Когда мне нужно платить за исходящий трафик, если я соединяю виртуальные сети через Azure?

Если вы объединяете виртуальные сети через соединение VPN типа «сеть-сеть», то платы за исходящий трафик нет. Это касается тех случаев, когда происходит соединение виртуальных сетей, находящихся в одном регионе Azure. Данный процесс описан в статье по адресу: https://azure.microsoft.com/en-us/pricing/details/data-transfers/. Если вы соединяете виртуальные сети через ExpressRoute, то по своему опыту могу сказать, что за виртуальные сети в рамках одних и тех же регионов платы нет. Если у вас есть расширение ExpressRoute Premium, тогда трафик любой виртуальной сети даже в разных географических областях бесплатный. Возможно, в будущем эта ситуация поменяется.

Почему входящие данные в Azure бесплатны?

Большая часть поставщиков «облачных» служб берет плату за исходящие (внешние) данные, а не за входящие (внутренние) данные. Для этого есть масса причин. Прежде всего, для пользователей устраняются барьеры при перемещении данных в «облако», что стимулирует размещение приложений в «облачной» службе. Это в свою очередь приводит к тому, что в «облако» помещается все больше данных. Azure берет плату за хранилище данных и службы, запускаемые в Azure и использующие эти данные. Такой подход называется «гравитация данных», data gravity: службы, которые следуют за данными. Кроме того, большая часть пользовательских данных — входящие, например запрос, который делается на сайт, сам по себе невелик, а вот размер получаемых данных намного больше.

Что такое набор VHD Set в Windows Server 2016?

С появлением Windows Server 2012 R2 вошел в употребление диск общего пользования VHDX. Он позволяет хранить файлы VHDX на общих томах кластера Cluster Shared Volumes (CSV) и подсоединять их к SCSI-контроллеру, чтобы они были в совместном пользовании у нескольких виртуальных машин и чтобы их можно было видеть как общий диск SAS. Настройка диска общего пользования выполняется через дополнительные параметры диска, когда он подсоединяется к SCSI-контроллеру при использовании Server 2012 R2, однако в Windows Server 2016 это делается не так.

В Windows Server 2016 доступен новый тип VHD; это набор VHD Set, который является диском VHD с расширениям VHDS. Настоящий файл VHDS имеет размер всего 260 Кбайт, но создается еще и файл AVHDX, который сохраняет настоящие данные (см. экран 1). Этот файл может быть динамическим или фиксированным. AVHDX часто используется с контрольными точками, но не только, поскольку он является автоматическим файлом VHDX, используемым в различных сценариях.

 

Файлы набора VHD Set
Экран 1. Файлы набора VHD Set

 

Создаваемый с помощью Hyper-V Manager новый набор VHD Set является вариантом формата диска наряду с VHD и VHDX. При создании при помощи PowerShell указание расширения vhds автоматически настраивает диск как VHD Set.

Как мне подсоединить набор VHD Set к виртуальной машине Windows Server 2016?

Чтобы добавить VHD Set (файл VHDS) к виртуальной машине, откройте настройки SCSI-контроллера виртуальной машины и выберите общий диск Shared Drive. Затем нажмите кнопку Add. После этого либо выберите существующий файл VHDS, либо создайте новый (см. экран 2).

 

Добавление набора VHD Set
Экран 2. Добавление набора VHD Set

Чтобы выполнить добавление с использованием PowerShell, задействуйте команду Add-VMHardDiskDrive с параметром SupportPersistentReservations.

Я использую шаблоны JSON для развертывания виртуальных машин, но когда уменьшаю число экземпляров, виртуальные машины не удаляются. Почему?

В рамках шаблона JSON вы можете задать параметры счетчика экземпляров, который позволяет развернуть несколько экземпляров виртуальной машины. Одно из преимуществ шаблонов JSON состоит в том, что вы можете обновить свой шаблон JSON, а затем развернуть его снова. После этого новые внесенные изменения, например увеличение числа экземпляров, проявятся в дополнительно создаваемых виртуальных машинах. Но если вы уменьшаете число экземпляров, то ни одна из виртуальных машин не будет удалена. Дело в том, что существует два режима применения шаблонов JSON (через аргумент -Mode): инкрементальный и полный, причем инкрементальный задан по умолчанию.

При использовании инкрементального режима любые ресурсы, которые имеются в ресурсной группе, но отсутствуют в шаблоне, не изменяются. Добавляются только новые ресурсы, а с текущим ресурсом ничего не происходит. Вот почему снижение числа экземпляров не приводит к удалению виртуальных машин.

Если вы задаете полный режим, то любые ресурсы, которые есть в ресурсной группе, но отсутствуют в шаблоне, удаляются (в этом режиме удаляются виртуальные машины, если число экземпляров снижается). При этом новые ресурсы добавляются в шаблон, а существующие не подвергаются изменениям.

Однако если вы используете полный режим и удаляете виртуальные машины, виртуальные жесткие диски удаленных виртуальных машин не удаляются. Это означает, что если счетчик экземпляров был уменьшен, то в будущем вы можете столкнуться с проблемами в том случае, если новые виртуальные машины попытаются использовать те же самые имена VHD, которые существуют.

Счетчик экземпляров на самом деле не создавался как механизм масштабирования, для этого предназначен набор масштабирования виртуальной машины VM Scale Set с управляемыми дисками.

Более подробную информацию о режимах развертывания можно найти по адресу: https://azure.microsoft.com/en-us/documentation/articles/resource-group-template-deploy/#incremental-and-complete-deployments.

Существует ли дополнительная плата за подсоединение к Office 365 через ExpressRoute?

О. ExpressRoute не требует оплаты для подсоединения к Office 365, однако необходим активный план ExpressRoute Premium. Подробнее об этом рассказано в материале по адресу: https://azure.microsoft.com/en-us/documentation /articles/expressroute-faqs/#expressroute-and-office-365-services-and-crm-online.

Как мне найти ID процесса для рабочего процесса Hyper-V в Windows Server 2012 R2 и более новых версиях?

Чтобы найти ID процесса для рабочего процесса, используемого Hyper-V, в Windows Server 2012 R2 и более новых версиях, примените команду PowerShell, представленную ниже. Обратите внимание на изменение по сравнению с предыдущими версиями — использование пространства имен виртуализации версии v2 вместо v1. Обратите внимание, команда должна запускаться в сессии PowerShell с повышенными привилегиями, в противном случае никаких результатов вывода не будет. Замените настоящим именем виртуальной машины (и не печатайте треугольные скобки).

(Get-WmiObject -q "SELECT * FROM Msvm_ComputerSystem
   WHERE ElementName = ''"
   -n root\virtualization\v2).ProcessID

Может ли Microsoft RADIUS работать с контроллером домена, доступным только для чтения Read-Only Domain Controller?

Служба RADIUS, когда она внедряется вместе с Network Policy Server (NPS), может взаимодействовать с Active Directory, используя аутентификацию, такую как PEAP MsCHAPv2. Контроллер Read-Only Domain Controller (RODC) сохраняет экземпляр базы данных Active Directory, доступный только для чтения. Последний может быть дополнительно настроен только на кэширование паролей определенных учетных записей, обычно тех пользователей, которые находятся в месте размещения RODC. Служба NPS хорошо работает с RODC, но есть несколько факторов, которые необходимо принять во внимание.

  • Если RODC не может контактировать с обычными контроллерами RWDC, то могут быть аутентифицированы только учетные записи, кэшированные на RODC, а другие попытки аутентификации будут неудачными.
  • При условии что RODC может контактировать с обычными контроллерами домена RWDC, если требуется аутентификация новой учетной записи пользователя, то RWDC будет запрошен, а учетные данные будут кэшированы для последующих операций аутентификации.

Если я захочу защитить свои серверы при помощи Data Protection Manager, который сохраняет данные в Azure, какие потребуются агенты для различных систем?

Изначально System Center Data Protection Manager (DPM) защищает данные в собственном хранилище данных, но впоследствии может сохранять данные в Azure для длительного периода хранения или просто для соответствия требованиям сохранения данных вне компании. Для запуска интеграции со службой Azure Backup агент Microsoft Azure Recovery Service (MARS) должен быть установлен на сервере DPM. Другие экземпляры операционных систем, которые находятся под защитой DPM, требуют агента DPM, но не агента MARS. Только экземпляр операционной системы, которая интегрируется с Azure Backup, то есть сервер DPM, требует агента MARS.

Как проверить точные настройки командной строки, которая используется для запуска экземпляра PowerShell?

Иногда полезно знать точные параметры, которые применяются для запуска PowerShell, например использовался ли параметр -NOPROFILE. Существует ряд способов проверить, как именно был запущен PowerShell. Я обычно применяю такую команду:

gwmi Win32_Process CommandLine -filter "ProcessId = $PID"
   |% CommandLine

Если нужно проверить используемые аргументы, вы можете ввести команду:

[System.Environment]:: GetCommandLineArgs ()

Необходимо ли использовать набор VHD Set для удаления ограничений версии Windows 2012 R2, связанных с общим диском Shared VHDX?

Да. Набор VHD Set является новым механизмом Windows Server 2016 для обеспечения доступа к общим файлам VHDX и позволяет VHD Set выполнять перечисленные ниже действия:

  • динамически изменять размер;
  • выполнять резервное копирование на уровне хоста;
  • производить резервирование с помощью Hyper-V Replica.

Если вы используете старую модель Shared VHDX с обновленными виртуальными машинами в Windows 2016, эти ограничения будут применяться до перехода к VHD Set.

Если бы я развернул Windows 10 с типом обслуживания Current Branch и захотел перейти на тип обслуживания Long Term Servicing Branch, как это можно было бы сделать?

Рекомендую вам обратиться к статье Microsoft по адресу: https://technet.microsoft.com/en-us/itpro/windows/plan/windows-10-servicing-options. Если коротко, то невозможно выполнить обновление с текущего варианта Current Branch или Current Branch for Business до Long Term Servicing Branch. Вам нужно удалить старый вариант и произвести новую установку с типом LTSB.

Какие уведомления поступают о текущем обслуживании Azure?

Microsoft уведомляет пользователей о предстоящем обслуживании виртуальных машин в наборах Availability Sets, а не самих наборов Availability Sets. Обычно текущее обслуживание виртуальных машин выполняется в выходные не в Availability Set, чтобы минимизировать влияние на службы. Как правило, уведомление поступает за 7 дней, минимум за 3 рабочих дня. Начальное время текущего обслуживания указывается с предполагаемой продолжительностью. Полную информацию можно найти по адресу: https://azure.microsoft.com/en-us/documentation/articles/virtual-machines-linux-planned-maintenance/.

Могу ли я переключиться с долгосрочного типа обслуживания Long Term Servicing Branch на текущий вариант Current Branch или Current Branch for Business?

Да, при условии, что типы Current Branch (CB) или Current Branch for Business (CBB) содержат более новую сборку, чем Long Term Servicing Branch (LTSB). Вы можете выполнить обновление на месте с варианта LTSB до желаемой сборки CB или CBB.

Как применяются настройки Nano Server к VHD, который он создает (я не вижу созданного файла ответов unattend.xml)?

В версии ТР4 файл unattend.xml создается и помещается в файл VHD, который генерируется сборкой Nano PowerShell, содержащей настройки экземпляра. Этот файл отсутствует в VHD, созданном в версии ТР5. Все работает через использование автоматической функции приложения DISM, которая дает возможность применять отдельное приложение создания файла ответов для автоматической установки напрямую к образу, не требуя передачи файла unattend.xml на этапе специализации. Если вы посмотрите на сценарий генератора образа Nano Server, то увидите строку DISM, которая использует параметр /Apply-Unattend; он содержит информацию о том, как применяются настройки. Этот подход хорош тем, что он позволяет вам добавлять собственный файл unattend.xml для дополнительных параметров настройки, которые требуются во время специализации.

Где я могу получить новый портал Service Manager?

Старый портал Service Manager, основанный на Silverlight, был заменен новым, построенным на HTML5. Последний имеет более высокую производительность, более приятную картинку и некоторые возможности настройки. Чтобы получить портал, загрузите последнюю версию пакета Update Rollup, например UR8, по адресу: https://www.microsoft.com/en-us/download/details.aspx? id=49556. Затем разверните загруженный файл ZIP в папку. В папке найдите SetupWizard.exe, который установит новый портал. Полный список требований для нового портала описан здесь: https://technet.microsoft.com/library/mt622142.aspx. Вот некоторые ключевые моменты:

  • необходим пакет Update Rollup 7 или более новой версии, развернутый на сервере Service Manager;
  • на сервере, где устанавливается портал самообслуживания, нужно установить Web Server,.NET Framework 3.5, HTTP Activation, ASP.NET 4.5, включить базовую аутентификацию и аутентификацию Windows, а также добавить. NET Extensibility 4.5.

Как мне развернуть виртуальную машину Nano Server в Windows Server 2016 TP 5?

Команды PowerShell для развертывания виртуальной машины Nano Server с момента выпуска ТР4 изменились. Сейчас они подразумевают возможность задействовать собственный файл ответов для автоматической установки, а не добавлять контент вручную к файлу для автоматической установки, который используется в ТР4. Разработчики Microsoft подробно описали процесс в статье по адресу: https://technet.microsoft.com/en-us/library/mt126167.aspx. Ниже описаны ключевые шаги для настройки общих параметров.

Прежде всего, скопируйте содержимое папки NanoServerImageGenerator на свою локальную систему (я поместил содержимое в папку d:\NanoTP5), а затем загрузите модуль, используя следующий код:

Import-Module 'D:\NanoTP5\NanoServerImageGenerator.psm1'

В моем сценарии система, на которой я запускаю этот код, является частью домена, и я хочу соединить с ним виртуальную машину Nano таким образом, чтобы она могла создавать двоичный файл, который требуется для соединения с доменом. Кроме того, я создаю переменную с паролем, который назначаю для учетной записи администратора. Также я создаю файл unattend.xml, который настраивает часовой пояс, как показано в листинге.

Чтобы создать диск VHD для виртуальной машины Nano, я использую код:

$adminPass = ConvertTo-SecureString "Pa55word"
   -AsPlainText -Force
$NanoVHDPath = ".\NanoServerVM.vhd"

New-NanoServerImage -MediaPath 'S:\OS Images\Windows
   Server 2016 TP5\Expanded' `
-BasePath .\Base -TargetPath $NanoVHDPath -ComputerName
   NanoVM `
                              -DeploymentType Guest -Edition Standard `
-Storage -Defender -EnableRemoteManagementPort `
-Packages Microsoft-NanoServer-DSC-Package `
-UnattendPath .\unattend.xml `
-AdministratorPassword $adminPass -DomainName
   savilltech -ReuseDomainNode

В этом примере используется редакция Standard сервера Nano (-Edition Standard), добавляются пакеты хранилища данных и Defender, активируется система управления в удаленном режиме и желаемое состояние настроек. Кроме того, в коде настраивается образ для виртуальной машины (-DeploymentType Guest). Теперь созданный файл VHD можно задействовать в виртуальной машине поколения Generation 1 (если вы хотите использовать Generation 2, то применяйте тип диска VHDX для виртуального диска VHD).

Как создать файл unattend.xml, чтобы его можно было использовать для создания виртуальной машины Nano Server?

Лучше всего задействовать Windows System Image Manager, который является частью комплекта средств Windows Assessment and Deployment Kit в Windows 10. Менеджер доступен по адресу: https://msdn.microsoft.com/en-us/windows/hardware/dn913721.aspx. После установки комплекта Windows ADK (вам нужна только группа инструментов развертывания Deployment Tools) запустите Windows System Image Manager и вставьте NanoServer.wim из набора установки Windows Server 2016. Затем создайте новый файл ответов для автоматической установки. Теперь вы можете перетащить мышью компоненты в файл ответов для автоматической установки. Например, на вкладке Components выберите Microsoft-Windows-Shell-Setup и перетащите конкретные компоненты для автоматической установки. Затем вы можете выбрать компонент на вкладке файла ответов и заполнить данные для нужных параметров, например часовой пояс TimeZone, как показано на экране 3. Выполните все необходимые настройки параметров, а затем сохраните файл ответов для автоматической установки. Теперь его можно использовать как часть команды New-NanoServerImage в параметре -UnattendPath.

 

Настройка параметров в файле ответов
Экран 3. Настройка параметров в файле ответов

Как мне сконвертировать общие диски Shared VHDX в наборы дисков VHD Sets?

Автоматическое обновление с Shared VHDX до VHD Set, когда вы обновляетесь до Windows Server 2016, не предусмотрено. Вам нужно вручную сконвертировать диски, это делается следующим образом:

  1. Выключите виртуальные машины, которые подсоединены к Shared VHDX.
  2. Удалите Shared VHDX у виртуальных машин с помощью команды Remove-VMHardDiskDrive или Hyper-V Manager.
  3. Конвертируйте общие диски vhdx в формат VHD Set, используя команду Convert-VHD.
  4. Добавьте файлы VHD Set обратно к виртуальной машине с помощью команды Add-VMHardDiskDrive или Hyper-V Manager.

Я добавил образ, используя PowerShell для контейнеров, но после перезапуска сервера Docker в нем не оказалось тега latest. Что предпринять?

По умолчанию при добавлении образа с использованием инфраструктуры управления PowerShell образ операционной системы становится доступным и в Docker (после перезапуска службы Docker), но существует только тег версии. Если вы хотите, чтобы тег образа содержал слово latest («последний») для однозначного определения версии образа, просто добавьте тег. Например, просмотрите образы на предмет идентификационного номера ID образа:

docker images

Теперь, когда у вас есть ID и имя образа, добавьте последний тег, используя команду:

docker tag  : latest

Например: docker tag dbfee88ee9fd windowsservercore: latest.

Как мне защитить свою среду Hyper-V от администраторов?

Сотрудники организации обычно доверяют администраторам. Поэтому если у вас работают администраторы, которым вы по каким-либо причинам не доверяете, то на всякий случай вот некоторые варианты:

  • В версиях до Windows Server 2016 нужно либо не назначать пользователей администраторами сервера Hyper-V, либо задействовать принцип достаточного количества полномочий для администрирования Just Enough Administration (JEA). Вы можете загрузить его описание по адресу: https://msdn.microsoft.com/en-us/powershell/wmf/jea_overview. JEA гарантирует администраторам полномочия только в том случае, когда они реально нужны.
  • В Windows Server 2016 используйте защищенные виртуальные машины.

Как мне зафиксировать определенные группы на экране Start в Windows 10?

Редакции Windows 10 Enterprise и Education позволяют захватить структуру экрана Start, чтобы затем применить ее к другим системам, зафиксировать состояние экрана Start либо определить исходное состояние экрана Start, которое впоследствии может быть изменено. Сборка Windows 1511 предусматривает еще одну возможность. Она позволяет зафиксировать определенные группы на экране Start, но разрешает пользователю изменять другие группы.

Сначала экспортируйте экран Start из исходной системы, используя команду:

Export-StartLayout -path d:\temp\win10 start.xml

Полученный шаблон может использоваться PowerShell (который не блокирует его) или через Group Policy (который будет выполнять блокировку). Для версии 1511 и новее можно использовать частичную фиксацию и делать неизменными только те группы, которые указаны в файле XML, тогда как другие группы могут быть созданы и изменены пользователями. Чтобы установить частичную фиксацию через файл XML, откройте его и измените строку:

на




  «OnlySpecifiedGroups»>



  Сохраните файл XML, а затем используйте при развертываниях Windows 10 сборки 1511 и более поздних.



  Как мне задать веб-браузер по умолчанию для Windows Server 2016?



  Windows Server 2016 использует Edge как браузер по умолчанию. Однако Edge не будет запускаться при регистрации в качестве администратора. Самое простое решение — изменить браузер по умолчанию на Internet Explorer:


    
  
  1. 
    Откройте панель управления Control Panel.
    2. 
  
  2. 
    Выберите модуль Default Programs.
    3. 
  
  3. 
    Щелкните Set your default programs.
    4. 
  
  4. 
    Выберите Internet Explorer и нажмите Set this program as default.
    5. 
  
  5. 
    Нажмите ОК.
    6. 




  Каким образом PowerShell Direct взаимодействует с виртуальной машиной, запущенной на хосте?



  PowerShell Direct организует соединение с виртуальной машиной со своего хоста через PowerShell даже в том случае, когда сетевые настройки или настройки сетевого экрана блокируют соединения. Это соединение через PowerShell Direct доступно по защищенному каналу VMBus, который существует между хостом и каждой виртуальной машиной. Новая пара VSP и VSC является частью Windows Server 2016, а клиентская часть может рассматриваться как новая служба пользовательского уровня, vmicvmsession (Hyper-V VM Session Service), которая по умолчанию настроена на запуск при возникновении определенного события, например при использовании PowerShell Direct. Она отделена от vmicrdv, который используется для расширенных возможностей VMConnect, имитирующих RDP для виртуальных машин.



  Листинг. Пример файла ответов






Central Standard Time