В. Доступен ли сервер-посредник приложений Azure AD Application Proxy для бесплатных экземпляров Azure AD?

О. Нет. Сервер-посредник приложений Azure AD Application Proxy доступен для экземпляров Azure AD с планами Basic и Premium, а не для бесплатных экземпляров.

В. Что собой представляет сервер-посредник приложений Azure AD Application Proxy?

О. Windows Server 2012 R2 содержит компонент, который называется Web Application Proxy. Он выполняет несколько функций:

  • играет роль обратного прокси-сервера;
  • обеспечивает однократную регистрацию (SSO) через интеграцию с Active Directory Federation Services (ADFS – службы федерации Active Directory) и способность поддерживать даже те приложения, которые не поддерживают утверждений;
  • осуществляет предварительную аутентификацию.

Сервер-посредник приложений Azure AD Application Proxy предоставляет поддерживаемую Azure службу, которая имеет похожий набор возможностей. Рассматривайте ее как Web Application Proxy в «облаке». Благодаря Azure AD Application Proxy внутренние приложения могут быть опубликованы в Интернете, с использованием Azure AD для аутентификации. Каналом коммуникации для обеспечения доступности внешних приложений через Azure в Интернете является коннектор Azure AD Application Proxy, который установлен на одном или нескольких локальных экземплярах Windows Server 2012 R2 или Windows 8.1. Именно они и являются посредниками для коммуникаций.

В. Как мне безопасно сохранить пароль, используемый в идентификационных данных PowerShell?

О. В PowerShell объект идентификационных данных определяет пользовательское имя и пароль. Однако пароль обычно сохраняется в открытом тексте, например:

$securepassword = ConvertTo-SecureString -string «" -AsPlainText -Force
$cred = new-object System.Management.Automation.PSCredential (»«, $securepassword)

Здесь может быть несколько вариантов. В статье TechNet»Manipulate credentials in the Windows 8/2012 PasswordVault using Powershell«(gallery.technet.microsoft.com/Manipulate-credentials-in-58e0f761/) рассматривается модуль сторонней фирмы, который сохраняет идентификационные данные в хранилище паролей в Windows.

Другой вариант предусматривает создание безопасной шифрованной версии пароля, с использованием следующей команды:

$encryptedPassword = ConvertFrom-SecureString (ConvertTo-SecureString -AsPlainText -Force»Password123«)

Используйте вывод этой команды в своем сценарии. Очевидно, что если кто-то увидит все значения, то получит ваш пароль. Однако эту информацию явно не удастся записать слишком быстро:

$passwordAsSecureString = ConvertTo-SecureString»«

Если вы не хотите, чтобы пароль в зашифрованной форме был виден в сценарии, можете сохранить все идентификационные данные в безопасном виде в файле, к которому будет доступ только у вашей учетной записи на определенном компьютере. Например:

$credpath = c:\temp\MyCredential.xml
New-Object System.Management.Automation.PSCredential(»«, (ConvertTo-SecureString -AsPlainText -Force»Password123«)) | Export-CliXml $credpath

Чтобы впоследствии задействовать идентификационные данные из файла в своем сценарии, я использую следующую команду:

$cred = import-clixml -path $credpath

Заметьте, что Export-CliXml и модуль PowerShell предназначены для применения одинакового API шифрования (DPAPI), поэтому имеют одни и те же сильные и слабые стороны. Разница состоит в том, что Export-CliXml сохраняет данные в файл, тогда как модуль PowerShell сохраняет их в реестр Windows в зашифрованном виде.

Если вы используете способ с идентификационными данными Azure, он будет работать с учетными записями Azure Active Directory, но не с Microsoft ID (Live ID).

В. Нужен ли комплекс System Center для создания кластера серверов Hyper-V?

О. Нет. Отказоустойчивая кластеризация является функцией Windows Server и не требует наличия System Center. Я могу создать кластер хостов Hyper-V и управлять им, используя менеджер отказоустойчивости кластера Failover Cluster Manager. Это не означает, что System Center не добавляет никаких преимуществ. System Center совершенствует Hyper-V во многих сферах, включая создание кластеров, развертывание хостов и развертывание виртуальных машин. Для хостов Hyper-V в кластере характерно то, что менеджер виртуальных машин System Center Virtual Machine Manager добавляет функции для оптимизации размещения виртуальных машин на хостах. Таким образом, хосты получают равную нагрузку при работе виртуальных машин и могут даже консолидировать виртуальные машины на меньшее количество хостов и выключать серверы в спокойные периоды. Это явление известно как динамическая оптимизация Dynamic Optimization и оптимизация потребления электроэнергии Power Optimization.

В. Как мне подсоединиться к Azure с помощью Add-AzureAccount, не открывая окно браузера?

О. Обычно Add-AzureAccount запускается при открытии окна браузера, в котором вы вводите пользовательское имя и пароль. Если вы хотите зарегистрироваться, не выполняя этих действий, можете запустить следующую команду:

$securepassword = ConvertTo-SecureString -string»«-AsPlainText -Force
$cred = new-object System.Management.Automation.PSCredential (»«, $securepassword)
Add-AzureAccount -Credential $cred

Обратите внимание, что такой способ сохраняет ваш пароль в открытом виде.

В. Где мне найти список пакетов управления Management Packs для продукта Operations Manager?

О. Каталог Microsoft Management Pack в настоящее время не ведется. Все доступные пакеты управления Management Packs можно найти на сайте Microsoft TechNet Microsoft Management Packs (social.technet.microsoft.com/wiki/contents/articles/16174.microsoft-management-packs.aspx). Этот сайт ведут сотрудники команды Microsoft и, вероятнее всего, информация на нем полна и достоверна.

В. Можно ли подсоединить Azure к Internet2?

О. Да, и Azure, и Office 365. Это как раз тот случай, когда между Microsoft и Internet2 установлено прямое одноранговое соединение. Об этом было объявлено в мае 2013 года; официальное объявление вы можете найти в статье Internet2 Establishes Direct Peering to Microsoft Cloud Services (www.internet2.edu/news/detail/4698/). Если вас заинтересовал Internet2, обратитесь к статье The Internet2 Community: Enabling the Future (www.internet2.edu/about-us/). По сути Internet2 является высокоскоростной сетью, объединяющей исследовательские, промышленные и государственные организации для взаимного сотрудничества.

В. Как Azure интегрируется с Docker?

О. На сегодня Azure имеет расширение Docker для своего агента виртуальной машины, который позволяет выполнять автоматическое развертывание Docker в виртуальных машинах Linux. Впоследствии управление Docker может осуществляться из интерфейса командной строки Linux или Windows.

В. Предусмотрена ли в Azure защита от хакерских программ?

О. Microsoft не раскрывает подробности, касающиеся защиты, которую компания использует как часть служб Azure. Обнародование этой информации могло бы оказаться на руку взломщикам, которые постараются обойти системы защиты. Однако известно, что Azure имеет аттестацию на соответствие стандартам PCI-DSS, а это означает, что на платформе развернуты система сканирования на вирусы и система обнаружения хакерских программ, включающие в себя гипервизоры и другие системы. Помните, что для рабочих процессов IaaS важно разворачивать свою систему защиты от хакерских программ внутри виртуальных машин (например, бесплатную Microsoft Endpoint Protection либо другую систему защиты). Всегда помните о «защите в глубину». Основные действия при использовании Azure IaaS следующие:

  • запустите защиту против хакерских программ;
  • убедитесь, что внутри виртуальной машины активирован сетевой экран;
  • минимизируйте конечные точки, доступные для виртуальных машин, и создавайте только те конечные точки, которые действительно необходимы;
  • установите исправления на операционную систему и приложения;
  • разверните те политики, которые помогут усилить защиту среды;
  • проводите мониторинг служб.

В. Доступна ли функция очистки диска в Windows Server?

О. Функция очистки диска Disk Cleanup реализована как утилита, доступная на клиентских системах Windows. Она может помочь вернуть утерянное пространство на диске, за счет удаления временных файлов, файлов установки, файлов веб-кэша, дампов памяти и т.д. Эта функция не включена в Windows Server по умолчанию. Однако если вы включите функцию пользовательского интерфейса клиента Desktop Experience User Interface, то утилита Disk Cleanup будет доступна. Просто запустите cleanmgr.exe для вызова инструмента.

В. Если у меня установлено две виртуальные машины, использующие функцию SR-IOV, предоставляемую одной и той же сетевой картой, будет ли трафик пересылаться к подсоединенному коммутатору сети?

О. Нет. SR-IOV дает сетевому адаптеру возможность обеспечивать «виртуальные функции», которые действуют подобно виртуальным сетевым адаптерам, идущим прямо к адаптерам виртуальных машин (vmNIC). Последние имеют настройки для SR-IOV, позволяющие обходить коммутатор Hyper-V и обеспечить малое время задержки, но при этом теряется способность использовать свойства коммутатора Hyper-V. Каждая виртуальная функция на адаптере сопоставлена одной vmNIC. Если несколько виртуальных машин на одном и том же хосте имеют свои vmNIC, которые подсоединены к виртуальным функциям одной и той же физической сетевой карты, тогда трафик не будет отсылаться на коммутатор сети. Вместо этого сетевой адаптер действует как коммутатор, и через аппаратно-встроенный коммутатор выполняется маршрутизация от виртуальной функции к виртуальной функции (VF-VF). Это означает, что если используется SR-IOV, трафик между виртуальными машинами, использующими SR-IOV на одном и том же сетевом адаптере, никогда не покинет хост, так же как и трафик между виртуальными машинами на одном и том же хосте Hyper-V, использующем виртуальный коммутатор Hyper-V, никогда не покидает хост.

В. Нужен ли мне сервер лицензирования Windows vNext Remote Desktop Licensing для того, чтобы выполнять лицензирование для сервера Windows vNext Remote Desktop?

О. Да. Вам всегда нужен сервер лицензирования, запускающий ту же самую операционную систему или более новую версию ОС, чем у сервера, запрашивающего лицензию Remote Desktop. Замечу, что для использования демонстрационных версий предусмотрен льготный период для лицензий Remote Desktop, что позволяет не разворачивать серверы лицензирования для Remote Desktop.

В. Могу ли я инициировать действия Azure Automation локально?

О. Azure Automation представляет собой набор процессов PowerShell Workflow, запускаемый в Azure, а это означает, что любая конечная точка, к которой есть доступ из PowerShell через Интернет, может быть активирована из Azure Automation. Однако инициирование чего-либо локально означает, что конечная точка доступна из Интернета, что обычно вызывает проблемы. На самом деле вопрос надо ставить иначе: есть ли безопасный способ инициировать действия локально из Azure Automation?

Azure Automation на сегодня не поддерживает управление какими-либо межсайтовыми возможностями VPN, которые у вас могут быть при соединении Azure с локальной сетью, что означает доступ из конечной точки прямо в Интернет. Вместо открытия конечной точки WinRM каждой системы, которой вы хотите управлять по Интернету из Azure Automation, лучше локально открыть единственную виртуальную машину для Azure Automation, через которую будет осуществляться управление. Эта машина будет играть роль шлюза. Такой подход минимизирует зону, открытую для доступа из Интернета, а вы можете сосредоточиться на мониторинге и защите одной виртуальной машины. Преимуществом этого подхода также является наличие единственной системы, которая требует установки всех необходимых модулей PowerShell.

Как правило, требуется активировать аутентификацию CredSSP на шлюзовой виртуальной машине для того, чтобы разрешить идентификационным данным проходить в модули интеграции, которые вы вызываете. Пример вызова виртуальной машины в Azure из последовательности задач приведен в статье Microsoft»How to use a PS Command on a remote Azure VM from a Runbook«(gallery.technet.microsoft.com/scriptcenter/How-to-Use-a-PowerShell-59b2e28c).

В. Я использую веб-сайты Azure Websites, но не понимаю, каким образом загружать в них содержимое?

О. При создании Azure Websites существует несколько способов формировать их содержимое. Например, контент может быть развернут прямо из инструментов разработки, таких как Visual Studio. Если вам нужно использовать подход для развертывания, основанный на файлах, такой как FTP, тогда необходимо получить набор учетных данных, которые будут действительны для FTP. Для этого нужно выполнить следующие шаги:

  1. Перейдите на страницу веб-сайта на портале Azure.
  2. Выберите вкладку Dashboard.
  3. В разделе быстрых действий выберите ссылку Set up deployment credentials («Настройка идентификационных данных развертывания»), как показано на экране.
  4. Введите имя пользователя и пароль, который вы хотите использовать. Эти данные применимы для Git и FTP. Щелкните на значке галочки, чтобы завершить создание учетной записи. Замечу, что выбранное имя должно быть уникальным глобально (то есть не применяться пользователем Azure), поэтому следует выбрать имя пользователя, уникальное для вас.

 

Настройка идентификационных данных развертывания
Экран. Настройка идентификационных данных развертывания

Теперь вы можете получить доступ по FTP к своему сайту, используя идентификационные данные, которые создали. Адрес FTP выводится на панели мониторинга под FTP Host Name.

В. Что такое планы веб-хостинга Web Hosting Plan для сайтов Azure Website?

О. Существует несколько уровней обслуживания, доступных для Azure Websites, такие как бесплатный и общий доступ, базовый и стандартный. Вместо выбора уровня при создании Azure Websites вы указываете существующий план веб-хостинга Web Hosting Plan или создаете новый. План веб-хостинга использует особый уровень обслуживания. Веб-сайты Azure, размещенные в одном плане веб-хостинга, коллективно используют инфраструктуру. Например, если выбран стандартный уровень Standard с пятью экземплярами, то в инфраструктуре Azure создаются пять виртуальных машин. Если два веб-сайта Azure разворачиваются в одном и том же плане веб-хостинга, то эти два Azure Websites совместно используют пять виртуальных машин. Если уровень плана веб-хостинга меняется, то это повлияет на все веб-сайты Azure, которые используют план веб-хостинга.

В. Как мне создать высокодоступный VPN-шлюз типа «сайт-сайт» из локальной сети к Azure?

О. Шлюз VPN типа «сайт-сайт» из локальной сети к Azure может быть создан с помощью многочисленных типов шлюзовых устройств и даже с помощью Windows Server RRAS. Разработчики Microsoft подготовили исчерпывающее пошаговое руководство для внедрения высокодоступного шлюза VPN типа «сайт-сайт» с использованием Hyper-V и кластера. Это руководство следует почитать, даже если вы не планируете использовать его для вашего VPN-шлюз типа «сайт-сайт» из локальной сети к Azure; в нем рассматривается несколько интересных вариантов, которые связаны с сетевыми компонентами.

В. Если мой кластер становится разделенным и существующий узел уже обладает базовыми ресурсами кластера, сохранит ли этот узел и его раздел свидетеля общих файловых ресурсов и, таким образом, кворум?

О. У Microsoft есть великолепная статья, в которой подробно описана конфликтная ситуация свидетеля общих файловых ресурсов. Обратитесь к сообщению в журнале Тима МакМайкла»File Share Witness (FSW) placement and the cluster group«(blogs.technet.com/b/timmcmic/archive/2009/04/26/file-share-witness-fsw-placement-and-the-cluster-group.aspx). Хотя эта статья была написана в 2009 году и внимание в ней акцентировано на Windows Server 2008, логика разрешения конфликтной ситуации не изменилась и в Windows Server 2012 R2, поэтому содержание статьи актуально.

Это означает, что узел, который в данный момент обладает базовыми ресурсами кластера, сначала попытается заблокировать свидетеля общих файловых ресурсов и, таким образом, убедиться, что его раздел создает кворум и продолжает работу. Другие узлы в кластере будут в состоянии покоя в течение шести секунд во время процесса разрешения конфликтной ситуации. Только через шесть секунд эти узлы смогут попытаться заблокировать свидетеля общих файловых ресурсов, который будет сохранять свой голос для создания кворума раздела.

В. Сертифицированы ли Windows 8 и Windows Server 2012 по общим критериям в ассоциации National Information Assurance Partnership (NIAP)?

О. Да. С 9 января 2015 года Windows 8 (Professional и Enterprise) и Windows Server 2012 (Standard и Datacenter) являются сертифицированными по общим критерия в NIAP для компьютеров, подсоединенных к домену. Windows 8 и Windows RT не подсоединяются к домену, но также сертифицированы. Подробности вы можете найти здесь: https://www.niap-ccevs.org/st/Compliant.cfm?pid=10620.

В. Как мне создать запланированное задание, которое запускается при загрузке системы, с помощью PowerShell?

О. Чтобы создать запланированное задание с помощью PowerShell, вы можете использовать следующий код (имейте в виду, что вызов PowerShell потребует повышенных привилегий):

#Create a new trigger that is configured to trigger at startup
$STTrigger = New-ScheduledTaskTrigger –AtStartup
#Name for the scheduled task
$STName =»Running Task 1«
#Action to run as
$STAction = New-ScheduledTaskAction -Execute»image.exe«
#Configure when to stop the task and how long it can run for. In this example it does not stop on idle and uses the maximum possible duration by setting a timelimit of 0
$STSettings = New-ScheduledTaskSettingsSet -DontStopOnIdleEnd -ExecutionTimeLimit ([TimeSpan]::Zero)
#Configure the principal to use for the scheduled task and the level to run as
$STPrincipal = New-ScheduledTaskPrincipal -GroupId»BUILTIN\Administrators«-RunLevel»Highest"
#Register the new scheduled task
Register-ScheduledTask $STName -Action $STAction -Trigger $STTrigger -Principal $STPrincipal -Settings $STSettings