В. Как соотнести экземпляр Azure Active Directory организации с моей подпиской Windows Azure?

О. Когда вы создаете большинство служб Microsoft, создается экземпляр Azure Active Directory. Когда-нибудь вам захочется научиться управлять этим экземпляром Azure Active Directory через привычный портал Windows Azure, так же, как использовать свою подписку Windows Azure для управления пользователями Azure Active Directory. Чтобы это сделать, потребуется соединить экземпляр Azure Active Directory организации с вашей подпиской Windows Azure. Для этого выполните следующие действия:

  1. Войдите в систему Azure при помощи Microsoft ID (например, https://manage.windowsazure.com).
  2. Перейдите в рабочую область Active Directory.
  3. Выберите New, App Services, Active Directory, Directory, Custom Create.
  4. Выберите Use existing directory из раскрывающегося меню, затем установите флажок I am ready to be signed out now и щелкните по нему (см. экран 1).
  5. Завершите сеанс. При регистрации в системе вам нужно будет использовать учетную запись глобального администратора экземпляра Azure Active Directory организации, которую вы хотите добавить к подписке Azure.
  6. Появится запрос на использование службы каталогов с Windows Azure. Щелкните continue (см. экран 2).
  7. Щелкните Sign out now.
  8. Зарегистрируйтесь снова в качестве постоянного пользователя Azure (например, с Live ID).
  9. Теперь, если вы выберете Active Directory workspace, вы увидите экземпляр Azure Active Directory своей организации.
  10. Если вы посмотрите на пользователей, то увидите нового пользователя, которым будет ваш Live ID. Теперь он - часть Azure Active Directory вашей организации. Через него разрешается доступ. Если вы захотите разъединить экземпляр Active Directory организации и подписку Windows Azure, просто удалите учетную запись этого пользователя (как показано на экране 3).
  11. Вы можете сделать экземпляр Azure Active Directory организации главной службой каталогов для вашей подписки Azure, что позволит вам сделать пользователей Azure Active Directory организации «соадминистраторами» подписки Windows Azure. В меню Subscriptions выберите Manage subscriptions/directory.
  12. Выберите подписку и щелкните Edit Directory, как показано на экране 4.
  13. Выбранная служба каталогов — Azure Active Directory вашей организации (доступна только эта служба каталогов). Щелкните Next, Complete. Чтобы вернуться к автоматически созданной Azure Active Directory для вашей учетной записи Live ID, просто повторите этот шаг, указав встроенную Azure Active Directory, как показано на экране 5.
  14. Обновите окно портала. Чтобы добавить учетные записи пользователей из Azure Active Directory вашей организации, перейдите к области Settings и выберите Administrators (см. экран 6).

 

Подготовка подсоединения к?службе каталогов
Экран 1. Подготовка подсоединения к?службе каталогов

 

Запрос на соединение служб каталогов
Экран 2. Запрос на соединение служб каталогов

 

Новая учетная запись в?экземпляре Azure Active Directory организации
Экран 3. Новая учетная запись в?экземпляре Azure Active Directory организации

 

Добавление новых учетных записей
Экран 4. Добавление новых учетных записей

 

Смена службы каталогов
Экран 5. Смена службы каталогов

 

Добавление администраторов
Экран 6. Добавление администраторов

Теперь вы можете управлять Azure Active Directory вашей организации через портал Azure и предоставлять пользователям доступ к подписке Azure.

В. Что такое Azure Automation?

О. Компонент Azure Automation необходим для работы среды автоматизации System Center Orchestrator Service Management Automation (SMA), развернутой в Azure. Она позволяет выполнять рабочие процессы PowerShell непосредственно в структуре Azure, что очень эффективно. Команды PowerShell собраны в модулях. По умолчанию модуль Azure доступен внутри Azure Automation, однако вы можете загрузить и дополнительные модули, которые называются пакетами заданий, чтобы создать дополнительные команды, доступные для ваших рабочих процессов PowerShell. Пакеты заданий в Azure могут запускаться вручную, либо автоматически в желаемое время по расписанию.

Почему именно рабочие процессы PowerShell, а не обычный PowerShell? Подумайте о долго выполняющемся сценарии PowerShell, который может инициировать многочисленные действия на многих системах. Если возникает проблема, выполнение сценария может быть неуспешным и, возможно, потребуется повторный запуск. В случае обычного сценария PowerShell в процессе создания сценария необходимо учитывать, что некоторые действия уже выполнены (сценарий может выполняться множество раз и не влиять на объект, будучи уже однажды выполненным). Вам придется вставить логику для проверки значений: было выполнено действие или нет. А это большая работа. Рабочие процессы PowerShell имеют контрольные точки, в которых на диске сохраняется текущее состояние любых переменных и текущая точка рабочего процесса. Если возникает проблема, рабочий процесс может быть возобновлен с момента последней контрольной точки. Контрольные точки обычно вставляются в рабочий процесс после любого важного действия. Использование рабочих процессов PowerShell при помощи Azure Automation означает, что если возникает временное прекращение работы или какого-либо рода фатальная ошибка, пакет заданий может быть возобновлен автоматически с последней контрольной точки.

Azure Automation предоставляет удобную среду написания сценариев. Однако я рекомендую вам использовать PowerShell Integrated Scripting Environment (ISE) для создания рабочих процессов PowerShell локально, а затем поместить эти рабочие процессы в редактор пакета заданий Azure Automation. Помните, что цель Azure Automation – это запуск рабочих процессов PowerShell без какого-либо взаимодействия с пользователем. Таким образом, вы не можете применить какой-либо тип команды, которая требует взаимодействия или основана на отформатированных выходных данных.

В. Я использую Azure Site Recovery Replication для репликации операционной системы, которая занимает более 100 Гбайт, в Azure. Как взимается плата за дополнительный размер?

О. Согласно Azure Site Recovery Pricing Details (http://azure.microsoft.com/en-us/pricing/details/site-recovery/), лицензия на Azure Site Recovery (ASR), которая выдается на каждую виртуальную машину на месяц, включает 100-гигабайтное хранилище Azure для репликации хранилища виртуальной машины. Если объем хранилища превышает 100 Гбайт, плата за дополнительное пространство берется как за географически реплицируемый большой двоичный объект.

В. Когда я создаю виртуальную машину в Azure, нужно ли платить за дисковое хранилище операционной системы?

О. Да. Стоимость минуты работы виртуальной машины Azure включает использование процессора и памяти, а реальное хранилище операционной системы виртуальной машины, которое является файлом VHD, оплачивается по обычным тарифам хранения Azure BLOB. Вы также платите за дополнительные диски данных. Вы не платите за временный диск (D по умолчанию), поскольку он хранится локально на хосте как непостоянное хранилище. Об этом говорится в статье о ценообразовании для виртуальных машин Microsoft Azure Virtual Machines Pricing Details (hazure.microsoft.com/en-us/pricing/details/virtual-machines/).

В. Я пытаюсь воспользоваться аутентификацией с сертификатом или регистрацией устройства при помощи служб федерации Active Directory Federation Services (AD FS) в Windows Server 2012 R2, но при внешнем соединении возникает ошибка. Почему?

О. В службах федерации AD FS в Windows Server 2012 R2 были сделаны изменения, связанные с регистрацией устройства. Изменения повлияли и на аутентификацию с сертификатом. При инициации TCP-соединения с AD FS или сервером Web Application Proxy (WAP) соединение использует порт 49443, а не 443. Это означает, что вам необходимо указать исключения на сетевом экране и опубликовать порт 49443 для TCP, дополнительно к 443, который существует для AD FS или WAP-сервера (если он используется). Об этом изменении рассказано в статье Preparing to Migrate the AD FS Federation Server («Подготовка к перемещению сервера федерации AD FS») по адресу technet.microsoft.com/en-us/library/dn486819.aspx).

В. Как проверить, какие сертификаты соответствуют стандартам Windows Azure?

О. В Microsoft есть центр управления безопасностью Trust Center для Windows Azure, который имеет несколько разделов, связанных с системой безопасности, конфиденциальностью и соответствием стандартам. Раздел соответствия стандартам Microsoft Azure Trust Center Compliance (www.windowsazure.com/en-us/support/trust-center/compliance/) обновляется, как только сертификаты архивируются и при прохождении ежегодного процесса сертификации.

Вот некоторые примеры сертификаций для Azure:

  • ISO/IEC 27001:2005;
  • Аттестации SOC 1 и SOC 2;
  • Ассоциация Cloud Security Alliance (CSA);
  • FedRAMP;
  • PCI DSS Уровень 1;
  • Аккредитация G-Cloud IL2;
  • Стандарт HIPPA.

Кроме того, вы можете проверить соответствие стандартам Windows Azure на сайте.

В. Как проверить слушателей Windows Remote Management?

О. Самый простой способ проверить слушателей Windows Remote Management – это использовать следующую команду:

winrm e winrm/config/listener

Команда покажет слушателя HTTPS или HTTP. Если вы выясните, что пропустили, например, слушателя HTTP, можете добавить такую команду:

winrm create winrm/config/Listener?Address=*+Transport=HTTP

В. Я экспортирую пакет заданий System Center Orchestrator и хочу удалить глобальные счетчики, переменные и т.д. Как мне очистить экспортируемый пакет заданий?

О. Когда пакет заданий экспортируется, структура папки глобальных настроек экспортируется тоже, даже если не экспортируются фактические объекты. В связи с этим данная структура должна импортироваться в случае импорта пакета заданий. Чтобы очистить экспортируемое, лучше всего загрузить инструмент Parse Orchestrator Export (scorch.codeplex.com/releases/view/104915). Вам нужно загрузить файлы ParseOrchestratorExport.exe и Orchestrator.Administration.dll, а потом сохранить их в папку. Запустите инструмент ParseOrchestratorExport.exe, выберите экспортируемый файл пакета заданий, выберите Parse. Затем выберите Sanitize Export, это действие удалит все глобальные настройки и параметры, на которые нет ссылок (см. экран 7). Щелкните Yes в диалоговом окне подтверждения для завершения процесса.

 

Очистка файла экспорта пакета заданий
Экран 7. Очистка файла экспорта пакета заданий

В. Как проверить, какие организационные единицы синхронизируются со службой каталогов Azure Active Directory при помощи DirSync?

О. По умолчанию DirSync будет синхронизировать все нужные учетные записи пользователей по правилам, определенным для объекта пользователя. Однако может понадобиться проверить, какие объекты локальной службы каталогов синхронизируются со службой каталогов Azure или Office 365. Сделать это очень легко: просто убедитесь, что вы убрали флажок синхронизации сразу после задания настроек DirSync. Это даст вам возможность изменить параметры синхронизации следующим образом:

  1. Запустите графический интерфейс Forefront Identity Manager (FIM) из Microsoft Identity Integration Server (MIIS), который устанавливается как часть DirSync (DirSync в обязательном порядке использует FIM). Это можно сделать путем запуска утилиты miisclient.exe, которую можно найти по маршруту C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell.
  2. Выберите вкладку Management Agents.
  3. Правой кнопкой мыши щелкните по Active Directory Connector и выберите Properties.
  4. Выберите узел Configure Directory Partitions.
  5. Нажмите кнопку Containers, которая выдаст запрос на идентификационные данные.
  6. Выберите только те OU (организационные единицы), которые должны быть синхронизированы, как показано на экране 8. Затем нажмите ОК.
  7. Нажимайте ОК на всех последующих диалоговых окнах. Теперь только выбранные объекты будут скопированы.
  8. Если вы хотите изменить правила для каждого копируемого объекта, можете сделать это через те же свойства коннектора: выберите Configure Connector Filter, а затем выберите объект пользователя, чтобы увидеть все правила фильтра, которые вы впоследствии сможете настроить для пользователя (см. экран 9).

 

Выбор организационных единиц
Экран 8. Выбор организационных единиц

 

Настройка правил для объекта
Экран 9. Настройка правил для объекта

Теперь вы можете активировать синхронизацию.

В. Как мне создать сессию PowerShell на удаленной системе от имени другого пользователя?

О. Существует несколько способов. Следующий код запрашивает учетные данные, которые вы хотите использовать, а затем подсоединяется с ними к удаленной системе, где вы можете запустить команды:

$cred=Get-Credential
$sess = New-PSSession -Credential $cred -ComputerName
Enter-PSSession $sess
Exit-PSSession
Remove-PSSession $sess

Когда вы закончите, наберите Exit-PSSession, а затем удалите сессию.

В. Как мне запустить DirSync на контролере домена?

О. Программа DirSync обеспечивает синхронизацию между классической версией Active Directory и Azure Active Directory. После обновления 6567.0018 инструмент Azure Active Directory Sync может быть установлен на контроллере домена.

Microsoft рекомендует устанавливать DirSync на контроллер домена только в тестовой среде, поскольку установка инструмента предполагает установку SQL Express, Forefront Identity Manager (FIM) и других компонентов, добавляющих непроизводительные издержки.

В. Могу ли я отключить кнопку Start на своем Surface Pro 3?

О. Меня уже не первый раз спрашивают об этом. Дело в том, что пользователи случайно нажимают кнопку Start и это ведет к показу экрана Start и потере всего, что было сделано. Единственный известный мне способ отключить кнопку Start следующий:

  1. Запустите менеджер устройств Device Manager (devmgmt.msc).
  2. Раскройте группу System Devices.
  3. Выберите Surface Home Button, затем Disable («Выключить»), как показано на экране 10.

 

Отключение кнопки Start
Экран 10. Отключение кнопки Start

Если в будущем понадобится вновь активировать кнопку Start, повторите этот процесс, но выберите действие Enable («Включить»).

В. Я использую Azure Site Recovery для репликации виртуальных машин в Azure, но виртуальная машина уже имеет диск D. Что произойдет, если возникнет аварийная ситуация в Azure?

О. На обычной виртуальной машине Azure диск С содержит операционную систему и хранится в Azure Storage. Это означает, что он реплицируется трижды. Диск D является добавочным накопителем и не хранится в Azure Storage. Вместо этого используется локальное хранение в хосте. Это означает, что данные, хранящиеся на диске D, не рассматриваются как хранящиеся постоянно, что полезно для файла подкачки и других промежуточных данных.

Если виртуальная машина, у которой уже есть диск D для данных, перемещается в Azure, например во время обработки отказа, тогда по умолчанию существующий диск D сохраняется, а временный накопитель Azure получает последующую букву диска (например, временный накопитель может быть добавлен как диск Е).

Диски сохраняют свою изначальную букву, поскольку политика SAN операционной системы настроена на работу в режиме OnlineAll по умолчанию. Если вы захотите подтвердить, что ваша операционная система сохранит ту же самую букву накопителя, убедитесь, что политика SAN настроена на OnlineAll. Чтобы проверить это значение, запустите команду:

Diskpart
Microsoft DiskPart version 6.3.9600
Copyright (C) 1999-2013 Microsoft Corporation.
On computer: SAVDALWKS08
DISKPART> san
SAN Policy: Online All

Microsoft описывает свою политику SAN на сайте TechNet (technet.microsoft.com/en-us/library/gg252636.aspx).

В. Как мне начать работу c Azure Automation?

О. Работа c компонентом Azure Automation требует понимания ряда ключевых вещей. Хотя Azure Automation запускается внутри Azure, следует использовать сертификат управления для разрешения связи пакетов заданий Azure Automation с подпиской Azure. Как только вы получите частный ключ для сертификата в файле PFX, а открытый ключ загрузите в Azure в качестве сертификата управления, выполните следующие действия:

1. Создайте новую учетную запись Azure Automation. На портале управления Azure перейдите к рабочей области Automation и выберите действие Create. Выберите имя для новой учетной записи компонента автоматизации и регион, в котором он будет расположен.

2. Выберите учетную запись Automation, вкладку Assets и действие Add Setting. Выберите Add Credential, Certificate; определите имя для сертификата (запишите имя, которое вы придумали, поскольку оно понадобится на следующем шаге). На следующем экране укажите ваш файл PFX, который содержит частный ключ; введите пароль для файла PFX и щелкните значок галочки.

3. Добавьте подписку Azure в ту же самую учетную запись. На вкладке Assets учетной записи щелкните Add Setting; выберите Add Connection. В разделе Connection Type выберите Azure и назначьте имя. На следующем экране укажите имя сертификата, загруженного на шаге 2, предоставьте Azure ID (идентификационный номер) подписки и щелкните значок галочки.

4. Загрузите необходимый сценарий для легкого подсоединения к Azure из ваших пакетов заданий. Загрузите Connect-Azure.ps1 из статьи на Microsoft TechNet «Connect to an Azure Subscription» gallery.technet.microsoft.com/scriptcenter/Connect-to-an-Azure-f27a81bb). Используйте область Runbook, действие Import для загрузки сценария. Выберите пакет заданий; на вкладке Author выберите Published и щелкните Yes.

5. Создайте собственные пакеты заданий. На вкладке Runbooks в учетной записи Automation выберите New, Runbook, Quick Create. Присвойте журналу регистрации имя и описание (вы также можете изменить учетную запись автоматизации и подписку Azure). Выберите Runbook; на вкладке Author отредактируйте версию Draft пакета заданий. Вы получите рабочий процесс по умолчанию; первые действия должны быть направлены на подсоединение к подписке Azure, по отношению к которой вы хотите выполнять действия, а затем добавьте оставшуюся часть кода (убедитесь, что вы добавили контрольные точки при помощи Checkpoint-Workflow на главных шагах). Следующий пример кода поможет вам начать работу с соединением к Azure:

$subName = 'SavillTech Internal Consumption'
Connect-Azure -AzureConnectionName $subName
Select-AzureSubscription -SubscriptionName $subName

6. Завершив пакет заданий, убедитесь, что он доступен.

В. Поддерживается ли технология инкапсуляции маршрутов Generic Routing Encapsulation (GRE) в виртуальной сети Azure Virtual Network и межсайтовой VPN?

О. Нет. Виртуальная сеть Azure и VPN типа сайт-сайт поддерживают стандартные, основанные на IP протоколы, такие как TCP, UDP и ICMP (но не многоадресную или широковещательную рассылку), но они не поддерживают, даже фактически блокируют пакеты Routing Encapsulation (GRE). Однако скрыто виртуальная сеть Azure на самом деле подстраивает виртуальную сеть для своей работы.

В. Я получаю сообщение об ошибке, в котором говорится, что MSVCP100.dll отсутствует на моей 64-разрядной операционной системе. Что мне делать?

О. Установить 32-разрядную версию Microsoft Visual C++ 2010 Redistributable Package (x86), которая доступна в центре загрузок Microsoft.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF