Russian Windows Virtualization Discussion

Hyper-V Constrained Delegation of Authority — или как подключить образы компакт-диска с другого сервера или разместить виртуальные диски на сетевом ресурсе

Я думаю, что многие из вас уже пробовали подключить к виртуальному компакт-диску ВМ образ в формате ISO, который лежит на неком файловом сервере. Или может вы пробовали подключить к виртуальный диск в формате VHD, находящийся на удаленном сервере, а не локальном диске? Ведь благодаря SMB 2.0 производительность сети в Windows Server 2008 значительно увеличилась — и особенно это заметно при доступе к крупным файлам. Так или иначе, вне зависимости от того, используете вы Hyper-V, Virtual Server 2005 или даже какое-то стороннее решение виртуализации (при условии, что оно запускается не как приложение пользователя, а как служба ОС), задачу подключения дисков к ВМ по сети вы сразу выполнить не сможете. Причина конечно же известна — службы работают в контексте учетной записи «Local System», которая не всегда имеет права доступа к сетевым ресурсам. В Базе знаний Microsoft есть несколько статьей, посвященных этой проблеме. Сегодня мы детально разберемся в нем, чтобы более вопросов не возникало. Я буду описывать подход для Windows Server 2008 и Hyper-V — но имейте в виду, что для Windows XP/2003/Vista и Virtual Server 2005 все делается аналогично. Причем оговорюсь сразу — я описываю только поддерживаемый Microsoft способ с использованием Constrained Delegation, а не манипуляции с выдачей прав на различные объекты учетным записям компьютеров.

Что такое SID виртуальной машины?

Что такое SID (Security IDentifier) в общем понимает каждый, кто имел дело с администрированием Windows. Какие объекты имеют SID? С этим немного сложнее, попробуем разобраться. С понятием SID пользователя или группы мы сталкиваемся постоянно, предоставляя права доступа к папкам и файлам NTFS. С SID компьютера мы встречаемся, делегируя права учетным записям компьютеров в домене на выполнение неких операций или чтения политик безопасности. Понятие SID домена тоже довольно понятно интуитивно, но что же дальше?

Делегирование прав на Hyper-V. Часть 2 — присвоение области виртуальным машинам

Мы уже обсуждали общие вопросы модели делегирования Authorization Management Framework и Authorization Manager, используемый в Hyper-V. Сейчас пришло время более детально рассмотреть некоторые наиболее насущные вопросы. Большинство заказчиков, которым я рассказываю про модель делегирования в Hyper-V первым делом спрашивают меня, возможно ли делегировать пользователю или группе некоторые права на конкретную виртуальную машину. В Virtual Server 2005 единственным способом предоставления доступа к ограниченному набору ВМ являлось использование NTFS ограничений на конфигурационные файлы, так чтобы пользователи могли работать лишь с теми виртуальными машинами, на которые у них достаточно NTFS прав. Модель, используемая в Hyper-V позволяет настраивать это более гибко.

Окончательный выпуск Offline Virtual Machine Servicing Tool

Некоторое время назад мы уже подробно описывали Offline Virtual Machine Servicing Tool. Напомню вкратце, что это бесплатный набор инструментов и документации (так называемый Solution Accelerator), предназначенный для поддержания виртуальных машин в соответствии с требованиями к установке обновлений ПО. В качестве источника обновлений используется либо WSUS, либо System Center Configuration Manager. В случае необходимости, OVMST сам запустит выключенные или приостановленные ВМ, инициирует установку обновлений, а затем вернёт ВМ в исходное состояние.

Пошаговое руководство по установке защищённого решения виртуализации для филиалов

Думаю, что никто не станет спорить с тем, что основная цель виртуализации — это консолидация серверов. Иными словами, благодаря этой технологии мы можем расширить количество решаемых задач, при этом не увеличивая, а снижая общий объём и запросы необходимого оборудования. Исторически виртуализация развивалась как решение для больших центров обработки данных, где позволяла эффективно использовать ресурсы мощных систем путём совмещения разных типов полезной нагрузки. Этот подход зародился на мейнфреймах ещё до появления архитектуры х86. Сегодня у виртуализации есть все шансы выйти из центров обработки данных и ступить на новый рынок. Как бы удивительно это не звучало на первый взгляд, я говорю об удалённых филиалах и просто офисах небольших компаний. Действительно, для крупных корпораций эффективность использования ресурсов — это обычно не более чем возможность улучшить финансовые показатели или продемонстрировать заботу об окружающей среде. Но для небольших фирм, экономия — это зачастую то, без чего просто невозможно выжить в условиях конкуренции. И как раз в таком случае виртуализация серверов оказывается как никогда кстати.

Делегирование прав на Hyper-V. Часть 1 — Хранение Authorization Management в Active Directory

В своей вводной статье о модели делегирования прав в Hyper-V я рассказал об основных элементах модели Authorization Management Framework, их взаимосвязях — и о том, как делегировать права пользователю на определенные действия. По умолчанию Authorization Manager хранит настройки в локальном файле %programdata%\Microsoft\Windows\Hyper-V\InitialStore.xml. Однако есть возможность хранить эти настройки не на каждом узле, а централизованно: в Active Directory или базе данных Microsoft SQL Server. Сегодня мы поговорим о том, как создать хранилище Authorization Management в Active Directory, как управлять им и как настроить серверы Hyper-V на его использование.

Offline Virtual Machine Servicing Tool

Количество виртуальных машин, используемых в индустрии ИТ, неизменно растет. Кто-то использует их для реальных повседневных задач, кто-то тестирует ПО и/или настройки ОС, кто-то переводит старые ОС в виртуальную среду и запускает их при необходимости. Многие содержат на сервере или кластере по сотне виртуальных машин, хотя одновременно бывает запущено около десятка — по соображениям производительности и/или лицензирования. Многие хранят шаблоны виртуальных машин в библиотеках SCVMM или просто на сетевых ресурсах. Так или иначе, количество виртуальных машин растет — причем не только постоянно запущенных, но и хранимых на серверах и включаемых эпизодически. Подход хранения большого количества ВМ на сервере и использования их по мере необходимости удобен для администраторов, но несет в себе угрозу уровню информационной безопасности предприятия. Ведь на выключенных машинах не обновляется антивирус, не устанавливаются исправления безопасности ОС и приложений. Включая такую виртуальную машину вы рискуете подвергнуть ее атаке, потерять данные или даже контроль над ней.

Ошибки авторизации при попытке соединиться с виртуальной машиной Hyper-V

Если у вас возникает ситуация, когда при попытке соединится с удаленной виртуальной машиной при помощи стандартной утилиты Virtual Machine Connection (vmconnect.exe) возникают ошибки авторизации "Authentication Error", то решить проблему скорее всего можно отключив настройку использования "Use Default Credentials" в "Hyper-V Settings" стандартной консоли Hyper-V Manager.

Какие порты использует Hyper-V?

Ответим сегодня на часто задаваемый вопрос: «Какие порты необходимы для управления сервером при помощи Hyper-V Manager?». Радовать особенно нечем: 135, 2179, 49512-65535. Да, в MMC используется протокол RPC — а следовательно, требуется динамический набор верхних портов. Windows Server 2008 по умолчанию выделяет 16384 динамических порта. Это, однако, можно изменить.

Нaстройка удаленного доступа к Hyper-V

Мы только что рассмотрели, как делегировать пользователю права на управление Hyper-V. Но этими правами пользователь сможет воспользоваться, только работая на сервере локально. Для того, чтобы управлять гипервизором с другого компьютера, пользователю, который не является администратором, потребуется выполнить ряд настроек — как на стороне сервера, так и на стороне клиента. Описанные в этой статье шаги применимы к версии RC0 гипервизора Hyper-V и RC0 версии клиентской утилиты управления Hyper-V Manager для Vista SP1 (x86 и x64). Итак, на сервере следует выполнить следующие шаги:

Делегирование прав на Hyper-V. Введение

По умолчанию Hyper-V разрешает создание и управление виртуальными машинами только администраторам. Сегодня мы поговорим о том, как делегировать эти права пользователям, не обладающими правами администратора сервера. Hyper-V используют новую модель авторизации пользователей — Authorization Management Framework, которая позволяет гибко настроить права пользователей на виртуальные машины. Модель очень хорошо продумана и имеет ряд интересных моментов, которые я обязательно как-нибудь затрону. Сейчас же мне придется сообщить некую вводную информацию про эту модель, чтобы затем показать настройки делегирования. Итак, термины: Операция (Operation)