Совсем недавно я публиковал статью о том, как мы строили облачную инфраструктуру в Azure для нашего заказчика. В статье я перечислял проблемы, с которыми мы сталкивались в ходе разработки и внедрения нашего решения. Так как описываемые события происходили год назад, а облако Microsoft развивается очень быстро, то большая часть этих проблем уже не актуальна. И вот на днях я узнал, что ещё одна сложность работы с Azure ушла в прошлое — сбор информации о квотах из разных источников. Предлагаю вам ознакомится с заметкой Криса Пьетшманна (Chris Pietschmann) о появлении портала (нужно больше Azure порталов!:)) раннего доступа к новому функционалу. Материал публикуется с некоторым опозданием — большая часть нововведений уже добралась до основного портала.

Теперь, когда «текущий» портал заработал в полную силу, а услуги и функционал с «классического» портала постепенно объявляются устаревшими, Microsoft сделали доступным НОВЫЙ портал раннего доступа. Новый портал позволяет вам воспользоваться функционалом, который еще не появился в основном Azure портале. Своеобразный способ взглянуть пораньше на обновления именно для самого портала.

Кейс. Строим облако для крупной компании

Мне давно хотелось рассказать, о том как мы строили облачное решение для кого-нибудь из наших заказчиков.


Итак, наш Заказчик — крупная международная компания, с сотнями офисов по всему миру. Основная инфраструктура сосредоточена в двух высококлассных ЦОД в Европе и к ним никаких претензий нет. А вот локальные компоненты в региональных офисах управляются множеством региональных поставщиков услуг, и это порождает кошмар на уровне менеджмента как с решением непосредственно ИТ-задач, так и в контроле за расходованием ИТ-бюджета. Заказчик решил, что перенос большей части некритичных региональных сервисов в Microsoft Azure позволит ему сэкономить на обслуживании своей ИТ инфраструктуры, сосредоточить контроль за расходованием финансов в центральном офисе и, заодно, реализовать несколько проектов модернизации. Мы уже внедряли для этого Заказчика гибридное Exchange решение на базе Office 365 с локальными компонентами в нескольких странах, где этого требовали нормы законодательства, так что он обратился к нам и к Microsoft за проектированием и внедрением облачной платформы для размещения примерно 3000 серверов в течение 3-х лет.

Всё это происходило в конце 2015 — начале 2016 и, на данный момент, платформа создана, и мы уже мигрировали туда около 500 серверов. Тема облаков одна из самых популярных в последнее время и существует довольно много документации и материалов, описывающих, что именно умеет тот или иной сервис и как вы можете его использовать. Поэтому мы поговорим о другой стороне облаков — о том, какие проблемы можно встретить на пути переноса вашей on-premises инфраструктуры.

За всеми делами последней недели я совсем пропустил замечательную новость, связанную с Azure — Managed Disks вышли из стадии preview и теперь доступны для работы.


Что это значит для администраторов? Те, кто уже использовал Azure для размещения своих серверов, помнят, что для создания виртуальной машины вам нужно было сначала создать сущность Storage Account для хранения данных, а уже затем в нём создать диски для своих серверов. Storage Account очень полезный инструмент, который может использоваться для различных целей, но здесь он скорее мешал, чем помогал. Во-первых, он имеет ограничение на суммарное быстродействие по IOPs, а значит вам нужно было следить сколько именно дисков вы туда уже положили. Во-вторых, это заставляло иногда заниматься переносом дисков между Storage Accountами (по разным причинам), что занимало время и, в общем, раздражало.

Всё это уходит в прошлое. Вы, по-прежнему, можете использовать Storage Accounts для хранения различных данных, но для создания серверного диска этот промежуточный слой больше не нужен. Под катом немного подробностей и технических моментов.

Все знают, что все контроллеры домена равны, но некоторые равнее. Эти особенные контроллеры называются мастерами операций или FSMO Masters. Держатели этих ролей требуют отдельного внимания — вам нужно планировать, как передавать их и когда их захватывать, если что-то пошло не так. Если вы поддерживаете Active Directory домен и что-то из сказанного выше для вас новость, то настоятельно рекомендую ознакомиться со статьёй по ссылке, которую я привёл, либо почитать об этом в любом другом месте.

Тем не менее, есть одна роль, которая выделяется из всех — RID Master. Я несколько раз видел, как люди забывали о тех дополнительных действиях, которые требуются при работе с этой ролью, и у меня появилось желание рассказать, о чём стоит помнить, когда вы восстанавливаете свою Active Directory среду из резервной копии или захватываете роль RID Master.

Если вы хотите вспомнить или, тем более, не знаете, что такое rIDAvailablePool и инвалидация диапазона RID, то добро пожаловать под кат.

Последнее время, очень много говорится о нововведениях Windows Server 2016 связанных с виртуализацией, хранилищами данных и службами удалённого рабочего стола. Однако это не единственные компоненты серверной ОС Microsoft, получившие масштабные обновления. Наиболее незаслуженно, на мой взгляд, обойдена вниманием служба Active Directory. Поэтому ниже вашему вниманию будет представлен перевод статьи Джозефа Муди (Joseph Moody) посвящённой именно этой службе.

С выходом Windows Server 2016, служба Active Directory получила три важных новых функции. В этой статье мы обсудим Access Management, Azure AD Join и Microsoft Passport.

Лейтмотив большей части нововведений в Windows Server 2016 — безопасность. Вы можете увидеть это во всех ролях и службах. Shielded VM в Hyper-V, code integrity в сервере приложений и Privileged Access Management в Active Directory Domain Services.

Однако, не все новое в Active Directory связано с безопасностью. Особенно выделяются две новых функции. Вы еще много услышите про первую из них — Azure Active Directory Join в ближайшие месяцы (особенно если вы поддерживаете небольшие/средние организации). Вторая важная функция, которую мы упомянем — Microsoft Passport. Хотя ещё рано утверждать это, Microsoft Passport, потенциально, может избавить пользователей от их головной боли (и IT специалистов от их проблем) связанной с паролями. Достаточно введений. Перейдём к делу!

В августе мы уже обсуждали public preview нового функционала Microsoft Azure — VNET Peering. С тех пор VNET Peering вышел в GA и пришло время посмотреть на него пристальнее. Действительно, любопытно было бы узнать насколько отличается скорость передачи данных в виртуальных сетях Azure, при разных способах их организации.

Например, отличается ли скорость внутри одной подсети и между разными подсетями в одном VNET? Снижает ли скорость переход в другой VNET через Peer? А через VNET-to-VNET VPN?



Я провёл небольшой эксперимент на эту тему, чтобы проверить полезность и эффективность VNET Peering и приглашаю под кат ознакомиться с его результатами.

Относительно недавно, в начале августа, я писал, что Microsoft постоянно работает над повышением надёжности виртуальных машин в Azure.


На днях появилась новость, что сделан следующий, важнейший шаг в этом направлении. Microsoft, наконец, вводит SLA для одиночных виртуальных машин, использующих Premium хранилище данных.

Today, we are announcing a new 99.9% single-instance availability SLA to better support applications that cannot easily scale beyond single VMs.

Немного подробностей под катом.

Последние недели очень богаты на приятные новости по инфраструктурным службам Microsoft Azure. Это и новый функционал peering для виртуальных сетей и улучшения связанные с управлением службой резервного копирования. Вчера появилась очередная новость, которой пользователи Azure ждут уже, пожалуй, последние пол года.

Управление Azure Active Directory теперь доступно в новом ARM портале. Правда пока только в preview и для некоторых задач вам придётся вернуться на Classic портал, но разработчики чётко обозначили свою позицию — новый функционал будет появляться только в ARM портале и весь функционал старого будет в скором времени перенесён сюда же. Некоторые подробности под катом.

Очередная приятная новость от команды разработчиков Microsoft Azure. Если кто-то из читателей, кто уже использует сервис резервного копирования в Azure ARM портале, то они могли заметить, что управление политиками резервного копирования чрезвычайно затруднено. Действительно, вам давалась возможность выбора существующей или создания новой политики, только при добавлении нового сервера в Recovery Services Vault.


Теперь все изменилось. Буквально сегодня команда Microsoft Azure добавила функцию работы с политиками резервного копирования в отдельную оснастку портала Azure Resource Manager.

Всегда приятно вспомнить как удалось решить какую-нибудь нетривиальную задачу. Но бывает и наоборот. Задача была вроде понятна, но вот решить её не удалось. Ниже я расскажу грустную историю из моей практики. Грустная она потому, что я, до сих пор, не знаю, как решить ту проблему. История, в очередной раз, напомнит как важно уделять должное внимание резервному копированию и тщательному обдумыванию своих действий. Ну а если кто-то из читателей расскажет мне, что можно было сделать, чтобы добиться лучшего результата, то это будет просто замечательно.


Итак, жил-был системный администратор и был у него Active Directory домен. Так как инфраструктура была небольшой и досталась ему в наследство давно, то был в ней всего один контроллер домена с установленной на нём Windows Server 2003. Ресурсов сильно не хватало, поэтому на этом же сервере было установлено довольно большое количество приложений, которыми пользовался сам администратор и некоторые его коллеги. Ну и вишенкой на торте — резервных копий в этой компании никогда не делалось. Что могло пойти не так? Подробности под катом.

Отличная новость для тех, кто уже использует или планирует использовать Azure Backup. Microsoft выпустила в preview функцию, которая была лидером списка пожеланий пользователей — мониторинг и оповещения о статусе заданий по резервному копированию.

Теперь вам будет доступна единая консоль для просмотра статуса задач в вашем Recovery Services Vault, и возможность оповещения по почте для интересующих вас событий. Некоторые технические подробности под катом.

Как и обещал, протестировав VNET peering, выкладываю небольшую инструкцию, как вы можете опробовать его в своей подписке Microsoft Azure.

За большим июльским обновлением, чуть не пропустил ещё одну важную новость по Microsoft Azure.



Недавний анонс гласит, что улучшения в механизмах патчинга хостов виртуализации и использование in-place миграции уменьшили время простоя одиночных виртуальных машин.

Now, most virtual machines benefit from Azure in-place virtual machine migration that only pauses them for up to 30 seconds, while the local temporary disk and memory state are preserved.

Отличные новости для тех, кто уже использует Microsoft Azure и тех, кто только планирует это делать. В июле вышло большое обновление платформы Azure. Уверен, в обширном списке нововведений каждый найдёт для себя что-то особенно важное. Для меня это, без сомнения VNET Peering.



Наконец-то, появилась возможность связывать VNET непосредственно между собой. Это открывает новые возможности для построения виртуальной инфраструктуры на базе облака Microsoft. Подробности под катом.

Предисловие. Эта публикация — продолжение темы создания отказоустойчивого кластера Windows Server в облаке Microsoft Azure. На этот раз разговор пойдёт про сеть.



Привет, фанаты кластеров. В своей предыдущей статье я рассказал о том, как обойти ограничения среды Microsoft Azure IaaS при подготовке хранилища данных для отказоустойчивого кластера Microsoft Windows. Давайте теперь поговорим о другой важной части создания кластера — сети.

В качестве предисловия. Я уже публиковал перевод статьи с Technet, которую очень часто приходилось давать своим знакомым. Мне понравилось иметь возможность дать ссылку на русский вариант материала, и я продолжу, по мере возможности, переводить статьи из своей подборки избранного. Сегодняшний материал — перевод статьи Марио Лью о способах организации хранилища данных для отказоустойчивого кластера Windows Server в облаке Microsoft Azure.

Привет, фанаты кластеров. Меня зовут Марио Лью и я сотрудник технической поддержки Microsoft из команды специализирующейся на решениях высокой доступности. У меня для вас хорошие новости — с апреля 2015 года Microsoft официально объявила о поддержке отказоустойчивых кластеров Windows Server для IaaS виртуальных машин в Azure. Вот ссылка на этот анонс:

Microsoft server software support for Microsoft Azure virtual machines
https://support.microsoft.com/en-us/kb/2721672

Там упоминается и функция отказоустойчивой кластеризации. Сведения по этой ссылке могут изменяться, по ходу введения новых улучшений для Windows кластеров в Azure. Пожалуйста, проверяйте не обновилась ли там информация при подготовке к развертыванию новых решений.

Вообще говоря, сама функция отказоустойчивой кластеризации внутри виртуальной машины в облаке не изменяется — это та же стандартная функция ОС. Все сложности связаны с инфраструктурой на которой развёрнута эта машина — с сетью и хранилищами данных. Эта статья посвящена хранилищам данных.

В качестве предисловия. При общении с коллегами, отвечая на их вопросы о совместной настройке DNS и DHCP, часто отсылаю их к замечательной статье Шона Айви на Technet. К сожалению, аналогичного материала на русском языке я не находил. В очередной раз, устно переведя её знакомому, я решил оформить письменный перевод, чтобы иметь возможность отсылать к нему.

Привет всем, меня зовут Шон Айви и я US PFE (Premier Field Engineer). Моя специализация — операционная система Windows и службы Active Directory. Проще говоря, я специализируюсь на Active Directory и связанных с ней сетевых службах. Недавно, у трёх разных клиентов, я помогал SCCM-администраторам, у которых была проблема с установкой SCCM агента. В логе ccm.log значилась ошибка Failed to get token for current process (5). Мы обнаружили, что проблема была не в SCCM, а во взаимодействии DNS и DHCP. Как оказалось, другие службы тоже испытывали связанные с этим проблемы, просто либо демонстрировали иные симптомы, либо не демонстрировали их совсем. Давайте поговорим о том почему так получалось и как это можно предотвратить!

Очень часто бывает так, что есть очевидные, вроде бы, понятия, но, как только начинаешь их с кем-то обсуждать, выясняется, что вы понимаете их совсем по разному. Сегодня я хочу поговорить о таком понятии, как связи между сайтами в доменных службах Active Directory. Посмотрите, пожалуйста, на следующую диаграмму. Вы могли видеть подобные диаграммы для представляющие топологию домена много раз.

Если вы хотите узнать, почему я считаю такие диаграммы вредными (хотя и признаю их удобство), то добро пожаловать под кат.

На этой неделе на хабре вышла очень познавательная статья о пользе микроскопа для качественного волоконно-оптического соединения. Она напомнила мне, сколько в каждой специальности своих инструментов, которые, несмотря на очевидную, вроде бы, полезность, используют далеко не все. В системном администрировании одним из таких инструментов является анализатор трафика. Под катом типичная история, иллюстрирующая его полезность (матёрые специалисты не найдут там ничего нового — история рассчитана на новичков).

Цель данной статьи — рассказать об интересном ключе реестра Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\CrashOnAuditFail

Пару лет назад он подарил мне несколько часов напряженного траблшутинга проблем доступа к общим папкам и, так как ни тогда, ни сейчас я не вижу объяснения этой проблемы в поиске, я решил его описать. Если вам интересно, как может получиться, что права доступа у вас и вашего коллеги есть, но получить доступ к общей папке может только один из вас, то добро пожаловать под кат.