Правда ли, что количество доступных доменов обработки отказов варьирует в зависимости от региона, если используются управляемые диски?

Да. Как правило, в диспетчере ARM по умолчанию существует три домена обработки отказа. Если управляемые диски, которые повышают стабильность работы набора доступности Availability Set за счет изоляции дисков, используемых виртуальной машиной, изолированы, количество доменов сбоя варьирует в пределах 2-3 доменов. Более полную информацию можно найти в документе по адресу: https://docs. microsoft.com/en-us/azure/virtual-machines/windows/manage-availability.

Я создаю образ Nano Server. Как добавить самый последний CU при его конструировании?

Чтобы включить последний набор исправлений в новый образ Nano Server в процессе его создания (другой вариант -вставка обновления в исходный WIM-файл, что предпочтительно в долгосрочной перспективе), используется параметр -ServicingPackagePath и передается САВ-файл. Например:

New-NanoServerImage -MediaPath ‘S:\OS Images\Windows Server 2016 RTM\Expanded’ `
-ServicingPackagePath ‘D:\NanoBuild\Updates\Windows10.0-
   KB4010672-x64. cab’ `
-BasePath .\Base -TargetPath $NanoVHDPath -ComputerName NanoVM2 `
-DeploymentType Guest -Edition Standard `
-Storage -Defender -EnableRemoteManagementPort `
-Package Microsoft-NanoServer-DSC-Package `
-UnattendPath .\unattend. xml `
-AdministratorPassword $adminPass -DomainName savilltech
   -ReuseDomainNode

Как перевести систему Windows 10 с загрузкой BIOS на UEFI?

Реальная проблема при переходе от BIOS к UEFI — это разница в разбиении диска. Главная загрузочная запись MBR (BIOS) заменяется на запись GPT (UEFI), здесь нет простого способа преобразования. Однако в Windows 10 сборки 1703 предусмотрен инструмент MBR2GPT.EXE. Он сделан таким образом, чтобы его можно было запускать из среды Windows PE, но этот инструмент можно использовать и в среде Windows 10 для дополнительно присоединенного диска. В этом случае инструмент конвертирует структуру MBR в GPT в дополнение к созданию системного раздела EFI, которое происходит посредством конвертирования системного раздела, если это возможно, или создается новый раздел. Впоследствии это позволяет перевести компьютер на загрузку в режиме UEFI (обычно это делается через выключение Compatibility Support Module (CSM)). Обратите внимание, что, хотя данный инструмент должен запускаться из сборки 1703 или более новой, он может конвертировать любую предыдущую версию Windows 10 и, возможно, более ранние версии Windows (хотя это и не поддерживается).

Вы можете протестировать конвертацию до ее выполнения, используя ключ /validate switch, например:

mbr2gpt/validate/disk:0

Если все нормально, выполните конвертирование, используя следующую команду:

mbr2gpt/convert/disk:0

До загрузки системы на сконвертированный диск переведите компьютер на загрузку по UEFI. Более подробную информацию можно найти в документе по адресу: https://technet. microsoft. com/en-us/itpro/windows/deploy/mbr-to-gpt.

Может ли развернутый на Nano Server сервер DNS быть интегрированным со службой каталогов?

Нет. DNS поддерживается на сервере Nano в версии 2016 RTM, он должен использовать файлы и не может быть интегрирован со службой каталогов. Обратите внимание, что службу DNS можно установить во время создания образа или после установки, используя такую команду:

Install-PackageProvider NanoServerPackage
Import-PackageProvider NanoServerPackage
Find-NanoServerPackage
Install-NanoServerPackage -Name Microsoft-NanoServer-
   DNS-Package
Enable-WindowsOptionalFeature -Online -FeatureName
   DNS-Server-Full-Role

В этой команде я сначала устанавливаю пакет NanoServerPackage, а затем использую его для просмотра доступных пакетов в сети (помните, что в случае с Nano, если образ не был построен с учетом данного компонента, тот не будет присутствовать в файловой системе (sxs), поэтому для установки его надо загрузить). Далее необходимо загрузить DNS и установить его.

Как активировать рекурсию DNS только для клиентов моей внутренней сети?

Рекурсия DNS — это важная функция, которая позволяет серверам DNS выполнять разрешение имен для клиентских запросов. Но эта функция может работать неправильно из-за возможных атак на службу. Новая черта Windows Server 2016 — это возможность создавать область действия рекурсии для обеспечения ответа только для определенных клиентов, например только для пользователей внутренней сети, а для внешних клиентов рекурсия блокируется.

Проще всего это сделать при помощи команд PowerShell:

Set-DnsServerRecursionScope -Name. -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalSavillTechClients"
   -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name"RecursionControlPolicy"
   -Action ALLOW `
-ApplyOnRecursion -RecursionScope "InternalSavillTechClients" `
-ServerInterfaceIP "EQ,10.7.173.10"

Код указывает, что с любым запросом, который приходит на интерфейс 10.7.173.10, будут обращаться как с внутренним, а затем будет выполнен рекурсивный запрос. Также вы можете задействовать политику, которая реализована для клиентской подсети, а не на IP-интерфейсе серверов.

Я создал образ ISO для Nano Server, используя инструмент Nano Server Image Builder, но когда я хочу создать виртуальную машину из этого ISO, загрузки не происходит. В чем дело?

Если вы построили файл ISO, созданный для развертывания на физическом аппаратном обеспечении, у него не будет драйверов Hyper-V. Это означает, что он не сможет работать в виртуальной машине. Вам нужно сгенерировать образ, который предназначен для виртуальных машин Hyper-V.

Может ли Hyper-V запускать виртуальные машины из папки общего доступа NFS?

Нет. Хотя Windows Server имеет компонент NFS Server (для того, чтобы обеспечивать обслуживание клиентов NFS), а компонент NFS Client обеспечивает доступ к папке общего пользования на томе NFS, невозможно запустить большинство служб для файлов общего пользования на томе NFS, включающих в себя виртуальные машины Hyper-V.

У меня развернут? сервер в режиме Server Core и мне нужно выполнить трассировку сети. Как можно это сделать без графического интерфейса?

При помощи инструмента Message Analyzer и PowerShell можно в удаленном режиме выполнить трассировку системы, включая экземпляр Server Core (при условии, что нужные порты открыты для протоколов RPC и WinRM). Если это для вас не вариант, вы можете сделать перехват локально, используя такие команды:

netsh trace start capture=yes
   
   netsh trace stop

Сгенерированный файл ETL откройте в Message Analyzer.

Когда версия с вариантом получения обновлений Current Business Branch (СВВ) теряет актуальность?

Вариант обслуживания «Windows как служба» поддерживает две самые последние версии в варианте СВВ, а также предусматривает 60-дневный переходный период. Это означает, что СВВ перестает выполнять обновления версии через 60 дней после выхода второй, более новой версии, которая объявлена как СВВ. Например, когда обновление Creators Update (сборка 1703) стало доступно в варианте обновления СВВ, 60 дней спустя версия 1511 перестала поддерживаться.

Что представляют собой политики аудита, основанные на выражении?

Выражение в политиках аудита позволяет задавать настройки, базируясь на правилах системы безопасности, заданных через групповую политику, которая применяется ко всем файлам и папкам. При этом отпадает необходимость в настройке политик по отношению к файловой системе или системному реестру напрямую.

  1. Откройте объект групповой политики.
  2. Перейдите по пути Computer Configuration, Policies, Windows Settings, Security Settings, Advanced Audit Policy Configuration, Audit Policies, Global Object Access Auditing.
  3. Выберите раздел File system или Registry.
  4. Укажите настройку Define this policy setting и нажмите кнопку Configure.
  5. Нажмите кнопку Add и выберите одно из правил системы безопасности, тип аудита и событие, по отношению к которым должен быть выполнен аудит.
  6. Нажмите ОК.

После применения политик события, которые соответствуют этой политике, будут подлежать аудиту.

Как обновить драйвер в Nano Server?

Для обновления драйвера в Nano Server сначала нужно удалить текущий драйвер, а затем установить новую версию:

pnputil /delete-driver driver. inf
   pnputil /add-driver .\driver. inf /install

Если у вас драйвер без файла INF, то его нельзя установить в Nano Server, однако в большинстве случаев файл INF присутствует внутри файла ЕХЕ программы установки драйвера, который зачастую можно извлечь. Подробнее об этом рассказано в руководстве по адресу: https://technet. microsoft.com/en-us/library/dd759151(v=ws.11).aspx.