Как подключиться по RDP к компьютеру в Azure AD

2016-09-12, 00:20 / Argon

Начиная с Windows 10 версии 1511 (если кто не понял, цифры означают год и месяц), появилась возможность «включать» машину в Azure AD, что позволяет входить в нёё всем пользователям вашего тенанта Azure AD под своими учетными данными вида user@domain.com.

К сожалению, без дополнительной настройки не работает подключение к удалённому рабочему столу. Чтобы он заработало, для версии 1511 нужно…

Прочитать остальную часть записи »

Используем OneDrive для хостинга картинок

2016-09-08, 15:40 / Argon

Хотя OneDrive и позволяет расшаривать картинки, но ссылки, которые он выдаёт

https://1drv.ms/i/s!Amlzj8iXNyRkiugA0LRoWwrT8JZO3g

…на самом деле ведут не на сам файл с картинкой, а на веб-страницу с ней.

Что делать, если нужно получить истинный адрес файла, который можно будет использовать для вставки картинок на веб-страницы, а также в других местах вроде фотографии контакта в Lync / Skype for Business? Доступ к картинке, конечно, должен быть без какой-либо аутентификации (анонимно).

Прочитать остальную часть записи »

Выпускаем SSL сертификаты без установки Certification Authority

2016-09-07, 14:10 / Argon

Иногда для тестовых целей могут понадобиться сертификаты, но не просто самоподписанные, а с расширением SAN и входящие в иерархию с одним корневым сертификатом. Если по такому случаю не хочется поднимать полноценный PKI, то можно построить его подобие с помощью команды PowerShell New-SelfSignedCertificate, которая в Windows 10 позволяет делать удивительные вещи.

Прочитать остальную часть записи »

Настройка Point-to-Site соединения к Azure

2016-09-06, 20:30 / Argon

Осуществляется по статье Configure a Point-to-Site connection to a VNet using PowerShell. Практически всё очевидно и понятно, кроме момента с выделением пула адресов для клиентов VPN и того, как быть с самоподписанными сертификатами.

Прочитать остальную часть записи »

Магический DNS в Azure

2016-09-06, 14:20 / Argon

Обычно в виртуальных сетях Azure IaaS отказываются от встроенного в платформу разрешения имён DNS и самостоятельно настраивают пользовательские адреса серверов DNS, поскольку компьютерам требуется членство в службе каталогов AD (локальной либо вынесенной в облако).

К сожалению, настройка пользовательских DNS пока выполняется на уровне всей виртуальной сети и не учитывает специфику подсетей. Однако, возможна ситуация, когда некоторые из подсетей не должны использовать «локальные» серверы DNS, такой сценарий вполне может быть при реализации DMZ.

В этом случае остаётся только вручную прописывать на виртуальных машинах в DMZ публичные серверы DNS вроде 8.8.8.8.

Но есть более элегантное решение! В Azure существует магический, статический, высоко-доступный IP адрес 168.63.129.16, который можно использовать в качестве рекурсивного сервера DNS для клиентов в DMZ и любых других машин. Подробнее про этот адрес — здесь.

Магический IP будет работать, даже если у виртуальной машины удалить Public IP. В таком состоянии весь доступ в интернет будет отключён, но останется разрешение DNS и доступ к некоторым внутренним службам Azure вроде management.azure.com, которые можно использовать для управления конфигурацией Azure с помощью скриптов.

Миграция объектов между доменами Active Directory

2015-11-11, 01:00 / Argon

В этой статье я расскажу о том, как правильно организовать процесс миграции пользователей и ресурсов между доменами Active Directory без прерывания доступа. В статье будут рассмотрены:

  • общий подход к миграции
  • как работает SID History
  • сценарии миграции и подход к администрированию для каждого из них

Для понимания изложенного в данной статье материала требуется понимание предыдущей статьи — Построение ролевой модели в Active Directory.

Содержание

  • Общий подход к миграции
  • Сценарии миграции объектов Active Directory
    • Сценарий 0 — исходное состояние
    • Сценарий 1.1 — миграция пользователей в целевой домен
    • Сценарий 1.2 — создание новых пользователей в целевом домене
    • Сценарий 2.1 — развёртывание ресурсов в целевом домене
    • Сценарий 2.2 — развёртывание ресурсов в исходном домене
    • Сценарий 2.3 — миграция ресурсов в целевой домен
    • Сценарий 3 — все пользователи и ресурсы мигрированы
  • Заключение
  • Полезные ссылки

Прочитать остальную часть записи »

Построение ролевой модели в Active Directory

2015-09-01, 21:00 / Argon

В проектах по Active Directory я регулярно сталкиваюсь с задачами и вопросами от заказчиков, для которых требуется понимание двух тесно связанных между собой тем:

  • как грамотно организовать доступ к ресурсам с помощью групп
  • как организовать процесс миграции учетных записей и ресурсов без прерывания доступа

Эти аспекты работы Active Directory Domain Services критически важны для удобной, безопасной и предсказуемой работы AD в конфигурациях, состоящих более чем из одного домена.

В этой статье я расскажу:

  • как работают разные типы групп
  • как правильно организовать доступ к ресурсам

Статья ещё в процессе написания. Буду рад вашим комментариям!

В следующей статье Миграция объектов между доменами Active Directory будут рассмотрены вопросы организации миграции пользователей и ресурсов в другой домен без прерывания доступа:

  • общий подход к миграции
  • как работает SID History
  • сценарии миграции и подход к администрированию для каждого из них

Содержание

  • Разрешения на ресурсы
  • Типы групп в Active Directory
    • Чем вызваны эти отличия
  • Построение ролевой модели
    • Группы доступа (к ресурсу)
    • Ролевые группы (пользователей)
  • AGULP

Прочитать остальную часть записи »

Предложения по улучшению Тинькофф Банка

2015-03-22, 15:30 / Argon

Мне настолько надоело ругаться со своим Ситибанком и решать самые банальные вопросы неделями, что к альтернативным банкам я присматривался уже давно. Мне довелось увидеть ролик о новом интернет-банке Тинькофф, и я был весьма впечатлён. Решил попробовать этот банк на своей шкуре. Ну что сказать, Тинкфофф Банк пока держит впечатление лучшего из банков, которыми мне доводилось пользоваться.

Однако, к лучшим предъявляются самые высокие требования… В данном посте я сформулирую свои предложения по улучшениям, которые могли бы сделать этот банк для меня идеальными. Особенно приятно, что банк читает мои предложения и быстро на них отвечает. Я размещаю свои предложения здесь публично с целью ссылаться на них в соцсетях и в других источниках.

Прочитать остальную часть записи »

Подключение Windows Azure IaaS к локальной сети

2012-07-28, 01:00 / Argon

На внутренней конференции Microsoft из уст самого Марка Руссиновича я узнал, что в составе облачного сервиса Windows Azure наконец-то появился полноценный IaaS (инфраструктура как сервис), который называется Virtual Machines and Virtual Networks.

Ранее в составе Windows Azure предлагался PaaS, который я не воспринимал всерьёз: список предлагаемых сервисов был скуден, а сами сервисы были настолько ограничены, что подходили для создания инфраструктуры небольшой компании с нуля. Я скептически смотрел на возможность создания серьёзных гибридных решений, в которых существующая зрелая on-prem инфраструктура предприятия интегрировалась с облачной.

Теперь же я полон энтузиазма! Windows Azure IaaS — это полноценные виртуальные машины и сети, предоставляемые как облачный сервис и размещённые в датацентрах Microsoft. Если подключить облачную виртуальную сеть к локальной сети предприятия, и развернуть в облаке новые сервера (или мигрировать существующие), это будет работать так же, как в удалённом филиале.

В процессе знакомства с Windows Azure IaaS я встретил несколько неочевидных вещей, о которых хочу рассказать.

Прочитать остальную часть записи »

Обнаружена закладка в протоколе Kerberos реализации Microsoft

2012-04-01, 20:50 / Argon

Есть у меня коллега, который админит очень большую сеть. В силу бессмысленных и беспощадных причин в этой сети присутствуют машины под управлением Windows 98, на которых выполняются ВНЕЗАПНО критичные приложения.

Что характерно, машины с Win 98 используют аутентификацию в домене Active Directory. Кое-как всё работало, пока не стали обновлять контроллеры домена до Windows Server 2008 R2.

Прочитать остальную часть записи »