Из каких компонентов состоит комплекс Microsoft Operations Management Suite (OMS)?

О Microsoft Operations Management Suite (OMS) было объявлено на конференции Ignite 2015. Однозначно можно сказать, что это не замена классическому продукту System Center. Фактически OMS будет интегрирован с System Center. На очень высоком уровне OMS может рассматриваться как комплекс следующих компонентов и функций:

  • сайт восстановления Azure Site Recovery — DR-защита для виртуальных машин;
  • резервирование Azure Backup — резервная копия рабочих процессов в Azure;
  • автоматизация Azure Automation — выполнение рабочих процессов PowerShell в Azure;
  • аналитика Azure Operational Insights — сбор, хранение и анализ данных журналов из источников Windows и Linux, полученных с локальных систем или из «облака», а также визуализация информации для облегчения ее восприятия.

Информацию о ценообразовании можно найти по адресу: http://www.microsoft.com/en-us/server-cloud/operations-management-suite/pricing.aspx. Здесь предусмотрено два варианта, Standard и Datacenter. Первый поддерживает две виртуальные машины, а второй — десять виртуальных машин наряду с предоставлением Operational Insight и Automation.

Кроме того, можно приобрести индивидуальный набор компонентов, из которых будет состоять OMS.

Можно ли удалить файл из резервных копий System Center DPM?

Пользователь, задавший этот вопрос, обнаружил вирус на своей системе, которая была включена в резервное копирование с помощью DPM. Ему нужно было удалить файл из всех точек восстановления (состояний защищаемых данных в определенный момент времени) в менеджере защиты данных Data Protection Manager (DPM). К сожалению, этого нельзя сделать при помощи DPM, поскольку DPM управляет теневыми копиями службы Volume Shadow Copy Services (VSS) и не существует способа удалить файл из теневой копии. Они доступны только для чтения.

Самое лучшее, что можно сделать, — это усилить антивирусную программу на компьютере. Это позволит гарантировать, что если зараженный вирусом файл восстанавливается, то он прошел карантин и очистку.

Если вам необходимо удалить файл с вирусом из DPM, можете сделать следующее:

  • удалите защиту системы и выберите вариант удаления рабочих данных из системы хранения данных DPM путем удаления реплики;
  • вновь добавьте защиту системы, чтобы заполнить DPM актуальными данными.

Как мне создать учетную запись хранилища Premium Storage?

Premium Storage представляет собой новый тип хранилища, доступного в Azure, которое основано на твердотельных дисках SSD и предоставляет следующие возможности.

  • Повышенное количество операций ввода-вывода IOPS на диск.
  • Предсказуемая производительность. Обычное хранилище может иметь максимум 500 IOPS, но вы можете на самом деле не получить эту производительность. Диск, созданный в Premium Storage, должен иметь показатель IOPS, сопоставимый с типом диска.
  • Подобно обычному хранилищу Azure, три копии данных сохраняются внутри центра данных.

На данный момент Premium Storage был доступен только в определенных регионах. Подробнее об этом рассказано здесь: http://azure.microsoft.com/en-us/pricing/details/storage/. Сейчас эти регионы включают в себя запад Соединенных Штатов, East US 2 (два восточных штата в США), Западную Европу, Южную Азию и запад Японии.

Вы можете найти больше информации о Premium Storage, пройдя по ссылкам:

  • http://azure.microsoft.com/blog/2014/12/11/introducing-premium-storage-high-performance-storage-for-azure-virtual-machine-workloads/
  • http://azure.microsoft.com/en-us/documentation/articles/storage-premium-storage-preview-portal/
  • http://azure.microsoft.com/blog/2015/04/16/azure-premium-storage-now-generally-available-2/

Чтобы создать новую учетную запись хранилища Premium, сделайте следующее:

  1. Зарегистрируйтесь на портале Preview Portal на сайте https://portal.azure.com.
  2. Выберите пункты New, Data, Storage.
  3. Введите имя учетной записи хранилища и выберите Location («Местоположение»). Выберите местоположение, которое поддерживает Premium Storage, например East US 2.
  4. Выберите Pricing Tier («Ценовой уровень»).
  5. Выберите View all («Просмотреть все»).
  6. Выберите Premium Locally Redundant («Локальный резерв Premium») и щелкните Select («Выбрать») (см. экран 1).
  7. Продолжайте создание учетной записи хранилища.

 

Создание новой учетной записи хранилища Premium
Экран 1. Создание новой учетной записи хранилища Premium

VHD, созданные в Premium Storage, будут иметь один из трех типов, у каждого из которых свои характеристики производительности и размер. Все это подробно описано в материалах по ссылкам, которые приведены выше, а в таблице дается краткий обзор.

 

Типы дисков VHD в Premium Storage

Тип диска задавать не нужно, он выбирается исходя из размера диска, который вы создаете, и округляется до применимого типа диска. Таким образом, любой диск объемом в 128 Гбайт или меньше будет иметь тип Р10; любой диск между 129 и 512 Гбайт будет иметь тип Р20, а любой диск свыше 512 Гбайт — тип Р30.

Как использовать Premium Storage в виртуальной машине?

Как только у вас появится учетная запись Premium Storage, следующим шагом должно стать связывание учетной записи хранилища с виртуальной машиной. Чтобы использовать Premium Storage в виртуальной машине, нужно задействовать виртуальную машину серии DS. Эти виртуальные машины очень похожи на виртуальные машины серии D, которые обладают временным хранилищем SSD, а не временным хранилищем HDD. Разница в том, что часть временного хранилища SSD используется с целью кэширования для того, чтобы гарантировать предсказуемые уровни производительности, соответствующие Premium Storage.

Виртуальные машины серии DS доступны в тех же регионах, что и Premium Storage. Выберите виртуальную машину серии DS (щелкните View all («Просмотреть все») на экране ценообразования), как показано на экране 2. Замечу, что различные размеры поддерживают разные максимальные показатели IOPS для каждой виртуальной машины, которые соотносятся с количеством присоединяемых дисков данных и с количеством локальных SSD, выделенных для кэширования. Выберите размер и нажмите кнопку Select («Выбрать»), а затем продолжите создание виртуальной машины. Подробную информацию о виртуальных машинах серии DS можно найти по ссылке: https://msdn.microsoft.com/en-us/library/azure/dn197896.aspx. Описание серии DS показывает размер кэша, соответствующего виртуальной машине.

 

Выбор типа виртуальной машины
Экран 2. Выбор типа виртуальной машины

Если сравнить размер серии D с размером серии DS, можно заметить, что объем временного диска машин серии D соответствует объему временного диска плюс размер кэша машин серии DS, например:

  • Standard D2 — 100 Гбайт временного хранилища на SSD;
  • Standard DS2 — 14 Гбайт временного хранилища на SSD и размер кэша 86 Гбайт.

Создав однажды виртуальную машину серии DS, вы можете добавлять дополнительные диски данных в Premium Storage (или Standard Storage). Помните, что каждый из размеров серии DS имеет максимальное значение показателя IOPS. Убедитесь, что вы не добавляете больше премиум-дисков, чем может поддержать размер виртуальной машины. Также учтите, что если вы добавляете более 8 дисков данных и комбинируете их, используя Storage Space («Пространства хранения»), то вам нужно вручную установить номер столбца равным количеству дисков, указав параметр NumberOfColumns при использовании команды New-VirtualDisk

Почему виртуальные машины серий DS имеют меньший размер временного хранилища, чем виртуальные машины обычных серий D?

Помимо более высоких показателей ввода-вывода IOPS, отличие между Azure Standard Storage и Azure Premium Storage состоит в том, что созданный VHD в стандартном хранилище может выполнить максимум 500 операций ввода-вывода IOPS. Не существует гарантии, что вы получите 500 IOPS, а реальные показатели IOPS будут зависеть от ряда факторов, и они могут быть ниже. VHD, созданный в хранилище Premium Storage, гарантирует, что IOPS, соответствующие типу созданного диска, имеют предсказуемые значения производительности. Для достижения такой производительности, помимо изменений в инфраструктуре хранилища и обеспечения полосы пропускания между хостами вычислений и хранилищем, существует SSD-кэш большого объема (а в оперативной памяти на хосте включается Blobcache), выделенный для каждой виртуальной машины. Все это необходимо для поддержки достаточной производительности. По этой причине серии DS виртуальных машин обладают меньшим временным диском, чем их аналоги — серии D. Разница состоит в размере, который выделяется для кэширования.

Могу ли я ограничить количество устройств, которые пользователь может зарегистрировать при помощи Intune?

Да. Обновление Microsoft Intune от марта 2015 года ограничивает количество устройств, которое пользователь может зарегистрировать: от 1 до 5.

Какая версия Windows Server будет выпущена в 2016 году и ожидаются ли другие продукты?

Ранее были сделаны объявления, касающиеся появления следующих версий и новых служб:

  • в Windows Server 2016 войдет вариант развертывания Nano Server, а Windows Containers будут совместимы с Docker;
  • System Center 2016;
  • Microsoft Azure Stack: будет реализован сходный с Azure интерфейс для локальных установок и ряд служб, таких как IaaS, PaaS и группы ресурсов;
  • Microsoft Operations Management Suite (OMS) — располагающаяся в «облаке» служба для управления гибридными средами, включая локальные установки, Azure, AWS, OpenStack и т. д. OMS будет интегрирована с System Center. Кроме того, будут поддерживаться Windows и Linux.

Я планирую создать виртуальную машину в Azure с несколькими адаптерами vmNIC. Могу ли я совмещать ее с виртуальными машинами с одной vmNIC?

Недавнее обновление в Azure позволяет использовать виртуальные машины с несколькими vmNIC (точное количество зависит от размера виртуальной машины), при этом каждый адаптер vmNIC размещается в отдельной виртуальной подсети. Обеспечивается поддержка взаимодействия между виртуальными машинами с несколькими vmNIC и одним vmNIC, соседствующими в тех же самых виртуальных сетях и виртуальных подсетях.

Ограничение состоит в развертывании. Вы не можете смешивать виртуальные машины с несколькими адаптерами vmNIC и одним vmNIC в одном и том же развертывании. Вам придется создать отдельную «облачную» службу для виртуальных машин с одним vmNIC и отдельную «облачную» службу для виртуальных машин с несколькими vmNIC.

Выполняет ли менеджер защиты данных Data Protection Manager шифрование или сжатие данных, которые он защищает?

Нет. Data Protection Manager (DPM) не выполняет на диске компрессию или шифрование данных, которые защищает. Если вам необходимо шифрование, тогда организуйте сеть хранения SAN, которая поддерживает шифрование на уровне аппаратного обеспечения, либо установите продукт сторонней фирмы для шифрования на уровне аппаратного обеспечения либо используйте шифрование NTFS на источнике данных, тогда данные будут оставаться зашифрованными в управляемой DPM реплике.

Другую возможность для сжатия и шифрования способно обеспечить решение http://www.exar.com/data-compression/, которое работает с томами реплик DPM. Использовать BitLocker с томами DPM нельзя.

Посылаются ли данные посредством ExpressRoute зашифрованными?

Нет. Поскольку ExpressRoute представляет собой специальное соединение между локальными сетями и Azure, которое не проходит через открытый Интернет, трафик не шифруется. Если вам необходимо шифрование, следует запустить данную операцию. Здесь можно использовать несколько способов:

  • шифрование на уровне приложения;
  • шифрование на уровне операционной системы, с использованием таких технологий, как IPSec;
  • программно-аппаратный комплекс разработки сторонних фирм, который выполняет шифрование.

Могу ли я переключаться между вариантами установки сервера Nano и Server Core в vNext?

Нет. Как и при первом появлении Server Core в Windows Server 2008, во время установки выбор делается между вариантом Nano и Server Core, и вы не можете переключаться между ними после установки. В следующих версиях это можно будет изменить, как для Server Core и Server с графическим интерфейсом в Windows Server 2012, где предусмотрено простое переключение между вариантами настроек. Что касается vNext, то изучите показанную на рисунке 1 схему.

 

Варианты установки сервера vNext
Рисунок 1. Варианты установки сервера vNext

Как мне добавить больше дисков к пулу хранения Storage Pool?

Если у вас имеется пул хранения Storage Pool и вы хотите добавить дополнительные диски, используйте приведенный ниже код на PowerShell. PowerShell автоматически добавит все доступные для объединения в пул диски:

Add-PhysicalDisk -PhysicalDisks (Get-StorageSubSystem
   -Name savtstfcspcdir.savilltech.net | Get-PhysicalDisk |? CanPool
   -ne $false) -StoragePoolFriendlyName StorSpaceDirectPool

Как сделать пароли Azure AD действующими бессрочно?

Используя административный портал Office 365, можно задать паролям бесконечный срок действия. Для этого в области Service Settings — Passwords («Настройки службы — пароли») следует установить флажок у параметра Passwords never expire (см. экран 3).

 

Настройка паролей
Экран 3. Настройка паролей

Кроме того, можно задать нужный вариант, используя PowerShell, но это делается отдельно для каждого пользователя. В приведенном ниже примере я выбрал всех пользователей, а затем задал паролям отсутствие срока окончания действия:

Get-MsolUser | Set-MsolUser -PasswordNeverExpires $true

Существует ли способ интегрировать Azure AD без использования локальной службы ADFS?

Microsoft активно тестирует и поддерживает интеграцию Azure AD с локальными экземплярами Active Directory через ADFS и, где возможно, применяет этот подход. Однако можно задействовать и другие решения интеграции, поддерживающие стандарт WS-*, которые основаны на идентификации провайдеров, таких как WS-Trust и WS-Federation. У Microsoft существует ряд документов, детализирующих данный подход:

  • Office 365-Identity program («Программа идентификации Office 365»): http://blogs.office.com/2013/09/03/works-with-office-365-identity-program/.
  • Third-party identity providers («Идентификация сторонних провайдеров»): https://msdn.microsoft.com/en-us/library/azure/jj679342.aspx.

Обратите внимание, что использование этих решений может потребовать обширного тестирования для обеспечения гарантии того, что они отвечают требованиям различных способов использования Azure AD.

Я использую инструмент развертывания Office Office Deployment Tool для загрузки Office 365 по схеме click-to-run («нажми и работай») и создания пакета App-V для развертывания через менеджер настройки SCCM. Какой существует самый простой способ поддерживать его в обновленном состоянии?

Это несложно. Используя Office Deployment Tool, можно загрузить двоичные данные Office 365 для схемы click-to-run, а затем создать пакет App-V 5, который может быть загружен в SCCM. Каждый месяц вариант Office 365 для схемы click-to-run обновляется на серверах Microsoft, но как развернуть его локально? Вряд ли вы захотите, чтобы ваши корпоративные машины, подготовленные с использованием пакета App-V 5, запускали обновление прямо с серверов Microsoft, и потому вариант автоматического обновления будет блокирован. Таким образом, существует два пути.

Загрузите пакет App-V в модуль секвенсера, выполните обновление до последней версии через обновление в Office 365 и сохраните новую версию, которая может быть импортирована в SCCM.

Снова используйте Office Deployment Tool для создания новой версии приложения для App-V 5 и загрузите его в SCCM в качестве новой версии.

Оба метода приемлемы, однако первый подразумевает дополнительную работу, тогда как второй метод очень прост. Каждый раз, когда используется Office Deployment Tool, исходящий пакет App-V будет иметь тот же самый идентификатор GUID пакета с единственной разницей в версии. Это означает, что клиенты получат только небольшое количество изменений и задача управления для ИТ-администратора будет проще.

Почему комбинации PIN в Windows считаются более надежными, чем пароли?

В Windows недавно были введены комбинации PIN для получения доступа к устройствам вместо набора постоянного пароля. Пароли имеют два недостатка:

  • открыты атакам методом перебора (попытка преодоления защиты с регистрацией перебором имен по словарю или из базы данных украденных паролей);
  • это «общий секрет», то есть если я, скажем, подсмотрю ваш пароль, я могу использовать любое устройство.

PIN создаются на каждом устройстве и используются для доступа к ключу (паролю), который сохраняется на устройстве Windows в хранилище Windows Vault. PIN имеют следующие характеристики.

  • Защищены механизмом антивзлома (anti-hammering). Это означает, что после пяти попыток устройство блокируется. Помните, что четырехзначный цифровой набор имеет 10 000 комбинаций, и дается только пять попыток на то, чтобы ввести правильный PIN.
  • PIN используется на конкретном устройстве. Это означает, что, даже если кто-то знает PIN, он просто обязан иметь доступ к конкретному устройству.

Тот факт, что PIN защищен механизмом антивзлома и используется только на одном устройстве, делает его более мощным, чем постоянный пароль, во многих отношениях.

Существуют ли какие-нибудь требования для получения прав в Azure, которые связаны с лицензией восстановления сайта Azure Site Recovery?

Есть два типа лицензий Azure Site Recovery (ASR): лицензия для локальных установок по отношению к себе подобным и лицензия локальных установок по отношению к Azure. На данный момент лицензия для локальных установок по отношению к Azure включает в себя следующие права для каждой лицензированной виртуальной машины (помните, что эти разрешения общие):

  • 100 Гбайт хранилища Azure Storage;
  • 100 Гбайт сетевого трафика;
  • 1 млн транзакций оперативной памяти.

Чтобы получить эти разрешения, вы должны купить лицензии ASR по своему корпоративному договору Enterprise Agreement, используя соответствующие позиции ASR SKU. Если вы приобретаете лицензии ASR через другие каналы, такие как прямые каналы, то эти права реализовать будет нельзя.

Что будет происходить, если два узла в трехузловом кластере не соединяются друг с другом, но оба соединяются с третьим узлом?

Представим себе сценарий с тремя местоположениями, где каждое местоположение содержит один узел кластера. По какой-то причине два местоположения потеряли соединение друг с другом, но оба все еще могут соединяться с третьим. Это означает, что единственный узел в третьем местоположении может соединяться с двумя другими узлами (см. рисунок 2). Узел в местоположении В не будет соединяться от имени узлов в местоположениях А и С. Это означает, что кворум не будет поддерживаться на всех узлах. Тогда какой-то один из узлов в местоположении А или С потеряет кворум и его служба кластера и любые связанные с кластером службы остановятся. Но кластер будет по-прежнему запущен на оставшихся узлах.

 

Разрыв соединения между двумя узлами в трехузловом кластере
Рисунок 2. Разрыв соединения между двумя узлами в трехузловом кластере

Можно ли создать доверительные отношения между конкретной организационной единицей OU в домене и другим доменом?

Нет. Отношения доверия существуют между доменами. Однако, однажды установив такие отношения, можно ограничить рамки доверия, используя выборочную аутентификацию по отношению к специфическим объектам. Данный процесс описан по адресу: https://technet.microsoft.com/en-us/library/cc755844.

Будет ли версия vNext гипервизора Hyper-V обходиться без поддержки технологии SLAT в процессорах?

Нет. Hyper-V в vNext-версии от Windows Server будет работать только на процессорах с технологией преобразования адресов второго уровня Secondary Level Address Translation (SLAT), которая еще известна как расширенные таблицы страниц Extended Page Table (EPT) для процессоров Intel. Если у вас используются более старые серверы, которые имеют процессоры, не поддерживающие SLAT, вам нужно задействовать Windows Server 2012 R2 Hyper-V, который не требует поддержки SLAT в процессоре.

Что такое резервное копирование Azure Backup для виртуальных машин в модели IaaS?

Microsoft недавно объявила о поддержке резервного копирования виртуальных машин IaaS с использованием Azure Backup. Эта возможность незаметна для виртуальной машины Azure. Она не требует перезагрузки или какого-либо дополнительного агента, который запускается внутри виртуальной машины, в то время как служба VSS все еще используется внутри виртуальных машин Windows. Это дает приложению возможность выполнять постоянное резервное копирование (тогда как резервное копирование Linux предоставляет постоянное резервное копирование на уровне файловой системы).

Функция Azure Backup для виртуальных машин IaaS включается через портал Azure, который обеспечивает централизованное управление. Резервное копирование также поддерживает инкрементное резервное копирование. Чтобы активировать резервное копирование, выполните следующие шаги:

  1. Выберите Recovery Services («Службы восстановления») на портале управления Azure.
  2. Выберите существующее хранилище Backup Vault или создайте новое.
  3. Выберите элемент Registered Items («Зарегистрированные элементы»).
  4. Щелкните по действию Discover («Обнаружить»), которое создает задание для обнаружения рабочих приложений, которые могут быть защищены.
  5. Когда обнаружение будет завершено, щелкните Register («Зарегистрировать»). Это действие покажет все виртуальные машины, которые были обнаружены. Далее можно выбрать виртуальные машины, что приведет к добавлению расширения к виртуальной машине. Это, в свою очередь, активирует взаимодействие процесса резервного копирования с VSS внутри виртуальной машины (см. экран 4).
  6. Далее выберите действие Protect («Защитить»), которое откроет защищенные элементы экрана. Виртуальные машины, которые были зарегистрированы, будут показаны, и их можно отобрать. Затем на следующей странице можно выбрать политику или создать ее, чтобы указать параметры резервного копирования, такие как частота, время и область синхронизации (см. экран 5).

 

Включение службы резервирования в виртуальной машине
Экран 4. Включение службы резервирования в виртуальной машине

 

Настройка параметров резервного копирования
Экран 5. Настройка параметров резервного копирования

Параметры задаются однократно, и на панели будет выводиться базовая информация (или используйте вкладку Jobs («Задания») для просмотра подробной информации). Виртуальные машины могут быть восстановлены из архива на вкладке Protected Items («Защищенные элементы») посредством выбора защищенной виртуальной машины.

Как восстановление сайта Azure Site Recovery поддерживает репликацию VHDX в Azure, в то время как Azure не поддерживает VHDX?

Появление Windows Server 2012 ввело в оборот формат VHDX, который стал новой версией VHD, обеспечивающей более высокую производительность, повышенную отказоустойчивость и новый максимальный размер (до 64 Tбайт). В Azure формат VHDX на момент подготовки этого материала не поддерживается, однако можно реплицировать локальные виртуальные машины, которые используют VHDX (объемом менее 1 Тбайт), в Azure. Дело в том, что файлы VHDX на самом деле конвертируются в VHD во время процесса обработки отказа с использованием Azure, а VHD конвертируются обратно в VHDX, когда система возвращается в рабочее состояние из Azure в локальной сети. Все это происходит незаметно для пользователя.

Я понимаю, что диски операционной системы Azure сегодня могут составлять до 1023 Гбайт. Означает ли это, что и шаблоны сейчас составляют 1023 Гбайт?

Нет. Хотя размер дисков операционной системы в настоящее время может составлять 1023 Гбайт, шаблоны по умолчанию не превышают 127 Гбайт. Если вам нужен более объемный диск операционной системы, вы можете расширить шаблон размером в 127 Гбайт до 1023 Гбайт или создать собственный.

Как мне просмотреть все виртуальные машины Azure, которые находятся в виртуальной сети Virtual Network?

Я рекомендую всегда размещать виртуальные машины Azure в четко ограниченной виртуальной сети, что дает полное управление используемым адресным IP-пространством и настройками DNS. Чтобы проверить, какие виртуальные машины находятся в виртуальной сети, используйте следующий код PowerShell:

Get-AzureVM | where-object {$_.VirtualNetworkName -notlike ""}
   | select DeploymentName, HostName, VirtualNetworkName

Этот код покажет информацию обо всех виртуальных машинах, которые находятся в виртуальной сети. Кроме того, вы можете посмотреть, какие виртуальные машины отсутствуют в виртуальной сети. Используйте следующий код:

Get-AzureVM | where-object {$_.VirtualNetworkName -like ""} |
   select DeploymentName, HostName, VirtualNetworkName

Если вы хотите просмотреть виртуальные машины в конкретной виртуальной сети, добавьте имя сети в код PowerShell. Например:

Get-AzureVM | where-object {$_.VirtualNetworkName -like "VirtNet115"}
   | select DeploymentName, HostName, VirtualNetworkName

Учтите, что вам нужно запускать PowerShell 8.16 (запустите (Get-Module Azure).Version для проверки) или более новую версию, чтобы активировать доступ к свойству VirtualNetworkName.