Cerrar

Hoy vamos a ver como podemos detener nuestros equipos en Azure los cuales no tienen sesiones activas, algo que siempre deberíamos tener presente en entornos de pago por uso. Claramente en un entorno Cloud donde se paga por uso, tener servidores de Escritorio Remoto o de WVD iniciados y sin usuarios, no tiene sentido.

Voy a mostraros como podemos detener correctamente hosts de sesión (desasignarlos en Azure) que no tienen sesiones iniciadas, de forma simple: ejecutando un Webhook desde PowerShell. Para ello, vamos necesitar realizar algunas configuraciones:

  • Creación de tareas programadas en los hosts de sesión [utilizaremos las GPO de Active Directory]
  • Creación de un runbook de apagado de equipos de Azure [PowersShell]
  • Creación de un webhook partiendo del runbook creado

Lo que haré, será crear un pequeño script que se ejecutará mediante una tarea programada cada 30 minutos y buscará sesiones activas en los host de sesión donde se ejecute dicho script. Para buscar sesiones activas, lo haré de la forma más simple que se me ha ocurrido, que es vía Get-Process.

Este artículo será el primero de varios, con la idea de ir mostrando configuraciones de administración de dispositivos en un entorno híbrido (ADDS) y cloud (Azure AD). Comentar y analizar el porque de ir al cloud, de porqué utilizar Azure AD para autenticar a nuestros usuarios y como podemos gestionarlo de forma segura y eficiente.

La idea es ir comentando como podemos ir migrando a nuestros usuarios a Azure AD, que herramientas tenemos a nuestra disposición para ir gestionando estos endpoints que ahora tenemos distribuidos por todo el mundo. Históricamente (y en el actualidad) y, por la propia tecnología que manejamos hasta la fecha, siempre hemos tenido instalaciones muy ancladas a ubicaciones físicas y estancas, donde para conectarnos de forma “segura” siempre teníamos muy presente el concepto de VPN. Y aún sigue siendo muy necesarios estos escenarios, pero creo que, ha llegado la hora de ir migrando hacia el cloud hasta como nuestros usuarios inician sesión en su equipos y como desde IT podemos gestionar todo esto.

La topología de referencia para los que utilizamos tecnología MSFT, ha sido algo parecido a esto:

  • Active Directory: pieza angular de todas nuestras infraestructuras (a día de hoy esto también sigue siendo así, pero con algunas diferencias)
  • Conexiones remotas vía VPN: cuando queríamos que algún usuario que estuviese puntualmente fuera de la oficina tuviese acceso a la información corporativa, siempre lo conectábamos por VPN
  • Correo: esto ya hace mucho tiempo que ya no es así tal cual, pero bueno, seguro que todos hemos alguna instalación de Exchange On-Premises la cual luego hemos hibridado o migrado a Exchange Online
  • Escritorio Remoto: los configurábamos para estas aplicaciones que no estaban (ni lo están) preparadas para acceder vía LAN y mucho menos vía VPN, las “virtualizábamos” con servidores de Escritorio Remoto
  • SharePoint: en las empresas más “avanzadas tecnológicamente” se les instalaba una versión de SharePoint en función de las licencias que tuvieran disponibles.
  • Firewall: siempre hemos contado con algún firewall de algún fabricante el cual nos permitía realizar ciertas configuraciones de seguridad:
    • Filtrado de puertos (con nulo o escaso valor de seguridad a día de hoy)
    • Publicación de servicios para ser accesibles desde Internet
    • Terminador de VPN
    • Segmentar las VLAN internas
  • Reverse-Proxy: los utilizamos para publicar sobre todos los diferentes servicios web que teníamos internamente (SharePoint, Intranets, OWA, etc…)

Creo que todos podemos reconocer escenarios parecidos, iguales o con más o menos tecnología, pero seguro que tienen algunas connotaciones parecidas…

Este artículo poco contenido directo técnico va a tener, lo que quiero es hacer una pequeña “reflexión” sobre que tecnología utilizar para conectarnos remotamente a nuestros servidores en Azure. Todos tendrán sus pros y contras, pero veamos cuales son las alternativas que tenemos sin conectarnos previamente a la VPN.

Seguro que muchos de vosotros conocéis Azure Bastion, que no es más que un servicio que nos permite conectarnos vía explorador web a nuestros equipos virtuales en Azure. Esto como mega resumen, si queréis ampliar más información sobre Azure Bastion aquí os dejo varios enlaces:

Esto nos permite conectarnos a los servidores virtuales de Azure directamente desde el portal de Azure, además, directamente a sus IPs privadas evitando así tener que abrir puertos a Internet (22, 3389, etc…). Pero desde la irrupción de Windows Virtual Desktop, creo que también podrías ser una excelente opción para conectarnos a nuestras máquinas virtuales de Azure.

Hoy voy a comentar como configurar una de las novedades más esperadas para entornos de WVD, la posibilidad de que un hosts de sesión se inicie cuando un usuario quiera iniciar sesión en un host pool de escritorios personales. De momento está en versión preliminar y, no solo se pueden iniciar los hosts de sesión, pero seguro que en breve llegará la opción de apagarlos automáticamente cuando no tienen sesiones activas.

Aquí los requisitos para poder configurar esta nueva característica para WVD:

  • No está soportado en WVD modo clásico
  • La configuración de host pool tiene que ser de Escritorios Personales
  • Soportado en los siguientes clientes de escritorio remoto:
    • Web
    • Windows Client 1.2748 o superior

Archivos
  • 2021 (18)
  • 2020 (37)
  • 2019 (55)
  • 2018 (47)
  • 2017 (47)
  • 2016 (24)
  • 2015 (107)
  • 2014 (139)
  • 2013 (311)
  • 2012 (353)

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies