dann eine Verbindung zu einer Azure Subscription herstellt und dort als Ressource erscheint.
- Connect Windows Server machines to Azure through Azure Arc Setup
https://learn.microsoft.com/en-us/azure/azure-arc/servers/onboard-windows-server
Dabei ist die Liste der lokal unterstützten Systeme sehr umfangreich und selbst im November 2023 werden Windows 2008R2SP1/2012/2012R2 unterstützt, die schon lange keinen direkten Support mehr haben.
- Connected Machine agent prerequisites: Supported operating systems
https://learn.microsoft.com/en-us/azure/azure-arc/servers/prerequisites#supported-operating-systems -
Plan your Windows Server and SQL Server end of support
https://www.microsoft.com/en-us/windows-server/extended-security-updates
Sie können sogar Windows 10/11 Client damit verwalten. Damit sind aber eher nicht reguläre Büroarbeitsplätze gemeint, sondern Windows Desktop Systeme kommen durchaus in der Produktion bei Messerfassungen o.ä. zum Einsatz. Der lokal installierte Agent kommuniziert per HTTPS/443 mit Azure und kann sogar einen HTTP-Proxy nutzen:
- Agent-specific proxy configuration
https://learn.microsoft.com/en-us/azure/azure-arc/servers/manage-agent?tabs=windows#update-or-remove-proxy-settings
Es gibt noch einen Hebel, den Microsoft mit Azure Arc für lokale Server einsetzt. Nach 10 Jahren gibt es ja keine Security Updates mehr. Für Enterprise-Kunden gibt es bis zu drei weitere Jahre "Extended Security Updates (ESU)". Mittels Azure Arc wird dies auch allgemein verfügbar.
- Lifecycle FAQ - Extended Security
Updates
https://learn.microsoft.com/en-us/lifecycle/faq/extended-security-updates - New options for Windows Server 2012/R2
end of support from Azure
https://cloudblogs.microsoft.com/windowsserver/2023/07/18/new-options-for-windows-server-2012-r2-end-of-support-from-azure/ - Azure Arc-aktivierte erweiterte
Sicherheitsupdates
https://azure.microsoft.com/de-de/pricing/details/azure-arc/#pricing
Einrichtung
Wenn Sie nicht zufällig einen Windows 2022 Server mit Okt 2023 Update haben, dann müssen Sie das Azure Arc Setup erst aktivieren. Es ist ein "optionales Windows Feature"
Enable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup
Bei anderen Versionen müssen Sie den Agenten von Hand installieren. gehen Sie dazu auf folgende URL
Add servers with Azure Arc
https://portal.azure.com/#view/Microsoft_Azure_HybridCompute/HybridVmAddBlade
Dort müssen Sie einige Daten angeben, mit welcher Azure Subscription, Ressourcegroup, Datacenterregion etc. ihr Server verbunden wird.
Nach der optionalen Eingabe weiterer Tags zeigt ihnen der Assistent ein PowerShell-Script an, welches Sie auf den Server herunterladen und als Admin ausführen. Auf meiner VM konnte ich folgendes sehen:
Das ist nur die einfache Installation. Sie können auch ein Skript für ein Massendeployment per Gruppenrichtlinien, System Center Configuration Manager, DSC, Ansible abrufen. Danach ist der Server erst einmal eine Resourcen in ihrer Azure Subscription:
Der Agent wird über Windows Updates mit aktualisiert:
- Quickstart - Connect hybrid machine with Azure Arc-enabled servers - Azure
Arc
https://learn.microsoft.com/en-us/azure/azure-arc/servers/learn/quick-enable-hybrid-vm - Overview of Azure Connected Machine agent
https://learn.microsoft.com/en-us/azure/azure-arc/servers/agent-overview
Management
Interessant wird das ganze Konzept, wenn Sie mit dem Agenten den Server genauso verwalten, Sie sie bislang ihre Dienste in Azure verwaltet haben. Denn auch wenn der Server noch "OnPremises" steht oder vielleicht eine VM in einem anderen Datacenter eines Mittbewerbers wie AWS ist, können Sie ihn über ihre Azure Subscription verwalten:
Sie können Updates steuern, Logs einsammeln, Performancecounter nutzen aber auch Konfigurationen vorgeben und anwenden. Die ganzen Möglichkeiten hier zu beschreiben, würde die Seite sprengen.
Einschätzung
Es gibt Kunden, die nicht nur MIcrosoft365 nutzen, sondern auch Azure mit Diensten und Servern. Sehr schnell merken sie dabei, dass Azure-Dienste sehr umfangreich automatisierbar sind, z.B.: durch Azure Functions, Runbooks, Konfiguration etc., was die meisten Administratoren auf ihren lokal selbst betriebenen Servern oft nicht erreicht haben. Mit Azure Arc können Sie nun einen Großteil der Funktionen aus Azure auch auf lokale Server anwenden. Gegen Einwurf mehr oder minder vielen Münzen erhalten Sie über Azure Arc sogar erweiterte Sicherheitsupdates. Die meisten Basisfunktionen sind kostenfrei aber wenn Sie z.B. Änderungen speichern, dann fallen natürlich Kosten für "LogAnalytics". Kennzahlen und Überwachungen führen zu Kosten für "Azure Monitor" an, etc, ehe dann ggfls. noch Zusatzkosten für Extended Security Updates anfallen.
- Azure Log Analytics Pricing
https://learn.microsoft.com/en-us/services-hub/unified/health/azure-pricing - Azure Monitor cost and usage
https://learn.microsoft.com/en-us/azure/azure-monitor/cost-usage - Azure Arc – Preise
https://azure.microsoft.com/de-de/pricing/details/azure-arc/#pricing
Aber auch ein alternatives Überwachungsprogramm ist nicht kostenfrei möglich und kann Dienst ein Azure vielleicht weniger effektiv überwachen. Anstatt aber dann zwei unterschiedliche Plattform für OnPremises und Azure oder andere Cloud-Plattformen zu nutzen, könnte AzureArc die Verwaltung in Azure konsolidieren
Azure Arc ist interessant und jeder Server Administrator sollte sich ein paar Stunden Zeit nehmen, um die Möglichkeiten zu verstehen und die Kosten für Zusatzfunktionen abzuschätzen. Insofern hat Microsoft durch seine freche Bereitstellung des Azure Arc-Assistenten über das Oktober 2023-Update bei genau das erreicht, was sie wohl erreichen wollten: Ich habe einige Zeit für die Recherche aber auch Evaluierung aufgebracht. Ich verwalte mit Azure Arc aktuell nur einen Server aus meiner Lab-Umgebung, der zugleich Domaincontroller und ADSync-Server zu einem meiner Tenants ist. Insofern ist dies keine repräsentative Umgebung. Nun sind Sie an der Reihe, den Nutzen für ihre Firma auszuloten.
Weitere Links
- Azure Arc-enabled servers Overview - Azure Arc
https://learn.microsoft.com/en-us/azure/azure-arc/servers/overview - Easily enable Azure Arc on Windows Server 2022
https://techcommunity.microsoft.com/t5/windows-server-news-and-best/easily-enable-azure-arc-on-windows-server-2022/ba-p/3954408 - Azure Arc Jumpstart
https://azurearcjumpstart.io/azure_jumpstart_arcbox/ - MC688650 Windows Server 2012/R2:
Extended Security Updates Veröffentlicht 9.
Nov. 2023
https://admin.microsoft.com/AdminPortal/home#/MessageCenter/:/messages/MC688650 - What Is Microsoft Azure Arc?
https://www.itprotoday.com/hybrid-cloud/what-microsoft-azure-arc - What is AzureArcSysTray.exe doing on my
Windows Server?
https://blog.workinghardinit.work/2023/10/12/what-is-azurearcsystray-exe-doing-on-my-windows-server/