Как мне блокировать в Windows Update вариант обновления по общей сети Check online for updates from Microsoft Update?

Если вы используете WSUS, то у вас развернуты политики для систем в расчете на экземпляр WSUS как источник доступных обновлений. В области настроек, помимо варианта проверки обновлений Check for Updates, есть вариант Check online for updates from Microsoft Update, который обойдет WSUS и будет контактировать с общедоступным сервером Microsoft Update. Чтобы удалить этот вариант, требуется применить групповую политику:

  1. Откройте политику.
  2. Перейдите по маршруту Computer Configuration, Administrative Templates, Windows Components, Windows Updates.
  3. Дважды щелкните мышью по параметру Do not connect to any Windows Update Internet locations.
  4. Задайте значение Enabled и нажмите ОК.

Я зашифровал свой диск с помощью BitLocker с параметром «только используемое дисковое пространство». Как мне зашифровать оставшееся пространство диска?

Параметр, касающийся шифрования только используемого пространства диска, ускоряет процесс шифрования BitLocker, поскольку шифрование защищает данные, которые реально записаны. Но если в системе были записаны какие-то еще данные, эта «пустая» область не будет зашифрована и скрытое содержимое останется читаемым при использовании определенных инструментов для работы с диском. Если вы впоследствии захотите зашифровать пустое пространство, то можете сделать это при помощи параметра WipeFreeSpace (https://technet.microsoft.com/de-de/library/jj647761 (v=ws.11).aspx), например командой:

manage-bde -w :

Могу ли я смешивать управляемые и неуправляемые диски в одной виртуальной машине?

Нет, виртуальная машина может использовать только один тип хранилища, а при смешивании типов хранилища вы получите сообщение об ошибке: Addition of a blob based disk to VM with managed disks is not supported («Добавление диска на базе двоичного объекта к виртуальной машине, имеющей управляемые диски, не поддерживается»). Если вы хотите задействовать управляемые диски в используемой виртуальной машине, то можете конвертировать неуправляемые диски в управляемые.

Следует ли мне использовать Add-AzureRmAccount или Login-AzureRmAccount?

Если вы хотите, чтобы диспетчер ресурсов Azure Resource Manager управлял ресурсами, то вы должны аутентифицироваться с учетной записью службы каталогов Azure AD. Есть две команды, которые выполняют эту операцию: Add-AzureRmAccount и Login-AzureRmAccount. Их и надо использовать.

Вы можете применять и одну из этих команд, поскольку они одинаковы, и Login-AzureRmAccount является псевдонимом Add-AzureRmAccount. Это означает, что когда вы используете Login, то команда просто выполняет перенаправление команде Add.

PS C:\> Get-Alias login-azurermaccount | fl

DisplayName : Login-AzureRmAccount
CommandType : Alias
Definition : Add-AzureRmAccount
ReferencedCommand : Add-AzureRmAccount
ResolvedCommand : Add-AzureRmAccount

Я пытаюсь указать символ $ в строке PowerShell, как мне это сделать?

Если вы хотите использовать символ $ в строке PowerShell, то это довольно проблематично, поскольку символ $ означает начало переменной. Лучше экранируйте символ $ с использованием символа обратной кавычки (`). Если мне нужно слово Pass$word, я могу записать так: «Pass`$word». Обратите внимание, что слово поставлено в двойные кавычки.

Сколько дискового пространства требуется для выполнения локального обновления до последней сборки Windows 10?

Точный объем пространства, которое требуется для каждого локального обновления Windows 10, может меняться. Он зависит и от компьютера, и от сборки. Однако общая рекомендация — убедиться, что как минимум должно быть свободно 10 Гбайт. Подробное описание приведено в руководстве по адресу: https://docs.microsoft.com/en-us/windows/deployment/planning/windows-10-deployment-considerations.

Что такое учетная запись по умолчанию DefaultAccount в Windows 10 и Windows Server 2016?

DefaultAccount — встроенная учетная запись, которая по умолчанию заблокирована (как гостевая учетная запись Guest). Это учетная запись, управляемая системой и используемая при определенных обстоятельствах. Полное наименование — Default System Manage Account (DSMA). Она используется при запуске приложений класса Multi-User-Manifested-Apps (MUMA), которые работают постоянно и поэтому должны взаимодействовать с пользователями, когда те начинают и завершают работу с системой. Эта учетная запись имеет хорошо известный идентификатор RID с номером 503.

У данной учетной записи есть те же разрешения, что и у обычного пользователя. Кроме этого, у нее есть привилегия TimeZone и она может запускать приложения как другие пользователи. Она используется сессией общего доступа OneCore в редакциях операционной системы Windows для Xbox и Phone. На обычных настольных компьютерах с Windows приложения запускаются в собственном контексте пользователя.

Могу ли я перемещать контроллеры домена Domain Controllers из организационного подразделения, в котором они находятся по умолчанию?

Конечно. Но стоит ли? Определенно нет. Не существует ни одной явной причины для того, чтобы перемещать контроллеры домена из их расположения по умолчанию. Это может обернуться большими проблемами, включая прекращение функционирования контроллера домена DC.

Когда контроллер домена создается, он автоматически помещается в раздел Domain Controllers в OU. Это организационное подразделение имеет особые объекты групповой политики Group Policy Objects (GPO), которые применяются к контроллерам домена, что гарантирует их правильное функционирование. Если вы переместите контроллеры домена из организационного подразделения, то у таких GPO возникнут проблемы с применением, и контроллер домена не будет функционировать как полагается. Даже если вы вручную сделаете привязку соответствующих GPO к новым местоположениям контроллеров домена, это вызовет массу неполадок по ряду причин. Например:

  • перемещение контроллеров домена не поддерживается;
  • многие службы ищут только Domain Controllers OU для контроллеров домена; это означает, что они не обнаружат другие контроллеры домена, которые были перемещены;
  • некоторые приложения не работают с контроллерами домена вне Domain Controllers OU, например Exchange.

Если вам крайне необходимо переместить контроллеры домена, то перенесите их в дочерние организационные подразделения внутри Domain Controllers OU. Но даже это делать все-таки не рекомендуется.

Если у меня уже есть соединение ExpressRoute, а я хочу добавить к нему дополнительные виртуальные сети, нужно ли мне расширять канал?

Нет. Ваш ExpressRoute уже снабжен возможностями для добавления виртуальных сетей, поэтому соединение не требует никаких других действий для расширения канала. Необходимо только создать ключ авторизации для каждого соединения с сетевым экраном (каждая виртуальная сеть будет требовать свой экземпляр сетевого экрана), поскольку это свойство соединения ExpressRoute. Затем ключ авторизации и ID ресурса канала используются для подключения сетевого экрана к соединению ExpressRoute.

Обратите внимание, что для использования нужного вам идентификатора Resource ID требуется применить код на PowerShell или сначала обновить параметр Connection (руководство можно найти по адресу: https://docs.microsoft.com/en-us/azure/expressroute/expressroute-howto-linkvnet-portal-resource-manager#

connect-a-virtual-network-in-a-different-subscription-to-a-circuit).

Вот код для подсоединения:

$id = ""
$authkey = ''
$rg = ""
$location = "East US"
$gw = Get-AzureRmVirtualNetworkGateway -Name
   "" -ResourceGroupName $rg
$connection = New-AzureRmVirtualNetworkGatewayConnection
-Name "" -ResourceGroupName $rg
   -Location $location `
-VirtualNetworkGateway1 $gw -PeerId $id
   -ConnectionType ExpressRoute -AuthorizationKey $authkey

Что такое Web Application Firewall (WAF)?

В Azure долгое время использовалось решение Application Gateway седьмого уровня, а оно было дополнено сетевым экраном веб-приложений Web Application Firewall (WAF), который интегрируется с балансировщиком нагрузки Load Balancer и, как следует из названия, предоставляет решение WAF. По умолчанию WAF реализует протокол CRS 3.0, но при желании возможен и 2.2.9. Набор правил версии 3.0 имеет 13 групп правил, но они могут быть деактивированы в индивидуальном порядке, если нужно (например, если правило блокирует трафик, который должен быть разрешен). WAF может работать в режиме детектирования, который не остановит атаку, но зарегистрирует ее, или в режиме предотвращения атак (обеспечит защиту в случае угрозы).

Можно переключить существующий экземпляр Application Gateway и добавить функцию WAF за счет изменения уровня с Basic Application Gateway (Standard) на WAF Application Gateway (WAF). Новый экземпляр можно создать на любом уровне. Но между уровнем Standard и уровнем WAF есть разница в цене. Подробно об этом можно прочитать по адресу: https://azure.microsoft.com/en-us/pricing/details/application-gateway. Детальная информация о правилах приведена в документах: https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-application-firewall-overview и https://www.owasp.org/index.php/Category: OWASP_ModSecurity_Core_Rule_Set_Project.

Используя решение Operations Management Suite (OMS), могу ли я создавать представления данных так, чтобы только администраторы могли видеть некоторые группы серверов?

Нет. Администратор в своей области имеет доступ ко всем данным в рабочем пространстве, при этом невозможно разделять данные, которые могут быть отображены. Если у вас была потребность в отображении всех серверов, а затем стало необходимым другое представление подмножества из набора серверов, то единственным вариантом может быть разделение рабочих пространств OMS (одно для всех серверов, а другое для отдельных групп серверов). Технически это возможно, поскольку агент OMS может быть многоканальным (как часть нескольких рабочих пространств OMS). Однако могут возникнуть сложности в управлении, и такая ситуация будет означать удвоение лицензий для узлов.

Если я разворачиваю агент для комплекса Operations Management Suite (OMS), могу ли я подсоединить его к нескольким рабочим областям OMS?

Да. Один агент OMS (Microsoft Monitoring Agent) поддерживает множественную адресацию и может быть подсоединен к нескольким рабочим областям OMS.

Как проверить, какие размеры виртуальной машины доступны в определенном районе, используя интерфейс командной строки CLI v2?

Для проверки списка доступных размеров виртуальной машины при использовании CLI v2 введите команду:

az vm list-sizes -l 
   e.g. az vm list-sizes -l southcentralus

Если у меня есть два сайта, подключенных через ExpressRoute, и каждый сайт объединен в одноранговую сеть с другой виртуальной сетью с маршрутизацией транзита, могут ли эти сообщающиеся сайты посылать сообщения друг другу?

Взгляните на пример архитектуры одноранговых сетей, приведенный на рисунке. Виртуальные сети, подсоединенные к одному и тому же соединению ExpressRoute, являются связанными друг с другом автоматически. Когда виртуальные сети одноранговые (возможно, в рамках одного региона), они могут сообщаться через опорную сеть Azure и можно активировать маршрутизацию транзитного трафика, что в свою очередь предоставляет возможность сообщения с этой одноранговой виртуальной сетью через механизм Multiprotocol Label Switching (MPLS). Что изменится, если у нас будет несколько одноранговых сетей, использующих маршрутизацию транзитного трафика? Виртуальные сети могут сообщаться друг с другом, предоставляя полнофункциональное соединение.

 

Пример архитектуры одноранговых сетей
Рисунок. Пример архитектуры одноранговых сетей

Как экспортировать список всех лицензий абонента службы каталогов Azure AD, используя портал?

Через портал вы не сможете свободно экспортировать учетные записи пользователей, однако, если перейти по адресу: https://portal.office.com и открыть область администрирования Admin, а затем обратиться к разделу Users, Active users, у вас появится возможность выполнить экспорт, нажав ссылку Export. Выполнив перечисленные действия, вы создадите файл типа CSV для учетных записей всех пользователей, а в одной из колонок будут показаны лицензии.

Где можно выяснить, что происходит с моими данными в «облачных» службах Microsoft, если я прерываю работу службы?

У служб Microsoft есть некоторые нюансы, которые относятся к обращению с данными. Разработчиками прописано, что произойдет, если вы отключите службу. Полную информацию можно найти в документе по адресу: https://www.microsoft.com/en-us/trustcenter/Privacy/You-own-your-data#leave. Кроме того, помните, что для некоторых служб вы можете по-новому использовать дополнительные уровни шифрования. Это означает, что, даже если данные еще не удалены, их нельзя прочитать без соответствующего ключа. Например, можно использовать BitLocker внутри виртуальной машины IaaS или шифрование для учетной записи в хранилище данных.

Поддерживают ли варианты Lunix изменение размера используемой памяти?

Изменение размера используемой памяти — это новая возможность в версии Hyper-V 2016, которая позволяет добавлять и уменьшать память у запущенной виртуальной машины. Функция работает на гостевых экземплярах Windows 10 и Windows Server 2016, а также на определенных вариантах Lunix. Чтобы проверить, на каких именно, изучите документ по адресу: https://technet.microsoft.com/en-us/windows-server-docs/compute/hyper-v/supported-linux-and-freebsd-virtual-machines-for-hyper-v-on-windows и выберите нужный вариант Lunix. Затем просмотрите возможности для управления оперативной памятью. Вы увидите варианты, которые поддерживают изменение размера используемой памяти.