Что собой представляет разбиение на уровни в службе Azure Files Sync?

Azure Files Sync перемещает файлы между вашим локальным файловым сервером и службой Azure Files. Когда файл делится на уровни, фильтр файловой системы Azure Files Sync локально заменяет файл на указатель. Так, все содержимое файла, которое вы использовали последним, можно сохранить в «облако» (в Azure Files), и у вас появится больше дискового пространства в локальной среде. Однако если к файлу выполняется доступ, указатель обеспечивает автоматическую загрузку файла из Azure Files конечному пользователю незаметным образом (иначе была бы задержка из-за загрузки).

Я использую Azure Files Sync и замечаю, что файлы не разбиваются по уровням сразу. Почему это происходит?

Файлы не разбиваются по уровням автоматически. Может пройти несколько часов, пока не выполнится мгновенная копия, а потом появится реальное разбиение по уровням.

Могу ли я принудительно выполнить разбиение по уровням для данных в Azure Files Sync?

Да. Используя следующую команду PowerShell, вы можете принудительно выполнить разбиение по уровням:

Import-Module "C:\Program Files\Azure\
   StorageSyncAgent\StorageSync.Management.
   ServerCmdlets.dll"
Invoke-StorageSyncCloudTiering -Path 

У меня есть группа доступности Availability Set, и я хочу подключиться к управляемым дискам. Как мне это сделать?

Самый простой способ подключить все виртуальные машины к управляемым дискам, а это гарантия того, что для каждого домена с обработкой отказа будут использоваться разные кластеры системы хранения, — запустить команду PowerShell, приведенную в листинге 1 (измените ресурсную группу и имя группы доступности).

Как мне проверить, обеспечивается ли защита ключа в Azure Key Vault программным обеспечением или HSM?

Чтобы проверить, выполняется защита ключа программным образом или с помощью HSM, используйте следующую команду PowerShell:

PS C:\> (Get-AzureKeyVaultKey -VaultName 'SavillVault'
   -Name JohnKeySoft).key.Kty
RSA
PS C:\> (Get-AzureKeyVaultKey -VaultName 'SavillVault'
   -Name JohnKeyHSM).key.Kty
RSA-HSM

Я создал образ из виртуальной машины с помощью управляемых дисков, но теперь виртуальная машина, которая использовалась в качестве исходной, не запускается. Почему?

Когда вы создаете образ из виртуальной машины, исходная машина, как правило, является единым целым, как бы подготовленной SYSPREP, и даже если вы не запускали SYSPREP, виртуальная машина продолжает считаться единым целым. А это означает, что она не будет работать. Вы не можете изменить вариант одного исходного образа. Вместо этого вам нужно удалить виртуальную машину, которая была исходной, и создать новую, используя существующий диск. В листинге 2 показаны команды PowerShell, которые заново создают виртуальную машину, используя управляемый диск и местоположения в группе доступности.

В чем разница между ключом, защищенным программным образом, и ключом, защищенным аппаратным модулем HSM, в хранилище ключей Azure Key Vault?

Оба типа ключа представляют собой ключ, который хранится в модуле HSM. Разница состоит в том, что для ключа, защищенного программным путем, криптографические операции выполняются в программном обеспечении при работе виртуальных машин, тогда как в случае защищенных HSM ключей криптографические операции выполняются внутри HSM.

При разработке и тестировании желательно выбирать вариант защиты программным обеспечением, а вот при реальной эксплуатации рекомендуется защищенный HSM ключ. Единственный недостаток применения защищенного HSM ключа — это дополнительная плата каждый месяц, если ключ в этом месяце использовался.

Нужно ли иметь отдельные каналы ExpressRoute, если в определенных случаях мне требуется специально выделенная полоса пропускания?

Несколько виртуальных сетей могут быть подсоединены к одному каналу ExpressRoute. Все соединения делят полосу пропускания с накладываемыми службой Quality of Service ограничениями (для управления использованием трафика), кроме трафика для Skype. Если у вас есть рабочий процесс, который должен иметь определенную полосу пропускания, то существует два варианта:

  1. Использовать виртуальное устройство Network Virtual Appliance для обеспечения нужных значений QoS или размера трафика.
  2. Задействовать отдельные каналы ExpressRoute, чтобы отделить трафик важного приложения от всех остальных.

Как я могу создавать и читать секретную информацию в Azure Key Vault, используя PowerShell?

Недавно я попытался поработать с Azure Key Vault, используя команды PowerShell. Мне хотелось сохранить особый пароль в Key Vault, который впоследствии мог бы использоваться сценарием (обратите внимание, что на практике я бы спрятал ACL в хранилище ключей, чтобы ограничить его применение, и, может быть, к нему был бы доступ только зарегистрированному приложению, причем так, чтобы оно могло только читать его). Пример приведен в листинге 3.

При переходе от неуправляемых дисков к управляемым существует ли способ перейти от версии Standard к Premium?

Управляемые диски позволяют не беспокоиться об учетных записях хранилища и ограничениях, с ними связанных. Вместо этого диск становится первоклассным ресурсом Azure. Очень просто конвертировать неуправляемый диск в управляемый с помощью команды ConvertTo-AzureRmVMManagedDisk. Вы можете подключиться к такому же типу, то есть от версии Standard неуправляемых дисков перейти к версии Standard управляемых дисков. Если вы хотите выполнить переход от версии Standard неуправляемых дисков к версии Premium управляемых дисков, вам нужно выполнить следующие шаги:

  1. Убедитесь, что виртуальная машина была такого типа, который поддерживает версию Premium, а именно <ресурс>S (DS, FS, GS и т. д.).
  2. Завершите работу виртуальной машины.
  3. Измените виртуальную машину на использование управляемых дисков по команде ConvertTo-AzureRmVMManagedDisk.
  4. После запуска виртуальной машины поменяйте управляемый диск с версии Standard на версию Premium в свойствах диска.
  5. Перезагрузите виртуальную машину.

Мне нужно удалить неработающий контроллер домена DC с Windows Server 2016. Следует ли мне задействовать NTDSUTIL?

В ранних версиях службы каталогов Active Directory, если у вас был нерабочий DC, который не отвечал, вам надо было использовать NTDSUTIL и выполнять очистку метаданных для удаления всех признаков DC на сервере. Но в новых версиях службы каталогов этого делать не требуется. Выполните следующие шаги:

  1. В оснастке AD Users and Computers удалите объект компьютера в разделе Domain Controllers OU.
  2. В оснастке AD Sites and Services удалите объект сервера в нужном сайте.
  3. Там же, в разделе AD Sites and Services, раскройте раздел DC на сайте, щелкните правой кнопкой мыши на объекте NTDS Settings и выберите пункт меню All Tasks, Check Replication Topology.

Тем не менее с помощью NTDSUTIL вы можете убедиться, что все очищено. Кроме того, мне нравится запускать команду repadmin/syncall, а не repadmin/showrepl. В листинге 4 показано, что надо сделать для проверки при помощи NTDSUTIL.

Как можно вручную установить на компьютер компонент System Center Endpoint Protection?

Диспетчер настроек System Center Configuration Manager предоставляет встроенное антивирусное решение, которое называется System Center Endpoint Protection. Хотя развернуть его при помощи диспетчера Configuration Manager довольно просто, вы можете установить клиентскую часть и вручную. Для этого выполните следующие шаги:

  1. Перейдите в папку C:\Program Files\Microsoft Configuration Manager\Client на сервере Configuration Manager.
  2. Скопируйте файлы ep_defauiltpolicy.xml и scepinstall.exe в общую папку.
  3. На целевом сервере, имеющем доступ к этим файлам, запустите команду scepinstall.exe/policy\ep_defaultpolicy.xml.

Когда установка будет выполнена, обновите клиентскую часть, а потом выполните сканирование. Файлы антивирусных определений будут обновляться через службу обновления Windows Update.

Как назначить роль администратора с ограниченным набором функций в службе каталогов Azure AD через портал?

В службе каталогов Azure AD доступен ряд ролей, однако если вы посмотрите на доступные роли пользователя и службы каталога, то увидите только три:

  • Пользователь User.
  • Администратор с полным набором функций Global administrator.
  • Администратор с ограниченным набором функций Limited administrator.

Что касается других ролей, таких как администратор Intune Administrator, администратор по вопросам соответствия требованиям Compliance Administrator и т. д., то вам надо выбрать Limited administrator, и эти дополнительные роли будут показаны. Обратите внимание, что если роль, которая вам нужна, не отображается, то, возможно, она представлена на специальном портале (см. экран).

 

Назначение специфических ролей
Экран. Назначение специфических ролей

Как приобрести лицензию Intune на каждое устройство?

Лицензии Microsoft Intune на устройство не существует. Устройства имеют привязку к учетным записям пользователей, и каждый пользователь может привязать к своей учетной записи до пяти устройств.

У меня много устройств, которые не привязаны к конкретному пользователю, а мне бы хотелось зарегистрировать их в Intune. Как это сделать?

Для каждого пользователя, имеющего лицензию в Intune, у вас может быть до пяти управляемых устройств. Однако если у вас имеется большое количество устройств, которые являются частью активов организации (как противовес тому, что устройство привязано к определенному пользователю), вы можете задействовать систему управления подготовки устройств Device Enrollment Management, что позволяет регистрировать на пользователя до 1000 устройств.

При этом нужно учесть несколько требований:

  • администратор должен иметь лицензию EMS E3 (или выше);
  • администратор должен иметь права Global Administrator или Intune Service Administrator;
  • администратору должна быть назначена роль менеджера Device Enrollment.

Чтобы назначить роль менеджера Device Enrollment, перейдите к Microsoft Intune на портале Azure, выберите область Device enrollment, а затем укажите раздел Device enrollment managers и добавьте пользователя.

Могу ли я использовать хранилище Azure Backup для защиты рабочих приложений нескольких абонентов с разными подписками?

Нет. Резервирование ресурсов может быть реализовано в хранилище Azure Backup с той же самой подпиской, что и сам ресурс. Это означает, что вам может потребоваться как минимум одно хранилище резервных копий (экземпляр службы восстановления) на каждую подписку или, возможно, больше, в зависимости от используемых регионов.

Могу ли я использовать Azure Files Sync с любой файловой системой?

Хотя служба Azure Files Sync и нацелена на репликацию из общего файлового ресурса на базе SMB, агент синхронизации файлов продолжает запускаться напрямую в файловой системе, поэтому поддерживается только NTFS. Любая другая файловая система не поддерживается.

Я знаю, что Azure Files Sync поддерживает списки контроля доступа Azure Control Lists (ACL). Означает ли это, что ACL задействуются, если доступ к ним осуществляется через службу Azure Files?

Информация списка ACL копируется в Azure Files, поэтому, если файлы реплицируются на другой файловый сервер, основанный на Windows, списки ACL могут применяться. Однако сама по себе служба Azure Files не интегрируется со службой каталогов AD и, таким образом, не может применять ACL.

Как мне изменить управление групповой политикой Group Policy?

У Microsoft есть инструмент, который является частью пакета оптимизации Microsoft Desktop Optimization Pack — это модуль расширенного управления групповыми политиками Microsoft Advanced Group Policy Management (AGPM). Данный инструмент требует установки серверного компонента, который затем интегрируется с панелью управления групповой политикой Group Policy Management. В результате у вас будет доступ к ряду возможностей, включая внесение и удаление объектов групповой политики. Для каждой такой операции внесения выводятся сведения о версии, которые также показывают разницу между версиями.

Инструмент лицензируется для пользовательских компьютеров, но, если все компьютеры в сетевой среде лицензированы, он может применяться и для серверов.

Листинг 1. Подключение виртуальных машин к управляемым дискам
$rgName = 'RGEastUSMinecraft'
$avSetName = 'ASEASTUSWEBSRV'

$avSet = Get-AzureRmAvailabilitySet -ResourceGroupName $rgName -Name $avSetName
Update-AzureRmAvailabilitySet -AvailabilitySet $avSet -Sku Aligned

foreach($vmInfo in $avSet.VirtualMachinesReferences)
{
    $vm = Get-AzureRmVM -ResourceGroupName $rgName | Where-Object {$_.Id -eq $vmInfo.id}
    Write-Output $vm.Name
    Stop-AzureRmVM -ResourceGroupName $rgName -Name $vm.Name -Force
    ConvertTo-AzureRmVMManagedDisk -ResourceGroupName $rgName -VMName $vm.Name
Листинг 2. Создание виртуальной машины с управляемым диском
$rgName = "RGSavillEastRG"
$location = "East US"
$vmName = "SavTechESTNP2"
$computerName = "SavTechESTNP2"
$vnetName = "EastERVnet"
$vnetsub = "InfraStaticInfra"
$vmsize = 'Standard_A2'
$assetname = 'ASSAVNPS'
$osDiskName = "SavTechESTNP2_SavTechESTNP2"

$disk = get-azurermdisk -ResourceGroupName $rgName -DiskName $osDiskName
$vnet = Get-AzureRmVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnetId = (Get-AzureRmVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $vnetsub).Id

$nic = New-AzureRmNetworkInterface -Force -Name ('nic' + $vmName) -ResourceGroupName $rgname `
    -Location $location -SubnetId $subnetId -PrivateIpAddress 10.242.63.32 -DnsServer 10.242.63.11, 10.242.63.12

$avSet = Get-AzureRmAvailabilitySet -ResourceGroupName $rgName -Name $assetname

$vm = New-AzureRmVMConfig -VMName $vmName -VMSize $vmsize -AvailabilitySetId $avSet.Id
$vm = Add-AzureRmVMNetworkInterface -VM $vm -Id $nic.Id
$vm = Set-AzureRmVMOSDisk -VM $vm -Name $osDiskName -ManagedDiskId $disk.Id -CreateOption Attach -Windows
New-AzureRmVM -ResourceGroupName $rgName -Location $location -VM $vm
Листинг 3. Работа с Azure Key Vault
#Create a new vault that supports HSM-protected keys (premium)
New-AzureRmKeyVault -VaultName 'SavillVault' -ResourceGroupName 'RG-SCUSA' -Location 'South Central US' -SKU Premium
#Create a new secret
$secretvalue = ConvertTo-SecureString 'Pa55wordT0p' -AsPlainText -Force

#Store the secret in Azure Key Vault
$secret = Set-AzureKeyVaultSecret -VaultName 'SavillVault' -Name 'JohnPassword' -SecretValue $secretvalue

#Look at the URL and value
$secret.Id
$secret.SecretValue

#Get the secret text
(Get-AzureKeyVaultSecret -VaultName 'SavillVault' -Name JohnPassword).SecretValueText
Листинг 4. Проверка бывшего контроллера домена при помощи NTDSUTIL
C:\Windows\system32>ntdsutil
ntdsutil: activate instance ntds
Active instance set to "ntds".
ntdsutil: partition management
partition management: connections
server connections: connect to server dal-dc02
Binding to dal-dc02 ...
Connected to dal-dc02 using credentials of locally logged on user.
server connections: quit
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: list sites
Found 1 site(s)

0 - CN=Dallas,CN=Sites,CN=Configuration,DC=SAVILLTECH,DC=NET
select operation target: select site 0
Site - CN=Dallas,CN=Sites,CN=Configuration,DC=SAVILLTECH,DC=NET
No current domain
No current server
No current Naming Context
select operation target: list servers in site
Found 3 server(s)
0 - CN=DAL-DC01,CN=Servers,CN=Dallas,CN=Sites,CN=Configuration,
   DC=SAVILLTECH,DC=NET
1 - CN=DAL-DC03,CN=Servers,CN=Dallas,CN=Sites,CN=Configuration,
   DC=SAVILLTECH,DC=NET
2 - CN=DAL-DC02,CN=Servers,CN=Dallas,CN=Sites,CN=Configuration,
   DC=SAVILLTECH,DC=NET
select operation target: quit
metadata cleanup: quit
ntdsutil: quit