Где находится процесс Compressed Memory в Windows 10 Anniversary Edition?

В Windows 10 реализован процесс сжатия страниц данных вместо их записи в файл подкачки, Memory Compression. Изначально эта память была просто частью процесса System, что вызывало вопрос, почему System использует так много памяти. В сборке 1511 процесс System был переименован, чтобы отразить тот факт, что он также содержит память, которая используется для хранилища сжатых страниц (System и память для сжатых данных), однако эта ситуация изменилась в версии Anniversary (сборка 1607). Сейчас существует отдельный процесс Memory Compression, но он скрыт в менеджере задач Task Manager. Для просмотра процесса нужно использовать другой инструмент, команду Get-Process в PowerShell:

PS C:\WINDOWS\system32> Get-Process
   -Name "Memory Compression"

Количество памяти, которая используется для сжатия, также показано как величина Compressed на вкладке Memory в разделе Performance в Task Manager. Если вы проведете курсором по области распределения памяти в менеджере задач, то увидите количество памяти, которое удалось сэкономить посредством сжатия (см. экран 1). В моей системе установлен большой объем памяти, поэтому у меня незначительный объем сжатой памяти.

 

Просмотр объема сжатой памяти
Экран 1. Просмотр объема сжатой памяти

Каким образом мультиплексор SDNv2 MUX оптимизирует внутренний трафик East-West при балансировке нагрузки?

В решение сетевой виртуализации Software Defined Network v2 Windows Server 2016 (SDNv) включен новый компонент — мультиплексор балансировки нагрузки Software Load Balancer MUX, который работает как точка входа для запросов. Далее данные направляются на виртуальный коммутатор VMSwitch на хосте Hyper-V, где располагается адрес VM DIP, цель запроса. Когда балансировщик нагрузки является внутренним, это означает, что трафик идет горизонтально, «с востока на запад» (то есть оставаясь внутри центра обработки данных, в противоположность вертикальному трафику, «север-юг», который идет наружу или извне центра обработки данных), и выполняется дополнительная оптимизация. Для трафика «восток-запад», как только начальный пакет пересылается через MUX (который имеет VIP-адрес балансировщика нагрузки), MUX отсылает на VMSwitch, который является хостом исходной виртуальной машины, инструкцию перенаправления. Таким образом, все последующие пакеты, направленные по целевому адресу, теперь будут обходить MUX и отсылаться на коммутатор VMSwitch хоста Hyper-V, содержащего VM DIP.

Что такое NTOWF?

NTOWF расшифровывается как NT One Way Function и является функцией, которая используется для создания хеш-значения паролей пользователей при применении протокола NTLM. Когда говорят о NTOWF, имеют в виду хеш пароля пользователя.

Как мне использовать параметр SET в SCVMM 2016?

Чтобы задействовать параметр SET вместо обычной LBFO при создании группы из адаптеров, просто укажите тип группы «Встроенная» (Embedded), при настройке режима входящего соединения Uplink при создании логического коммутатора Logical Switch (см. экран 2).

 

Выбор встроенной группы адаптеров
Экран 2. Выбор встроенной группы адаптеров

Можно ли установить SCVMM 2016 на Windows Server 2012 R2?

Нет. Диспетчер SCVMM 2016 требует наличия версии Windows Server 2016. Его можно установить в режиме развертывания Server with Desktop или Server Core, но не Nano Server. SCVMM может использовать Nano Server как сервер библиотеки и как хост экземпляров виртуальных машин.

Почему в режиме Server with Desktop Experience в Windows Server 2016 отсутствует браузер Edge?

Существует три режима развертывания Windows Server 2016:

  • Nano Server;
  • Server Core;
  • Server with Desktop Experience.

Nano Server работает с вариантом обслуживания CBB (Current Branch for Business), с появляющимися пару раз в год новыми сборками, тогда как Server Core и Server with Desktop Experience используют вариант обслуживания LTSB (Long Term Servicing Branch), который является более традиционной моделью обновления (в течение первых пяти лет при помощи новых версий и дополнительный период поддержки пять лет).

Что касается корпоративной редакции Windows 10 Enterprise, то в LTSB браузер Edge вместе с магазином приложений Windows Store и универсальными приложениями удалены, поскольку все они часто обновляются по Интернету, а это противоречит самой идее обслуживания в варианте LTSB. Поскольку Server with Desktop Experience обслуживается по варианту LTSB, он следует тем же правилам и также не имеет в своем составе Edge, Windows Store и т. д.

Является ли BASH частью Windows Server 2016?

В версии Windows 10 Anniversary Update реализована поддержка BASH, что стимулирует разработчиков приложений создавать, переносить и тестировать код Linux напрямую на Windows. Однако создание таких приложений не нацелено на их развертывание в производственных условиях, оно предназначено только для написания кода. Таким образом, на сегодня BASH не является частью Windows Server 2016.

Как мне получить конкретный IP-адрес на моей системе при помощи кода PowerShell?

Если у вас несколько IP-адресов в машине, то, зная часть IP-адреса, например подсеть, вы можете получить подробную информацию об IP с помощью следующего кода:

Get-NetIPAddress | where {$_.IPAddress -like "10.7*"}
   | ft IPAddress, InterfaceAlias, InterfaceIndex -AutoSize

Применимы ли максимальные новые размеры виртуальных машин поколения Generation 2 в Windows Server 2016 к виртуальным машинам поколения Generation 1?

Нет. Новые пределы виртуальных процессоров в 240 vCPU и 12 Тбайт памяти применимы только к виртуальным машинам Generation 2. Ограничения на максимальное количество в 64 vCPU и 1 Тбайт оперативной памяти, которые предусмотрены в версии 2012 R2, все еще применимы к виртуальным машинам Generation 1 в Windows Server 2016 Hyper-V.

Могу ли я обновить пробную версию Windows Server 2016 до официальной версии RTM?

Да. Если вы работаете в режиме установки сервера с возможностями рабочего стола Server with Desktop Experience, то Windows Server 2016 можно обновить с пробной версии до RTM при помощи ключа. Но это невозможно, если вы работаете в режиме установки Server Core или Nano Server. Процесс подробно описан в статье по адресу: https://technet.microsoft.com/en-us/windows-server-docs/get-started/supported-upgrade-paths? f=255&MSPPError=-2147217396.

Я сохранил ключи восстановления OneDrive BitLocker для OneDrive, но как мне их получить?

Недавно у меня был такой случай, и я обратился к OneDrive, но не смог найти действующие ключи. Как выяснилось, нужно было пройти на веб-страницу, где показаны все ключи. Она доступна по этому адресу: https://onedrive.live.com/RecoveryKey.

Я настроил в системе использование защиты учетных данных в удаленном режиме Prefer Remote Credential Guard, но теперь она не соединяется с удаленными системами. Почему не происходит возврата к обычной аутентификации?

Групповая политика Computer Configuration — Administrative Templates — System — Credentials Delega­tion — Restrict delegation of credentials to remote servers действует не совсем так, как вы себе это представляете. Одной из настроек является Prefer Remote Credential Guard, которую многие воспринимают как «попробуйте защиту Remote Credential Guard, и если у вас не получается, то используйте обычную аутентификацию», но данная политика на самом деле означает другое. Настройка Prefer Remote Credential Guard в действительности означает выбор Remote Credential Guard, а не администратора с ограниченными правами Restricted Admin. И если ни один из вариантов не невозможен, то соединение попросту даст сбой.

Restricted Admin подсоединял пользователя к удаленному серверу, не отсылая его учетные данные на удаленный хост, а все последующие соединения с удаленными службами из удаленной сессии выполнялись как с объектом «компьютер» сервера, что вызывает проблемы, если объект «компьютер» не имел разрешений на использование этих удаленных ресурсов.

Может ли служба KMS сервера Windows Server 2012 R2 активировать хосты Windows Server 2016?

Будет выпущено обновление для Windows Server 2012 R2, которое даст ему возможность активировать хосты версии 2016, но вам потребуются обновленные ключи для версии 2016.

Как мне экспортировать избранное из Edge?

Edge сохраняет избранное содержимое в хранилище Extensible Storage Engine (ESE, которое расположено в папке %localappdata%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb. В Edge нет встроенной функции экспорта. Но в материале по адресу: http://www.emmet-gray.com/Articles/EdgeManage.html вы можете найти инструмент, который экспортирует содержимое базы данных в файл формата HTML. Его вы можете впоследствии импортировать в любой браузер. Этот файл позволит вам структурировать избранное содержимое и другие типы действий с вашим избранным содержимым. Чтобы использовать этот инструмент, необходимо закрыть Edge.

Как мне заставить удаленные сессии использовать масштабирование с RDCMan на мониторах HDI?

RDCMan представляет собой великолепную утилиту для управления и подключения к нескольким удаленным экземплярам. Однако, когда используется монитор HDI, например типа 4 К, масштабирование не происходит, поэтому текст и значки в удаленной сессии очень маленькие. Решение этой проблемы очень простое:

  1. Откройте папку, где находится RDCMan.exe, то есть C:\Program Files (x86)\Microsoft\Remote Desktop Connection Manager.
  2. Щелкнув правой кнопкой мыши по RDCMan.exe, откройте контекстное меню и выберите Properties.
  3. Выберите вкладку Compatibility.
  4. Уберите флажок у параметра Disable display scaling on high DPI settings (см. экран 3).
  5. Нажмите ОК.

 

Включение масштабирования
Экран 3. Включение масштабирования

Когда я использую Remote Credential Guard, может ли клиент RDP быть в другом домене, а не в том, где находится сервер?

Да. Единственным требованием является наличие доверительных отношений между доменами.

У меня несколько мониторов, которые соединены через DisplayPort. После того как они побывают в режиме энергосбережения, все окна оказываются переставленными. Что делать?

Недавно я установил новую систему с графической картой и несколькими мониторами 4К. После того как мои мониторы перешли в режим энергосбережения, спустя некоторое время все окна, которые у меня были открыты, были переставлены и появились на случайных местах. Я испробовал много решений и немало времени потратил на решение этой проблемы. И вот какой план в результате сработал:

  • откройте редактор реестра;
  • перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration;
  • удалите все подразделы;
  • перезагрузите компьютер.

После перезагрузки все работает, но, если вы поменяли места мониторов или изменили главный дисплей, вам придется повторить настройки. Также, если выполняется обновление основного графического драйвера, вам придется заново выполнить эти шаги. Хоть это и не идеальный вариант, но какое-никакое решение, которое, как я выяснил, работает.

Какой тип идентификационных данных можно защитить при помощи Remote Credential Guard?

В версии RTM защита учетных данных удаленного режима Remote Credential Guard может обезопасить следующие типы учетных данных:

  • пользовательские пароли (так как они никогда не отсылаются на удаленную систему, однако никакие учетные данные, которые вводятся при работе в удаленной сессии, не будут защищены);
  • NTOWF из NTLM;
  • билеты длительного действия и билеты сессии TGT от Kerberos (но билеты сессии Kerberos Service Ticket не защищены).

Этот тип защиты похож на систему защиты, которую предлагает Credential Guard на локальном компьютере, исключая тот факт, что Credential Guard защищает и хранящиеся учетные данные домена за счет использования Credential Manager.

Могу ли я использовать контейнеры на Windows 10, и если да, то какой именно тип?

Версия Windows 10 Anniversary и более новые версии поддерживают контейнеры и дают разработчикам возможность строить и тестировать приложения внутри контейнера, который будет использоваться в рабочей среде. Контейнеры на самом деле интегрируются с Visual Studio, предоставляя простой опыт проектирования и тестирования. Единственными типами контейнера, поддерживаемыми Windows 10, являются контейнеры Hyper-V Containers (которые используют автоматическую управляемую виртуальную машину для размещения экземпляра контейнера, запущенного на экземпляре Nano Server), а не контейнеры Windows Containers. Это не означает, что вы должны использовать Hyper-V Containers в рабочей среде, поскольку рабочей средой для ваших контейнеров будет хост Windows Server 2016. Но у вас есть выбор, использовать Windows Containers или Hyper-V Containers в зависимости от требуемого уровня локализации ошибок. Windows Containers предусматривает локализацию на уровне пользовательского режима User Mode, а Hyper-V Containers — локализацию на уровне режима ядра.

Как мне создать виртуальные машины, которые могут воспользоваться лицензией Hybrid Use Benefit?

Лицензии типа Hybrid Use Benefit (HUB) доступны для использования теми, у кого есть корпоративные соглашения, Enterprise Agreements, и подписка Software Assurance. Эти лицензии позволяют задействовать расположенные в локальной сети Windows Server со службами Azure. Результатом являются одинаковые затраты на виртуальные машины Windows — они такие же, как и на виртуальные машины Linux (поскольку отсутствует плата за лицензию Windows Server).

Чтобы активировать лицензирование HUB при создании новых виртуальных машин, нужно задать тип лицензирования при помощи PowerShell (-LicenseType Windows_Server) или шаблонов JSON («licenseType»: «Windows_Server» как часть свойств). Этот процесс описан в документе по адресу: https://azure.microsoft.com/en-us/documentation/articles/virtual-machines-windows-hybrid-use-benefit-licensing/.

Если у вас имеются виртуальные машины в Azure, то на сегодня не существует способа конвертировать их с лицензированием HUB через коммутатор, однако это, возможно, будет доступно со временем. На данный момент единственным способом достичь этого является удаление виртуальной машины при сохранении ее хранилища данных, а затем создание новой виртуальной машины с нужными параметрами, с использованием хранилища данных от предыдущей машины.

Использует ли Windows Server 2016 сжатую память?

Нет. Технология «сжатой памяти», или Compressed Memory, существует в Windows Server 2016, поскольку он имеет общее ядро кода с Windows 10, которая включает в себя функцию Compressed Memory. Но эта функция в Windows Server 2016 блокирована.

Существует ли хороший бесплатный инструмент для редактирования шаблонов Azure JSON?

Если вы используете приложение «Блокнот», то самый лучший вариант — это использование приложения VS Code, которое Microsoft предоставляет бесплатно. Кроме того, оно имеет расширения для менеджера ресурсов Azure Resource Manager и фрагменты кода JSON, которые вы можете использовать при просмотре и редактировании JSON.

  1. Загрузите VS Code по адресу: https://code.visualstudio.com.
  2. После установки выберите значок Extensions (значок квадрата), установите модуль, а затем активируйте расширение инструментов менеджера ресурсов Azure Resource Manager Tools.
  3. Добавьте фрагменты кода JSON с сайта https://github.com/Azure/azure-xplat-arm-tooling/blob/master/VSCode/armsnippets.json в VS Code через меню File — Preferences — User Snippets — JSON. Перед закрывающей скобкой «}» просто вставьте все содержимое.

Эти шаги подробно описаны в статье по адресу: https://azure.microsoft.com/en-us/documentation/articles/resource-manager-vs-code/. Изучив эту информацию, вы получите отличный опыт работы с просмотром и редактированием кода JSON. Если вы хотите создать файл JSON с нуля, то при работе с VS Code это будет трудно сделать. Программа Visual Studio с подключением Azure API имеет больше хороших мастеров настройки и процессов для создания нового шаблона, однако в большинстве случаев лучше начать с одного из опубликованных шаблонов JSON, которые доступны по адресу: https://github.com/Azure/azure-quickstart-templates. Кроме того, вы можете выгрузить код JSON для существующей Resource Group, как это описано в статье по адресу: http://windowsitpro.com/azure/create-json-file-existing-resource-group-azure.

Как мне удалить информацию о том, что файл был загружен из Интернета?

Существует два способа. Первый: в приложении «Проводник» щелкните правой кнопкой мыши на файле, выберите пункт «Свойства» и на вкладке общих свойств General нажмите кнопку разблокировки Unblock в разделе Security.

Второй способ: загрузите утилиту Streams по адресу: https://technet.microsoft.com/en-us/sysinternals/streams.aspx и используйте команду Streams -s -d для удаления.

Каким образом Windows узнает, что файл загружен из Интернета?

Существует много компонентов Windows, которые негативно реагируют на файлы, загруженные из Интернета. Способ, посредством которого Windows узнает об этом, связан с наличием у файлов альтернативного потока данных, alternate data stream (ADS), которые содержат идентификатор Zone.Identifier. Этот идентификатор сигнализирует о том, что файл загружен из Интернета. Чтобы просмотреть ADS, используйте переключатель/r вместе с командой просмотра каталога dir. Например:

C:\Temp>dir /r MSLogoHistory.png
                               Volume in drive C is Windows
                              Volume Serial Number is CA5B-5BBB
                             
                               Directory of C:\Temp
                             
                            10/13/2016  10:09 AM  25,312 MSLogoHistory.png
                                     26 MSLogoHistory.png:Zone.Identifier:$DATA

Вы даже можете просмотреть содержимое идентификатора, используя такую строку:

notepad MSLogoHistory.png: Zone.Identifier

У меня есть соединение ExpressRoute с полосой 10 Гбит/с, но я могу получить только 2 Гбит/с на виртуальную сеть даже при использовании шлюза высокой производительности High Performance Gateway. Как мне получить увеличенную полосу пропускания?

В октябре 2016 года Microsoft выпустила новый вариант шлюза, который называется шлюз Ultra. Он дает возможность создавать соединение до 10 Гбит/с на одну виртуальную сеть.

Я использую Azure Site Recovery. Как мне задать параметры виртуальных машин, созданных посредством ASR, чтобы использовать гибридное развертывание Hybrid Use Benefit при лицензировании?

Чтобы использовать лицензирование Hybrid Use Benefit (HUB) для виртуальных машин, требуется особый коммутатор. Чтобы задать параметры для виртуальных машин, созданных при помощи Azure Site Recovery, вам нужно использовать такой код:

Set-AzureRmSiteRecoveryReplicationProtectedItem
   -ReplicationProtectedItem $ProtectedItem
   -LicenseType WindowsServer

Другие полезные коды PowerShell, которые связаны с приведенным выше, таковы:

  • Найти хранилище сайта восстановления Azure — Get-AzureRmRecoveryServicesVault/Get-AzureRmSiteRecoveryVault.
  • Настроить хранилище контекста — Set-AzureRmSiteRecoveryVaultSettings -ASRVault/-ARSVault.
  • Получить список инфраструктур в хранилище — Get-AzureRmSiteRecoveryFabric.
  • Получить список защищенных контейнеров Protection Containers для инфраструктуры — Get- AzureRmSiteRecoveryProtectionContainer -Fabric $FabricObject.
  • Получить список защищенных машин в защищенном контейнере — Get-AzureRmSiteRecoveryReplicationProtectedItem -ProtectionContainer $ProtectionContainerObject.

Как проверить, существует ли организационное подразделение Organization Unit в каталоге Active Directory, используя PowerShell?

Самый простой способ проверить, существует ли организационное подразделение, это воспользоваться интерфейсом ADSI и LDAP. Создайте переменную $path, которая представляет полностью определенное имя OU, а затем проверьте, существует ли оно, используя такой код:

[string] $Path = "OU=Labs,OU=NA,DC=savilltech,DC=net"
                              if(![adsi]::Exists("LDAP://$Path"))
                              {
                              }

В данном примере будет выполнен следующий за оператором IF код, если OU не существует.

Существует ли простой способ запустить команду на каждом узле кластера?

PowerShell делает процесс выполнения команд на удаленных системах очень простым, а само управление в дистанционном режиме активируется по умолчанию в версии Windows Server 2012 и последующих. Для запуска команды PowerShell на каждом узле кластера используйте представленный ниже код (заменив имя кластера и ту команду PowerShell, которую вы хотите запустить: показанная в примере команда открывает порт Hyper-V Replica):

$clusname = "savdalhv16clus"
             $servers = Get-ClusterNode -Cluster $clusname
             foreach ($server in $servers)
             {
                 Invoke-Command -ComputerName $server.Name -ScriptBlock `
                 {Enable-Netfirewallrule -DisplayName `
                 "Hyper-V Replica HTTP Listener (TCP-In)"}
             }

Как мне управлять Windows 10, используя групповую политику Group Policy или систему управления мобильными устройствами Mobile Device Management («мобильное устройство управления»)?

Выпустив Windows 10, компания Microsoft стандартизировала операционную систему на всех платформах, включая настольные компьютеры, телефоны, устройства HoloLens, Surface Hub, встраиваемые устройства класса IoT и даже Xbox. В рамках этой стратегии решение для управления мобильными устройствами (MDM) является частью платформы Windows 10. Это означает, что оно может быть использовано в Windows 10 в таких версиях, как Pro и Enterprise.

Windows 10 теперь стандартизирует управление с помощью диспетчера настройки Common Device Configurator, применяемого всеми платформами управления, которые впоследствии используют провайдеров MDM Configuration Service Providers (CSP), для того чтобы определить сделанные настройки. Посредник WMI Bridge дает возможность инструментам типа диспетчера настроек Configuration Manager использовать данные от MDM CSP.

При выборе между групповой политикой и стандартным решением управления типа System Center Configuration Manager (SCCM) или решением типа Mobile Device Management, наподобие Intune, следует учесть, какую службу каталогов вы используете, AD или Azure AD.

Если системы присоединены к AD, то вам нужно задействовать групповую политику Group Policy и инструменты типа SCCM.

Если системы присоединены к Azure AD или применяются учетные данные Azure AD для регистрации, то вам нужно использовать решения типа MDM.

Я пытаюсь обновить компьютер с Server Core до версии Windows Server 2016, но окно настройки в какой-то момент становится пустым, и я не могу продолжать. Что делать?

Если вы видите то, что показано на экране 4, во время процесса обновления до Windows Server 2016 Server Core, то вы не сможете продолжать процесс обновления. Для устранения этой ошибки нужно перезапустить процесс установки (а не продолжать его с момента последней попытки), но при вызове setup.exe добавить переключатель «/compat ignorewarning», например:

setup.exe/compat ignorewarning

 

Пустое окно диалога настройки
Экран 4. Пустое окно диалога настройки

Это избавит вас от появления пустого экрана во время процесса

Я пытаюсь выполнить аттестацию в Host Guardian Server, но у меня ничего не получается, потому что проверка целостности кода гипервизора не активирована. Что предпринять?

Вы можете выполнить тестирование своего хоста Hyper-V на готовность к аттестации, чтобы использовать защищенные виртуальные машины, применив следующие команды:

#Verify on the guarded host
                              Get-HgsTrace -RunDiagnostics
                              #Attempt attestation on the guarded host
                              Get-HgsClientConfiguration

Ниже представлен пример выполнения в безопасной среде (за исключением того, что у меня есть только одна система HGS и вследствие этого нет избыточности):

PS C:\> Get-HgsTrace -RunDiagnostics
                              Overall Result: Warning
                              savdalhv07: Warning
                              Best Practices: Warning
                              Resolves Service Hostname to Multiple Addresses:
                              Warning
                              >>> DNS server at 10.7.173.10 cannot resolve
                              "hgs.savtechhgs.net" to multiple IP

                              >>> addresses. The recommended configuration
                              is to have multiple HGS servers
                              >>> available at "hgs.savtechhgs.net"
                              for high availability.
                              >>> DNS server at 10.7.173.11
                              cannot resolve "hgs.savtechhgs.net to multiple IP
                              >>> addresses. The recommended configuration
                              is to have multiple HGS servers
                              >>> available at "hgs.savtechhgs.net"
                              for high availability.

                              Traces have been stored at "C:\Users\
                              administrator.SAVILLTECH\AppData\
                              Local\Temp\2\HgsDiagnostics-
                              20160820-093352".
                              PS C:\> Get-HgsClientConfiguration

                              IsHostGuarded : True
                              Mode : HostGuardianService
                              KeyProtectionServerUrl :
                              http://hgs.savtechhgs.net/KeyProtection
                              AttestationServerUrl : http://hgs.savtechhgs.net/
                              Attestation
                              AttestationOperationMode : Tpm
                              AttestationStatus : Passed
                              AttestationSubstatus : NoInformation

Однако, если система выдает ошибки, связанные с проверкой целостности Hyper-V Code Integrity, которая не активирована, убедитесь, что включена функция защиты на базе виртуализации Virtualization Based Security. Просмотреть эту информацию вы можете с помощью команды, показанной ниже, а кроме того, проверьте значение EnableVirtualizationBasedSecurity, которое должно равняться 1:

PS C:\> Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\
Control\DeviceGuard\

                              RequireMicrosoftSignedBootChain : 1
                              EnableVirtualizationBasedSecurity : 1
                              Locked : 0
                              RequirePlatformSecurityFeatures : 3
                              PSPath : Microsoft.PowerShell.Core\Registry::
                              HKEY_LOCAL_MACHINE\SYSTEM
                              \CurrentControlSet\Control\DeviceGuard\
                              PSParentPath : Microsoft.PowerShell.Core\
                              Registry::HKEY_LOCAL_MACHINE\SYSTEM
                              \CurrentControlSet\Control
                              PSChildName : DeviceGuard
                              PSDrive : HKLM
                              PSProvider : Microsoft.PowerShell.Core\Registry

Если значение не равно 1, то у вас, возможно, есть локальная политика, которая отключает проверку целостности гипервизора (по умолчанию настройка политики не выполняется и она не нужна, однако если политика настроена на отключение проверки, она вызовет проблемы).

  1. Откройте gpedit.msc.
  2. Перейдите по маршруту Computer Configuration («Настройка компьютера»), Administrative Templates («Административные шаблоны»), System («Система»), Device Guard («Защита устройства»).
  3. Дважды щелкните мышью по Turn on Virtualization Based Security («Включить защиту на базе виртуализации»).
  4. Убедитесь, что параметр Virtualization Based Protection of Code Integrity выставлен в значение Enabled without lock (есть еще Credential Guard Configuration, но оно не рекомендуется) (см. экран 5).
  5. Нажмите ОК.

 

Включение защиты целостности
Экран 5. Включение защиты целостности

Эти действия должны включить проверку целостности гипервизора.

Система выдает ошибку при аутентификации на Windows Azure Pack на портале абонента и портале управления с номером 500 и более детализированную ошибку JWT10329. Что делать?

Убедитесь, что у вас имеется обновленный сертификат на сервере ADFS. Сертификаты можно просмотреть на портале управления ADFS в разделе Service — Certificates. Если у сертификата истек срок действия, сделайте запрос на получение нового сертификата, используйте действие Set Service Communications Certificate для обновления сертификата, а затем примените PowerShell для обновления. Код PowerShell, представленный в листинге 1, выводит список сертификатов с их содержимым и настраивает сертификат так, чтобы SSL мог его использовать.

Следующий шаг: убедитесь, что параметры настройки ADFS на сервере WAP верны. Измените строку подключения для своего сервера SQL с именем сервера ADFS. Запуск команды, показанной в листинге 2, исправляет ошибки аутентификации WAP по ADFS для моей рабочей среды.

Программа iTunes автоматически запускается в Windows 10, как это прекратить?

Такое происходит, когда в Windows 10 запускается служба Plex. Для устранения этой проблемы выполните следующие шаги:

  1. Откройте приложение iTunes.
  2. В меню Edit выберите Preferences.
  3. Выберите Advanced.
  4. Включите режим Share iTunes Library XML with other applications.
  5. Нажмите ОК.
Листинг 1. Список сертификатов
PS C:\> dir cert:\localmachine\my
            Directory: Microsoft.PowerShell.Security\Certificate::localmachine\my
            Thumbprint Subject
            ---------- -------
            085F0D04CEB4A3CC95232FDCDCB83BE2F16F9199
            CN=savdaladfs01.savilltech.net
            PS C:\> Set-AdfsSslCertificate -Thumbprint 085F0D04CEB4A3C
            C95232FDCDCB83BE2F16F9
            199
            PS C:\> Get-AdfsSslCertificate
            HostName PortNumber CertificateHash
            -------- ---------- ---------------
            localhost 443 085F0D04CEB4A3CC95232FDCDCB83...
            savdaladfs01.savilltech.net 443 085F0D04CEB4A3CC95232FD
            CDCB83...
            savdaladfs01.savilltech.net 49443 085F0D04CEB4A3CC95232F
            DCDCB83...
            EnterpriseRegistration.savillt... 443 085F0D04CEB4A3CC95232
            FDCDCB83...
Листинг 2. Исправление ошибок WAP
Import-Module -Name MgmtSvcConfig

$ConnectionString = 'Data Source=savdalsql01;Initial Catalog=Microsoft.MgmtSvc.Config;User ID=sa;Password=Pa55word'

Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint "https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml" -ConnectionString $ConnectionString

Set-MgmtSvcRelyingPartySettings -Target Admin -MetadataEndpoint 'https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString $ConnectionString

Set-MgmtSvcIdentityProviderSettings -Target Membership -MetadataEndpoint 'https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString $ConnectionString #-DisableCertificateValidation

Set-MgmtSvcIdentityProviderSettings -Target Windows -MetadataEndpoint 'https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString $ConnectionString #-DisableCertificateValidation

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF