На вопросы читателей отвечает Джон Сэвилл

Джон Сэвилл (jsavill@windowsitpro.com) — директор по технической инфраструктуре компании Geniant, имеет сертификаты CISSP, Security and Messaging MCSE для Windows Server 2003 и звание MVP

Какие существуют версии Windows Server 2012?

Компания Microsoft упростила процесс лицензирования Windows Server 2012. По функциональности версии не различаются. Как и в случае с System Center 2012, лицензирование отражает права на использование виртуализации и зависит от числа процессоров.

* Windows Server 2012 Datacenter — высокая плотность виртуализации с неограниченным числом виртуальных экземпляров.

* Windows Server 2012 Standard — низкая плотность или отсутствие виртуализации; права на два виртуальных экземпляра.

Каждая лицензия для Windows Server 2012 Datacenter или Standard охватывает два физических процессора (то же, что для System Center 2012). Не существует функциональных различий между редакциями Standard и Datacenter, которые располагают одинаковыми функциями, возможностями использования памяти и процессоров. Это означает, что в редакции Standard есть такие функции, как отказоустойчивая кластеризация.

Для доступа к Windows Server по-прежнему требуются клиентские лицензии. Таким образом формируется единая лицензионная модель для Windows Server, System Center и ECI. Кроме того, обратите внимание на следующие особенности редакций Windows Server 2012.

* Windows Server 2012 Essentials — права на использование виртуализации отсутствуют; до 25 пользовательских учетных записей и 50 устройств. Заменяет Small Business Essentials. Функциональность несколько ограничена, поддерживает только два процессора.

* Windows Server 2012 Foundation — права на использование виртуализации отсутствуют; до 15 пользователей. Предназначенное только OEM-производителям предложение для однопроцессорных серверов.

Для Windows Server 2012 нет редакций HPC, Web и Enterprise.

Цена лицензии Windows Server 2012 Datacenter осталась неизменной (4809 долл.); цена Standard выросла на 22 % (новая цена — 882 долл.). Новая цена отражает увеличение с одного до двух прав на виртуальные экземпляры и дополнительные возможности, ранее доступные только в редакции Enterprise.

При миграции лицензий для участников программы Software Assurance действуют следующие правила:

* Windows Server 2008 R2 Datacenter (2) -> (1) Windows Server 2012 Datacenter (каждая лицензия распространяется на два процессора);

* Windows Server 2008 R2 Standard (1) -> (1) Windows Server 2012 Standard;

* Windows Server 2008 R2 Enterprise (1) -> (2) Windows Server 2012 Standard (Enterprise поставляется с правами на 4 виртуальных экземпляра; Standard — на 2 виртуальных экземпляра);

* Windows Web Server 2008 R2 (2) -> (1) Windows Server 2012 Standard (цена редакции Web Server приблизительно вдвое меньше, чем у Standard; большинство развертываний Web Server производится в виртуальной среде, редакция Standard дает права на два виртуальных экземпляра, поэтому число экземпляров не уменьшается);

* Windows HPC Server 2008 R2 (1) -> (1) Windows Server 2012 Standard (обладатели Windows Server 2012 смогут бесплатно загрузить пакет HPC).

Несколько лицензий можно бесплатно применить к одному серверу (накопительно), чтобы получить необходимые права на использование виртуализации. Например, если для физического сервера с двумя процессорами нужно четыре виртуальных экземпляра, назначьте этому серверу две лицензии Windows Server 2012 Standard.

Если требуется шесть виртуальных экземпляров, можно назначить три лицензии Windows Server 2012 Standard. Помните, что редакция Standard не обеспечивает мобильности виртуальных экземпляров, но права на перенос виртуальных экземпляров редакции Datacenter не ограничены. Возможен переход от редакции Standard к Datacenter.

На веб-узле Windows Server 2012 можно найти официальное объявление, наряду с вопросами и ответами по лицензированию и обзорным документом на сайте загрузок.

Как вручную чисто выполнить дефрагментацию диска или использовать утилиту Chkdsk на томе Cluster Shared Volume (CSV)?

С томами CSV связаны некоторые трудности, так как они обращаются к нескольким узлам в кластере непосредственно через прямые процедуры ввода-вывода, что позволяет одновременно читать и записывать LUN.

Тома CSV блокируются на уровне файлов, а не LUN, поэтому при попытке дефрагментировать диск или использовать утилиту Chkdsk на томе CSV, когда узлы выполняют прямой доступ, файлы будут блокированы другими узлами, и операция завершится неудачей. Поэтому у пользователя есть два варианта, и выбор зависит от выполняемых действий по обслуживанию. Возможен перенаправленный доступ к CSV, при котором только узел координатора обращается к LUN, а все остальные узлы передают запросы ввода-вывода координатору с использованием SMB2. Другой способ — включить обслуживание, и в этом случае CSV удаляется из пространства имен ClusterStorage, а все виртуальные машины, использующие том CSV, останавливаются.

Ниже показан минимальный уровень CSV для выполнения различных действий. Перенаправленный доступ предпочтительнее обслуживания, так как в последнем случае ресурсы переводятся в автономный режим.

* ChkDsk — только отчеты, требуется перенаправленный доступ.

* ChkDsk /f — устранение ошибок, требуется обслуживание.

* Defrag /a — только анализ, требуется перенаправленный доступ.

* Defrag /d — только дефрагментация, требуется перенаправленный доступ.

Интересно, что ChkDsk и Defrag предназначены для работы с диском, а не точкой повторной обработки в каталоге %systemdrive%\ClusterStorage, поэтому для передачи команд нужно знать идентификатор GUID диска. В действительности использование GUID — единственный вариант в режиме обслуживания, так как LUN невидим в пространстве имен ClusterStorage. Если попытаться передать путь, такой как C:\ClusterStorage\VolumeX, команда запустит действие на диске C. Это не тот результат, который нам нужен. Поэтому необходимо выполнить несколько действий.

1. Переместить CSV в узел, на котором выполняются команды.
2. Получить GUID тома CSV.
3. Перевести CSV в режим перенаправленного доступа или обслуживания, в зависимости от выполняемого действия.
4. Выполнить действие с использованием индентификатора GUID диска.
5. Вывести диск из режима обслуживания и активизировать прямой доступ.

Пункты 1, 3 и 5 можно выполнить из интерфейса Failover Cluster Management, но далее будет показано, как выполнить все шаги из оболочки PowerShell. Во-первых, загрузите библиотеку Failover Cluster в PowerShell, запустите экземпляр PowerShell с повышенными правами. Get-Module не обязателен, но он показывает, что модуль загружен.

PS C:\Users\savadmin> Import-Module failoverclusters
PS C:\Users\savadmin> Get-Module
Name: failoverclusters
Path:
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\failoverclusters\failoverclusters.psd1

Чтобы переместить CSV в локальный узел, используйте команду Move-ClusterSharedVolume, как показано ниже.

PS C:\Users\savadmin> Move-ClusterSharedVolume «Cluster Disk 3»
-Node $env:computername
Name State Node
— ----- ----
Cluster Disk 3 Online savdalvs01

Чтобы получить идентификатор GUID диска, используйте команду Get-ClusterSharedVolume и направьте вывод в fc*, команду для получения всех параметров. Нужен атрибут Name в классе ClusterDiskpartitionInfo, как показано ниже. При передаче в Fc* выполняется специальное форматирование с использованием команды Format-Custom.

PS C:\Users\savadmin> Get-ClusterSharedVolume «Cluster Disk 3» | fc
*
class ClusterSharedVolume
{
Name = Cluster Disk 3
State = Online
OwnerNode =
class ClusterNode
{
Name = savdalvs01
State = Up
}
SharedVolumeInfo =
[
class ClusterSharedVolumeInfo
{
FaultState = NoFaults
FriendlyVolumeName = C:\ClusterStorage\Volume2
Partition =
class ClusterDiskPartitionInfo
{
Name = \\?\Volume{3803bb0f-05b0-11de-bb45-001fbc00f79d}
DriveLetter =

Переместите CSV в режим перенаправления или обслуживания с помощью команды Suspend-ClusterResource. Команды показаны ниже, сначала для режима перенаправления, затем для режима обслуживания. Очевидно, что нужно использовать только одну из команд.

PS C:\Users\savadmin> Get-ClusterSharedVolume «Cluster Disk 3» |
Suspend-ClusterResource -RedirectedIO
Suspend-ClusterResource
Are you sure that you want to enable redirected IO for Cluster Shared
Volume 'Cluster Disk 3'?
[Y] Yes [N] No [S] Suspend [?] Help (default is «Y"): Y
Name State Node
— ----- ----
Cluster Disk 3 Online savdalvs01
PS C:\Users\savadmin> Get-ClusterSharedVolume "Cluster Disk 3» |
Suspend-ClusterResource
Suspend-ClusterResource
Are you sure you want to enable maintenance for Cluster Shared Volume
'Cluster Disk 3'? Putting this shared volume into
maintenance will take all services or applications using this volume
offline and interrupt client access.
[Y] Yes [N] No [S] Suspend [?] Help (default is «Y"): Y
Name State Node
— ----- ----
Cluster Disk 3 Online savdalvs01
Теперь можно запускать такие команды, как chkdsk или defrag, используя идентификатор GUID диска из приглашения cmd.exe.
C:\Users\savadmin>chkdsk /f
\\?\Volume{3803bb0f-05b0-11de-bb45-001fbc00f79d}
The type of the file system is NTFS.
Volume label is Test.

По завершении верните том CSV в режим прямого доступа с помощью команды Resume-ClusterResource.

PS C:\Users\savadmin> Get-ClusterSharedVolume "Cluster Disk 3» |
Resume-ClusterResource
Name State Node
— ----- ----
Cluster Disk 3 Online savdalvs01

Наконец, если применялся режим обслуживания, нужно вручную запустить любые виртуальные машины, которые использовали том CSV. Сделать это можно с помощью команды Start-ClusterResource.

PS C:\Users\savadmin> Start-ClusterResource «Virtual Machine
savdalxpvrt»
Name State Group ResourceType
— ----- — ------------
Virtual Machine savdalxpvrt Online savdalxpvrt Virtual Machine

В версии Server 2008 R2 есть команда PowerShell, которая автоматически выполнит все необходимые операции.

Если один узел в кластере теряет прямой доступ к CSV и переключается в перенаправленный режим доступа, переключаются ли на перенаправленный доступ к данному тому CSV все остальные узлы в кластере?

Нет, в режим перенаправленного доступа переключается только узел, потерявший прямой доступ к CSV. Все остальные узлы по-прежнему используют прямой доступ.

В чем различия между режимами перенаправленного доступа и обслуживания для тома Cluster Shared Volume (CSV)?

Том CSV можно перевести в одно из четырех состояний.

Прямой доступ. В этом состоянии том CSV доступен для всех узлов в кластере как часть пространства имен ClusterStorage, и узлы в кластере напрямую обращаются к CSV при выполнении большинства операций ввода-вывода. Только операции с метаданными направляются в узел координатора.

Перенаправленный доступ. В этом состоянии том CSV доступен всем узлам в кластере, как часть пространства имен ClusterStorage, но все узлы в кластере, за исключением узла координатора, выполняют ввод-вывод через узел координатора. Трафик ввода-вывода пересылается через SMB2. Необходимо отметить, что узел, потерявший прямую связь с томом CSV (например, потеря связи iSCSI или повреждение кабеля Fibre Channel), автоматически переключается в перенаправленный режим для данного CSV, чтобы продолжить работу. Перенаправленный доступ используется в плановых ситуациях, когда требуются определенные действия, в ходе которых несколько узлов не могут одновременно обращаться или блокировать файлы, например при резервном копировании VSS.

Режим обслуживания. Если том CSV переведен в режим обслуживания, служба кластера на каждом узле выясняет, какие ресурсы используют том CSV, и останавливает их с помощью заранее заданных действий, например сохранения состояния или отключения. В результате никакие ресурсы не могут использовать том CSV. Затем CSV удаляется из пространства имен ClusterStorage. LUN остается в интерактивном режиме на узле координатора для определенных типов операций и доступен через идентификатор GUID тома CSV, или же можно добавить точку монтирования. Завершив обслуживание, нужно вручную запустить остановленные виртуальные машины.

Автономный режим. Если том CSV находится в автономном режиме, его содержимое недоступно ни одному узлу, и не используется в пространстве имен ClusterStorage.

Можно ли сочетать узлы с процессорами, поддерживающими трансляцию адресов второго уровня (SLAT), и узлы без SLAT в одном кластере Live Migration?

Да. SLAT использует возможности процессора, чтобы снизить нагрузку на гипервизор. Принцип действия SLAT заключается в том, чтобы освободить гипервизор от необходимости обслуживать теневые таблицы страниц для каждой виртуальной машины, сопоставляющей виртуальную память с физической. Если использовать SLAT на одних узлах, и не использовать на других, то это не окажет влияния на возможность сочетать их в одном кластере или переносить виртуальные машины между узлами. При переносе виртуальной машины на узел без SLAT нагрузка на гипервизор, естественно, возрастет, но функциональность не пострадает.

Я полагал, что Hyper-V в Windows Server 2008 R2 обеспечивает «горячее» подключение и удаление виртуальных хранилищ, но в параметрах виртуальной машины соответствующего режима нет. В чем дело?

«Горячее» подключение и удаление хранилищ (VHD или прямой доступ к физическому диску) возможно только на виртуальных контроллерах SCSI, но не виртуальных контроллерах IDE. Нельзя добавлять или удалять хранилище на контроллере IDE активной виртуальной машины. Установите виртуальный контроллер SCSI, чтобы реализовать преимущества «горячего» подключения и удаления хранилищ.

Что представляет собой символ продолжения командной строки Windows PowerShell?

Символ (`) используется в PowerShell для продолжения командной строки. С его помощью можно продолжить команду на нескольких строках, как в следующем примере:

PS D:\temp> write-host `
>> hello

Результат выполнения команды:

>>
hello

Какой символ применяется для продолжения командной строки cmd.exe?

Для продолжения командной строки cmd.exe служит символ «крышка» (^). С его помощью можно продолжать команду на нескольких строках, как в следующем примере:

Users\john>echo ^
More? hello world

Результат выполнения команды:

hello world

Как включить режим BitLocker на компьютере Windows Server 2008 или Windows Vista, если при установке операционной системы не был создан отдельный системный раздел?

В идеале при установке Server 2008 или Vista и более поздних версий создается раздел на 1,5 Гбайт, который будет использоваться в качестве загрузочного (отмечается как активный), а затем основной раздел, который будет системным разделом (с установленной основной операционной системой). Единственные данные в загрузочном разделе — файл bootmgr и содержимое загрузочной папки.

Если загрузочный раздел на 1,5 Гбайт создан не был, то для активизации BitLocker необходимо произвести манипуляции с компоновкой диска.

Сначала нужно создать раздел, который будет загрузочным. Если на диске есть пространство, не выделенное ни для какого раздела, просто подготовьте новый раздел на 1,5 Гбайт. Если лишних 1,5 Гбайт пространства нет, можно уменьшить существующий раздел с помощью оснастки Disk Management консоли MMC: выберите режим Shrink Volume и укажите величину, на которую нужно уменьшить раздел (например, 1500 Мбайт).

Затем следует загрузить компьютер с диска DVD с дистрибутивом Server 2008. Выберите режим Repair Computer, а затем Command Prompt после выбора нужного экземпляра Windows.

После этого требуется проверить разделы. Раздел C должен быть системным, а раздел D — новым разделом BitLocker на 1,5 Гбайт. Переключитесь на каждый раздел, чтобы убедиться в этом. В данном примере C — системный раздел, а D будет загрузочным.

Скопируйте содержимое загрузочной папки в новый загрузочный раздел.

xcopy c:\boot d:\boot /h /e
Does D:\boot specify a file name
or directory name on the target
(F = file, D = directory)? d

Обратите внимание, что в запросе содержится требование подтвердить, что целевой объект является файлом или папкой. Введите D для каталога.

C:\boot\BCD
C:\boot\BCD.LOG
C:\boot\BCD.LOG1
C:\boot\BCD.LOG2
C:\boot\bootstat.dat
C:\boot\memtest.exe
C:\boot\cs-CZ\bootmgr.exe.mui
C:\boot\da-DK\bootmgr.exe.mui
C:\boot\de-DE\bootmgr.exe.mui
C:\boot\el-GR\bootmgr.exe.mui
C:\boot\en-US\bootmgr.exe.mui
C:\boot\en-US\memtest.exe.mui
C:\boot\es-ES\bootmgr.exe.mui
C:\boot\fi-FI\bootmgr.exe.mui
C:\boot\Fonts\chs_boot.ttf
C:\boot\Fonts\cht_boot.ttf
C:\boot\Fonts\jpn_boot.ttf
C:\boot\Fonts\kor_boot.ttf
C:\boot\Fonts\wgl4_boot.ttf
C:\boot\fr-FR\bootmgr.exe.mui
C:\boot\hu-HU\bootmgr.exe.mui
C:\boot\it-IT\bootmgr.exe.mui
C:\boot\ja-JP\bootmgr.exe.mui
C:\boot\ko-KR\bootmgr.exe.mui
C:\boot\nb-NO\bootmgr.exe.mui
C:\boot\nl-NL\bootmgr.exe.mui
C:\boot\pl-PL\bootmgr.exe.mui
C:\boot\pt-BR\bootmgr.exe.mui
C:\boot\pt-PT\bootmgr.exe.mui
C:\boot\ru-RU\bootmgr.exe.mui
C:\boot\sv-SE\bootmgr.exe.mui
C:\boot\tr-TR\bootmgr.exe.mui
C:\boot\zh-CN\bootmgr.exe.mui
C:\boot\zh-HK\bootmgr.exe.mui
C:\boot\zh-TW\bootmgr.exe.mui
35 File(s) copied

Затем скопируйте файл bootmgr. И вновь появляется требование указать целевой файл или каталог. На этот раз выберите F для файла.

xcopy c:\bootmgr d:\bootmgr /h
Does D:\bootmgr specify a file name
or directory name on the target
(F = file, D = directory)? f
C:\bootmgr
1 File(s) copied

С помощью утилиты Diskpart сделайте 1,5-Гбайт раздел активным, как показано ниже. Перед выполнением следующих команд убедитесь, что выбран 1,5-Гбайт раздел.

diskpart
Microsoft DiskPart version 6.0.6001
Copyright (C) 1999-2007 Microsoft Corporation.
On computer: MINWINPC
DISKPART> list disk
Disk ### Status Size Free Dyn Gpt
— ------- ---- — ------- — ---
Disk 0 Online 186 GB 0 B
DISKPART> select disk 0
Disk 0 is now the selected disk.
DISKPART> list part
Partition ### Type Size Offset
— ----- ---- — ------- -------
Partition 1 Primary 1500 MB 1024 KB
Partition 2 Primary 49 GB 1501 MB
Partition 3 Primary 136 GB 50 GB
DISKPART> select part 1
Partition 1 is now the selected partition.
DISKPART> active
DiskPart marked the current partition as active.
DISKPART> exit
Leaving DiskPart...

Наконец, перезагрузите компьютер. Он должен загружаться с нового загрузочного раздела, и BitLocker будет доступен для активизации.

Почему не удается установить связь ни с одним компьютером вне локальной подсети?

Недавно я столкнулся именно с такой неполадкой. Соединение работало исправно, и вдруг я потерял связь со всеми компьютерами вне локальной подсети. Прервалось и соединение с Интернетом. Симптомы указывали на настройки шлюза, но я их не изменял. Ping-тестирование шлюза было выполнено успешно. Я запустил утилиту Ipconfig, что принесло следующие результаты.

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix. :

IPv6 Address.. .. .. .. .. .. .. : 2002:4cb7:32c7:1234:c13b:de8e:5abc:330f

Temporary IPv6 Address.. .. .. .. .: 2002:4cb7:32c7:1234:9c4d:fd1b:79c9:4318

Link-local IPv6 Address. .. .. .. .: fe80::c13b:de8e:5abc:330f%8

IPv4 Address.. .. .. .. .. .. .. : 192.168.1.15

Subnet Mask. .. .. .. .. .. .. .: 255.255.255.0

Default Gateway. .. .. .. .. .. .: fe80::21d:7eff:fe0d:1c91%8

0.0.0.0

192.168.1.1

Обратите внимание на вторую от конца строку: шлюз 0.0.0.0 (над настоящим шлюзом) имел приоритет, останавливая трафик вне подсети. Я распечатал таблицу маршрутизации с помощью команды

Users\john>route print

Ее результатом было:

===========================================================================

Interface List

8. ..00 1d 7d 07 a2 fc. ..... Realtek RTL8168B/8111B Family PCI-E Gigabit Ethe rnet NIC (NDIS 6.0)

1. .......................... Software Loopback Interface 1

13. ..00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter

12. ..02 00 54 55 4e 01. ..... Teredo Tunneling Pseudo-Interface

===========================================================================

IPv4 Route Table

===========================================================================

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 On-link 192.168.1.15 20

0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.15 266

127.0.0.0 255.0.0.0 On-link 127.0.0.1 306

127.0.0.1 255.255.255.255 On-link 127.0.0.1 306

127.255.255.255 255.255.255.255 On-link 127.0.0.1 306

169.254.0.0 255.255.0.0 On-link 192.168.1.15 30

169.254.255.255 255.255.255.255 On-link 192.168.1.15 266

192.168.1.0 255.255.255.0 On-link 192.168.1.15 266

192.168.1.15 255.255.255.255 On-link 192.168.1.15 266

192.168.1.255 255.255.255.255 On-link 192.168.1.15 266

224.0.0.0 240.0.0.0 On-link 127.0.0.1 306

224.0.0.0 240.0.0.0 On-link 192.168.1.15 266

255.255.255.255 255.255.255.255 On-link 127.0.0.1 306

255.255.255.255 255.255.255.255 On-link 192.168.1.15 266

===========================================================================

Persistent Routes:

Network Address Netmask Gateway Address Metric

0.0.0.0 0.0.0.0 192.168.1.1 Default

===========================================================================

Ничто не объясняло наличия шлюза 0.0.0.0, поэтому я решил удалить постоянные маршруты для шлюза.

Users\john>route delete 0.0.0.0 mask 0.0.0.0 OK!

Затем я проверил Ipconfig. Шлюз 0.0.0.0 вместе с обычным шлюзом 192.168.1.1 были удалены. Я вернулся к свойствам адаптера, установил шлюз по умолчанию, и шлюз 192.168.1.1 вновь появился (без 0.0.0.0). Проблема была решена.

Я не могу точно назвать причину неполадки. После некоторых изысканий я пришел к выводу, что причиной может быть несовместимость между Windows и маршрутизатором.

Как сохранить пароль восстановления BitLocker в Active Directory (AD)?

Схема Windows Server 2008 содержит обновление, благодаря которому пароль восстановления BitLocker можно хранить в дочернем объекте объекта компьютера, пригодного для работы с BitLocker. Это полезно сделать при развертывании BitLocker.

Если в компании используются контроллеры домена Server 2008 и новее, в изменениях схемы необходимости нет. При работе с Windows Server 2003 изучите статью Microsoft «Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information» (http://www.microsoft.com/en-us/download/details.aspx?id=13432).

Для активизации резервного копирования BitLocker нужно включить политику Turn on BitLocker backup to Active Directory Domain Services, которая находится в разделе Computer Configuration, Policies, Administrative Templates, Windows Components, BitLocker Drive Encryption.

Если использовать GPresult /v для исследования результирующего набора политик (RSoP) (параметр /v включает подробный вывод), то должен быть получен следующий результат:

GPO: BitLocker AD Recovery Store

KeyName: Software\Policies\Microsoft\FVE\RequireActiveDirectoryBackup

Value: 1, 0, 0, 0

State: Enabled

Если в компьютере включен режим BitLocker, то пароль восстановления сохраняется в дочернем объекте типа msFVE-RecoveryInformation. Обратите внимание, что собственно ключ восстановления хранится в атрибуте msFVE-RecoveryPassword. Дочерний объект будет создан для каждого тома, зашифрованного с помощью BitLocker.

Поддерживает ли Microsoft Exchange Server 2007 контроллеры домена только для чтения (RODC)?

Exchange 2007 (с пакетом обновления SP1) не использует контроллеры домена только для чтения (RODC), и в большинстве случаев игнорирует их. Клиент Microsoft Office Outlook 2007 использует RODC, которые также являются серверами Global Catalog (GC), например для доступа к глобальному списку адресов. Можно даже настроить Outlook 2007 на использование конкретного сервера GC, следуя инструкциям из статьи Microsoft «How to configure Outlook to a specific global catalog server or to the closest global catalog server» (support.microsoft.com/kb/319206).

Какие приложения Microsoft поддерживают контроллеры домена только для чтения (RODC)?

Список приложений, поддерживающих RODC, опубликован в документе «Applications That Are Known to Work With RODCs» по адресу technet.microsoft.com/en-us/library/cc732790.aspx.

Как быстро подключить дочерний раздел сервера Hyper-V?

Установите и откройте оснастку Hyper-V Manager консоли Microsoft Management Console (MMC). Затем найдите папку Program Files\Hyper-v, в которой содержится несколько инструментов, в том числе VMconnect.exe — клиент, обеспечивающий собственно подключение к виртуальной машине Hyper-V. С помощью VMconnect.exe можно обойти сервер, на котором размещается дочерний раздел, и подключиться непосредственно к дочернему разделу. Следующая команда подключает локальный компьютер к виртуальной машине testvirt01 на локальном сервере.

C:\program files\hyper-v\vmconnect %localcomputername% testvirt01

Вставьте имя конкретного локального компьютера вместо localcomputername. Чтобы не вводить с клавиатуры c:\program files\hyper-v каждый раз, когда нужно обратиться к одному из инструментов в папке Hyper-V, добавьте «;c:\program files\hyper-v» в списке переменных System path в разделе переменных среды диалогового окна System Properties.

Как приостановить PowerShell при выполнении процесса Win32 из Windows PowerShell, чтобы завершить процесс, прежде чем запускать другие команды PowerShell?

По умолчанию, если процесс Win32 запущен из PowerShell, управление немедленно возвращается командной строке PowerShell, даже если процесс не завершен. В этом можно убедиться, запустив программу Notepad: она выполняется, но управление немедленно передается в окно PowerShell.

При запуске консольного приложения PowerShell ожидает завершения консольного приложения, прежде чем продолжить работу. Таким образом, чтобы дождаться завершения процесса Win32, можно направить выход процесса в null, например так:

notepad | out-null

При запуске этой команды управление не возвращается PowerShell до тех пор, пока пользователь не закроет экземпляр Notepad.

Другой способ: использовать метод Process.WaitForExit, чтобы PowerShell дожидался завершения процесса. Для этого необходимо получить ссылку на идентификатор процесса Win32, которого требуется дождаться. Идентификатор процесса можно попытаться получить, выполнив поиск имени процесса с помощью таких критериев, как заголовки окна (например, $tpid = get-process | where {$_.mainwindowtitle -match «notepad"}), но здесь могут быть ошибки, если выполняется несколько процессов с одинаковыми именами. Более удачный способ — создать процесс с использованием метода start класса System.Diagnostics.Process в Microsoft. NET Framework, который возвращает идентификатор процесса при создании процесса, как в следующем примере:

PS C:\Users\Administrator> $tpid = [diagnostics.process]::start("notepad.exe»)
PS C:\Users\Administrator> $tpid.WaitForExit()

После этого управление не будет возвращено PowerShell до тех пор, пока не будет закрыт экземпляр Notepad. Альтернатива предыдущему способу — объединить команды в одну, например так:

[diagnostics.process]::start(«notepad.exe»).WaitForExit()

С помощью Process.WaitForExit можно ввести максимальное время ожидания (в миллисекундах). Например, при запуске $tpid.WaitForExit(30000) ожидание длится до завершения процесса или 30 секунд (в зависимости от того, какое из событий произойдет первым). Если процесс закрывается в заданный период времени, то Process.WaitForExit возвращает значение TRUE; в противном случае возвращается значение FALSE.

Обратите внимание: если нужно передать параметры в процесс Win32, достаточно добавить их ко второму аргументу команды start. Например, чтобы запустить Notepad для редактирования файла c:\temp\john.txt, можно использовать команду

[diagnostics.process]::start(«notepad.exe»,"C:\temp\john.txt").WaitForExit()

При этом необходимо указать полный путь к каждому параметру. Если нужно использовать только текущую рабочую папку, просто введите $pwd.

Какими должны быть размеры томов для Active Directory?

Для Active Directory (AD) используются три основных тома: собственно база данных AD, файлы журналов, сформированные для базы данных, и содержимое SYSVOL.

Если к контроллеру домена (DC) обращается более 1000 пользователей, то следует отделить базу данных AD/SYSVOL от журналов AD. Поэтому требуется два отдельных тома. Базу данных AD и SYSVOL рекомендуется разместить на одном томе.

Размер тома для базы данных AD определяется количеством объектов: примерно 400 Мбайт для каждых 1000 пользователей, с учетом дополнительного пространства для будущего роста. Для SYSVOL обычно выделяется пространство не менее 500 Мбайт.

Размер тома журналов должен быть на 20 % больше общего объема журналов, или 500 Мбайт (выбирается большее из двух значений). В обычной среде файлов журналов должно быть немного; заполнение журналов AD ведется циклически, то есть файл журнала удаляется после того, как он завершен. Это означает, что если количество изменений в AD не чрезмерно велико, то достаточно иметь том журнала объемом 2 Гбайт.

Почему при попытке переместить почтовый ящик выдаются сообщения об ошибках учетных записей с пробелами в свойствах Name или DisplayName?

При наличии начальных или завершающих пробелов в свойствах Name или DisplayName перемещаемой учетной записи выдается следующее сообщение об ошибке: WARNING: The Name (or DisplayName) property contains leading or trailing whitespace, which must be removed.

Чтобы устранить эту проблему, можно вручную изменить объект-нарушитель или воспользоваться командой оболочки Exchange Management Shell (EMS) для исправления конкретного пользователя. Пример команды EMS, которая удаляет начальные и завершающие пробелы из свойства DisplayName:

get-mailbox -identity | Foreach { Set-Mailbox -Identity $_.Identity -DisplayName $_.DisplayName.Trim() }

Следующая команда оболочки PowerShell удаляет начальные и завершающие пробелы из свойства Name:

get-mailbox -identity | Foreach { Set-Mailbox -Identity $_.Identity -Name $_.Name.Trim() }

Удалив фрагмент -identity, можно применить команды ко всем пользователям, но делать это рекомендуется, только если команды тщательно проверены на отдельных учетных записях, чтобы избежать нежелательных побочных эффектов. Пример пробной команды:

get-mailbox | Foreach { Set-Mailbox -Identity $_.Identity -DisplayName $_.DisplayName.Trim() }

Как найти всех пользователей Exchange ActiveSync (EAS)?

Можно использовать следующую команду, чтобы показать всех пользователей, установивших партнерские отношения EAS для определенного сервера:

Get-Mailbox -server -ResultSize:Unlimited | ForEach {Get-ActiveSyncDeviceStatistics -Mailbox:$_.Identity} |ft identity,devicemodel,LastSuccessSync

Чтобы увидеть всех пользователей EAS для каждого сервера, просто удалите параметр -server.

Какие существуют варианты доступа пользователей извне организации к информации, защищенной службами Windows Rights Management Services (RMS)?

Во внутренней реализации RMS информационное наполнение защищено отчасти учетными записями пользователей, и у внешних пользователей обычно нет доступа к информации. RMS требует использования протокола SOAP. SOAP функционирует через HTTP (порт 80) или HTTP Secure (HTTPS, порт 443), то есть только эти порты должны быть открыты в брандмауэре и направлены на RMS-сервер. В целях дополнительной безопасности можно разместить в демилитаризованной зоне брандмауэр, который направляет пакеты в демилитаризованную зону внутренней сети и, если нужно, снимает шифрование SSL. Для RMS назначаются два URL-адреса: внутренний и внешний. Внешний URL-адрес позволяет клиентам RMS получать лицензии для просмотра защищенных материалов.

Существуют четыре варианта доступа внешних пользователей к материалам, защищенным RMS.

Доверительные отношения RMS

Партнерская организация, которая регулярно использует защищенные материалы, может реализовать внутреннюю службу RMS, а затем установить доверительные отношения, при которых партнеры будут обмениваться лицензионными RMS-сертификатами (открытыми ключами). Доверительные отношения RMS позволяют внешней организации автоматически получать доступ к защищенной информации. Обратите внимание, что даже если сторонняя организация имеет службу RMS, для просмотра чужих защищенных материалов требуются лицензии CAL или лицензия External Connector (EC).

Идентификатор Windows Live

Внешняя организация может использовать идентификаторы Windows Live для доступа к защищенной информации, если RMS-сервер настроен на доверие источнику идентификаторов Windows Live. После того, как активизирован идентификатор Windows Live, пользователи могут запросить доступ к защищенной информации, послав запрос с идентификатором Live. Кроме того, авторы защищенных материалов могут указать идентификатор Live внешнего пользователя и предоставить доступ.

Внутренние учетные записи леса

Внешние пользователи могут создать учетные записи во внутреннем домене AD с указанием внешнего адреса электронной почты. Такие учетные записи связаны с риском для безопасности, поэтому доступ необходимо ограничить только определенными ресурсами. Кроме того, если внешние пользователи должны создавать защищенные материалы, им потребуется VPN-соединение с внутренней сетью для доступа к внутреннему URL-адресу RMS-сервера.

Учетные записи в лесе DMZ

В качестве альтернативы созданию учетных записей во внутреннем домене для внешних пользователей можно создать отдельный лес с собственной инфраструктурой RMS в демилитаризованной зоне (DMZ) и установить доверительные отношения между DMZ и внутренними RMS-серверами. Затем можно назначить разрешения пользователям в DMZ-лесе.

Какие лицензии нужны внешним пользователям для доступа к информации, защищенной службами Windows Rights Management Services (RMS)?

Внутренние пользователи обращаются к внутреннему URL-адресу RMS. Лицензирование внутренних пользователей выполняется на основе лицензий CAL RMS, которые необходимо приобрести для каждого пользователя или устройства, которые создают или просматривают защищенную информацию. Проверив учетные данные пользователя, служба RMS выдает лицензию. Эта лицензия CAL является дополнением к лицензии Windows CAL, необходимой для связи с операционной системой Windows Server. Получать лицензии CAL можно для пользователей или устройств.

Чтобы предоставить доступ внешним пользователям, необходимо купить лицензию Windows Server 2003 External Connector (EC) и RMS EC License для каждого RMS-сервера, к которому будет осуществляться доступ. Благодаря лицензиям EC устраняется необходимость в пользовательских CAL для внешних пользователей. Если установлены доверительные отношения RMS с другой организацией, пользователи которой также имеют лицензии RMS CAL, все же требуется приобрести лицензию RMS EC для своих RMS-серверов.

Что представляет собой шлюз Terminal Services Gateway?

Протокол Remote Desktop Protocol (RDP) используется службами Windows Terminal Services для подключения клиентов к серверу терминалов через порт 3389. Есть два способа обеспечить доступ к серверу терминала извне сети компании. Можно открыть порт 3389 через брандмауэр для определенных серверов (не лучший вариант), но более распространенный метод — установить соединение клиентов с корпоративной сетью через VPN с последующей организацией безопасного сеанса RDP.

В целом наблюдается тенденция отказа от VPN-соединений. Например, для соединений Microsoft Exchange Server и доступа Microsoft Office SharePoint Server используется вызов удаленных процедур (RPC) по протоколу HTTPS. В состав Windows Server 2008 входит шлюз Terminal Services (TS) Gateway, технология безопасных соединений RDP извне корпоративной сети без VPN.

TS Gateway позволяет инкапсулировать RDP-трафик в HTTPS. В сущности, в конфигурацию клиента Remote Desktop вне сети вносится изменение, чтобы настроить клиента на связь через шлюз TS Gateway. RDP-трафик инкапсулируется в HTTPS, шифруется с применением сертификата SSL шлюза TS Gateway и направляется в TS Gateway. Шлюз извлекает RDP-трафик из HTTPS и передает его по назначению. Клиент Remote Desktop передает ответы через TS Gateway с помощью обычного протокола RDP, а TS Gateway вновь инкапсулирует RDP в HTTPS и отправляет данные клиенту RDP.

Настроить компьютер для использования TS Gateway просто. Обратите внимание, что целевым узлом RDP может быть любой удаленный компьютер; это не обязательно сервер терминала Server 2008, и связь через шлюз TS Gateway можно установить с любым целевым узлом.

Обычно шлюз TS Gateway размещается в демилитаризованной зоне (DMZ) сети. Другой вариант — поместить сетевой экран Microsoft или другой оконечный узел SSL в DMZ и расположить шлюз TS Gateway во внутренней сети для инкапсуляции и извлечения RDP.

Как установить и настроить шлюз Terminal Services Gateway?

При установке Terminal Services Gateway (TS), поставляемого в составе Windows Server 2008, можно задать начальную конфигурацию шлюза. Для этого требуется указать компьютеры и учетные записи, устанавливающие соединения через шлюз TS Gateway, и доступные ресурсы. Кроме того, нужно указать сертификат, который будет использоваться для соединения SSL; его можно подготовить с использованием решения PKI, если все клиенты TS Gateway являются членами домена и доверяют внутреннему корневому удостоверяющему центру Certificate Authority (CA). Если требуется обеспечить связь через TS Gateway с компьютерами вне домена или компьютеры не доверяют сертификату, следует приобрести сторонний сертификат, которому доверяют все клиенты.

Для установки TS Gateway нужно выполнить следующие шаги.

1. Из Server Manager выберите навигационную ссылку Roles и щелкните на ссылке Add Roles в панели сведений.

2. Нажмите кнопку Next на начальном экране мастера.

3. Отметьте роль Terminal Services и нажмите Next.

4. Отображается начальный экран Terminal Services; нажмите кнопку Next.

5. Отметьте службу роли TS Gateway. Затем на экране появится диалоговое окно с запросами для добавления зависимых служб роли (Web, NPAS, RPC over HTTP и WPAS). Щелкните Add Required Role Services. Далее нажмите кнопку Next в окне Select Role Services.

6. Выберите сертификат проверки подлинности сервера, как показано на следующем экране. На данном этапе можно импортировать сертификат, если он еще не загружен: при импорте сертификата следует принять параметры по умолчанию, чтобы программа самостоятельно выбрала место установки сертификата. Щелкните Next.

7. Появляется приглашение настроить политики проверки подлинности. Оставьте Now, как предложено по умолчанию, и нажмите кнопку Next.

8. На первом экране настройки можно указать пользователей, имеющих возможность подключаться через шлюз TS Gateway. По умолчанию это только группа Administrators. Можно добавить и другие группы, например создать группу с именем TS Gateway Users. После того, как группы добавлены, нажмите кнопку Next.

9. Появляется запрос для создания политики авторизации соединения Terminal Services, TS CAP, которая по умолчанию получает имя TS_CAP_01. Примите имя по умолчанию и укажите, будет ли использоваться для проверки подлинности пароль и/или смарт-карты. Обычно применяется только пароль. Нажмите кнопку Next.

10. Затем создается политика авторизации ресурсов Terminal Services (TS RAP), которая указывает компьютеры, устанавливающие соединение через шлюз TS Gateway. Можно указать группу, содержащую только серверы, с которыми можно установить соединение, или разрешить подключение к любому компьютеру в сети. Нажмите кнопку Next.

11. Нажимайте Next на остальных экранах установки роли; другие изменения не разрешены.

После того, как установка завершена, можно изменить созданную политику TS CAP, поскольку CAP по умолчанию ограничивает круг пользователей, подключающихся через шлюз TS Gateway, но не компьютеры, с которых устанавливается соединение. Можно назначить дополнительные ограничения для подключений, например по принадлежности компьютера к домену. Сделать это можно с помощью диспетчера TS Gateway Manager и изменений в TS CAP, указав группу, членами которой должны быть клиентские компьютеры.

Как можно настроить клиент Remote Desktop для использования TS Gateway?

Чтобы настроить клиент Remote Desktop для использования шлюза Terminal Services (TS) Gateway операционной системы Windows Server 2008, клиент должен располагать RDP 6.0. Выберите вкладку Advanced клиента Remote Desktop Connection и в разделе Connect from anywhere нажмите кнопку Settings. Укажите имя TS Gateway и игнорируйте локальные адреса. Нажмите OK. Обратите внимание, что любое заданное соединение будет автоматически использовать TS Gateway; после настройки TS Gateway в клиенте Remote Desktop Connection шлюз будет использоваться для всех других соединений.

Как обеспечить высокую готовность TS Gateway?

Балансировка сетевой нагрузки (NLB) — лучший способ обеспечить высокую готовность шлюза TS Gateway операционной системы Windows Server 2008. Установите компонент NLB на серверах TS Gateway и используйте IP-адрес NLB как целевой для TS Gateway (или преобразуйте имя DNS в адрес NLB).

Для какой цели используется группа компьютеров, управляемых через TS Gateway?

Политика авторизации ресурсов Terminal Services (TS RAP) позволяет определить узлы, к которым можно подключаться через шлюз TS Gateway. Для этого можно воспользоваться группой Active Directory (AD), содержащей список учетных записей компьютеров, которые можно включить в TS RAP, но как указать в политике имя фермы серверов терминала? Имя фермы серверов терминалов не существует как объект «компьютер». Таким образом, при использовании группы AD ферма серверов не будет обнаружена, и попытка обращения к ней через шлюз TS Gateway закончится неудачей.

Группа компьютеров, управляемая шлюзом TS Gateway, сопоставляет указанное целевое имя со списком имен, указанных в группе компьютеров, управляемой шлюзом TS Gateway. В группу можно добавить имя фермы серверов терминала как целевой узел шлюза TS Gateway. При использовании группы компьютеров, управляемой шлюзом TS Gateway, необходимо указать каждое имя, которое может использоваться для фермы (например, полные имена FQDN, имена в формате NetBIOS).

Существуют ли различия между моментальным снимком Microsoft Volume Shadow Copy Service (VSS) и моментальным снимком виртуальной машины в Hyper-V?

Различия есть, и очень существенные. Моментальный снимок VSS предназначен для подготовки согласованной копии машины, которую можно использовать для производственных целей. Активные службы, оповещенные о предстоящем моментальном снимке, переносят данные из памяти на диск. Перенос содержимого памяти обеспечивает согласованность информации на диске и ее готовность к резервному копированию.

Назначение моментального снимка виртуальной машины — получить полную копию виртуальной машины на данный момент времени. Моментальный снимок активной виртуальной машины называется оперативным (online snapshot). Наряду с содержимым виртуального диска и XML-конфигурацией, оперативные моментальные снимки включают копию памяти виртуальной машины и информацию о процессах. Моментальный снимок, сделанный при неактивной виртуальной машине, называется автономным (offline). В нем хранятся только XML-конфигурация и содержимое виртуального диска.

После восстановления моментального снимка виртуальной машины она запускается в том же состоянии, которое существовало во время формирования снимка, включая все процессы и содержимое памяти. Восстановление процессов и содержимого памяти удобно в тестовой лаборатории, но неприемлемо в производственных условиях. Например, экземпляр SQL Server, восстановленный с использованием моментального снимка виртуальной машины от предшествующего момента времени, будет иметь активные соединения и процессы для компьютеров, связь с которыми уже отсутствует.

Что происходит при формировании моментального снимка виртуальной машины Hyper-V?

Прежде чем рассмотреть моментальные снимки, необходимо познакомиться с типом виртуального жесткого диска (VHD), именуемым разностным (differencing). Разностный диск представляет собой дополнительный VHD-файл, который фактически размещается поверх другого VHD-файла и взаимодействует с существующим VHD. Все операции записи производятся с разностным диском, поэтому существующий VHD не подвергается изменениям. Операции чтения сначала сверяются с разностным диском, чтобы проверить, не были ли обновленные данные записаны на него; если они отсутствуют в разностном диске, то считываются из дополнительного VHD. Такая организация фактически замораживает любые изменения существующих данных путем сохранения изменений в разностном диске.

Начнем с моментального снимка автономной, то есть отключенной, виртуальной машины. Чтобы избежать изменений в существующем VHD-файле при формировании моментального снимка автономной виртуальной машины, создается разностный диск в новой вложенной папке каталога Snapshots виртуальной машины; в имя вложенной папки включается идентификатор GUID виртуальной машины. В имя разностного диска входит GUID моментального снимка и расширение. avhd. Кроме того, копия текущей конфигурации сохраняется в папке Snapshots виртуальной машины; имя файла конфигурации содержит GUID моментального снимка.

Если при формировании моментального снимка виртуальная машина активна (находится в оперативном режиме), во вложенной папке Snapshots (с идентификатором GUID моментального снимка в имени) создаются два дополнительных файла: файл с расширением. bin, который содержит данные памяти виртуальной машины, и. vsv-файл, содержащий информацию вспомогательного процесса, как показано на следующих снимках экранов.

Поэтому при восстановлении в состояние моментального снимка восстанавливается на предыдущий момент времени не только диск, но и память виртуальной машины, а также любые процессы, поддерживающие ее работу. Процедура формирования дополнительных моментальных снимков точно такая же: создается. avhd-файл, который представляет собой разностный файл для разностного файла, используемого со времени получения последнего моментального снимка. Действительно, картина весьма запутанная.

Если моментальный снимок удаляется, то Windows удаляет файлы памяти и процесса и переносит содержимое разностных дисков в предшествующий VHD при следующем закрытии виртуальной машины.