Предусмотрена ли какая-либо плата за передачу данных, если используется одноранговая сеть VNET?

Одноранговая сеть VNET выполняет соединение двух виртуальных сетей в одном и том же регионе через опорную сеть Azure без использования шлюзов. Обычно оплачивается только исходящий трафик в регионе, но страничка цен Azure — это лучший ресурс для получения информации по ценообразованию и работе сети. Ее можно найти по адресу: https://azure.microsoft.com/en-us/pricing/details/virtual-network/. Здесь объясняется, что при использовании одноранговой сети VNET подлежит оплате входящий и исходящий трафик на обоих концах одноранговой сети. На момент написания данной статьи эта плата составляет 0,01 долл. за 1 Гбайт данных, но помните, что плата взимается на обоих концах; таким образом, в одном месте выполняется выход данных из одной сети и вход данных в другую, поэтому цена удваивается.

Могу ли я использовать балансировщик нагрузки Azure для балансировки трафика между Azure и локальными системами?

Нет. Балансировщик нагрузки приложений в Azure применяется для балансировки трафика только между виртуальными машинами Azure, а также между виртуальными машинами Azure в одной и той же группе доступности (в пределах одного и того же региона). Если вы хотите балансировать трафик между разными регионами или локальными системами, то обычно существует какое-либо решение для балансировщика нагрузки в каждом местоположении, которое реализует балансировку трафика между экземплярами службы. Затем сработает балансировщик DNS в глобальном масштабе, который будет перенаправлять запросы на один из балансировщиков нагрузки. Azure Traffic Manager — это пример такого типа решения и оно может иметь конечные точки, которые состоят из служб Azure и локальных служб.

Каждый экземпляр менеджера трафика Azure Traffic Manager имеет уникальное имя DNS (которое может быть псевдонимом собственного домена организации). Когда делается запрос, он перенаправляется на одну из конечных точек, основываясь на таких факторах как период задержки запроса к возможным конечным точкам, цикличность обработки, обработка при сбое и география.

Другую возможность предоставляет шлюз приложений Azure Application Gateway, который является решением уровня 7 и может работать со службами независимо от региона или локальной реализации службы. Все, что требуется, — это передача данных с сетевой перспективы.

Я пытаюсь удалить шаблон службы Service Template в SCVMM, однако появляется сообщение о том, что шаблон ссылается на другой объект. В чем дело?

Если один объект в SCVMM ссылается на другой, то его нельзя удалить. Вам нужно найти тот объект или объекты, на которые ссылается данный шаблон, удалить эти объекты, а затем удалить целевой шаблон. Если вы пытаетесь удалить шаблон службы, то самый простой способ найти объект, который использует ее шаблон, такой:

  1. Откройте консоль управления VMM Management Console.
  2. Откройте рабочее пространство библиотек Library.
  3. Перейдите по маршруту Templates, Service Templates.
  4. Выберите шаблон службы, который хотите удалить.
  5. В разделе подробной информации, расположенном под списком служб, сконструированных из шаблона, будет показано, какой шаблон нужно щелкнуть, чтобы открыть службу. Затем требуется удалить эту службу (если вы уверены, что она не понадобится), в результате чего шаблон службы будет удален (экран 1).

 

Подробная информация о шаблоне
Экран 1. Подробная информация о шаблоне

 

Как мне получить доступ к интерфейсу командной строки Azure CLI 2 на портале Azure Portal?

Портал Azure Portal обеспечивает простой доступ к интерфейсу командной строки Azure CLI 2 по щелчку мыши на значке CLI на панели инструментов. Замечательное свойство этого значка в том, что он всегда зеленый, то есть всегда представляет последнюю версию.

Когда вы впервые выбираете его, появляется подсказка о необходимости создать область хранилища данных (с помощью файлов Azure Files), которая будет использоваться для поддержки постоянной области $Home. Выберите подписку и укажите создание хранилища Create storage, как показано на экране 2.

 

Создание хранилища данных
Экран 2. Создание хранилища данных

 

У вас появится среда командного интерфейса CLI версии 2, которая уже аутентифицирована с вашей учетной записью пользователя портала для выполнения различных действий с помощью CLI, таких как перечисление виртуальных машин (az vm list), просмотр учетных записей хранилища данных (az storage account list) и использование интерактивного режима (az interactive). Этот режим позволяет задействовать среду, которая предоставляет возможность динамической подсказки и интеллектуальное добавление команд при вводе (экран 3).

 

Окно командного интерфейса CLI версии 2
Экран 3. Окно командного интерфейса CLI версии 2

 

Каким образом можно создать локальные учетные записи на Nano Server?

Чтобы создать локальные учетные записи в экземпляре Nano Server, вам нужно начать сессию с узлом, которую вы можете создать одним из двух способов.

Первый способ предусматривает использование net.exe, например:

net user  /add
   net localgroup administrators /add

Либо можно задействовать новый локальный групповой модуль PowerShell в PowerShell 5.0.

$securePassword = ConvertTo-SecureString "Pa55 word"
   -AsPlainText -Force
New-LocalUser -Name "johnloc" -Password $securePassword
   -FullName "John Savill" -Description "John Savill Local Account"
Add-LocalGroupMember -Group "Administrators" -Member "johnloc"

Кроме того, вы можете использовать инструменты управления сервером Server Management Tools.

Как проверить защиту ключа для экранированных виртуальных машин?

Чтобы просмотреть защиту ключа и сертификаты, которые используются для экранированных виртуальных машин, используйте следующий код PowerShell:

$kp = Get-VMKeyProtector -VMName ShieldedVM
$hgskp = ConvertTo-HgsKeyProtector $kp
$hgskp.Owner | fl SigningCertificate, EncryptionCertificate

Если у вас есть дополнительные элементы защиты, то ее можно просмотреть через $hgskp.Guardians.

Что такое среда прикладной службы App Service Environment?

Обычно для того, чтобы развернуть прикладные службы Azure App Service, создается план службы App Service Plan, и служба развертывается по нему. Прикладную службу App Service можно подключить к виртуальной сети по соединению «точка-сеть», но план существует и для общей инфраструктуры. App Service Environment (ASE) — это специальное развертывание служб App Services, которое реализуется внутри вашей виртуальной сети и обеспечивает изоляцию сети. Это лучший способ избежать развертывания на пустой подсети. Использование ASE также позволяет задействовать внешние общедоступные службы через адрес VIP или для внутреннего развертывания с помощью внутреннего балансировщика нагрузки Internal Load Balancer.

Может ли база данных Azure SQL Database быть создана в виртуальной сети Azure Virtual Network?

Нет, и обычно этого не требуется, поскольку приложение подключается к базе данных, а не наоборот. Azure SQL Database имеет имя DNS, доступ по которому по умолчанию блокирован ее сетевым экраном, и его надо разрешить для применяемых IP-адресов (из Интернета), а также для всех служб в самой среде Azure. Обратите внимание, что разрешение доступа просто позволяет выполнить подключение и по-прежнему нужно проходить авторизацию, а это означает, что только легитимные пользователи могут реально задействовать службу. Когда экземпляр Azure SQL Database становится доступным как служба Azure, доступ осуществляется из внутренней сети Azure, а не через Интернет.

Обратите внимание, что, когда вы определяете правила сетевого экрана, вы можете сделать это на уровне сервера и на уровне базы данных. Используемый именованный сервер обычно просто обращается ко всем базам данных в рамках одного и того же плана, поскольку не все базы данных работают на одних и тех же экземплярах.

Выполняет ли служба резервного копирования Azure Backup дедупликацию, то есть удаление избыточных данных, среди виртуальных машин?

Azure Backup не выполняет удаление избыточных данных среди виртуальных машинах в хранилище Azure Backup; однако она работает посредством отправки и хранения только измененных блоков защищаемых данных. Это означает, что для каждой резервной копии сохраняются только сделанные изменения и оптимизируется используемое пространство. Если вы применяете менеджер защиты данных System Center Data Protection Manager или сервер резервного копирования Azure Backup Server, то для резервной копии в локальной сети используется функция исключения избыточных данных файловой системы NTFS.

Чем отличаются типы файлов bacpac и dacpac при экспорте SQL Server?

Экспорт базы данных SQL Server — простой процесс, который может понадобиться для импорта данных на другой сервер или долгосрочного хранения. Существует два исходных типа файла экспорта: bacpac и dacpac.

Bacpac включает в себя схему и данные из базы данных. Dacpac содержит только схему, но не данные. Обратите внимание, что схема на самом деле включает все, что не является данными, например действующие определения таблиц базы данных, представления, хранимые процедуры, функции и т. д.

Предусмотрен ли способ при использовании различных команд Get-AD находить объекты только на базовом уровне поиска?

Существует ряд команд, которые могут использоваться для поиска объектов в Active Directory, такие как Get-AD, которые ищут объекты, соответствующие фильтру в нужном контейнере и в любом дочернем контейнере. Если вы хотите ограничить область поиска, вы можете указать в параметре -SearchScope значения Base (поиск только в указанном контейнере), OneLevel (поиск на один уровень ниже) или Subtree (поиск по всей нижележащей иерархии контейнеров.

Как проще всего связать изображение с учетной записью пользователя службы каталогов AD?

Код PowerShell, представленный в листинге 1, настроит изображение для пользователя и значка (если у вас реализованы расширения схемы Exchange). Обратите внимание, что в моем примере размеры изображения составляют 283×283, а значка — 96×96.

Зачем использовать команду Push-Location вместо Set-Location?

Обычно для того, чтобы изменить местоположение, используется команда Set-Location, но предположим, что вы хотите изменить папку для выполнения какого-либо действия, а затем вернуться к исходному местоположению. Вы можете задействовать, например, такие команды:

loc = Get-Location
Set-Location -Path D:\Temp
Get-Location
Set-Location -Path $loc

При выполнении Push-Location ваше текущее местоположение помещается в стековую память, и впоследствии оно может быть восстановлено с помощью команды Pop-Location. Например:

Push-Location
Set-Location -Path D:\Temp
Get-Location
Pop-Location

Для тех, кто использовал пару pushd и popd, происходит все то же самое, но в PowerShell. Это может быть очень полезно; часто требуется поменять папку для выполнения какого-либо действия, а затем вернуться.

Могу ли я задействовать службы WSUS на сервере Nano Server?

Да. Существует несколько параметров реестра, которые должны быть настроены так, чтобы службы WSUS функционировали. Они перечислены в руководстве по адресу: https://msdn.microsoft.com/en-us/library/dd939844 (v=ws.10).aspx. Вот основные необходимые параметры:

  • WUServer (URL, принадлежащий серверу WSUS);
  • WUStatusServer (обычно у него то же самое значение, что и у WUServer, он предоставляет отчет о статусе);
  • UseWUServer (параметр со значением 1 означает использование служб WSUS);
  • AUOptions (вариант установки, например 4 — для автоматической загрузки и развертывания, но затем требуются также параметры для планируемого дня ScheduledInstallDay и времени установки ScheduledInstallTime).

Если у меня есть соединение ExpressRoute, будет ли инструмент восстановления Azure Site Recovery использовать его?

Существует два основных типа одноранговых соединений, то есть возможности подключения к Azure при помощи ExpressRoute, закрытый и общедоступный. Закрытое соединение подключает локальные сети к виртуальным в Azure, а общедоступное подключает локальные сети к значительно большему количеству служб Azure, которые включают и ASR. Таким образом, если у вас есть соединение ExpressRoute и выполнено общедоступное одноранговое соединение, то ASR будет использовать соединение ExpressRoute для репликации трафика.

Как ограничить тип виртуальных машин, SKU, которые могут использоваться в подписке Azure или в Resource Group?

В большинстве производственных сред пользователи Azure не будут иметь прямого доступа к созданию ресурсов через портал или сценарий. Определять число шаблонов JSON, которые выбирают из набора стандартных вариантов, предоставляемых пользователям через каталог службы, будет организация. Такой подход заставляет компанию жестко контролировать типы ресурсов в Azure и проверять, удовлетворяют ли эти ресурсы техническим требованиям и соответствуют ли типам виртуальных машин или методам управления.

Кроме того, есть возможность использовать в подписке и на уровне ресурсной группы политики Azure Resource Manager, которые помогут управлять различными аспектами, включая разрешенные местоположения, типы виртуальных машин и учетных записей хранилища Storage Accounts, требования к шифрованию, обязательность тегов, образы Windows и Linux и другие типы ресурсов. Многие политики можно задавать через портал, который вы найдете на вкладке политик Policies в разделе настроек Settings, но можно определить их и через файл JSON. Например:

  • откройте раздел подписки Subscriptions на портале Azure;
  • выберите подписку;
  • выберите вкладку Policies в разделе Settings;
  • щелкните на Add assignment;
  • выберите тип политики Policy definition (экран 4);
  • заполните все поля.

 

Создание политики
Экран 4. Создание политики

 

Вам будет показано содержимое файла JSON для политики. Например:

{
    "if": {
        "allOf": [
            {
                "field": "type",
                "equals": "Microsoft.Compute/virtualMachines"
            },
            {
                "not": {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "in": "[parameters(‘listOfAllowedSKUs’)]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}

Более подробную информацию о политиках ресурсов, включая JSON, вы можете найти в документе по адресу: https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-manager-policy.

Могу ли я использовать пересылку через шлюз в виртуальной сети, которая имеет собственный шлюз?

Нет. Взаимодействие через шлюз разрешает виртуальной сети (например, vNet A) взаимодействие с другой виртуальной сетью (например, vNet B), у которой есть шлюз к локальной сети, то есть к ней можно получить доступ через подключение к локальной сети. Например, локальная сеть может посылать сообщения в vNet A через свое подключение к vNet B. Обратите внимание, что это возможно только тогда, когда vNet A не имеет собственного шлюза. При взаимодействии виртуальных сетей VNet у вас может быть только один шлюз, через который можно выполнять пересылку.

Как мне развернуть Microsoft Edge на весь экран?

В Edge не существует встроенной функции развертывания на весь экран (клавиша F11 не будет работать), но сочетание клавиш Win+Shift+Enter позволит развернуть экран любого приложения категории UWP (коим и является Edge). Для восстановления обычного состояния используйте эту комбинацию повторно.

Как мне разрешить удаленной сессии PowerShell использовать только один набор команд или модулей?

Чтобы ограничить разрешения пользовательской сессии, создайте файл настройки пользовательской сессии, задающий список разрешенных модулей или команд, например:

New-PSSessionConfigurationFile -ModulesToImport CustomMod
   -VisibleCmdLets ('*CustomMod*') -LanguageMode ‘NoLanguage’
   -SessionType ‘RestrictedRemoteServer’
   -Path ‘c:\CustomModonly.pssc’

Затем этот список можно использовать при создании настроек новой сессии, например:

Register-PSSessionConfiguration -Name "DCMs"
   -SecurityDescriptorSddl $psscSd.GetSddlForm ("All")
   -Path C:\CustomModonly.pssc

Теперь при подсоединении будут доступны только разрешенные команды, наряду с несколькими основными, такими как Exit-PSSession, Get-Help и т. д. Если вам нужно удалить настройки сессии, используйте Unregister-PSSessionConfiguration (листинг 2).

Как выглядит код PowerShell для поиска определенной учетной записи пользователя в комплексной структуре организационных единиц OU и создания такой записи, если она отсутствует?

У меня была глобальная структура OU, где каждой организационной единице Lab требовалась определенная учетная запись. Там был ряд OU для географических регионов; в рамках этих регионов каждое подразделение Lab имело свою организационную единицу OU с дочерней OU, которая называлась Users. Каждое подразделение Lab именовалось по местоположению как LAB, и я хотел, чтобы каждая учетная запись называлась EXP-ECHUB. Для некоторых регионов уже была учетная запись, поэтому код в листинге 3 надо было проверить на наличие учетной записи, и, если таковой не существовало, требовалось создать ее (используя отдельную команду, которую вы можете заменить простой командой создания новой учетной записи пользователя New-ADUser). Обратите внимание, что я просматриваю каждый верхний уровень OU для проверки и что ниже расположен только один уровень.

Как я могу управлять тем, какие службы отображаются в меню портала Azure?

В левой части портала Azure есть меню со ссылками на самые распространенные службы Azure, но отображаемые службы могут быть изменены. Откройте меню Service, выберите вкладку More services, а затем в полном списке служб щелкните значок «звездочка». Он окрасится в золотой цвет и активирует показ служб в меню; снятие выделения используется для удаления службы с панели (экран 5).

 

Полный список служб на портале Azure
Экран 5. Полный список служб на портале Azure

 

Я создаю новый образ Nano Server, но хочу задать более емкий диск. Как это сделать?

Для увеличения образа Nano Server после создания вы можете использовать команды Resize-VHD и Resize-Partition, но самым простым способом получить более объемный образ Nano Server является указание переключателя -maxsize <размер диска, например 25 Гбайт> в процессе создания образа.

Как мне активировать псевдонимы, чтобы работать в ограниченной сессии PowerShell в системе?

Если вы подсоединяетесь к системе PowerShell, имеющей ограничения, и пытаетесь выйти из нее, то у вас ничего не получится. Вам придется набрать на клавиатуре exit-pssession. Это необходимо, потому что псевдонимы команды выхода exit недоступны, но их можно активировать через параметр VisibleAlises. Кроме того, вам нужно убедиться, что переключатель -LanguageMode не настроен на NoLanguage. Должно быть что-то вроде ConstrainedLanguage. Показанный ниже пример активирует псевдоним для exit:

New-PSSessionConfigurationFile -ModulesToImport
   OneMOD, ActiveDirectory `
  -VisibleCmdLets (‘*OneMOD*’,’*AD*’) `
  -VisibleFunctions (‘TabExpansion2’) -VisibleAliases (‘exit’)
    -LanguageMode ‘ConstrainedLanguage’ `
  -SessionType ‘RestrictedRemoteServer’ -Path ‘c:\onemodonly.pssc’

Требуется ли лицензия восстановления Azure Site Recovery для машин, которыми управляют через ASR, но не используют его технологию реплицирования?

Azure Site Recovery предоставляет многочисленные возможности, включая технологии реплицирования с локальных систем в Azure, между местоположениями локальных систем и создания планов восстановления для выполнения текущих процессов перехода на другой ресурс при сбое как в тестовом режиме, так и на практике. При использовании ASR на новом уровне для управления текущим экземпляром операционной системы требуется лицензия ASR. Однако можно управлять переходом на другой ресурс, используя SQL AlwaysOn, и задействовать PowerShell для выполнения других операций через Azure Automations. Итак, нужна ли лицензия ASR в последних двух случаях? Нет, лицензия ASR не требуется, когда управление переходом на другой ресурс при сбое осуществляет SQL AlwaysOn и когда к машинам применяются действия через Azure Automation, запущенные в рамках плана восстановления Recovery Plan.

Могу ли я задействовать профиль восходящего канала связи как с управляемым NC логическим коммутатором, так и с не управляемым NC логическим коммутатором?

Нет. Попытка использовать их совместно приведет к отказу логического коммутатора, который применяется SDN и преобразуется в управляемый NC коммутатор. Кроме того, это приведет к сбою в развертывании SDN.

У меня нестабильно работает служба WinRM на компьютере с Windows Server 2016. Что делать?

Это известная проблема, она была исправлена в модуле коррекции. Его можно загрузить из каталога Microsoft Catalog по адресу: https://support.microsoft.com/en-us/help/4011347/windows-10-update-kb3216755.

Поддерживается ли Silverlight на Windows Server 2016?

Да. Компонент можно загрузить по адресу: https://www.microsoft.com/getsilverlight/get-started/install/default.aspx. Он будет работать на сервере с типом развертывания Desktop Experience, но не на Server Core или Nano Server. Обратите внимание, что Windows Server 2016 с типом развертывания Desktop Experience также имеет встроенный компонент Adobe Flash.

Листинг 1. Указание изображения для учетной записи пользователя
$photoFile = "E:\tempfiles\sav283283.jpg"
                              $thumbFile = "E:\tempfiles\sav9696.jpg"
                              $username = "johnsav"
                              $user = Get-ADUser -LDAPFilter "(sAMAccountName=$username)"
                              $photo = [byte[]](Get-Content $photoFile -Encoding byte)
                              $thumbPhoto = [byte[]](Get-Content "$thumbFile" -Encoding byte)
                              Set-ADUser $user -Replace @{jpegPhoto=$photo}
                              Set-ADUser $user -Replace @{thumbnailPhoto=$thumbPhoto}
Листинг 2. Указание списка разрешенных команд для сессии
[localhost]: PS> get-command
           
            CommandType Name ModuleName
            ----------- ----  ----------
            Function Add-CustomModBulkUser CustomMod
            Function Enable-CustomModVLANUser CustomMod
            Function Exit-PSSession 
            Function Get-Command
            Function Get-FormatData
            Function Get-Help
            Function Measure-Object
            Function New-CustomModGroup CustomMod
            Function New-CustomModRegUser CustomMod
            Function New-CustomModSpecUser CustomMod
            Function New-CustomModVLANUser CustomMod
            Function Out-Default
            Function Select-Object
            Function Update-CustomModUserPass CustomMod
Листинг 3. Создание учетной записи для OU
$RootDomain = "DC=savilltech,DC=net"
      
       $TopLevelLABs = "APAC","EMEA","NA","SA"
      
       #Find each LAB
       foreach ($TopLevelLAB in $TopLevelLABs)
       {
           #Find the child OUs
           $LABs = Get-ADOrganizationalUnit -SearchBase "OU=$TopLevelLAB,$RootDomain" -filter * -SearchScope OneLevel
      
           #Look for each LAB
           foreach ($LAB in $LABs)
           {
               $ECHUB = $null
               #Checking for a Hub account
               $ECHUB = get-aduser -SearchBase "OU=Users,$($LAB.DistinguishedName)" -Filter {name -like '*ECHUB'}
               if($ECHUB -ne $null)
               {
                   Write-Output "$($LAB.Name) has account already"
               }
               Else
               {
                   Write-Output "*** $($LAB.Name) needs an account so creating ***"
                   $HubFirstName = $LAB.Name.Replace("LAB","") + "EXP"
                   Write-Output "*** Creating $HubFirstName-ECHUB ***"
                   New-OneLABSpecUser $HubFirstName ECHUB $($LAB.Name) "Hub Account"
               }
           }
       }