Подключение Windows Azure IaaS к локальной сети

2012-07-28, 01:00 / Argon

На внутренней конференции Microsoft из уст самого Марка Руссиновича я узнал, что в составе облачного сервиса Windows Azure наконец-то появился полноценный IaaS (инфраструктура как сервис), который называется Virtual Machines and Virtual Networks.

Ранее в составе Windows Azure предлагался PaaS, который я не воспринимал всерьёз: список предлагаемых сервисов был скуден, а сами сервисы были настолько ограничены, что подходили для создания инфраструктуры небольшой компании с нуля. Я скептически смотрел на возможность создания серьёзных гибридных решений, в которых существующая зрелая on-prem инфраструктура предприятия интегрировалась с облачной.

Теперь же я полон энтузиазма! Windows Azure IaaS — это полноценные виртуальные машины и сети, предоставляемые как облачный сервис и размещённые в датацентрах Microsoft. Если подключить облачную виртуальную сеть к локальной сети предприятия, и развернуть в облаке новые сервера (или мигрировать существующие), это будет работать так же, как в удалённом филиале.

В процессе знакомства с Windows Azure IaaS я встретил несколько неочевидных вещей, о которых хочу рассказать.

Прочитать остальную часть записи »

Обнаружена закладка в протоколе Kerberos реализации Microsoft

2012-04-01, 20:50 / Argon

Есть у меня коллега, который админит очень большую сеть. В силу бессмысленных и беспощадных причин в этой сети присутствуют машины под управлением Windows 98, на которых выполняются ВНЕЗАПНО критичные приложения.

Что характерно, машины с Win 98 используют аутентификацию в домене Active Directory. Кое-как всё работало, пока не стали обновлять контроллеры домена до Windows Server 2008 R2.

Прочитать остальную часть записи »

Выбор имени домена Active Directory

2012-03-30, 01:00 / Argon

Более полугода прошло с выпуска моей последней серьёзной статьи О пустых корневых доменах в Active Directory. Пришла весна, и с ней — обостренное желание родить фундаментальный материал, отвечающий на вопрос, который вроде бы очевиден, но при этом критически важен при проектировании: какое же имя дать домену Active Directory, чтобы потом не было мучительно больно?

В этой статье я постараюсь провести вас от самых худших вариантов имени домена Active Directory к самому, по моему мнению, лучшему варианту, попутно указав на преодолеваемые грабли.

Содержание:

Прочитать остальную часть записи »

Доступ к Lync Mobility из внутренних сетей WiFi

2012-03-29, 16:45 / Argon

В предыдущей заметке я описал способ подключения мобильных клиентов Lync к веб-службам, использующим SSL-сертификат, к которому устройство изначально не имеет доверия.

Однако действия по установке сертификата корневого CA на каждое устройство могут быть не удобны в масштабах большого предприятия. Выход из ситуации один: веб-службы Lync должны использовать публичный SSL сертификат, выпущенный CA из списка рекомендованных.

Задача осложняется тем, что Lync использует как внутренние пути к веб службам (на front end), так и внешние (на reverse proxy). Естественно, устанавливать публичный сертификат на внутренние веб-службы только для обеспечения совместимости с Lync Mobility не очень хочется.

Прочитать остальную часть записи »

Как совместить RD Gateway и Outlook Anywhere

2012-03-22, 18:15 / Argon

Представим ситуацию:

  • Имеется один публичный SSL-сертификат на имя autodiscover.lab.argon.pro без списка альтернативных имён (SAN)
  • Имеется только один свободный публичный IP-адрес
  • Стоит задача при данных ограничениях опубликовать в интернете Remote Desktop Gateway и Exchange 2010 Outlook Anywhere

Прочитать остальную часть записи »

О национальной дискриминации телефонных номеров в Lync

2012-03-13, 11:40 / Argon

В данной заметке я покажу, как различается отображение телефонных номеров в контактах Lync для номеров с кодом +1 и для всех остальных, и как сильно все остальные страдают от этого.

Прочитать остальную часть записи »

Lync 2010 Mobility

2012-01-16, 03:00 / Argon

В данной заметке я расскажу, с какими интересными особенностями мне пришлось встретиться при неспешном развертывании Lync Mobility в своей тестовой среде.

Прочитать остальную часть записи »

Lync Server Edge, TMG и NLB

2011-11-30, 13:23 / Argon

[Пока пишу основные поинты, объяснения и уточнения напишу позже...]

  • Lync Server Edge можно установить я на ту же машину, что и Forefront TMG. Edge использует ту же версию SQL Server 2008 Express, но создаёт свой экземпляр.
  • Если сервера TMG работают в составе массива, и для массива включен Win NLB, Lync Edge по-прежнему может работать, используя DNS Load Balancing
  • При этом работают Lync Web Services, опубликованные через TMG NLB
  • Для служб Lync Edge (Access, Web Conf, A/V) не заявлена поддержка Win NLB. Это неспроста, данные службы через Win NLB не работают, я проверил.
  • Даже в лабораторных условиях, логин на выделенные Edge сервера происходит в разы быстрее, чем на совмещенные с TMG.

Ошибки менеджера NLB на машинах с TMG

2011-11-29, 03:50 / Argon

Представим ситуацию: на две чистые операционные системы Windows Server 2008 R2 установлен Microsoft Forefront Threat Management Gateway 2010 SP2. Из данных экземпляров TMG собран Enterpise-массив (Enterprise TMG Array). Из консоли управления TMG на массиве включается балансировка нагрузки (NLB) для внутренних и внешних интерфейсов (Enable Network Load Balancing Integration).

Если следовать мануалу, то балансировка нагрузки действительно работает. Однако, если запустить на одном из узлов кластера консоль Network Load Balancing Manager, то можно увидеть следующие сообщения в логе:

Loading configuration information from host "AR-S-GW2.lab.argon.pro" for cluster 10.18.252.100

The RPC server is unavailable on the specified computer. Error connecting to "AR-S-GW2.lab.argon.pro"

Поискав в интернетах способы решения этой проблемы, я нашел следующую информацию:

  • консоль Network Load Balancing Manager использует DCOM для общения между узлами кластера
  • TMG не поддерживает DCOM
  • TMG конфигурирует NLB-кластер не через DCOM, поэтому всё работает
  • так как всё работает, на ошибки в Network Load Balancing Manager можно забить

Я решил не забивать и разобраться в этой проблемой…

Прочитать остальную часть записи »

Как интегрировать обновления в дистрибутив TMG

2011-11-29, 00:59 / Argon

С момента выхода Microsoft Forefront Threat Management Gateway (TMG) 2010 уже вышло 3 серьезных обновления: SP1, SP1 Update 1, и, вышедший совсем недавно, SP2. Однако, полного дистрибутива, включающего данные обновления, выпущено не было.

Этот факт весьма не удобен тем, что обновления на TMG ставятся последовательно. Нельзя сразу взять и накатить на свежеустановленный TMG последний сервис пак, нужно ставить всю цепочку обновлений, на данный момент, как писал выше, их 3 штуки.

Если приходится часто ставить TMG, либо не хочется последовательно накатывать все обновления, а сразу поставить последнюю версию продукта, предлагаю воспользоваться возможностью интегрировать выпущенные обновления в дистрибутив продукта. Такая интеграция на английском зовётся slipstream, и многие дистрибутивы Microsoft (но не все) её поддерживают.

Прочитать остальную часть записи »