В. В чем разница между Azure Active Directory и Azure Active Directory Premium?

О. Обычная служба каталогов Azure Active Directory предоставляется бесплатно и используется рядом служб. Дополнительные абоненты Azure Active Directory могут быть созданы через портал Microsoft Azure (его же вы можете использовать для создания виртуальных машин и тому подобного). Бесплатная Azure Active Directory включает в себя следующие возможности:

  • изменение пароля самообслуживания;
  • базовые отчеты системы безопасности, которые показывают географическое местоположение и время, когда ваша учетная запись была зарегистрирована;
  • синхронизация службы каталогов;
  • развертывание служб по пользователям;
  • до 500 000 объектов;
  • однократная регистрация (SSO) для приложений числом до 10, которые объединены с Azure Active Directory.

Azure Active Directory Premium предоставляет дополнительные возможности:

  • корпоративное соглашение об уровне обслуживания Enterprise SLA – доступность 99,9%;
  • неограниченное количество объектов;
  • неограниченное количество приложений с SSO;
  • развертывание служб по группам;
  • установка пароля самообслуживания (этот пароль, когда он синхронизирован, дублируется в локальную службу Active Directory, обеспечивая «облачную» возможность переустановки пароля);
  • более подробные отчеты системы безопасности, из которых можно узнать о том, как регистрируются пользователи. Таким образом, можно получать предупреждение о подозрительном поведении при регистрации (которое впоследствии может быть включено в мультифакторную аутентификацию таким образом, чтобы в следующий раз подозрительный пользователь при регистрации был обязан задействовать другой элемент аутентификации);
  • отчет об использовании;
  • пользовательская настройка страницы регистрации и доступных страниц;
  • мультифакторная аутентификация, такая как ответный вызов, текстовое сообщение и мобильное приложение для регистрации;
  • должны быть использованы лицензии Microsoft Forefront Identity Manager в локальном окружении для активации синхронизации с другими службами каталогов и так далее.

На сегодня Azure Active Directory Premium доступна только как часть соглашения Enterprise и как часть комплекса Enterprise Mobility Suite (EMS). Последний включает в себя Azure RMS и Windows Intune.

Список всех служб и приложений, которые объединены и работают в Azure Active Directory можно найти на страничке Microsoft «Azure Active Directory Applications» (azure.microsoft.com/en-us/gallery/active-directory/).

 

Раздел образов в Visual Studio
Экран 1. Раздел образов в Visual Studio

В. Я заметил в подписке MSDN Azure, что у меня есть образы Windows 7 и Windows 8.1. Означает ли это, что клиентская операционная система теперь поддерживается в Azure?

О. Нет. Для подписки Azure MSDN обязательным является наличие образов Windows 7 и Windows 8.1, которые можно найти в разделе образов в Visual Studio, как показано на экране 1. Данные образы являются эксклюзивными для подписок MSDN и недоступны в подписках, не связанных с Azure.

Эти клиентские образы доступны для подписчиков MSDN, поэтому программное обеспечение может быть протестировано в клиентских операционных системах в Azure; однако это не означает, что клиентские операционные системы вне проектной среды MSDN поддерживаются или лицензируются в Azure. Пока не существует способа лицензировать клиентские операционные системы Windows в Azure. Если вам нужен вариант услуги Desktop as a Service или публикация приложений, имеются следующие возможности:

  • Использование служб Windows Server Remote Desktop Services (RDP), запускаемых в виртуальной машине в Microsoft Azure, которые позволяют публиковать рабочие столы или приложения для пользователей на базе RDP, которые похожи на клиентскую операционную систему Windows. Решение Citrix XenApp также может применяться в Azure.
  • Использование нового приложения Microsoft Azure RemoteApp, которое предоставляет службу Microsoft в Azure для публикации таких приложений как Office, см. экран 2.

 

 

Приложения в Microsoft Azure RemoteApp
Экран 2. Приложения в Microsoft Azure RemoteApp

В. Какие изменения внесены в межсайтовый шлюз Microsoft Azure?

О. Изначальные функции шлюза между сайтами (S2S), которые были доступны для виртуальных сетей в Azure, поддерживали один канал S2S VPN между виртуальной сетью и конечной точкой VPN в локальной сети. Это, в свою очередь, позволяет использовать только одну точку в локальной сети для соединения с виртуальной сетью Azure. Таким образом, можно выполнить IP-маршрутизацию между локальной сетью и виртуальной. Данные, посылаемые по сети, шифруются при помощи IPsec, а максимальная полоса пропускания находится в диапазоне от 80 до 100 Mб в секунду. Возможность создания только одного соединения S2S VPN вызывала проблемы во многих организациях, в которых было несколько локальных центров обработки данных и которые хотели подключить каждый центр данных для обеспечения взаимосвязи и устойчивости к сбоям.

На конференции TechEd 2014 представители Microsoft объявили об изменениях в возможностях межсайтового шлюза, который теперь позволяет одной конечной точке шлюза VPN в виртуальной сети Azure поддерживать до 10 соединений S2S VPN, что дает возможность одновременно соединять виртуальную сеть с несколькими локальными. Заметьте, что в виртуальной сети Azure все еще одна конечная точка VPN. Это означает, что объединенные соединения имеют лимит в пределах от 80 до 10 Мб/с. Таким образом, несколько соединений не увеличат доступную полосу пропускания.

Возможность иметь несколько соединений с межсайтовым шлюзом Azure VPN добавляет еще одну функцию. Если в организации несколько виртуальных сетей, раньше единственным способом соединить их была маршрутизация трафика между виртуальными сетями через локальную сеть. Виртуальные сети не могли быть соединены напрямую, с использованием сетевой магистрали Azure. Сейчас это стало возможным, но необходимо создать соединение VPN между конечной точкой VPN в каждой виртуальной сети Azure в дополнение к соединению с конечной точкой VPN в локальной сети. И опять же, все еще используется конечная точка межсайтового шлюза VPN, а это означает, что доступна полоса пропускания от 80 до 100 Мб, но соединения между виртуальными сетями используют сеть Microsoft, а не Интернет или ваш центр данных. Необходимо убедиться, что отсутствует пересечение IP-адресов между виртуальными сетями, которые соединяются. Также можно подсоединить виртуальные сети, которые являются частью различных подписок Azure и располагаются в разных регионах Azure (хотя будет взиматься оплата за исходящий трафик, когда он будет пересекать регионы Azure, тогда как две виртуальные сети в одном и том же центре данных соединяются бесплатно).

На рисунке показана возможность подключения, которая сейчас стала доступной. Каждая зеленая пунктирная линия – это отдельное соединение VPN, таким образом, существует система соединений для обеспечения максимального уровня отказоустойчивости.

Все параметры должны быть настроены при помощи манипуляций с виртуальными сетевыми файлами настроек. Если соединения мульти-VPN активированы, то настройка через портал Azure больше недоступна.

В перечисленных ниже документах Microsoft объясняется, как выполнить настройку параметров для всех вариантов:

  • задание параметров VPN для нескольких сайтов (msdn.microsoft.com/en-us/library/azure/dn690124.aspx);
  • задание параметров при межсоединении виртуальных сетей (msdn.microsoft.com/en-us/library/azure/dn690122.aspx).

 

 

Схема использования Azure VPN?Gateway
Рисунок. Схема использования Azure VPN?Gateway

В. Могу я ввести BitLocker PIN на экране Surface Pro 2?

О. Surface Pro 2 не поддерживает экранную клавиатуру во время запуска для того, и ввести BitLocker PIN нельзя. Однако, поскольку устройство использует Windows 8.1 или Windows 8, обычно не требуется вводить PIN, так как вы можете связать блокировку пользовательской учетной записи с TPM так, что если даже пароль учетной записи набран некорректно определенное количество раз, система перезапустится и войдет в режим восстановления BitLocker. Устройство обязательно блокируется до того момента, когда будет введен ключ режима восстановления. Ниже описана последовательность шагов, при выполнении которой указанная настройка активируется через Group Policy:

  1. Откройте Group Policy Object (GPO), который применяется к системе.
  2. Щелкните \Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options.
  3. Дважды щелкните на Interactive logon: Machine account lockout threshold.
  4. Установите желаемое количество неудачных попыток, как показано на экране 3, и нажмите ОК.
  5. Закройте редактор Group Policy Editor.

Microsoft предоставляет несколько хороших ресурсов для настройки BitLocker на планшетах. Подробную информацию можно найти в статьях TechNet «Configuring BitLocker for Tablets» («Конфигурация BitLocker на планшетах») и «Prepare your organization for BitLocker: Planning and Policies» («Подготовьте вашу организацию к BitLocker»)

 

Определение количества неудачных попыток
Экран 3. Определение количества неудачных попыток

В. Как настроить Exchange Connector 3 в System Center Service Manager для подсоединения к Office 365?

О. Exchange Connector 3 для System Center Service Manager полностью поддерживает Office 365, и его довольно просто установить для получения почты. Убедитесь, что вы используете файл Microsoft.Exchange.WebServices.dll из Exchange Web Services Managed API 1.2.1, который можете загрузить из Microsoft Download Center. Если вы будете использовать более новую версию, то файл работать не будет.

Запустите стандартный мастер настройки Create Connector, но выполните перечисленные ниже действия в разделе Server Settings, см. экран 4:

  • убедитесь, что не выбран вариант Use autodiscover;
  • настройте Exchange Server URL на адрес https://outlook.office365.com/EWS/Exchange.asmx;
  • не выбирайте вариант Use impersonation;
  • для параметра Run As account выберите New и введите учетную запись Office 365 в формате name@yourmaildomain.com; введите пароль учетной записи.

Далее нажмите кнопку Test Connection, и ваше подсоединение должно заработать.

 

Настройки для подключения Service Manager к Office 365
Экран 4. Настройки для подключения Service Manager к Office 365

Если вы захотите отослать письмо «вовне» из Service Manager, вы можете напрямую использовать Office 365, потому что Office 365 не допускает анонимных подсоединений. Вам придется установить локальный сервер SMTP и настроить его как ретранслятор, который может отсылать сообщения на Office 365 с имеющимися учетными данными.

Предположим, что вы используете Windows Server 2012, тогда установите функцию сервера SMTP, запустите IIS 6.0 Manager и укажите системы, которые должны выступать как ретрансляторы, включая детали ретрансляции. Подробные инструкции вы найдете в журнале Microsoft System Center «Setup notification from SCSM to Exchange Online (Office365) mailboxes» (blog.scsmsolutions.com/2012/02/setup-notification-from-scsm-to-exchange-online-office365-mailboxes/). Однако, когда вы задаете список разрешенных IP-адресов, убедитесь, что добавили адрес 127.0.0.1, если хотите использовать предложенный тест, или же получите сообщение о неисправности ретранслятора 5.7.1. Затем вы можете задать параметры Service Manager для использования своего локального ретранслятора SMTP, который будет задействовать Office 365.

Помните, что Service Manager будет обрабатывать электронные сообщения только от адресатов, имеющих адреса в его базе данных управления настройками configuration management database (CMDB). В разделе Troubleshooting документации Exchange Connector объясняется, как активировать более детальную запись информации, если необходимо.

В. Нужно ли активировать кэш CSV в Hyper-V?

О. Да. Hyper-V использует безбуферные операции ввода-вывода для общих томов кластера Cluster Shared Volumes (CSV), что означает, что операции ввода-вывода не кэшируются кэш-менеджером Windows Cache Manager. Кэш CSV предоставляет кэш для чтения запросов, использующих системную память, тогда как записи данных осуществляются прямо на диск и проходят мимо кэша. В Windows Server 2012 кэш должен быть активирован и заданы его параметры. В Windows Server 2012 R2 кэш активирован по умолчанию. Для просмотра полного пошагового разбора настроек параметров обратитесь к статье «Configuring CSV Cache» (windowsitpro.com/windows-server-2012/configuring-csv-cache). Я рекомендую использовать кэш CSV в средах Hyper-V, где большая часть операций ввода-вывода является операциями чтения.

 

Счетчики производительности кэша общего тома кластера
Экран 5. Счетчики производительности кэша общего тома кластера

В. Как узнать, сколько операций чтения при вводе-выводе выполняется с использованием кэша общего тома кластера (CSV)?

О. Несколько счетчиков производительности показывают число операций чтения при вводе-выводе, обслуживаемых с диска, из кэша общего тома кластера, а также общий итог. С помощью этих показателей можно определить, какая часть ввода-вывода осуществляется через кэш CSV. Соответствующие счетчики мониторинга производительности находятся в группе «Кэш общего тома кластера». Рекомендую следующие счетчики:

  • Cache IO Read — Bytes: операций чтения при вводе-выводе выполнено из кэша CSV;
  • Disk IO Read — Bytes: операций чтения при вводе-выводе непосредственно с диска;
  • IO Read — Bytes: общее число операций чтения.

Другие счетчики показывают текущий размер и параметры кэша CSV. Как видно в примере на экране 5, кэш CSV обеспечивает выполнение более половины всех операций чтения из моих общих томов кластера (размер кэша CSV — 4 Гбайт.)

В. Производительность динамического файла VHDX и фиксированного файла VHDX одна и та же? Я слышал разные мнения.

О. Файл VHDX фиксированного размера занимает все отпущенное место в момент создания, тогда как динамический файл VHDX растет по мере добавления данных. Для данных, записанных в выделенное место в рамках VHDX с фиксированным или динамичным размером вы увидите одинаковую производительность. Для данных, записываемых в файл VHDX с динамическим размером, которому требуется увеличение размера файла VHDX, появятся дополнительные затраты, которые связаны с обнулением существующего контента на диске, расширением файла VHDX в файловой системе и модификацией метаданных файла VHDX. Это означает, что есть небольшая разница в производительности между файлами VHDX фиксированного или динамического размеров, когда динамический файл VHDX растет, но когда его размер становится стабильным и не растет, производительность его равна производительности файла VHDX с фиксированным размером.

В. Что представляет собой протокол инкапсуляции Geneve Software Defined Networking?

О. Microsoft, Vmware и другие поставщики располагают каждый своим протоколом инкапсуляции (для создания оболочки вокруг пакетов, пересылаемых между операционными системами) для программно определяемых сетей (SDN). Например, Microsoft Network Virtualization использует Network Virtualization using Generic Routing Encapsulation (NVGRE), а VMware — протокол Virtual Extensible LAN (VXLAN). Иметь несколько стандартов в долгосрочной перспективе невыгодно, к тому же это затрудняет достижение совместимости с физическим сетевым оборудованием. Различные компании, в том числе Microsoft, VMware, Red Hat Software и Intel, совместно разработали новый стандарт инкапсуляции, Generic Network Virtualization Encapsulation (Geneve). Протокол Geneve передан для утверждение в рабочую группу по инженерным проблемам Интернета (IETF). Новый единый стандарт должен способствовать внедрению SDN; но это не означает, что индивидуальные решения исчезнут. Полагаю, Microsoft продолжит развитие NVGRE, в том числе будет расширять функциональность.

В. Я использую Hyper-V Replica для репликации виртуальных машин. Какие лицензии мне необходимо иметь для дублирующего сервера?

О. Hyper-V Replica предоставляет асинхронную репликацию виртуальных машин, запущенных на Windows Server 2012 и более новых версиях серверов Hyper-V, на другой сервер Hyper-V. Виртуальная машина на резервном хосте Hyper-V отключена и включается только в случае сбоя. Многие организации интересуются лицензией, которая требуется для виртуальных машин-реплик, поскольку на самом деле на сервере реплик Hyper-V они не работают.

Ответ на вопрос зависит от типа лицензии, которая у вас имеется. Если у вас есть подписка Software Assurance для первичного сайта (и экземпляров операционной системы виртуальной машины), то вы можете создать механизм аварийного восстановления в холодном состоянии (для чего и предназначен Hyper-V Replica) без какого-либо дополнительного лицензирования. Это задокументировано на странице Microsoft «Software Assurance by product» (www.microsoft.com/licensing/software-assurance/by-product.aspx#tab=3). Если у вас нет подписки Software Assurance на первичный сайт, тогда вам для организации аварийного потребуется восстановление лицензии на виртуальные машины – реплики.

В. Могу я запустить Internet Explorer 10 на Windows 8.1?

О. Способа напрямую запустить Internet Explorer 10 на Windows 8.1 не существует. Windows 8.1 и Windows RT 8.1 поставляются с Internet Explorer 11. Если у вас проблемы с отображением сайта, попытайтесь активировать режим совместимости для него. В этом случае будет использоваться механизм визуализации Internet Explorer, который обычно помогает. Чтобы получить доступ к режиму совместимости, выберите пункт Compatibility View settings («Обзор настроек совместимости») из меню Tools («Инструменты»).

На случай, если вам очень нужна старая версия Internet Explorer, существует несколько вариантов.

  • Опубликуйте Internet Explorer из более ранней версии Windows Server, используя приложение публикации RDP. Например, в составе Windows Server 2012 есть Internet Explorer 10. Конечный пользователь увидит значок IE, по щелчку на котором запускается Internet Explorer 10. Хотя Internet Explorer 10 взаимодействует локально с другими окнами, браузер Internet Explorer 10 на самом деле запускается с удаленного сервера. Другое дело, что требуются службы Remote Desktop Services и лицензия для серверной инфраструктуры. Старые версии веб-браузеров часто запускают, например, в Windows Server 2003, чтобы получить Internet Explorer 6.
  • Используйте Hyper-V на своей локальной системе; запустите виртуальную машину на более старой операционной системе и используйте тот же браузер.
  • Перейдите на более раннюю версию Windows 8, если это возможно. Например, Surface 2 может запускаться только с Windows RT 8.1.

Технологии, которые создают виртуальную среду приложения, такие как App-V, нельзя назвать удачным решением, поскольку Internet Explorer является частью операционной системы. Виртуализирующая часть операционной системы не поддерживается.

В. Может ли сервер шлюза Operations Manager быть полезным для мониторинга большого числа компьютеров в рабочих группах?

О. Kerberos используется между серверами управления Operations Manager и агентом, выполняемым на отслеживаемых компьютерах, что позволяет проводить взаимную проверку подлинности. Однако при этом требуется, чтобы сервер управления и клиентские компьютеры находились в одном лесу Active Directory или между доменами размещения существовали доверительные отношения. Если Kerberos недоступен, необходимо использовать сертификаты на серверах управления и агентах, принадлежащих к одной цепочке удостоверяющих центров (обычно одному удостоверяющему центру). Использование сертификатов может привести к дополнительным затратам на обслуживание, и в такой ситуации вам пригодится сервер шлюза Operations Manager.

Сервер шлюза устанавливается в одном домене с агентами управления, что позволяет выполнить проверку подлинности Kerberos между сервером шлюза и агентами в домене, которому не доверяет сервер управления. Затем используется проверка подлинности с помощью сертификата между сервером управления и сервером шлюза, что уменьшает число необходимых сертификатов. Сервер шлюза также может пригодиться, если нужно очень точно указать, какие серверы могут обмениваться данными через брандмауэр, так как все взаимодействие проходит через сервер шлюза.

В ситуации с рабочей группой сервер шлюза бесполезен из-за отсутствия концепции применения Kerberos внутри рабочей группы. По-прежнему необходимы сертификаты на каждом компьютере в рабочей группе, и сервер шлюза не принесет пользы.

В. Я поделился своей учетной записью в Windows Azure с сослуживцем, но не хочу, чтобы он и дальше имел доступ к моей учетной записи. Как мне изменить пароли?

О. Конкретные шаги зависят от того, какой информацией вы поделились. В целом нужно позаботиться об изменении следующих параметров:

  • учетные записи для доступа на портал;
  • учетные записи для доступа на административные страницы и страницы управления, которые встроены во все веб-приложения;
  • пользовательские учетные записи в службе каталогов Active Directory;
  • сертификаты управления (откройте страницу Microsoft Azure Manage Certificates, msdn.microsoft.com/library/azure/gg981929.aspx);
  • сертификаты «облачной» службы;
  • ключи доступа к учетным записям хранилища;
  • пользовательские пароли базы данных Windows Azure SQL;
  • пользовательские пароли виртуальных машин Windows Azure IaaS и PaaS.

Если у вашего сотрудника есть доступ к одному из перечисленных элементов, вам нужно изменить или заменить их.

В. Я использую шаблоны Rights Management Services с установкой Office 2013, но не вижу последних шаблонов в Office. Что мне делать?

О. Прежде всего, убедитесь, что ваша клиентская операционная система имеет шаблоны Rights Management Services (RMS). Это можно сделать посредством запуска задания по расписанию, которое обычно проверяет наличие обновленных шаблонов.

  1. Откройте приложение Task Scheduler в панели управления.
  2. Пройдите по маршруту \Task Scheduler Library\Microsoft\Windows\Active Directory Rights Management Services Client.
  3. Выберите задачу AD RMS Rights Policy Template Management (Manual), а затем выберите Run из меню Actions.

Чтобы убедиться, что система имеет в наличии новые шаблоны, вы можете просмотреть локальный кэш шаблонов, который можно найти в папке C:\Users\\AppData\Local\Microsoft\DRM\Templates. Следующий шаг – выполнить сверку шаблонов Office с операционной системой, что делается посредством удаления раздела реестра. Откройте редактор реестра и перейдите по маршруту HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\, а затем удалите раздел Template. Запустите Office; ваши новые шаблоны RMS должны стать видимыми.

В своем ответе я исхожу из того, что настройки RMS в вашей среде заданы правильно. Убедитесь, что исключения HTTP и HTTPS разблокированы на сервере RMS и что точка подсоединения к службе Service Connection Point (SCP) опубликована верно в разделе Configuration в службе каталогов Active Directory вашего леса (CN=Configuration [], CN=Services, CN=RightsManagementServices, CN=SCP).

В. Я пытаюсь переместить хранилище, используя SCVMM для доступа к общей папке SMB в подпапке, но получаю сообщение о том, что мне это сделать не разрешается. Почему?

О. При выполнении перемещения хранилища с применением SCVMM к зарегистрированной папке общего доступа вам нужно выбрать корневую папку общего доступа в качестве основной. SCVMM автоматически создаст подпапку с именем виртуальной машины, поэтому не нужно определять подпапку для имени машины. Если вы пытаетесь вручную создать подпапку, а затем выбрать ее подпапку, вы получаете сообщение об ошибке, поскольку нет разрешений.

В. В чем суть изменения в виртуальных сетях Azure, касающегося однородных групп, о которых было объявлено на TechEd 2014?

О. Представим Microsoft Azure IaaS как огромный массив серверов, предлагающих различные службы. Эти серверы распадаются на «секции», каждая из которых (также называемая единицей масштабирования) состоит из примерно 1 000 серверов, имеющих одинаковые характеристики аппаратного обеспечения. Когда создается однородная группа, она привязывается к определенной секции, при этом создаются виртуальные машины, ориентированные на данную секцию. Раньше виртуальные сети создавались внутри однородной группы, а это означало, что все виртуальные машины также должны были быть внутри той же самой однородной группы и, таким образом, должны были иметь те же самые характеристики аппаратного обеспечения серверов. Это не вызывало проблем, поскольку все базовое аппаратное обеспечение в целом было одинаковым.

На TechEd 2014 представители Microsoft объявили о доступности виртуальных машин размером А8 и А9, которые предлагают очень большое число разных vCPU, оперативной памяти и использования нового класса серверного аппаратного обеспечения, имеющего собственные секции. Поскольку однородная группа определяется внутри секции, а виртуальная сеть существует внутри этой группы, виртуальные машины типа А8 и А9 не могут быть частью виртуальной сети виртуальных машин, не относящихся к A8/A9.

Для решения данной проблемы виртуальные сети больше не определяются внутри однородной группы. Вместо этого они создаются в рамках региона использования Azure. Это означает, что виртуальные машины могут быть на разных секциях и все же могут быть частью одной и той же виртуальной сети. Таким образом, виртуальные машины типа А8 и А9 сейчас могут быть частью одной и той же виртуальной сети вместе с виртуальными машинами, не относящимися к типу A8 или A9. Новые виртуальные сети автоматически создаются как основанные на регионе (широкая виртуальная сеть), а не как основанные на однородной группе (узкая виртуальная сеть), при использовании PowerShell, за счет указания географического положения, а не однородной группы. Это изменение должно быть отражено на портале Azure к концу июня 2014 года. Со временем все существующие виртуальные сети будут преобразованы в региональные виртуальные сети.

На сегодня для создания региональной виртуальной сети требуется выполнить следующие шаги.

1. Создайте новую виртуальную сеть с ее собственными ресурсами.

2. Экспортируйте параметры виртуальной сети в подписку (измените местоположение файла, если необходимо):

Get-AzureVNetConfig -ExportToFile d:\temp\VNetConfig.xml

3. Откройте файл XML в редакторе XML или Notepad и измените однородную группу виртуальной сети на вариант Location. Используйте местоположение вашей однородной группы (например, East US — «восток США»). Так, я изменил

на

4. Сохраните файл.

5. Примените обновленные параметры:

Set-AzureVNetConfig -ConfigurationPath d:\temp\VNetConfig.xml

 

Конфигурация схемы
Экран 6. Конфигурация схемы

В. Как мне просмотреть список всех расширений виртуальной машины, доступных в Azure, а также параметры, которые могут быть использованы?

О. С появлением агента виртуальной машины, который доступен в качестве дополнительного компонента для виртуальных машин Microsoft Azure IaaS, некоторые расширения стали доступны они добавляют функции управления (например, перенастройка локальных паролей внутри виртуальной машины, перенастройка параметров сети, использование BGinfo, защита от хакерских программ, автоматизация за счет использования технологий, таких как Puppet, Chef, и PowerShell). Партнеры могут добавлять и собственные расширения к виртуальным машинам Azure. Например, команда Visual Studio предлагает расширение для удаленного поиска ошибок в виртуальной машине Azure. Расширения, которые являются доступными, постоянно меняются. Несмотря на то, что блог Azure предоставляет подробную информацию, самый лучший способ, который я нашел, — это использование PowerShell:

Get-AzureVMAvailableExtension | Out-GridView

Данная команда выводит графическую таблицу, но вы можете легко вывести список (формат списка) или таблицу (формат таблицы). Таблица показывает доступные расширения и общую конфигурацию схемы (это элементы, которые вы можете использовать для конфигурации) и частную конфигурацию схемы (это скрытые элементы, не подлежащие всеобщему обозрению, такие как пароли).

Как показано на экране 6, необходимая конфигурация схемы может быть достаточно сложной.

Microsoft предоставляет несколько команд, чтобы помочь нам в работе с некоторыми расширениями. Например, вы можете использовать Set-AzureVMAccessExtension для переустановки пароля. Также вы можете задействовать Get-Help Set-AzureVMAccessExtension для поиска помощи. Вот пример: я могу использовать приведенную ниже команду для перенастройки пароля виртуальной машины в Azure (заметьте, что имя ReferenceName должно быть постоянным в последующих случаях использования в виртуальной машине).

$SandboxVM = Get-AzureVM -ServiceName savtecheastus -Name sandbox
Set-AzureVMaccessExtension -VM $SandboxVM –UserName «localadmin» –Password «P@55word!» –ReferenceName Reset-Pass1
#Save the change to extensions
$SandboxVM | Update-AzureVM

В. Как я могу изменить тайм-аут, используемый для виртуального канала Fibre Channel в Hyper-V?

О. По умолчанию, когда запускается виртуальная машина, использующая виртуальный канал Fibre Channel, до 90 секунд выделяется для поиска LUN, подсоединенного к виртуальному адаптеру Fibre Channel, прежде чем как продолжится загрузка виртуальной машины. Аналогичным же образом, когда виртуальная машина находится в фазе миграции без остановки ее работы, тот же самый 90-секундный тайм-аут используется для подсоединения к различным LUN на целевом сервер Hyper-V перед началом перемещения (вот почему виртуальный адаптер Fibre Channel имее два набора World Wide Names—WWN: один предназначен для текущего узла, а другой для целевого узла во время миграции).

Недавно я столкнулся с одной ситуацией на новом хранилище EMC SAN, где по некоторым причинам 90 секунд было недостаточно и мне потребовалось увеличить это время (как оказалось, SAN требуется до 2 минут и 10 секунд чтобы отчитаться о томах LUN и путях для хранилища). Данный временной период контролируется параметром реестра на хостах Hyper-V. Чтобы изменить этот тайм-аут, следуйте перечисленным ниже шагам как на исходном сервере Hyper-V, так и на целевом Hyper-V.

  1. Запустите редактор реестра (regedit.exe).
  2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization.
  3. Выберите пункт New, значение DWORD из меню Edit.
  4. Введите имя HbaLunTimeout и нажмите Enter.
  5. Дважды щелкните по новому параметру и укажите его значение в 300 секунд (в десятичном виде), затем нажмите кнопку ОК (любое значение больше 300 будет опять же использовать 300 для реального значения тайм-аута).

Изменение дает моментальный эффект. Помните, что вы можете проверить журнал регистрации событий для просмотра всех событий, связанных с виртуальным каналом Fibre Channel в папке \Applications and Services Logs\Microsoft\Windows\Hyper-V-SynthFC\Admin.

Замечу, что поиск LUN обычно занимает не больше 5 секунд при использовании виртуального канала Fibre Channel. Этот обходной прием для увеличения тайм-аута необходим для решения проблем с совместимостью.

В. Включает ли в себя Windows Server 2012 утилиту Active Directory Migration Tool?

О. Последняя версия Active Directory Migration Tool (ADMT), версия 3.2, предназначена для Windows Server 2008 R2. Windows Server 2012 не поддерживает ADMT 3.2, и никаких планов по ее включению нет.

Вы можете загрузить ADMT 3.2 с сайта Microsoft Download Center (www.microsoft.com/en-us/download/details.aspx?id=8377). Для организаций, которые хотят перейти на Windows Server 2012 и использовать ADMT, есть такое решение: установите инструмент на сервер Windows Server 2008 R2 и поддерживайте как минимум один контроллер домена Windows Server 2008 R2 в целевом домене (уровень домена и леса должен быть Windows Server 2008 R2). После завершения перехода вы можете вывести из эксплуатации контроллер домена Windows Server 2008 R2 и поднять уровень домена и леса. Этот процесс описан в статье Microsoft Support «ADMT 3.2 and PES 3.1 installation errors on Windows Server 2012» (www.microsoft.com/en-us/download/details.aspx?id=8377).

В. Как мне получить снимок экрана с телефона Nokia с Windows Phone?

О. У Nokia есть приложение в Windows Phone Store, которое называется Nokia Beamer. Оно позволяет вам отсылать содержимое вашего экрана на сайт Nokia Beamer (beam.nokia.com/). Телефон должен поддерживать сборку Lumia Black (хотя я наблюдал, что приложение работало и с другими вариантами сборок).

Чтобы использовать приложение Nokia Beamer, сделайте следующее:

  1. Установите приложение на свой телефон и запустите его.
  2. Перейдите на сайт Nokia Beamer.
  3. Выберите вариант Share nearby («Поделиться») и укажите код телефона.
  4. При каждом встряхивании телефона текущее содержимое экрана телефона будет отослано в веб-браузер вашей системы. Вы можете запускать другие приложения и просто встряхивать телефон, чтобы отсылать текущее содержимое экрана.
  5. Чтобы прекратить делиться контентом, выберите приложение Nokia Beamer и щелкните Stop beaming («Прекратить передачу данных»).

В. Существует ли простой способ создать новый диапазон и параметры DHCP с помощью PowerShell?

О. Недавно мне пришлось удалить целый букет диапазонов DHCP, а затем создавать их заново и активировать отказоустойчивую репликацию. Поскольку мне хотелось сделать все сразу, я создал такой базовый сценарий PowerShell, как показано в листинге.

Заметьте, что в моей среде все диапазоны — это 10.0..0 (например, 10.0.1.0, 10.0.2.0 и так далее). Также все они используют один сервер DHCP из диапазона 10.0..0 и общий сервер DNS (10.1.1.10). Адреса с 50 по 200 используются для реального диапазона. Возможно, вы захотите модифицировать реальные значения для своей среды. Тогда просто измените переменную 3rdOctet в самом начале для конкретного диапазона, который хотите удалить, создать, активировать для репликации.

Сервер реплики в моей среде – это DHCP02. Возможно, вы захотите изменить название. Мой сценарий не проверяет текущие аренды адресов IP. Таким образом, вам нужно убедиться, что IPv4 настроен на проверку как минимум посредством одной попытки для реального использования IP-адреса перед его выделением. Вы можете настроить это через параметр Conflict detection attempts в свойствах IPv4, вкладка Advanced. Этот параметр означает, что сервер будет пытаться получить ответ от IP-адреса перед его выделением. Если ответа нет, сервер продолжит процедуру и выдаст IP-адрес во временное пользование.

Листинг. Создание диапазона DHCP

$3rdOctet = 5
Remove-DhcpServerv4Scope -ScopeId 10.0.$3rdOctet.0 -Force
Add-DhcpServerv4Scope -EndRange 10.0.$3rdOctet.200 -Name Scope-$3rdOctet -StartRange 10.0.$3rdOctet.50 -SubnetMask 255.255.255.0 -LeaseDuration 8.0:0:0 -State Active -Type Dhcp
Set-DhcpServerv4OptionValue -ScopeId 10.0.$3rdOctet.0 -OptionId 3 -Value 10.0.$3rdOctet.1
Set-DhcpServerv4OptionValue -ScopeId 10.0.$3rdOctet.0 -OptionId 6 -Value 10.0.$3rdOctet.10,10.1.1.10 -Force
Add-DhcpServerv4Failover -ScopeId 10.0.$3rdOctet.0 -PartnerServer DHCP02 -Name TVLAN-$3rdOctet
Get-DhcpServerv4Failover -ScopeId 10.0.$3rdOctet.0

 

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF