В. Как проверить все характеристики процессора Intel, если у меня установлен Hyper-V?

О. Существует немало утилит, которые могут сделать запрос процессору и показать его характеристики (например, coreinfo.exe от Sysinternals). Однако многие из них работают неправильно, если установлен гипервизор. На самом деле Intel имеет собственную утилиту — Intel Processor Identification Utility (http://www.intel.com/support/processors/tools/piu/sb/CS-014921.htm). Этот инструмент позволяет получить точную версию и скорость процессора. Кроме того, он содержит вкладку, на которой перечислены все поддерживаемые процессором технологии (см. экран 1).

 

Характеристики процессора
Экран 1. Характеристики процессора

В данном случае процессор не поддерживает функции таблицы расширенных страниц Extended Page Table и технологию преобразования адресов второго уровня, Secondary Level Address Translation (SLAT). Это означает, что вы не можете использовать его вместе с RemoteFX.

В. Я создал несколько предложений запросов и предложений служб в System Center Service Manager, но конечные пользователи их не видят. Почему?

О. В Service Manager имеется каталог служб Service Catalog, в котором предложения запросов и предложения служб могут быть опубликованы и доступны для пользователей. Однако, поскольку вы добавили новые предложения запросов и служб, конечные пользователи не могут видеть их по умолчанию. Вам нужно создать группы данного каталога, которые будут содержать различные предложения, а затем предоставить пользователям роли доступа к этим группам. Чтобы создать группу каталога, перейдите в рабочую область Library («Библиотека»), затем выберите узел Groups navigation («Навигация групп»). Щелкните по действию Create Catalog Group («Создать группу каталога»), а затем следуйте за мастером настройки, который будет включать в эту группу желаемые ресурсы.

Если вы хотите сделать все предложения запросов и все предложения служб доступными, создайте две группы каталога (первая – для предложений запросов, вторая — для предложений служб), которые используют режим Dynamic Member («Динамический элемент») и критерий Status equals Published («Статус равенств опубликован»), см. экран 2.

 

Создание группы предложений
Экран 2. Создание группы предложений

После создания групп каталога вашим следующим шагом будет предоставление доступа к ним в виде элемента пользовательской роли. Откройте рабочую область Administration, перейдите к вкладкам Security («Безопасность»), User Roles («Пользовательские роли») и создайте новую пользовательскую роль. Внутри новой пользовательской роли, в Catalog Item Groups («Группы элементов каталога»), выберите две новые группы каталога, которые вы создали и которые в динамическом режиме включают все опубликованные предложения запросов и предложения служб. В области Users («Пользователи») добавьте тех пользователей, у которых должен быть доступ (например, при выборе Domain Users все пользователи домена будут иметь доступ).

Пользовательские роли, скомбинированные с группами каталога, позволяют вам регулировать, какие группы пользователей могут видеть те или иные предложения запросов и предложения служб. В приведенном примере я опубликовал все предложения для всех пользователей. Вы можете использовать свои комбинации.

В. Я пытаюсь запустить консоль System Center Operations Manager. Однако возникает ошибка «владелец не может определить причину ошибки». Что делать?

О. Обычно причина заключается в том, что Operations Manager был установлен в демонстрационном режиме и 180 дней его жизненного цикла истекли. Вы можете убедиться, что это действительно так, переведя часы в этой системе назад. Вы увидите, что консоль Operations Manager запустится. Решение простое: добавьте действующий ключ защиты программного продукта в System Center. Это можно сделать следующим образом:

Set-SCOMLicense -productid «XXXXX-XXXXX-XXXXX-XXXXX-XXXXX»

Затем перезагрузите сервер управления Operations Manager и все должно заработать.

В. У отправленных заявок на обслуживание в System Center Service Manager 2012 R2 не меняется статус на «выполняется». Что можно предпринять?

О. Как правило, эта проблема легко решается через освобождение кэша Service Manager.

1. Остановите основные службы Service Manager:

  • Microsoft Monitoring Agent (в версиях до System Center Service Manager 2012 R2) – агент мониторинга;
  • System Center Data Access Service – службу доступа к данным;
  • System Center Management Configuration – службу настроек системы управления.

2. Перейдите в папку C:\Program Files\Microsoft System Center 2012 R2\Service Manager\Health Service State и удалите ее содержимое;

3. Перезапустите все три службы из п.1;

4. Убедитесь, что файлы в папке C:\Program Files\Microsoft System Center 2012 R2\Service Manager\Health Service State созданы заново.

Теперь обслуживание должно протекать должным образом.

В. Каковы взаимосвязи центров обработки данных Microsoft Azure?

О. Все центры данных Microsoft Azure сопряжены с центром данных, который физически располагается на расстоянии в сотни миль. Данные асинхронно дублируются между двумя центрами данных (когда учетная запись хранилища активирована на географическое дублирование) для защиты от отказа работы сайта Azure (представьте ситуацию, когда данные центра полностью разрушаются; вам потребуется второй сайт для того, чтобы убедиться, что на него не влияет событие, которые вызвало крах первого сайта). Взаимосвязи центров данных Azure приведены в таблице 1.

 

Взаимосвязи центров данных Azure

В. Как мне увидеть все устройства VPN, которые поддерживаются межсетевым экраном VPN в Microsoft Azure?

О. У Microsoft есть список всех поддерживаемых устройств VPN, которые могут использоваться локально для подсоединения к сетевому экрану VPN в Microsoft Azure. Просмотрите раздел VPN Devices в документе About VPN Devices for Virtual Network (msdn.microsoft.com/en-us/library/azure/jj156075.aspx#bkmk_VPN_Devics).

В. Я пытаюсь запустить команды на удаленном сервере в PowerShell, но переменные, которые я пытаюсь применить, не работают. Что делать?

О. Переменные PowerShell отлично подходят для хранения информации, которая доступна внутри сессии PowerShell. Например, следующая команда выведет текст, содержащийся в переменной $message:

$message = «Message to John»
write-host $message

Теперь представим, что будет, если запустить такую же команду на удаленной машине:

$message = «Message to John»
Invoke-Command -ComputerName savdalhv20 -ScriptBlock {write-host $message}

Текст не выводится. Дело в том, что команда Invoke-Command создает новую сессию PowerShell на удаленной машине, которая не содержит переменных, определенных вами локально, поэтому на ней нет данных. Если вы хотите использовать переменные в удаленной сессии, такой как Invoke-Command, нужно передать эти переменные в качестве параметров в блок кода, который будет использоваться с Invoke-Command, а затем с действительным значением в качестве аргумента. Например:

$message = «Message to John»
$ScriptBlockContent = {
param ($MessageToWrite)
Write-Host $MessageToWrite }
Invoke-Command -ComputerName savdalhv20 -ScriptBlock $ScriptBlockContent -ArgumentList $message

Теперь все работает, текст выводится на экран. Так получается, потому что код, запускаемый в удаленном режиме через Invoke-Command, пишется в переменную $MessageToWrite, которая ожидается как параметр во время ее использования и наполняется значением $message через -ArgumentList. Таким образом, когда вы хотите задействовать переменные, которые определены локально, передавайте их в качестве параметров в удаленную сессию.

В. Как использовать PowerShell для установки Dynamic Access Control Central Access Policy, который применяется к папке?

О. Динамический контроль доступа Dynamic Access Control позволяет создавать политики централизованного доступа, содержащие правила централизованного доступа Central Access Rules, которые определяют атрибуты, необходимые пользователю и устройству для получения доступа к данным с различной классификацией. Настроив один раз политики централизованного доступа на файловых серверах, вы можете использовать групповые политики Group Policy для применения политик к файлам и папкам. Также для той же цели можно задействовать PowerShell. В следующем коде PowerShell реализуется политика File Server Policy:

$acl = get-acl «C:\Shares\Data\SharedContent» –audit
set-acl «C:\Shares\Data\SharedContent» $acl «File Server Policy»

В. Я пытаюсь запустить команды PowerShell в удаленном режиме на узле в кластере, но они не работают, так как возникает ошибка аутентификации. Почему?

О. Когда команда PowerShell запускается на удаленном сервере, ваши учетные данные используются для выполнения действий на этом удаленном сервере. Удаленный сервер не может использовать ваши учетные данные в тех операциях, в которых эти данные передаются на другой сервер, что создает двойную пересылку учетных данных. Когда вы запускаете команды на кластере, все узлы в кластере связываются друг с другом при выполнении этих команд. Такая ситуация будет аварийной, потому что узел кластера, к которому вы подсоединяетесь в удаленном режиме, не имеет прав на использование учетных данных на других узлах в кластере.

Существует несколько способов решить эту проблему. Самый простой подход – использование протокола CredSSP и настройка сервера, к которому вы подсоединяетесь, на разрешение использования CredSSP.

На локальной системе, которая будет выдавать команды, запустите:

Enable-WSManCredSSP Client -DelegateComputer –Force

На удаленном сервере, который будет принимать команды, введите:

Enable-WSManCredSSP Server

При запуске удаленных команд используйте следующий код:

$CustomCred = Get-Credential #Stores a credential to use and you will be prompted on screen
Invoke-Command -ComputerName -ScriptBlock {remote stuff} -Authentication Credssp -Credential $CustomCred

В. Я полагаю, что мой диск стал причиной проблем с производительностью в моей среде. Как мне быстро проверить его?

О. Проще всего узнать, является ли диск причиной проблем с производительностью, проверив время задержек при операциях записи и чтения на каждом физическом диске. Это можно сделать следующим образом:

  1. Запустите программу мониторинга производительности Performance Monitor.
  2. Перейдите к инструментам мониторинга Monitoring Tools из Performance Monitor.
  3. Нажмите кнопку Add («Добавить»).
  4. Перейдите к группе счетчиков PhysicalDisk и раскройте ее.
  5. Добавьте счетчики Avg. Disk sec/Read и Avg. Disk sec/Write для дисков, которые вас интересуют (см. экран 3).
  6. Нажмите ОК.

 

Добавление счетчиков
Экран 3. Добавление счетчиков

Какие-либо значения счетчиков, превышающие 0.030 (30 милисекунд), как правило, указывают на проблемы с производительностью (значение для высокопроизводительных хранилищ обычно 0.000). Конечно, когда вы видите значение 0.1, это указывает на огромное снижение производительности диска, что влияет и на производительность системы в целом.

В. Как усовершенствовать доступ к новым свойствам и инструментам разработчиков Internet Explorer?

О. Компания Microsoft выпустила Internet Explorer Developer Channel, который является независимой от Internet Explorer версией, демонстрирующей новые и готовящиеся к выпуску технологии и стандарты. Вы можете установить Developer Channel наряду со стандартным вариантом Internet Explorer (сейчас Microsoft использует App-V для распространения Developer Channel и обеспечения его изоляции от стандартной установки).

В блоге Microsoft IEBlog рассматривается несколько ключевых свойств Developer Channel. Прочитайте анонс выпуска новой версии программы и FAQ — некоторые свойства не активируются по умолчанию (например, WebDriver для повышения безопасности). В FAQ объясняется, как активировать WebDriver и другие возможности.

В. Нужны ли лицензии клиентского доступа к Windows Server для получения доступа к службам, запускаемым на виртуальных машинах Microsoft Azure?

О. Нет, в документе Microsoft, посвященном вопросам лицензирования виртуальных машин (azure.microsoft.com/en-us/pricing/licensing-faq/), указано, что никаких лицензий клиентского доступа к Windows Server (CAL) для получения доступа к экземплярам Windows Server, запускаемым в среде Azure, не требуется, поскольку права доступа учитываются в поминутной оплате. Это означает, что если вся ваша инфраструктура была запущена в Azure, то локальные компьютеры и приложения не будут требовать Windows Server CAL при соединении с экземплярами Windows Azure. Вот вам и еще одна причина перейти в «облако»!

В. Я запускаю SQL Server на виртуальной машине Azure IaaS и мне требуется более высокая производительность диска. Следует ли мне использовать пространства хранения Storage Spaces внутри виртуальной машины на нескольких дисках?

О. Скорее всего, нет. Хотя Storage Spaces полностью поддерживается в Azure и для нормальных рабочих процессов должен использоваться для комбинирования нескольких дисков данных, чтобы получить более емкие тома с более высокими показателями операций ввода-вывода, вы не обязаны задействовать Storage Spaces вместе с SQL Server. Вместо этого для достижения максимальной производительности в случае с SQL Server стоит использовать встроенную функцию распределения SQL Server, которая запишет базу данных на несколько выделенных дисков. Однако такой подход имеет некоторые побочные эффекты с точки зрения простоты и гибкости.

В SQL Server имеется база данных, которая содержит файловую группу (хотя может быть и несколько файловых групп). Файловая группа содержит один или несколько файлов, каждый файл хранится на разных физических дисках. В файловую группу записываются объекты. Эта группа впоследствии использует алгоритм полного пропорционального заполнения, чтобы гарантировать, что все файлы в файловой группе содержат примерно одно и то же количество данных, и таким образом распределяется нагрузка. Необходимо вручную добавлять файлы на каждый диск в файловой группе. Если в будущем вы захотите добавить другой диск, нужно будет добавить другой файл на этом новом диске к файловой группе. Однако, поскольку автоматическая повторная оптимизация данных для равномерного распределения отсутствует, на новый диск будет записано большое количество новых данных, что может повлиять на производительность.

Эта ситуация входит в противоречие с механизмом Storage Spaces, который позволяет просто добавлять диски в пул хранения Storage Pool. Затем диски автоматически используются по мере необходимости, в зависимости от данных. Если нужно, в фоновом режиме проводится оптимизация.

Встроенная функция распределения SQL Server обеспечивает наилучшую производительность, а Storage Spaces предоставляет упрощенный режим работы за счет некоторого снижения производительности. Выбор зависит от того, что для вас важнее.

В. Как мне просмотреть все, что есть в моем телефоне Windows Phone на рабочем столе Windows?

О. Новое приложение от Microsoft под названием Project My Screen (www.microsoft.com/en-us/download/details.aspx?id=42536) изначально работает в полноэкранном режиме. Если вы нажмете клавишу Esc, оно откроется в окне (или можете нажать F, чтобы переключаться между полноэкранным и оконным режимами). Подсоедините свой Windows Phone к компьютеру через порт USB. Когда ваш телефон выведет запрос на разрешение отображения экрана, щелкните Yes. Подсоединив телефон, вы можете подстраивать под себя определенные элементы. Например, выполните следующие шаги:

  1. Октройте Settings.
  2. В разделе System пролистайте вниз до Project My Screen.
  3. Щелкните ссылку advanced.
  4. Задайте настройки, включая цвет и ориентацию экрана (см. экран 4).

 

Настройка телефона
Экран 4. Настройка телефона

Приложение работает отлично, без заметных задержек. В таблице 2 перечислены некоторые горячие клавиши, которые вы можете использовать. Чтобы вывести эти горячие клавиши на экран, нажмите F1.

 

Горячие клавиши

Если что-то идет не так, попытайтесь запустить Device Manager, подключив телефон. В разделе Portable Devices и Universal Serial Bus Devices удалите устройства Windows Phone. Затем отключите телефон от порта USB и снова подсоедините.

В. Как заставить сессию PowerShell использовать режим ConstrainedLanguage?

О. Чтобы ваша сессия использовала ограниченный вариант, такой как тот, что доступен в среде Windows RT, примените следующий код:

$Host.Runspace.LanguageMode = 'ConstrainedLanguage'

В. Могу ли я запустить Linux в виртуальной машине Hyper-V второго поколения?

О. Второе поколение виртуальных машин использует среду безопасной загрузки UEFI, которая не имеет контроллера IDE. Вместо этого среда загружается с синтетического SCSI-контроллера. Таким образом, чтобы стартовать в виртуальной машине второго поколения, операционная система должна:

  • изначально поддерживать UEFI (без запроса Compatibility Support Module (CSM) – модуля поддержки совместимости, который имитирует работу BIOS);
  • включать драйвер синтетического контроллера Hyper-V SCSI и уметь загружаться с него;
  • поддерживать безопасную загрузку Secure Boot (или деактивировать ее как часть настроек виртуальной машины).

Определенные дистрибутивы Linux сегодня поддерживают второе поколение виртуальных машин, но требуют деактивации Secure Boot. Я тестировал Ubuntu 14.04 на 64 разряда (убедитесь, что вы используете 64-разрядную версию Ubuntu 14.04). Кроме того, обеспечивается поддержка Dynamic Memory и интеграции нового механизма создания резервных копий (см. экран 5).

 

Linux в виртуальной машине Hyper-V второго поколения
Экран 5. Linux в виртуальной машине Hyper-V второго поколения

В. У меня имеется объединение сетевых адаптеров (NIC Team), созданное на сервере Hyper-V. Может ли диспетчер виртуальной машины в System Center Virtual Machine Manager управлять этой командой?

О. Нет. Диспетчер виртуальных машины VMM в составе System Center может управлять только теми объединениями адаптеров, которые создает он. Если у вас уже есть NIC Team на сервере Hyper-V, вам нужно удалить это объединение и позволить диспетчеру виртуальной машины создать его заново, когда он разворачивает логический коммутатор на сервере.

В. Я приобрел подписку на Office 365 и хочу использовать портал Microsoft Azure для проверки состояния Azure Active Directory, используемой моим экземпляром Office 365. Однако на портале Azure я получил сообщение, что у меня нет подписки. Что делать?

О. Если вы хотите задействовать портал Microsoft Azure для обзора работы Azure Active Directory конкретного экземпляра Office 365, проще всего зарегистрироваться на office365.com со своей учетной записью и перейти на страницу управления Microsoft Azure (manage.windowsazure.com/). Портал Azure укажет, что у вас нет подписки, здесь вы сможете подписаться на пробную версию, которая позволит вам зарегистрироваться и просматривать Azure Active Directory через портал. Также вы сможете использовать другие функции, такие как Application Access Enhancements, которые позволяют создать федерацию вашей Azure Active Directory с частными службами.

В. Как мне установить и активировать Azure VM Agent для существующих виртуальных машин?

О. Если новые виртуальные машины разворачиваются в Azure, действием по умолчанию является установка агента Azure VM Agent. VM Agent активирует определенные операции по управлению вне гостевой операционной системы, такие как сброс забытого или потерянного пароля и т.д. Для существующих виртуальных машин VM Agent может быть активирован посредством двухшагового процесса.

Внутри виртуальной машины установите Azure VM Agent и запустите файл MSI, см. экран 6. После завершения установки сообщите коммутатору Azure, что агент установлен внутри виртуальной машины. Это активирует различные операции по управлению. Вы можете сделать это с помощью PowerShell:

$vm = Get-AzureVM –ServiceName –Name
$vm.VM.ProvisionGuestAgent = $true
Update-AzureVM –Name –VM $vm.VM –ServiceName

 

Установка агента Azure VM Agent
Экран 6. Установка агента Azure VM Agent

После запуска кода PowerShell, если вы запустите команду Get-AzureVM снова и посмотрите на виртуальную машину, то увидите, что GuestAgentStatus теперь не пустой.

В. Я получил сообщение об ошибке, когда пытался открыть файл в папке общего доступа, расположенной на конкретном узле в кластере. Однако мне удалось получить доступ к файлу, когда я переместил файловый сервер на другой узел. Что могло быть причиной проблемы?

О. Здесь может быть два варианта. Первая причина - старые данные в памяти на первоначальном узле. Решение: перезагрузка проблемного узла. Другая причина – антивирусное программное обеспечение может быть настроено по-разному на различных узлах. Возможно также, что вы активировали дедупликацию данных на диске, но не установили служебную роль дедупликации данных на файловых серверах. Это означает, что файлы, которые были подвержены дедупликации, не могут быть открыты на узле без роли дедупликации данных. В этом случае пользователь получает сообщение об ошибке, в котором говорится, что система не может получить доступ к файлу. Чтобы решить эту проблему, нужно установить роли дедупликации данных на всех серверах в кластере.

В. Я использую Azure DirSync. Как мне принудительно выполнить синхронизацию?

О. По умолчанию DirSync запускается каждые три часа. Однако вы можете использовать PowerShell, чтобы выполнить синхронизацию принудительно:

PS C:\Program Files\Windows Azure Active Directory Sync\DirSync>. \ImportModules.ps1
PS C:\Program Files\Windows Azure Active Direc

В. Существуют ли какие-нибудь специальные действия, необходимые для активации кадров Jumbo в Windows Server 2012 или более новой версии Hyper-V?

О. Активировать пакеты увеличенного размера, или кадры jumbo, достаточно просто. В виртуальном коммутаторе не нужно изменять никаких настроек. Надо просто сделать следующее:

  1. Активируйте кадры jumbo на физическом сетевом адаптере на вкладке Advanced в свойствах сетевого адаптера. Затем задайте требуемое значение (например, 9014).
  2. Убедитесь, что все сетевое оборудование, такое как коммутаторы, настроено для работы с кадрами jumbo.
  3. Внутри каждой виртуальной машины в гостевой операционной системе активируйте кадры jumbo путем изменения значения Jumbo Packet на 9014 внутри свойств Advanced виртуального сетевого адаптера.

Теперь вы можете отсылать пакеты jumbo. Чтобы в этом убедиться, введите такую команду:

ping -f -l 8500

Заметьте, что я использую размер пакета в 8500, поскольку отсылаемые данные проходят упаковку. Маловероятно, что будет работать значение 9000, но 8500 должно работать и подтверждать, что вы отсылаете кадры jumbo.

Если у вас есть виртуальные сетевые адаптеры в управляющем разделе (на хосте Hyper-V), то их также можно настроить для приема кадров jumbo в разделе Advanced виртуального адаптера или через PowerShell:

Get-NetAdapterAdvancedProperty -Name «vNIC LM» -DisplayName «Jumbo Packet» | Set-NetAdapterAdvancedProperty -RegistryValue «9014»

В. Что произойдет, если две разных службы попытаются сделать моментальный снимок данных Volume Shadow Copy Service одновременно?

О. Если две разных службы попытаются сделать моментальный снимок данных Volume Shadow Copy Service (VSS) одного и того же ресурса одновременно, второй VSS-запрос завершится ошибкой и будет повторен позже в соответствии с встроенной логикой повтора операций. Например, если я использовал Hyper-V Replic для создания копии виртуальной машины, которая была настроена на то, чтобы делать моментальные копии с сохранением состояния приложений, а менеджер защиты данных Data Protection Manager (DPM) также копировал бы виртуальную машину в это же время, то в случае, если копия DPM выполнится первой, создание моментального снимка с сохранением состояния приложений Hyper-V Replica завершится сбоем, а Hyper-V Replica попытается снова создать копию через определенный временной интервал.

В. Достигает ли настройка на DHCP учетных данных динамического обновления данных DNS тех же результатов, что и добавление сервера DHCP в группу DnsUpdateProxy?

О. Коротко говоря, нет. Однако важно понять принцип взаимодействия DNS с DHCP в части динамических обновлений, а затем посмотреть, что делает каждая из двух функций, то есть настройка учетных данных динамического обновления на DHCP и добавление сервера DHCP в группу DnsUpdateProxy.

Динамический DNS – это функция, которая позволяет системам регистрировать свои записи в службе DNS. Таким образом, у администраторов исчезает необходимость создавать записи вручную. Более того, механизм Secure Dynamic Update может потребоваться для зон, которые интегрированы в Active Directory (а так и должно быть в целях улучшения работы), что позволяет регистрировать записи только членам группы Authenticated Users. У этих записей есть список управления доступом ACL, что не позволяет другим системам подменять их.

Когда DHCP применяется для выделения IP-адресов, по умолчанию используются настройки, показанные на экране 7. Эти настройки позволяют серверу DHCP регистрировать записи в DNS от имени клиентов, только если клиенты выдают соответствующий запрос или если они не имеют возможности динамической регистрации (например, системы Windows NT 4.0). Это означает следующее:

  • хост будет регистрировать собственную запись А, что логично, поскольку хост владеет именем и ему следует владеть своей записью хоста;
  • сервер DHCP будет регистрировать запись PTR, что также логично, поскольку сервер DHCP владеет IP-адресом.

Таким образом, учетная запись сервера DHCP будет владеть определенными записями в DNS, такими как записи PTR и даже некоторые записи А для более старых хостов (однако вряд ли у вас есть много хостов NT 4.0). Это может стать причиной некоторых проблем:

  1. Если у вас есть несколько серверов DHCP, пусть даже в кластере, и в случае возможного сбоя первичного сервера DHCP необходимо будет перенести область адресов на второй сервер DHCP, этот второй сервер DHCP не будет иметь прав на изменение записей DNS, созданных первичным сервером DHCP.
  2. Если у вас есть хосты NT 4.0, которые обновляются до более новой версии операционной системы, то эти более новые операционные системы не будут иметь разрешений на обновление записей хоста, которые ранее были зарегистрированы от их имени сервером DHCP.

По этой причине серверы DHCP могут быть добавлены в группу, которая называется DnsUpdateProxy. Когда сервер DHCP добавляется в группу DnsUpdateProxy, его записи не защищаются, то есть другие серверы DHCP могут обновлять эти записи. Более того, хосты могут изменять записи и впоследствии становиться собственниками записей (первый обновивший запись, которая не является членом DnsUpdateProxy, становится собственником). Это очень опасно, особенно если сервер DHCP является контролером домена, поскольку это означает, что все записи Active Directory для контролера домена запишутся без защиты и, таким образом, могут быть переписаны другими хостами (хотя дополнительная настройка – OpenACLOnProxyUpdates – помогает предотвратить это, не позволяя переписывать записи другим серверам группы DnsUpdateProxy, если ей присвоено значение 0).

Однако есть лучшее решение, которое снимает вопрос запуска DHCP на контролере домена. Это решение состоит в указании учетных данных для динамического обновления DNS: вы можете сделать это на вкладке Advanced свойств IPv4. Необходимо указать обычную учетную запись пользователя Active Directory без специальных привилегий, но срок действия ее пароля должен быть установлен в режим «никогда не истекает» (или вам нужно иметь действительно хороший процесс для периодических обновлений). Затем требуется задать эти настройки на всех серверах DHCP так, чтобы все серверы DHCP использовали ту же самую учетную запись для выполнения обновлений DNS. Это означает, что всеми записями DNS, зарегистрированными серверами DHCP, будет владеть специальная учетная запись, общая для всех серверов DHCP, см. экран 8.

Использование учетных данных для сервера DHCP не решает проблемы передачи права собственности на записи DNS хостам, обновленным с версии NT 4.0, однако вряд ли это будет беспокоить кого-то сегодня.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF