Завершение поддержки windows server 2008 и windows server 2008 r2

Windows 7

DoSУязвимость №1Уязвимость №2Уязвимость №3Таблица уязвимостей категории «DoS» в ОС Windows 7Обход чего-либоУязвимость №1 (9.3)Уязвимость №2 (9.3)Уязвимость №3 (9.3)Таблица уязвимостей категории «Обход чего-либо» в ОС Windows 7Исполнение кодаУязвимость №1Уязвимость №2Уязвимость №3Таблица уязвимостей категории «Исполнение кода» в ОС Windows 7Повреждение памятиУязвимость №1Уязвимость №2Уязвимость №3Таблица уязвимостей категории «Повреждение памяти» в ОС Windows 7Доступ к информацииУязвимость №1 (7.2)Уязвимость №2 (6.8)Уязвимость №3 (6.6)Таблица уязвимостей категории «Доступ к информации» в ОС Windows 7Увеличение привилегийУязвимость №1 (10)Уязвимость №2 (10)Уязвимость №3 (9.3)Таблица уязвимостей категории «Увеличение привилегий» в ОС Windows 7ПереполнениеУязвимость №1Уязвимость №2Уязвимость №3Таблица уязвимостей категории «Переполнение» в ОС Windows 7

Различия в лицензировании Windows Server 2016 и новее

Хотя цены на Windows Server 2012 R2, 2016, 2019 одинаковы, если вы используете стандартную лицензию или лицензию Datacenter на Windows Server 2016 или новее, есть некоторые ключевые изменения, о которых вам необходимо знать. Прежде всего, в то время как лицензии Windows Server исторически продавались для каждого процессора / сокета, в Windows Server 2016 модель лицензирования переключалась на каждое ядро.

Таким образом, если у вас есть сервер, содержащий 2 процессора с 24 ядрами , в Windows Server 2012 вам нужно будет купить только одну лицензию Standard или Datacenter. В Windows Server 2016 вам придется покупать лицензии на все 24 ядра. Это становится довольно сложно, так как есть много правил, но главное — если у вас есть 16-ядерный сервер, затраты будут примерно такими же. Однако лицензирование ОС может быть более дорогим на серверах с более высокой плотностью ядра.

Несмотря на изменение лицензии на ядро, правила виртуализации остаются такими же в Windows Server 2016 и новее. После того, как вы лицензировали все свои ядра на сервере, со стандартной версией вы получаете 2 лицензии гостевой ОС Windows Server по сравнению с неограниченным количеством в версии Datacenter.

Кроме того, набор функций в Windows Server 2012 Standard и Datacenter был одинаковым. Но некоторые функции Windows Server 2016, например, такие, как Storage Spaces Direct или экранированные виртуальные машины, доступны только в выпуске Datacenter.

Перед началом обновления на месте Before you begin your in-place upgrade

Перед началом обновления Windows Server рекомендуется выполнить сбор данных с устройств для диагностики и устранения неполадок. Before you start your Windows Server upgrade, we recommend that you collect some information from your devices, for diagnostic and troubleshooting purposes. Так как эти сведения предназначены для использования только в случае сбоя обновления, необходимо убедиться в том, что информация хранится в месте, которое можно получить с устройства. Because this information is intended for use only if your upgrade fails, you must make sure that you store the information somewhere that you can get to it off of your device.

Получение сведений To collect your info

Откройте командную строку, перейдите к c:Windowssystem32 и введите systemInfo. exe. Open a command prompt, go to c:Windowssystem32 , and then type systeminfo.exe.

Скопируйте, вставьте и сохраните полученные сведения о системе в любом месте на устройстве. Copy, paste, and store the resulting system information somewhere off of your device.

Введите ipconfig/all в командной строке, а затем скопируйте и вставьте полученные сведения о конфигурации в то же расположение, как описано выше. Type ipconfig /all into the command prompt, and then copy and paste the resulting configuration information into the same location as above.

Откройте редактор реестра, перейдите к кусту HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion, а затем скопируйте и вставьте Windows Server буилдлабекс (Version) и EditionID (Edition) в то же расположение, что и ранее. Open the Registry Editor, go to the HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion hive, and then copy and paste the Windows Server BuildLabEx (version) and EditionID (edition) into the same location as above.

После сбора всех данных, относящихся к Windows Server, настоятельно рекомендуется создать резервную копию операционной системы, приложений и виртуальных машин. After you’ve collected all of your Windows Server-related information, we highly recommend that you backup your operating system, apps, and virtual machines. Кроме того, необходимо завершить работу, выполнить быструю миграциюили выполнить миграцию всех виртуальных машин, запущенных в данный момент на сервере. You must also Shut down, Quick migrate, or Live migrate any virtual machines currently running on the server. Во время обновления на месте не могут выполняться виртуальные машины. You can’t have any virtual machines running during the in-place upgrade.

Обновление редакции через диск с дистрибутивом

Данный метод хорош тем, что не требует интернет соединения, подойдет для автономных сетей, но за то более длительный и требует иметь скачанный Windows Server 2008 R2. Выясняем, как я показывал выше текущий выпуск и до каких редакций вы можете обновиться. Далее монтируете ваш дистрибутив с нужным выпуском. Запускаем setup.exe и новую установку, пропускаем поиск обновлений Windows.

Принимаем лицензию и до ходим до момента выбора типа установки, выбираем верхний пункт «Обновление».

Начнется проверка совместимости.

Если в отчете нет критических ошибок, то нажимаем далее.

Начнется процесс распаковки и установки файлов обновления, после двух перезагрузок вы получите результат. В среднем такое обновление занимает минут 15-20.

#9 – Бортовой журнал капитана Немо

Реестр – это крайне вредное изобретение, порождающее множество трудноразрешимых проблем. Текстовые конфигурационные файлы (традиционные для UNIX-систем) удобны тем, что в них можно оставлять ремарки и в процессе внесения изменений блокировать старые параметры символом комментария, существенно упрощая откат в случае неудачи.

А реестр?! Хорошо, если систему обслуживает всего один администратор, худо-бедно помнящий, какие параметры он менял и зачем. Когда же администраторов несколько, и все они вносят изменения в реестр, работа превращается в сплошной разбор полетов: «кто трогал реестр и весь его вытрогал?»

Чтобы этого не происходило, необходимо вести журнал (предпочтительнее всего на бумаге), описывающий каждое изменение конфигурации системы с указанием причин и сохранением предыдущих значений, заверенных подписью администратора. Тогда, если система начнет вести себя нестабильно, или же на ней обнаружатся черви, ломанувшиеся в широко открытые двери, всегда можно установить, кто именно их открыл, и чем он руководствовался.

Кстати, в нормальных фирмах у администратора есть инструкция, внятно объясняющая, какие действия он вправе выполнять, а какие – нет. Эксперименты с системой на продакшен машинах (без предварительного согласования с руководством) в общем случае строго запрещены. И это правильно!

Масштабируемость [ править ]

Windows Server 2008 поддерживает следующие максимальные характеристики оборудования:

Технические характеристики	Windows Server 2008 с пакетом обновления 2 (SP2)	Windows Server 2008 R2
Физические процессоры («сокеты»)	Стандарт: 4 Предприятие: 8 Датацентр: 32	Стандарт: 4 Предприятие: 8 Датацентр: 64
Логические процессоры при отключенном Hyper-V	IA-32 : 32 x64 : 64	256
Логические процессоры при включенном Hyper-V	IA-32 : нет данных x64 : 24	64
Память на IA-32	Стандартный, Интернет: 4 ГБ Enterprise, Datacenter: 64 ГБ	Нет данных
Память на x64	Стандартный, Интернет: 32 ГБ HPC: 128 ГБ Enterprise, Datacenter: 1 ТБ	Фундамент: 8 ГБ Стандартный, Интернет: 32 ГБ HPC: 128 ГБ Enterprise, Datacenter: 2 ТБ
Память на Itanium	2 ТБ

Назначение контроля учетных записей

Когда контроль учетных записей был впервые представлен в Windows Vista, его зачастую позиционировали как средство повышения безопасности операционной системы, хотя прямое назначение UAC состоит не в этом. Впоследствии независимые эксперты неоднократно демонстрировали возможности обхода UAC, что только сыпало соль на раны самой критикуемой технологии Windows Vista. Когда в Microsoft пришел Марк Руссинович (Mark Russinovich), на него, похоже, была возложена задача по реабилитации UAC, и он начал методично объяснять истинное назначение контроля учетных записей. Он ввел понятие «граница защищенной зоны» (security boundary) и всеми доступными ему средствами (Technet, конференции, блог) разъяснял, что UAC такой границей не является. Например, именно этой теме был посвящен один из его докладов на конференции Платформа 2008 в Москве.

На самом деле контроль учетных записей был создан для того, чтобы в системе можно было полноценно работать без прав администратора. Эту масштабную задачу необходимо было решать потому, что в Windows 2000/XP работа с административной учетной записью стала обыденной практикой. В этом случае проникновение вредоносного кода в систему ведет к плачевным последствиям. Ситуация осложнялась тем, что многие разработчики программ совершенно не заботились об ограниченных учетных записях, всецело полагаясь на то, что установка их продуктов и работа с ними будут вестись с правами администратора. Получался замкнутый круг, который предстояло разорвать. Создатели UAC изменили модель контроля доступа, в результате чего была не только изменена работа учетных записей, но и реализована виртуализация файловой системы и реестра (подробное описание технологии опубликовано в журнале Technet Magazine).

Для конечных же пользователей контроль учетных записей фактически свелся к столь нелюбимым запросам UAC. Основное их назначение в том, чтобы уведомить пользователя, работающего с правами администратора, о попытках приложения внести в систему изменения, требующие полного административного доступа. Обычному пользователю, не имеющему прав на совершение действия, тут же предлагается ввести учетные данные администратора. Понятно, что разработчики должны планировать приложения таким образом, чтобы для работы с программой не требовалось административных прав. А если все программное обеспечение в системе может работать в контексте обычного пользователя, то уже нет необходимости в рутинной работе с полными правами администратора. Настройку системы можно производить от имени администратора или под его учетной записью, но это не каждодневная задача. И даже если вы работаете с правами администратора, UAC контролирует выполнение задач, требующих полных административных полномочий — он уведомляет вас в тех случаях, когда требуется подтверждение прав.

Таким образом, контроль учетных записей призван не предотвратить проникновение вредоносного кода (для этого есть брандмауэр и антивирусное/антишпионское ПО),  а снизить наносимый им ущерб — ограничить его влияние правами обычного пользователя. Строго говоря, повышается не безопасность операционной системы, а ее устойчивость к несанкционированному доступу.

Кстати, значок щита в этом разделе статьи не случаен — именно его вы видите на кнопках, рядом со ссылками и в пунктах меню операционной системы в том случае, если требуется повышение прав. Другими словами, если контроль учетных записей включен, обращение к элементу интерфейса, обозначенному щитом, сопровождается запросом UAC. Цветовая гамма щита изменилось по сравнению с Windows Vista, но это далеко не единственное изменение в интерфейсе.

Обновление до Windows Server 2016 Upgrading to Windows Server 2016

Дополнительные сведения, в том числе важные замечания и ограничения, относящиеся к обновлению, преобразованию лицензий между выпусками Windows Server 2016 и преобразованию ознакомительных выпусков на розничные, приведены в разделе Параметры обновления и преобразования для Windows Server2016. For details, including important caveats and limitations on upgrade, license conversion between editions of Windows Server 2016, and conversion of evaluation editions to retail, see Supported Upgrade Paths for Windows Server 2016.

Примечание. Обновления, переключающиеся с установки основных серверных компонентов на режим “Сервер с рабочим столом” (или наоборот), не поддерживаются. Note: Upgrades that switch from a Server Core installation to a Server with a Desktop installation (or vice versa) are not supported. Если более старая операционная система, которую вы обновляете или преобразовываете, является установкой Server Core, результатом по-прежнему будет установка Server Core более новой операционной системы. If the older operating system you are upgrading or converting is a Server Core installation, the result will still be a Server Core installation of the newer operating system.

Ниже приведена краткая справочная таблица поддерживаемых путей обновления более старых розничных выпусков Windows Server до розничных выпусков Windows Server 2016. Quick reference table of supported upgrade paths from older Windows Server retail editions to Windows Server 2016 retail editions:

Если вы используете эти версии и выпуски: If you are running these versions and editions:	Доступно обновление до этих версий и выпусков: You can upgrade to these versions and editions:
Windows Server 2012 Standard Windows Server 2012 Standard	Windows Server 2016 Standard или Datacenter Windows Server 2016 Standard or Datacenter
Windows Server 2012 Datacenter Windows Server 2012 Datacenter	Windows Server 2016 Datacenter Windows Server 2016 Datacenter
Windows Server 2012 R2 Standard Windows Server 2012 R2 Standard	Windows Server 2016 Standard или Datacenter Windows Server 2016 Standard or Datacenter
Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Datacenter	Windows Server 2016 Datacenter Windows Server 2016 Datacenter
Hyper-V Server 2012 R2 Hyper-V Server 2012 R2	Hyper-V Server 2016 (с использованием функции последовательного обновления ОС кластера) Hyper-V Server 2016 (using Cluster OS Rolling Upgrade feature)
Windows Server 2012 R2 Essentials Windows Server 2012 R2 Essentials	Windows Server 2016 Essentials Windows Server 2016 Essentials
Windows Storage Server 2012 Standard Windows Storage Server 2012 Standard	Windows Storage Server 2016 Standard Windows Storage Server 2016 Standard
Windows Storage Server 2012 Workgroup Windows Storage Server 2012 Workgroup	Windows Storage Server 2016 Workgroup Windows Storage Server 2016 Workgroup
Windows Storage Server 2012 R2 Standard Windows Storage Server 2012 R2 Standard	Windows Storage Server 2016 Standard Windows Storage Server 2016 Standard
Windows Storage Server 2012 R2 Workgroup Windows Storage Server 2012 R2 Workgroup	Windows Storage Server 2016 Workgroup Windows Storage Server 2016 Workgroup

Преобразование лицензии License conversion

Вы можете перейти с Windows Server 2016 Standard (розничная версия) на Windows Server 2016 Datacenter (розничная версия). You can convert Windows Server 2016 Standard (retail) to Windows Server 2016 Datacenter (retail).

Вы можете перейти с Windows Server 2016 Essentials (розничная версия) на Windows Server 2016 Standard (розничная версия). You can convert Windows Server 2016 Essentials (retail) to Windows Server 2016 Standard (retail).

Вы можете перейти с ознакомительной версии Windows Server 2016 Standard, Windows Server 2016 Standard (розничная версия) либо Datacenter (розничная версия). You can convert the evaluation version of Windows Server 2016 Standard to either Windows Server 2016 Standard (retail) or Datacenter (retail).

Вы можете перейти с ознакомительной версии Windows Server 2016 Datacenter на Windows Server 2016 Datacenter (розничная версия). You can convert the evaluation version of Windows Server 2016 Datacenter to Windows Server 2016 Datacenter (retail).

Преобразование лицензии License Conversion

Для некоторых версий ОС можно перейти с определенного выпуска версии на другой выпуск той же версии за один шаг с помощью простой команды и соответствующего лицензионного ключа. In some operating system releases, you can convert a particular edition of the release to another edition of the same release in a single step with a simple command and the appropriate license key. Это называется преобразованием лицензии. This is called license conversion. Например, если ваш сервер работает под управлением Windows Server 2016 Standard, вы можете преобразовать его в Windows Server 2016 Datacenter. For example, if your server is running Windows Server 2016 Standard, you can convert it to Windows Server 2016 Datacenter. В некоторых выпусках Windows Server можно также свободно выбирать переход на оригинальную версию, версию с корпоративным лицензированием и розничную версию с помощью той же команды и соответствующего ключа. In some releases of Windows Server, you can also freely convert among OEM, volume-licensed, and retail versions with the same command and the appropriate key.

Устанавливаем компонент диспетчер системных ресурсов

Открываем диспетчер сервера > Компоненты > Добавить компоненты

Выбираем диспетчер системных ресурсов и жмем далее.

Вам покажут, что нужно добавить дополнительные компоненты.

жмем установить.

начнется процесс установки диспетчера системных ресурсов

Через пару минут компонент будет добавлен, не забудьте проверить обновления Windows, может для него, что то найдется.

теперь давайте его запустим, для этого идем в пуск > Администрирование > диспетчер системных ресурсов

Вот как выглядит сама оснастка.

Еще Microsoft предупреждает, что если у вас есть стороннее ПО, для управления ресурсами, то оно может конфликтовать со встроенным диспетчером системных ресурсов Windows server 2008 R2

Создание условия соответствия процессов

Первым делом в Windows System Resource Manager делается условие, что именно за процесс или сборник процессов вы хотите ограничить. Щелкаем правым кликом по условие соответствия процессов и выбираем создать.

В открывшемся окне мастера введите понятное вам название, так как условий ограничения может быть много, чтобы у вас не было путаницы. Теперь жмете Добавить, и у вас на выбор 4 пункта

• Зарегистрированная служба
• Запущенный процесс
• Приложение
• Пул приложений IIS

Я для примера буду ограничивать приложение Google Chrome. для этого его нужно выбрать.

При желании можно добавлять много приложений.

если вы будите ограничивать IIS, то Windows System Resource Manager позволяет ограничивать даже конкретные пулы.

Далее переходим к созданию политик.

Создание политик выделения ресурсов

Для того, чтобы создать новую политику, щелкаем по корню правым кликом и выбираем Создать политику выделения ресурсов.

В мастере задаем имя политики и жмем добавить. Кстати если политик будет несколько, то их приоритет можно задавать с помощью стрелок.

У вас откроются 3 вкладки

• Общие > даст задать условие и ограничить процессоры
• Память > задать ограничение по памяти
• Дополнительно

Ограничение лимита по процессорам

Я выбираю для примера IISAppPool и говорю, что он не может использовать более 95 процентов процессора. По сути вы указали максимальную величину процессорного времени, которое может потреблять выбранное приложение. При наличии всего одной политики вы можете установить для процессорного времени в любое значение от 0% до 99%.

Посмотрите еще параметр Процент оставшегося времени ЦП, это сколько процессорных мощностей у вас осталось. Простой пример вы задали политикой для приложения 25% из ресурсов вашего процессора, это значит что остальным приложениям будет доступно 74 процента один процент система оставляет себе на случай того, чтобы можно было достучаться до Windows System Resource Manager.

Но тут же можно и выбрать, то что создано заранее.

Теперь переходим на вкладку Память. Тут ставим галку Использовать максимум памяти для каждого процесса и выставляем лимит, а так же действие, что будет если будет превышен лимит, я выставил остановить..

С одной стороны, если приложение запущено на вашем сервере, то на это были причины. Поэтому вы, вероятно, не захотите, чтобы сервер остановил приложение, если можно обойтись без этого. С другой стороны, предположим, что в приложении происходит утечка памяти, и такое избыточное потребление памяти может привести к проблемам в работе других еще более важных приложений на том же самом сервере. В такой ситуации, разумнее было бы остановить приложение до того, как возникнет шанс его пересечения с другим приложением.

К сожалению данный лимит ни как не ограничит дальнейшее потребление, так вот сделано, но уж лучше потушить нужный процесс, чем он выведет из строя весь хост, с процессором вы задаете абсолютное значение, выше которого вы просто не сможете перейти

Осталась вкладка дополнительно, тут можно явным образом задать какие процессоры использовать и указать правила управления, о них ниже.

Если вы нажмете кнопку перераспределить ресурсы, то сможете добавить дополнительные условия.

Не забудьте еще настроить уведомления о событиях и все ваш Windows System Resource Manager, готов к работе.

Отказано в доступе (ограничение по типу входа в систему)

В этом случае пользователь Windows 10, который пытается подключиться к компьютерам с Windows 10 или Windows Server 2016, получит отказ в доступе со следующим сообщением:

Эта проблема возникает, если для подключения к удаленному рабочему столу требуется пройти проверку подлинности на уровне сети (NLA), но пользователь не является членом группы Пользователи удаленного рабочего стола. Она также может возникать, если группе Пользователи удаленного рабочего стола не назначено право пользователя Доступ к компьютеру из сети.

Чтобы решить эту проблему, выполните одно из указанных ниже действий.

• .
• Отключите NLA (не рекомендуется).
• Используйте клиенты удаленного рабочего стола, отличающиеся от Windows 10. Например, в клиентах Windows 7 нет такой проблемы.

Изменение членства пользователя в группах или назначенных ему прав

Если эта проблема затрагивает одного пользователя, наиболее простым решением будет добавить этого пользователя в группу Пользователи удаленного рабочего стола.

Если пользователь уже является членом этой группы (или если проблема возникает у нескольких членов группы), проверьте конфигурацию прав пользователей на удаленном компьютере Windows 10 или Windows Server 2016.

1. Откройте редактор объектов групповой политики (GPE) и подключитесь к локальной политике удаленного компьютера.
2. Выберите Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя, щелкните правой кнопкой мыши элемент Доступ к компьютеру из сети и выберите Свойства.
3. Просмотрите список пользователей и групп для группы Пользователи удаленного рабочего стола (или родительской группы).
4. Если список не включает группу Пользователи удаленного рабочего стола или родительскую группу, например Все, добавьте их. Если развертывание включает больше одного компьютера, используйте объект групповой политики.
   Например, членством по умолчанию для политики Доступ к компьютеру из сети будет Все. Если в развертывании используется объект групповой политики для удаления Все, может потребоваться восстановить доступ, обновив объект групповой политики, чтобы добавить группу Пользователи удаленного рабочего стола.

Windows Server 2012

Windows Server 2012DoSУязвимость №1 (9.3)Уязвимость №2 (9.3)MSXMLMSXMLУязвимость №3 (9.3)Таблица уязвимостей категории «DoS» в ОС Windows Server 2012Обход чего-либоУязвимость №1 (9.3)Уязвимость №2 (9.3)Уязвимость №3 (7.6)Таблица уязвимостей категории «Обход чего-либо» в ОС Windows Server 2012Исполнение кодаУязвимость №1Уязвимость №2Уязвимость №3Таблица уязвимостей категории «Исполнение кода» в ОС Windows Server 2012Повреждение памятиУязвимость №1 (9.3)Уязвимость №2 (9.3)Уязвимость №3 (9.3)Таблица уязвимостей категории «Повреждение памяти» в ОС Windows Server 2012Доступ к информацииУязвимость №1 (7.2)Уязвимость №2 (6.8)Уязвимость №3 (6.6)Таблица уязвимостей категории «Доступ к информации» в ОС Windows Server 2012Увеличение привилегийУязвимость №1 (10)Уязвимость №2 (10)Уязвимость №3 (9.3)briefcasebriefcaseТаблица уязвимостей категории «Увеличение привилегий» в ОС Windows Server 2012ПереполнениеУязвимость №1Уязвимость №2Уязвимость №3Таблица уязвимостей категории «Переполнение» в ОС Windows Server 2012

Корректно настройте групповые политики безопасности

Помимо предварительной настройки групповых политик Active Directory (при их использовании) время от времени проводите их ревизию и повторную конфигурацию. Этот инструмент является одним из основных способов обеспечения безопасности Windows-инфраструктуры.

Для удобства управления групповыми политиками, вы можете использовать не только встроенную в дистрибутивы Windows Server утилиту «gpmc.msc», но и предлагаемую Microsoft утилиту «Упрощенные параметры настройки безопасности» (SCM-Security Compliance Manager), название которой полностью описывает назначение.

Что такое завершение поддержки?

Как говорится, ничто не вечно. И в определенный момент Microsoft прекращает выпуск патчей для устаревшего программного обеспечения. Дата, до которой Microsoft выпускает обновления для продукта, называется датой окончания поддержки. И после того, как эта дата пройдет, устаревшая версия ОС станет легкой мишенью для вредоносных программ, поскольку она больше не будет получать обновления безопасности и, следовательно, будет уязвима для новых эксплоитов.

Операционные системы Microsoft обычно поддерживаются не менее 10 лет. Например, популярный Windows Server 2003, выпущенный в апреле 2003 года, имел расширенную поддержку, которая закончились в 2015 году. Расширенная поддержка Windows Server 2008 R2 должна закончиться в январе 2020 года, а Windows Server 2012 R2 продолжит получать обновления по крайней мере до октября 2023 года. Версии Server 2016 и 2019 будут получать обновления по 2027 и 2029 год соответственно. Поэтому в целях безопасности организациям на самом деле следует использовать только свежие версии Windows Server.

Пользователям запрещается доступ к развертыванию, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу

Эта проблема возникает в развертываниях с высоким уровнем доступности, в которых используются не менее двух брокеров подключений к удаленному рабочему столу и Remote Credential Guard в Защитнике Windows. Пользователям не удается войти на удаленные рабочие столы.

Эта проблема связана с тем, что Remote Credential Guard использует Kerberos для проверки подлинности, а также запрещает использовать NTLM. Но в конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.

Если нужно использовать конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеров подключений к удаленному рабочему столу, эту проблему можно устранить, отключив Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. в статье (Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows).

Службы Azure

Вход в Azure и регистрация шлюза

в выпуске 2009 вы можете столкнуться с проблемами входа в azure или регистрации шлюза центра администрирования Windows в azure. Приведенные ниже рекомендации помогут устранить эти проблемы.

• прежде чем использовать возможности Azure в центре администрирования Windows, включая регистрацию шлюза, убедитесь, что вы вошли в учетную запись Azure на другой вкладке или в окне. Мы рекомендуем войти на портал Azure.

• если вы успешно входите в azure во время регистрации шлюза, но не видите визуальное подтверждение на странице azure параметров центра администрирования Windows, перейдите на другую страницу в разделе «параметры», прежде чем переходить к странице azure .

• всплывающее окно входа в систему Azure может чаще появляться в этой сборке и может потребовать от администраторов более часто предоставлять Windows разрешения центра администрирования.

• если вы уже настроили утверждение администратора для центра администрирования Windows на портале Azure и вы по-прежнему видите сообщение об ошибке «требуется утверждение администратором», попробуйте войти в Azure с помощью одного из баннеров, появляющихся рядом с Windows центром администрирования, а не на странице Параметры .

Синхронизация файлов Azure разрешения

для Синхронизация файлов Azure требуются разрешения в Azure, которые Windows центре администрирования не были предоставлены до версии 1910. если вы зарегистрировали шлюз центра администрирования Windows в Azure с использованием более ранней версии, чем Windows центра администрирования версии 1910, необходимо обновить приложение Azure Active Directory, чтобы получить правильные разрешения на использование Синхронизация файлов Azure в последней версии центра администрирования Windows. Дополнительное разрешение позволяет Синхронизация файлов Azure выполнять автоматическую настройку доступа к учетной записи хранения, как описано в этой статье. .

чтобы обновить приложение Azure Active Directory, можно выполнить одно из двух действий.

1. перейдите в Параметры > > отмена регистрации azure, а затем снова зарегистрируйте Windows центра администрирования в azure, убедившись, что вы решили создать новое приложение Azure Active Directory.
2. перейдите в приложение Azure Active Directory и вручную добавьте разрешение, необходимое для существующего Azure Active Directory приложения, зарегистрированного в Windows центре администрирования. для этого перейдите в Параметры > > представление azure в azure. В колонке Регистрация приложения в Azure перейдите к разделу разрешения API и выберите Добавить разрешение. прокрутите вниз, чтобы выбрать Azure Active Directory Graph, выберите делегированные разрешения, разверните каталог и выберите directory. акцессасусер. All. Нажмите кнопку Добавить разрешения , чтобы сохранить обновления в приложении.

Параметры для настройки служб управления Azure

Службы управления Azure, в том числе Azure Monitor, Управление обновлениями Azure и центр безопасности Azure, используют один и тот же агент для локального сервера: Microsoft Monitoring Agent. Управление обновлениями Azure имеет ограниченный набор поддерживаемых регионов, и для нее требуется связать Log Analytics рабочую область с учетной записью службы автоматизации Azure. из-за этого ограничения, если вы хотите настроить несколько служб в Windows центре администрирования, сначала необходимо настроить azure Управление обновлениями, а затем — центр безопасности azure или Azure Monitor. если вы настроили какие бы то ни было службы управления azure, использующие Microsoft Monitoring Agent, а затем пытаетесь настроить azure Управление обновлениями с помощью Windows центра администрирования, Windows центр администрирования позволит вам настроить только Управление обновлениями azure, если существующие ресурсы, связанные с Microsoft Monitoring Agent, поддерживают Управление обновлениями azure. Если это не так, вы можете использовать два варианта:

1. перейдите на панель управления > Microsoft Monitoring Agent, чтобы (таких как Azure Monitor или центр безопасности azure). затем настройте Управление обновлениями Azure в центре администрирования Windows. после этого можно вернуться к настройке других решений по управлению Azure с помощью центра администрирования Windows без проблем.
2. вы можете вручную настроить ресурсы azure, необходимые для azure Управление обновлениями , а затем (за пределами центра администрирования Windows), чтобы добавить новую рабочую область, соответствующую используемому решению Управление обновлениями.

Методы обновления редакции Windows Server 2008 R2

Существует два метода, позволяющие вам провести переход от версии Standard к Enterprise:

• Использование утилиты командной строки DISM, онлайн или оффлайн
• Использование дистрибутива Windows Server 2008 R2 и мастера обновления системы

Оба метода позволяют вам обновлять так Windows Server 2008 R2 в графическом режиме, так и в Core версии.

Учтите, что версию Core нельзя обновить до графической версии

Напоминаю возможные пути обновления редакций:

1. С Windows Server 2008 R2 Standard до Windows Server 2008 R2 Enterprise или Windows Server 2008 R2 Datacenter
2. С Windows Server 2008 R2 Standard Server Core до Windows Server 2008 R2 Enterprise Server Core или Windows Server 2008 R2 Datacenter Server Core
3. С Windows Server 2008 R2 Foundation до Windows Server 2008 R2 Standard

Учитывайте это при своей стратегии перехода от редакции к редакции.

Обновление редакции через диск с дистрибутивом

Данный метод хорош тем, что не требует интернет соединения, подойдет для автономных сетей, но за то более длительный и требует иметь скачанный Windows Server 2008 R2. Выясняем, как я показывал выше текущий выпуск и до каких редакций вы можете обновиться. Далее монтируете ваш дистрибутив с нужным выпуском. Запускаем setup.exe и новую установку, пропускаем поиск обновлений Windows.

Принимаем лицензию и до ходим до момента выбора типа установки, выбираем верхний пункт «Обновление».

Начнется проверка совместимости.

Если в отчете нет критических ошибок, то нажимаем далее.

Начнется процесс распаковки и установки файлов обновления, после двух перезагрузок вы получите результат. В среднем такое обновление занимает минут 15-20.

Надеюсь данная, небольшая инструкция оказалась для вас полезной. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.

To perform the upgrade

1. Make sure the BuildLabEx value says you’re running Windows Server 2008 R2.

2. Locate the Windows Server 2012 R2 Setup media, and then select setup.exe.

3. Select Yes to start the setup process.

4. On the Windows Server 2012 R2 screen, select Install now.

5. For internet-connected devices, select Go online to install updates now (recommended).

6. Select the Windows Server 2012 R2 edition you want to install, and then select Next.

7. Select I accept the license terms to accept the terms of your licensing agreement, based on your distribution channel (such as, Retail, Volume License, OEM, ODM, and so on), and then select Next.

8. Select Upgrade: Install Windows and keep files, settings, and applications to choose to do an in-place upgrade.

9. Setup reminds you to make sure your apps are compatible with Windows Server 2012 R2, using the information in the Windows Server installation and upgrade article, and then select Next.

10. If you see a page that tells you upgrade isn’t recommended, you can ignore it and select Confirm. It was put in place to prompt for clean installations, but it isn’t necessary.

    

    

    

    

    

    

    

    

    

    

    The in-place upgrade starts, showing you the Upgrading Windows screen with its progress. After the upgrade finishes, your server will restart.