# Windows Hybrid Cloud: Integration von On-Prem & Azure

TL;DR / Management Summary Ein moderner Windows Server existiert nicht mehr im luftleeren Raum. Wir nutzen die Hybrid Cloud Integration, um die Skalierbarkeit der Cloud mit der Kontrolle lokaler Systeme (z.B. in Proxmox) zu verbinden. Schlüsseltechnologien sind Azure Arc für das zentrale Management, Entra Connect für den Identitäts-Sync und Azure File Sync für die globale Datenverteilung. Ein Senior Admin baut hybride Architekturen, die im Falle eines lokalen Ausfalls nahtlos in die Cloud schwenken können.

# 1. Einführung & Architektur

Die Brücke nach Redmond.

Hybride Integration bedeutet, dass lokale Ressourcen (On-Prem) im Azure Portal so erscheinen, als wären sie nativ in der Cloud gehostet.

# Die drei Integrations-Säulen

Identity: Ein User, ein Passwort für Windows-Login und Microsoft 365 (SSO).
Management: Updates und Policies für lokale Server via Azure Portal steuern.
Data: Lokale Shares werden in die Cloud gesichert oder dort repliziert.

# Architektur-Übersicht (Mermaid)

graph LR
    subgraph "On-Premise (Proxmox / VMware)"
    AD[Active Directory]
    S1[Windows File Server]
    S2[SQL Server]
    end

    subgraph "Azure Cloud"
    ENTRA[Microsoft Entra ID]
    ARC[Azure Arc Control Plane]
    AFS[Azure File Sync / Storage]
    end

    AD <-->|Entra Connect| ENTRA
    S1 <-->|Sync| AFS
    S1 & S2 <-->|Connected Machine Agent| ARC

# 2. Azure Arc: Management ohne Grenzen

Server-Verwaltung 2.0.

Azure Arc ist ein kleiner Agent auf Ihrem lokalen Server.

Vorteil: Sie können Azure Policy und Update Management auf Ihre Proxmox-VMs anwenden.
Vorteil: Erleichtert das Auditing über alle Standorte hinweg.

# Onboarding (Konzept)

Agent im Azure Portal generieren.
PowerShell Script auf dem lokalen Server ausführen.
Server erscheint als “Resource” in Azure.

# 3. Deep Dive: Azure File Sync (AFS)

Globaler Zugriff, lokale Geschwindigkeit.

AFS synchronisiert lokale SMB-Shares (Artikel 512) mit Azure Files.

Cloud Tiering: Die am wenigsten genutzten Dateien werden nur in der Cloud gespeichert. Lokal bleiben nur “Zeiger” (ähnlich wie OneDrive Files On-Demand).
DR-Vorteil: Wenn der lokale Fileserver brennt, setzen Sie einen neuen Server auf, installieren AFS, und die Daten sind in Minuten wieder da (Zeiger zuerst!).

# 4. Day-2 Operations: Identitäts-Sync

Entra Connect (früher AD Connect).

Synchronisieren Sie Ihre lokalen User-Accounts in die Cloud.

Password Hash Sync (PHS): Sicherer Hash wird hochgeladen.
Pass-through Authentication (PTA): Azure fragt bei jedem Login den lokalen DC (erfordert Agenten).
Seamless SSO: User wird am PC automatisch bei Teams/Browser angemeldet.

# 5. Troubleshooting & “War Stories”

Wenn der Link zur Cloud reißt.

# Top 3 Fehlerbilder

Symptom: Entra Connect meldet “Identity Synchronization Error”.
- Ursache: Duplicate UPNs oder Proxy-Blockade.
- Lösung: IdFix Tool von Microsoft nutzen, um das AD vor dem Sync zu bereinigen.
Symptom: Azure Arc Agent zeigt “Disconnected”.
- Ursache: Port 443 Outbound zum Azure-Datacenter blockiert.
- Lösung: Azure IP-Ranges in der Firewall whitelisten (Artikel 497).
Symptom: Cloud-Tiering funktioniert nicht (Disk läuft voll).
- Ursache: Antivirus-Scanner löst durch “Full Scan” den Download aller Dateien aus.
- Lösung: Scan-Exclusions für den AFS-Filtertreiber setzen.

# “War Story”: Die “Instant” Migration

Ein Unternehmen musste eine Außenstelle innerhalb von 24 Stunden räumen. Die Rettung: Da alle Daten bereits via Azure File Sync synchronisiert waren, mussten wir keine Terabytes an Backups kopieren. Die Mitarbeiter nahmen ihre Laptops mit ins Home-Office, verbanden sich via VPN (Artikel 496) zum Cloud-Endpunkt von Azure Files und arbeiteten weiter, als wäre nichts passiert. Lehre: Hybride Cloud ist die beste Versicherung gegen physische Standortrisiken.

# 6. Monitoring & Alerting

Die Cloud-Metriken.

# Log Analytics Agent

Senden Sie Performance-Daten und Event-Logs (Artikel 524) direkt in einen Azure Log Analytics Workspace.

Vorteil: Sie können standortübergreifende KQL-Queries (Kusto Query Language) schreiben, um Fehlermuster zu finden.

# 7. Fazit & Empfehlung

Hybrid ist kein Kompromiss, sondern ein Zielzustand.

Empfehlung: Nutzen Sie Azure Arc für alle Ihre Server (auch Linux!), um eine einheitliche Management-Ebene zu haben.
Sicherheit: Implementieren Sie Conditional Access in Entra ID, um Logins nur von verwalteten und gesunden PCs zu erlauben.

# Anhang: Cheatsheet

Aufgabe	Tool
Identitäts-Sync	Microsoft Entra Connect
Server-Onboarding	Azure Arc Agent (`azcmagent`)
Fileshare-Cloud-Sync	Azure File Sync Agent
VPN zur Cloud	Azure VPN Gateway / Site-to-Site