Команда GPResult: диагностика на получените групови политики. Дайте подробно описание на политиката на сървъра относно

Когато инсталирате Windows, повечето от несъществените подсистеми не са активирани или инсталирани. Това се прави от съображения за сигурност. Тъй като системата е защитена по подразбиране, системни администраториможе да се съсредоточи върху проектирането на система, която ще изпълнява само функциите, които са й възложени и нищо повече. За да ви помогне да активирате функциите, които искате, Windows ви подканва да изберете роля на сървъра.

Роли

Ролята на сървъра е набор от програми, които, когато са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява специфична функция за множество потребители или други компютри в мрежа. Като цяло всички роли имат следните характеристики.

Те определят основната функция, цел или цел на използването на компютър. Можете да определите компютър да изпълнява една роля, която се използва силно в предприятието, или да изпълнява множество роли, като всяка роля се използва само от време на време.
Ролите дават на потребителите в цялата организация достъп до ресурси, които се управляват от други компютри, като уебсайтове, принтери или файлове, съхранявани на различни компютри.
Те обикновено имат свои собствени бази данни, които подреждат на опашка потребителски или компютърни заявки или записват информация за мрежови потребители и компютри, свързани с дадена роля. Например, Active Directory Domain Services съдържа база данни за съхранение на имената и йерархичните връзки на всички компютри в мрежа.
Веднъж правилно инсталирани и конфигурирани, ролите функционират автоматично. Това позволява на компютрите, на които са инсталирани, да изпълняват възложени задачи с ограничено взаимодействие с потребителя.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалността на роля. Когато инсталирате роля, можете да изберете кои услуги да предоставя на други потребители и компютри в предприятието. Някои роли, като DNS сървъра, изпълняват само една функция, така че няма ролеви услуги за тях. Други роли, като услуги за отдалечен работен плот, имат няколко услуги, които можете да инсталирате въз основа на нуждите за отдалечен достъп на вашето предприятие. Ролята може да се разглежда като съвкупност от тясно свързани, допълващи се ролеви услуги. В повечето случаи инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Компоненти

Компонентите са програми, които не са пряко част от роли, но поддържат или разширяват функционалността на една или повече роли или на цял сървър, независимо кои роли са инсталирани. Например инструментът за отказване на клъстерите разширява функционалността на други роли като файлови услуги и DHCP сървър, като им позволява да се присъединят към сървърни клъстери, което осигурява повишена излишество и производителност. Друг компонент, Telnet Client, осигурява отдалечена комуникация със сървъра Telnet чрез мрежова връзка. Тази функция подобрява комуникационните опции за сървъра.

Кога Windows Serverработи в режим Server Core, се поддържат следните сървърни роли:

Сертификационни услуги на Active Directory;
Домейн услуги на Active Directory;
DHCP сървър
DNS сървър;
файлови услуги (включително мениджъра на ресурси на файловия сървър);
Active Directory Lightweight Directory Services;
Hyper-V
Услуги за печат и документи;
Услуги за стрийминг на медии;
уеб сървър (включително подмножество на ASP.NET);
Windows Server Update Server;
Сървър за управление на права на Active Directory;
Сървър за маршрутизиране и отдалечен достъп и следните подчинени роли:
- Брокер за връзка с отдалечен работен плот;
- лицензиране;
- виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните функции на сървъра:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
Фонова интелигентна услуга за трансфер (BITS);
BitLocker Drive Encryption;
Отключване на мрежата на BitLocker;
BranchCache
мост на центъра за данни;
Подобрено съхранение;
клъстериране при отказ;
Многопътен вход/изход;
балансиране на натоварването на мрежата;
PNRP протокол;
qWave;
дистанционна диференциална компресия;
прости TCP/IP услуги;
RPC през HTTP прокси;
SMTP сървър;
SNMP услуга;
Telnet клиент;
telnet сървър;
TFTP клиент;
вътрешна база Данни на Windows;
Windows PowerShell уеб достъп;
Услуга за активиране на Windows;
стандартизирано управление на съхранение в Windows;
IIS WinRM разширение;
WINS сървър;
Поддръжка на WoW64.

Инсталиране на сървърни роли с помощта на Server Manager

За да добавите, отворете Server Manager и в менюто Управление щракнете върху Добавяне на роли и функции:

Отваря се съветникът за добавяне на роли и функции. Щракнете върху Напред

Тип инсталация, изберете Инсталация, базирана на роли или базирана на функции. Следващия:

Избор на сървър - изберете нашия сървър. Щракнете върху Следващи роли на сървъра - Изберете роли, ако е необходимо, изберете услуги за роли и щракнете върху Напред, за да изберете компоненти. По време на тази процедура съветникът за добавяне на роли и функции автоматично ви информира за конфликти на целевия сървър, които могат да попречат на инсталирането или нормалната работа на избраните роли или функции. Също така ще бъдете подканени да добавите ролите, ролевите услуги и функциите, изисквани от избраните роли или функции.

Инсталиране на роли с PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списъка с налични и инсталирани роли и функции на локалния сървър. Резултатът от този командлет съдържа имената на командите за ролите и функциите, които са инсталирани и налични за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да видите синтаксиса и разрешени параметриКомандлет Install-WindowsFeature (MAN).

Въведете следната команда (-Restart ще рестартира сървъра, ако инсталирането на ролята изисква рестартиране).

Инсталиране-WindowsFeature –Име –Рестартиране

Описание на ролите и ролевите услуги

Всички роли и ролеви услуги са описани по-долу. Нека да видим разширени настройки за най-често срещаните в нашия уеб практикаРоля на сървъра и услуги за отдалечен работен плот

Подробно описание на IIS

Общи HTTP функции - Основни HTTP компоненти
- Документ по подразбиране – позволява ви да зададете индексната страница за сайта.
- Преглеждане на директория – Позволява на потребителите да преглеждат съдържанието на директория на уеб сървър. Използвайте преглед на директории, за да генерирате автоматично списък с всички директории и файлове в директория, когато потребителите не посочат файл в URL адреса и индексната страница е деактивирана или не е конфигурирана
- HTTP Грешки - позволява ви да персонализирате съобщенията за грешки, връщани на клиентите в браузъра.
- Статично съдържание - позволява ви да публикувате статично съдържание, като изображения или html файлове.
- HTTP пренасочване - Осигурява поддръжка за пренасочване на потребителски заявки.
- WebDAV Publishing ви позволява да публикувате файлове от уеб сървър, използвайки HTTP протокола.
Здравни и диагностични характеристики - Диагностични компоненти
- HTTP Logging осигурява регистриране на активността на уебсайта за даден сървър.
- Персонализираното регистриране осигурява поддръжка за създаване на персонализирани регистрационни файлове, които са различни от "традиционните" регистрационни файлове.
- Инструментите за регистриране предоставят рамка за управление на регистрационни файлове на уеб сървъра и автоматизиране на общи задачи за регистриране.
- ODBC Logging предоставя рамка, която поддържа регистриране на активността на уеб сървъра в ODBC-съвместима база данни.
- Request Monitor предоставя рамка за наблюдение на състоянието на уеб приложенията чрез събиране на информация за HTTP заявки в работен процес на IIS.
- Проследяването предоставя рамка за диагностициране и отстраняване на неизправности в уеб приложенията. С помощта на неуспешно проследяване на заявка можете да проследявате трудни за намиране събития като лоша производителност или неуспехи при удостоверяване.
Компоненти за производителност за повишаване на производителността на уеб сървъра.
- Статичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на статично съдържание
- Динамичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на динамично съдържание.
Компоненти за сигурност
- Филтрирането на заявки ви позволява да улавяте всички входящи заявки и да ги филтрирате въз основа на правила, зададени от администратора.
- Основното удостоверяване ви позволява да зададете допълнително оторизиране
- Централизирана поддръжка на SSL сертификати е функция, която ви позволява да съхранявате сертификати на централно място, като споделяне на файлове.
- Удостоверяването на картографиране на клиентски сертификат използва клиентски сертификати за удостоверяване на потребители.
- Digest Authentication работи чрез изпращане на хеш на парола до контролер на домейн на Windows за удостоверяване на потребителите. Ако имате нужда от повече високо нивосигурност в сравнение с основното удостоверяване, помислете за използването на Digest удостоверяване
- IIS Client Certificate Mapping Authentication използва клиентски сертификати за удостоверяване на потребители. Клиентският сертификат е цифров идентификатор, получен от доверен източник.
- IP и ограниченията на домейна ви позволяват да разрешите/забраните достъп въз основа на искания IP адрес или име на домейн.
- Разрешаването на URL ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
- Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейна на Windows да се възползват от инфраструктурата на домейна за удостоверяване на потребители.
Характеристики за разработка на приложения
FTP сървър
- FTP услуга Позволява FTP публикуване на уеб сървър.
- FTP Extensibility Позволява поддръжка на FTP функции, които разширяват функционалността на
Инструменти за управление
- Конзолата за управление на IIS инсталира IIS Manager, който ви позволява да управлявате уеб сървъра чрез GUI
- IIS 6.0 Management Compatibility осигурява съвместимост напред за приложения и скриптове, които използват Admin Base Object (ABO) и API на Active Directory Interface Service Interface (ADSI). Това позволява съществуващите IIS 6.0 скриптове да се използват от уеб сървъра на IIS 8.0
- Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за програмно управление на уеб сървъра на IIS с помощта на команди в командна линияили чрез стартиране на скриптове.
- Услугата за управление предоставя инфраструктурата за персонализиране на потребителския интерфейс, IIS Manager.

Подробно описание на RDS

Посредник за свързване на отдалечен работен плот - Осигурява повторно свързване на клиентско устройство към програми, базирани на сесии на работния плот и виртуалния работен плот.
Шлюз за отдалечен работен плот – Позволява на упълномощени потребители да се свързват с виртуални настолни компютри, програми RemoteApp и базирани на сесии настолни компютри в корпоративна мрежа или през интернет.
Лицензиране на отдалечен работен плот – инструмент за управление на лицензи за RDP
Хост за сесия на отдалечен работен плот – Включва сървър за хостване на програми RemoteApp или базирана на настолен компютър сесия.
Хост за виртуализация на отдалечен работен плот - позволява ви да конфигурирате RDP на виртуални машини
Уеб достъп до отдалечен работен плот - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или уеб браузъра.

Помислете за инсталиране и конфигуриране на сървър за терминални лицензи. По-горе е описано как се инсталират роли, инсталирането на RDS не се различава от инсталирането на други роли, в Role Services трябва да изберем Лицензиране на отдалечен работен плот и Хост за сесия на отдалечен работен плот. След инсталирането, елементът Terminal Services ще се появи в Server Manager-Tools. Има два елемента в Terminal Services RD Licensing Diagnoser, това е инструмент за диагностициране на работата на лицензиране на отдалечен работен плот, и Remote Desktop Licensing Manager, това е инструмент за управление на лицензи.

Стартирайте RD Licensing Diagnoser

Тук можем да видим, че все още няма налични лицензи, тъй като режимът на лицензиране не е зададен за сървъра на RD Session Host. Сървърът за лицензи е посочен в local групови политикиох. За да стартирате редактора, изпълнете командата gpedit.msc. Отваря се редакторът на локални групови правила. В дървото отляво разгънете разделите:

Компютърна конфигурация
Административни шаблони
Компоненти на Windows
Услуги за отдалечен работен плот
Хост за сесия на отдалечен работен плот
"Лицензиране" (Лицензиране)

Отворете параметрите Използвайте посочените лицензни сървъри за отдалечен работен плот

В прозореца за редактиране на настройките на правилата активирайте сървъра за лицензиране (Активирано). След това трябва да дефинирате лицензен сървър за услуги за отдалечен работен плот. В моя пример сървърът за лицензи се намира на същия физически сървър. Посочете името на мрежата или IP адреса на сървъра за лицензи и щракнете върху OK. Ако името на сървъра, сървърът за лицензи ще се промени в бъдеще, ще трябва да го промените в същия раздел.

След това, в RD Licensing Diagnoser, можете да видите, че сървърът за терминални лицензи е конфигуриран, но не е активиран. За да активирате, стартирайте Мениджър за лицензиране на отдалечен работен плот

Изберете сървъра за лицензиране със статус Неактивиран . Кликнете върху него, за да активирате. Кликнете с десния бутонмишката и изберете Активиране на сървър. Съветникът за активиране на сървъра ще стартира. В раздела Метод на свързване изберете Автоматично свързване. След това попълнете информацията за организацията, след което лицензният сървър се активира.

Сертификационни услуги на Active Directory

AD CS предоставя конфигурируеми услуги за издаване и управление на цифрови сертификати, които се използват в софтуерни системи за сигурност, които използват технологии с публичен ключ. Цифровите сертификати, предоставени от AD CS, могат да се използват за криптиране и цифрово подписване електронни документии съобщения.Тези цифрови сертификатиможе да се използва за удостоверяване на акаунти на компютър, потребител и устройство в мрежа. Цифровите сертификати се използват за предоставяне на:

поверителност чрез криптиране;
интегритет чрез цифрови подписи;
удостоверяване чрез свързване на ключове на сертификати с акаунти на компютър, потребител и устройство в мрежата.

AD CS може да се използва за подобряване на сигурността чрез свързване на потребител, устройство или самоличност на услуга с подходящата частен ключ. Приложенията, поддържани от AD CS, включват защитени многоцелеви стандартни разширения за интернет поща (S/MIME), защитени безжични мрежи, виртуални частни мрежи (VPN), IPsec протокол, криптираща файлова система (EFS), влизане със смарт карти, сигурност при трансфер на данни и сигурност на транспортния слой (SSL/TLS) и цифрови подписи.

Домейн услуги на Active Directory

Използвайки сървърната роля на Active Directory Domain Services (AD DS), можете да създадете мащабируема, сигурна и управляема инфраструктура за управление на потребители и ресурси; можете също да предоставите приложения с активирана директория, като например Microsoft Exchange Server. Active Directory Domain Services предоставя разпределена база данни, която съхранява информация за мрежови ресурсии данни за приложения с активирана директория и управлявайте тази информация. Сървърът, който изпълнява AD DS, се нарича домейн контролер. Администраторите могат да използват AD DS за организиране на мрежови елементи като потребители, компютри и други устройства в йерархична вложена структура. Йерархичната вложена структура включва гората на Active Directory, домейните в гората и организационните единици във всеки домейн. Функциите за сигурност са интегрирани в AD DS под формата на удостоверяване и контрол на достъпа до ресурси в директорията. С еднократно влизане администраторите могат да управляват информацията и организацията на директорията през мрежата. Оторизираните потребители на мрежата могат също да използват мрежово единно влизане за достъп до ресурси, разположени навсякъде в мрежата. Домейн услугите на Active Directory предоставят следните допълнителни функции.

Набор от правила е схема, която дефинира класовете обекти и атрибути, които се съдържат в директория, ограниченията и ограниченията за екземпляри на тези обекти и формата на техните имена.
Глобален каталог, съдържащ информация за всеки обект в каталога. Потребителите и администраторите могат да използват глобалния каталог за търсене на каталожни данни, независимо кой домейн в каталога всъщност съдържа търсените данни.
Механизъм за заявки и индексиране, чрез който обектите и техните свойства могат да бъдат публикувани и локализирани мрежови потребителии приложения.
Услуга за репликация, която разпространява данни от директория в мрежа. Всички контролери на домейн за запис в домейна участват в репликацията и съдържат пълно копие на всички данни от директорията за своя домейн. Всички промени в данните от директорията се репликират в домейна на всички домейн контролери.
Главни роли на операциите (известни също като гъвкави единични главни операции или FSMO). Контролерите на домейни, които действат като господари на операциите, са проектирани да изпълняват специални задачи, за да осигурят последователност на данните и да избегнат конфликтни записи в директорията.

Услуги за федерация на Active Directory

AD FS предоставя на крайни потребители, които се нуждаят от достъп до приложения в защитено с AD FS предприятие, в организации на партньори във федерация или в облака с опростена и сигурна федерация за самоличност и уеб базирани услуги за еднократно влизане (SSO). Windows Server AD FS включва услуга на ролева услуга на федерация, действаща като доставчик на идентичност (удостоверява потребителите да предоставят токени за защита на приложения, които се доверяват на AD FS) или като доставчик на федерация (прилага токени от други доставчици на идентичност и след това предоставя маркери за сигурност към приложения, които се доверяват на AD FS).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) е LDAP протокол, който осигурява гъвкава поддръжка за приложения на директории без зависимостите и специфичните за домейна ограничения на Active Directory Domain Services. AD LDS може да се изпълнява на членове или самостоятелни сървъри. Можете да стартирате множество екземпляри на AD LDS с независимо управлявани схеми на един и същ сървър. С ролята на услугата AD LDS можете да предоставяте услуги на директории на приложения с активирана директория, без да използвате данни за домейн и горски услуги и без да изисквате една схема за цялата гора.

Услуги за управление на права на Active Directory

Можете да използвате AD RMS, за да разширите стратегията за сигурност на вашата организация, като защитите документи с помощта на управление на правата на информация (IRM). AD RMS позволява на потребителите и администраторите да присвояват разрешения за достъп на документи, работни книги и презентации, използвайки IRM политики. Това ви позволява да се предпазите конфиденциална информацияот разпечатване, препращане или копиране от неоторизирани потребители. След като разрешенията на даден файл са ограничени чрез IRM, ограниченията за достъп и използване се прилагат независимо от местоположението на информацията, тъй като разрешението на файла се съхранява в самия файл на документа. С AD RMS и IRM отделните потребители могат да прилагат собствените си предпочитания относно прехвърлянето на лична и поверителна информация. Те също така ще помогнат на организацията да наложи корпоративни политики за контрол върху използването и разпространението на чувствителна и лична информация. IRM решенията, поддържани от AD RMS, се използват за предоставяне на следните възможности.

Постоянни правила за използване, които остават с информация, независимо дали е преместена, изпратена или препратена.
Допълнителен слой на поверителност за защита на чувствителни данни - като отчети, продуктови спецификации, информация за клиенти и имейл съобщения - от умишлено или случайно попадане в грешни ръце.
Предотвратете неоторизирано изпращане, копиране, редактиране, отпечатване, изпращане по факс или поставяне на ограничено съдържание от упълномощени получатели.
Предотвратяване на копиране на ограничено съдържание с помощта на функцията PRINT SCREEN in Microsoft Windows.
Поддръжка за изтичане на файла, предотвратяване на преглед на съдържанието на документа след определен период от време.
Прилагайте корпоративни политики, които управляват използването и разпространението на съдържание в рамките на организацията

Сървър на приложения

Сървърът на приложения осигурява интегрирана среда за разгръщане и изпълнение на персонализирани сървърно-базирани бизнес приложения.

DHCP сървър

DHCP е технология клиент-сървър, която позволява на DHCP сървърите да присвояват или дават под наем IP адреси на компютри и други устройства, които са DHCP клиенти. Разгръщането на DHCP сървъри в мрежа автоматично осигурява клиентски компютри и други мрежови устройства, базирани на IPv4 и IPv6 валидни IP адреси и допълнителни настройки за конфигурация, изисквани от тези клиенти и устройства.Услугата DHCP сървър в Windows Server включва поддръжка за базирани на правила присвояване и DHCP отказ.

DNS сървър

DNS услугата е йерархична, разпределена база данни, която съдържа съпоставяния на имена на DNS домейни към различни типове данни, като IP адреси. DNS услугата ви позволява да използвате приятелски имена като www.microsoft.com, за да помогнете за намирането на компютри и други ресурси в TCP/IP-базирани мрежи. DNS услугата в Windows Server осигурява допълнителна подобрена поддръжка за DNS модули за сигурност (DNSSEC), включително мрежова регистрация и автоматизирано управление на настройките.

ФАКС Сървър

Факс сървърът изпраща и получава факсове и ви позволява да управлявате факс ресурси като задания, настройки, отчети и факс устройства на вашия факс сървър.

Услуги за файлове и съхранение

Администраторите могат да използват ролята на File and Storage Services, за да настроят множество файлови сървъри и техните хранилища и да управляват тези сървъри с помощта на Server Manager или Windows PowerShell. Някои специфични приложения включват следните функции.

работни папки. Използвайте, за да позволите на потребителите да съхраняват и да осъществяват достъп до работни файлове персонални компютрии устройства, различни от корпоративни компютри. Потребителите получават удобно място за съхранение на работни файлове и достъп до тях отвсякъде. Организациите контролират корпоративните данни, като съхраняват файлове на централно управлявани файлови сървъри и по избор задават правила за потребителски устройства (като пароли за криптиране и заключване на екрана).
Дедупликация на данни. Използвайте за намаляване на изискванията за дисково пространство за съхранение на файлове, спестявайки пари за съхранение.
iSCSI целеви сървър. Използвайте за създаване на централизирани, независими от софтуера и устройства iSCSI дискови подсистеми в мрежи за съхранение (SAN).
Дискови пространства. Използвайте за разгръщане на хранилище, което е високо достъпно, устойчиво и мащабируемо с рентабилни, стандартни за индустрията устройства.
Мениджър на сървъра. Използвай за дистанционномножество файлови сървъри от един прозорец.
Windows PowerShell. Използвайте за автоматизиране на управлението на повечето задачи за администриране на файлов сървър.

Hyper-V

Ролята Hyper-V ви позволява да създавате и управлявате виртуализирана изчислителна среда, използвайки технологията за виртуализация, вградена в Windows Server. Инсталирането на ролята на Hyper-V инсталира предпоставки и допълнителни инструменти за управление. Необходимите компоненти включват хипервизор на Windows, услуга за управление на виртуализация, Hyper-V машини, доставчик на виртуализация на WMI и компоненти за виртуализация като VMbus, доставчик на услуги за виртуализация (VSP) и драйвер за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Мрежови политики и услуги за достъп предоставя следните решения за мрежова свързаност:

Защитата на мрежовия достъп е технология за създаване, прилагане и коригиране на политики за здравето на клиентите. Със защитата на мрежовия достъп системните администратори могат да задават и автоматично налагат здравни политики, които включват изисквания за софтуер, актуализации на защитата и други настройки. За клиентски компютри, които не отговарят на здравната политика, можете да ограничите достъпа до мрежата, докато конфигурацията им не бъде актуализирана, за да отговарят на изискванията на политиката.
Ако са внедрени точки за безжичен достъп с активиран 802.1X, можете да използвате сървър за мрежови политики (NPS), за да внедрите базирани на сертификат методи за удостоверяване, които са по-сигурни от удостоверяване, базирано на парола. Внедряването на хардуер с активиран 802.1X с NPS сървър позволява на интранет потребителите да бъдат удостоверени, преди да могат да се свържат с мрежата или да получат IP адрес от DHCP сървър.
Вместо да конфигурирате политика за мрежов достъп на всеки сървър за достъп до мрежата, можете централно да създадете всички политики, които ще дефинират всички аспекти на заявките за мрежова връзка (кой може да се свързва, когато връзката е разрешена, нивото на защита, което трябва да се използва за свързване към мрежа).

Услуги за печат и документи

Услугите за печат и документи ви позволяват да централизирате задачите на сървъра за печат и мрежовия принтер. Тази роля също ви позволява да получавате сканирани документи от мрежови скенери и да качвате документи в мрежови споделени ресурси - сайт на Windows SharePoint Services или електронна поща.

отдалечен достъп

Ролята на сървъра за отдалечен достъп е логическо групиране на следните технологии за мрежов достъп.

Директен достъп
Маршрутизация и отдалечен достъп
Прокси за уеб приложение

Тези технологии са ролеви услугироля на сървъра за отдалечен достъп. Когато инсталирате ролята на сървъра за отдалечен достъп, можете да инсталирате една или повече услуги за роли, като стартирате съветника за добавяне на роли и функции.

В Windows Server ролята на сървъра за отдалечен достъп предоставя възможността за централно администриране, конфигуриране и наблюдение на DirectAccess и VPN с услуги за отдалечен достъп за маршрутизиране и отдалечен достъп (RRAS). DirectAccess и RRAS могат да бъдат разгърнати на един и същ Edge сървър и да се управляват с помощта на команди на Windows PowerShell и конзола за управление на отдалечен достъп (MMC).

Услуги за отдалечен работен плот

Услугите за отдалечен работен плот ускоряват и разширяват внедряването на настолни компютри и приложения на всяко устройство, като правят отдалечения работник по-ефективен, като същевременно осигуряват критична интелектуална собственост и опростяват съответствието. Услугите за отдалечен работен плот включват инфраструктура за виртуални работни плотове (VDI), базирани на сесии настолни компютри и приложения, давайки на потребителите възможността да работят отвсякъде.

Услуги за обемно активиране

Услугите за активиране на корпоративни лицензи са сървърна роля в Windows Server, започвайки с Windows Server 2012, която автоматизира и опростява издаването на корпоративни лицензи за софтуер Microsoft, както и управлението на такива лицензи в различни сценарии и среди. Заедно с услугите за активиране на корпоративни лицензи можете да инсталирате и конфигурирате услугата за управление на ключове (KMS) и активирането на Active Directory.

уеб сървър (IIS)

Ролята на уеб сървър (IIS) в Windows Server осигурява платформа за хостване на уеб сайтове, услуги и приложения. Използването на уеб сървър осигурява достъп до информация на потребителите в Интернет, интранет и екстранет. Администраторите могат да използват ролята на уеб сървър (IIS), за да настроят и управляват множество уебсайтове, уеб приложения и FTP сайтове. Специалните характеристики включват следното.

Използвайте мениджъра на Internet Information Services (IIS), за да конфигурирате компоненти на IIS и да администрирате уебсайтове.
Използване на протокола FTP, за да позволи на собствениците на уебсайтове да качват и изтеглят файлове.
Използване на изолация на уебсайтове, за да се предотврати влиянието на един уебсайт на сървъра върху други.
Персонализиране на уеб приложения, разработени с помощта на различни технологии като Classic ASP, ASP.NET и PHP.
Използвайте Windows PowerShell за автоматично управление на повечето задачи за администриране на уеб сървър.
Консолидирайте множество уеб сървъри в сървърна ферма, която може да се управлява с IIS.

Услуги за внедряване на Windows

Windows Deployment Services ви позволява да разгръщате операционни системи Windows през мрежа, което означава, че не е нужно да инсталирате всяка операционна система директно от CD или DVD.

Windows Server Essentials Experience

Тази роля ви позволява да изпълнявате следните задачи:

защита на сървърните и клиентските данни чрез архивиране на сървъра и всички клиентски компютри в мрежата;
управлявайте потребители и потребителски групи чрез опростено табло за управление на сървъра. В допълнение, интеграцията с Windows Azure Active Directory* предоставя на потребителите лесен достъп до онлайн услуги на Microsoft (като Office 365, Exchange Online и SharePoint Online), като използват идентификационните данни на техните домейни;
съхранявайте фирмени данни на централизирано място;
интегрирайте сървъра с Microsoft Online Services (като Office 365, Exchange Online, SharePoint Online и Windows Intune):
използвайте повсеместни функции за достъп на сървъра (като отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, компютрите в мрежата и данни от отдалечени места от висока степенсигурност;
достъп до данни отвсякъде и от всяко устройство, използвайки собствен уеб портал на организацията (чрез отдалечен уеб достъп);
да управлява мобилни устройстваТези, които имат достъп до имейла на вашата организация с Office 365, използвайки протокола Active Sync от таблото за управление.
следете здравето на мрежата и получавате персонализирани здравни доклади; отчетите могат да бъдат генерирани при поискване, персонализирани и изпращани по имейл до конкретни получатели.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компонентите, необходими на администраторите за управление и разпространение на актуализации през конзолата за управление. В допълнение, WSUS сървърът може да бъде източник на актуализации за други WSUS сървъри в организацията. Когато внедрявате WSUS, поне един WSUS сървър в мрежата трябва да бъде свързан към Microsoft Update, за да получава информация за наличните актуализации. В зависимост от мрежовата сигурност и конфигурация, администраторът може да определи колко други сървъри са директно свързани с Microsoft Update.

Въведение

С увеличаването на броя на компютрите в предприятието, въпросът за разходите за неговото управление и поддръжка става все по-остър. Ръчна настройкакомпютрите отнемат много време от персонала и принуждават с увеличаване на броя на компютрите да увеличават персонала на своя персонал. Освен това с голям брой машини става все по-трудно да се следи за спазването на стандартите, приети от предприятието. Групова политика (групова политика) е изчерпателен инструмент за централизирано управление на компютри, работещи под Windows 2000 и по-нова версия в домейн на Active Directory. Груповите правила не се прилагат към компютри с Windows NT4/9x: те се контролират от системни правила, които няма да бъдат обсъждани в тази статия.

GPO

Всички настройки, които създавате в груповите политики, ще се съхраняват в обекти на групови политики (GPO). GPO са два типа: локални GPO и GPO на Active Directory. Локалният GPO е достъпен на компютри, работещи с Windows 2000 и по-нови. Може да има само един и това е единственият GPO, който може да бъде на машина без домейн.

GPO е общото име за набор от файлове, директории и записи в базата данни на Active Directory (ако не е локален обект), които съхраняват вашите настройки и определят какви други настройки можете да промените с помощта на групови политики. Създавайки политика, вие всъщност създавате и променяте GPO. Локалният GPO се съхранява в %SystemRoot%\System32\GroupPolicy. GPO на Active Directory се съхраняват на домейн контролер и могат да бъдат свързани със сайт, домейн или OU (организационна единица, организационна единица или организационна единица). Обвързването на обект определя неговия обхват. По подразбиране в домейн се създават две GPO: политика на домейн по подразбиране и политика на контролера на домейн по подразбиране. Първият дефинира правилата по подразбиране за пароли и акаунти в домейна. Вторият комуникира с OU Domain Controllers и увеличава настройките за сигурност за домейн контролерите.

Създайте GPO

За да създадете политика (тоест всъщност да създадете нов GPO), отворете Active Directory Users & Computers и изберете къде да създадете нов обект. Можете да създавате и свързвате GPO само към сайт, домейн или OU обект.

Ориз. 1. Създайте GPO.

За да създадете GPO и да го свържете с, например, тестери на OU, щракнете с десния бутон върху това OU и изберете свойства от контекстното меню. В прозореца със свойства, който се отваря, отворете раздела Групови правила и щракнете върху Нов.

Ориз. 2. Създайте GPO.

Даваме името на GP обекта, след което обектът се създава и можете да започнете да конфигурирате политиката. Щракнете двукратно върху създадения обект или натиснете бутона Редактиране, ще се отвори прозорецът на редактора на GPO, където можете да конфигурирате конкретни параметри на обекта.

Ориз. 3. Описание на настройките в раздела Разширено.

Повечето от основните настройки са интуитивни (те имат и описание, ако отворите раздела Разширено) и няма да се спираме на всяка една подробно. Както се вижда от фиг. 3, GPO се състои от два раздела: Компютърна конфигурация и Конфигурация на потребителя. Настройките в първия раздел се прилагат при стартиране на Windows към компютри в този контейнер и по-долу (освен ако наследяването не е отменено) и не зависи от това кой потребител е влязъл. Настройките на втория раздел се прилагат по време на влизане на потребителя.

Ред за прилагане на GPO

При стартиране на компютъра се извършват следните действия:

1. Регистърът се чете и се определя към кой сайт принадлежи компютърът. Прави се заявка DNS сървърс цел получаване на IP адресите на домейн контролери, намиращи се в този сайт.
2. След като получи адресите, компютърът се свързва с контролера на домейна.
3. Клиентът изисква списък с GP обекти от домейн контролера и ги прилага. Последният изпраща списък с GP обекти в реда, в който те трябва да бъдат приложени.
4. Когато потребителят влезе, компютърът отново изисква списък с GP обекти, които да бъдат приложени към потребителя, извлича ги и ги прилага.

Груповите правила се прилагат, когато OC стартира и когато потребителят влезе. След това те се прилагат на всеки 90 минути, с 30-минутна вариация, за да се избегне претоварване на домейн контролера, ако голям брой клиенти искат едновременно. За домейн контролери интервалът за актуализиране е 5 минути. Можете да промените това поведение в Computer Configuration\Administrative Templates\System\Group Policy. GPO може да действа само върху обектите Computer и User. Правилата се прилагат само за обекти, разположени в обекта на директорията (сайт, домейн, организационна единица), с който е свързан GPO и по-надолу в дървото (освен ако наследяването не е деактивирано). Например: GPO се създава в OU тестери (както направихме по-горе).

Ориз. 4. Наследяване на настройките.

Всички настройки, направени в този GPO, ще засегнат само потребители и компютри, разположени в OU тестери и OU InTesters. Нека да разгледаме как се прилагат правилата с помощта на пример. Потребителският тест, разположен в тестерите на OU, влиза в компютъра, разположен в OU compOU (вижте Фигура 5).

Ориз. 5. Ред на прилагане на полиците.

Има четири GPO в домейна:

1. SitePolicy, свързана с контейнера на сайта;
2. Правила за домейн по подразбиране, свързана с контейнера на домейна;
3. Политика 1, свързана с OU тестери;
4. Политика 2, свързана с OU compOU.

Когато стартирате Windows на компютърна работна станция, настройките, дефинирани в секциите за конфигурация на компютъра, се прилагат в този ред:

1. Локални настройки на GPO;
2. Настройки на GPO SitePolicy;

4. Настройки на GPO Policy2.

Когато тестовият потребител влезе в компютърния компютър, параметрите, дефинирани в секциите за потребителска конфигурация, са:

1. Локални настройки на GPO;
2. Настройки на GPO SitePolicy;
3. Настройки на правилата за домейн по подразбиране на GPO;
4. Настройки на GPO Policy1.

Тоест GPO се прилагат в този ред: локални политики, политики на ниво сайт, политики на ниво домейн, политики на ниво OU.

Груповите правила се прилагат асинхронно към клиентите на Windows XP и синхронно към клиентите на Windows 2000, което означава, че екранът за влизане на потребителя се появява само след прилагане на всички компютърни правила, а потребителските правила се прилагат преди да се появи работният плот. Асинхронното прилагане на правилата означава, че екранът за влизане на потребителя се появява преди всички правила на компютъра да са приложени, а работният плот се появява преди всички правила на потребителя да са приложени, което води до по-бързо зареждане и влизане на потребителя.
Описаното по-горе поведение се променя в два случая. Първо, клиентският компютър откри бавна мрежова връзка. По подразбиране в този случай се прилагат само настройките за защита и административните шаблони. Връзка с честотна лента по-малка от 500 Kb/s се счита за бавна. Можете да промените тази стойност в Computer Configuration\Administrative Templates\System\Group Policy\Group Policy Откриване на бавна връзка. Също така в секцията Computer Configuration\Administrative Templates\System\Group Policy можете да конфигурирате някои други настройки на правилата, така че те също да се обработват при бавна връзка. Вторият начин за промяна на реда, в който се прилагат политиките, е опцията за обработка на обратна връзка с правилата на потребителската група. Тази опция променя реда, в който се прилагат правилата по подразбиране, където потребителските политики се прилагат след компютърните политики и отменя последните. Можете да зададете опцията loopback да прилагате компютърни политики след потребителски политики и да презапишете всички потребителски политики, които са в конфликт с компютърните политики. Параметърът loopback има 2 режима:

1. Обединяване (за свързване) - първо се прилага компютърната политика, след това потребител и отново компютър. В този случай компютърната политика замества настройките на потребителската политика, които й противоречат, със свои собствени.
2. Замяна (заменя) - потребителската политика не се обработва.

За да илюстрираме използването на опцията за обработка с обратна връзка на политиката на потребителската група, например на публичен компютър, на който трябва да имате едни и същи ограничени настройки, независимо кой потребител го използва.

Приоритет, наследяване и разрешаване на конфликти

Както вече забелязахте, на всички нива GPO съдържат едни и същи настройки и една и съща настройка може да бъде дефинирана на няколко нива по различни начини. В този случай последната приложена стойност ще бъде ефективната стойност (редът, в който се прилагат GPO, беше обсъден по-горе). Това правило важи за всички настройки, с изключение на тези, дефинирани като неконфигурирани. За тези настройки Windows не предприема никакви действия. Но има едно изключение: всички настройки за акаунт и парола могат да бъдат дефинирани само на ниво домейн, на други нива тези настройки ще бъдат игнорирани.

Ориз. 6. Потребители и компютри на Active Directory.

Ако има няколко GPO на едно и също ниво, те се прилагат отдолу нагоре. Чрез промяна на позицията на обекта на политиката в списъка (с помощта на бутоните нагоре и надолу), можете да изберете необходимия ред на приложението.

Ориз. 7. Ред на прилагане на полиците.

Понякога искате определено OU да не получава настройки на правилата от GPO, свързани с контейнери нагоре по веригата. В този случай трябва да деактивирате наследяването на правилата, като поставите отметка в квадратчето Блокиране на наследяване на правила. Всички наследени настройки на правилата са блокирани и няма начин да блокирате отделни настройки. Настройките на ниво домейн, които определят правилата за пароли и правилата на акаунта, не могат да бъдат заключени.

Ориз. 9. Блокиране на наследяване на политика.

Ако искате определени настройки в даден GPO да не се презаписват, изберете желания GPO, натиснете бутона Опции и изберете Без замяна. Тази опция принуждава настройките на GPO да се прилагат, когато наследяването на правила е блокирано. Не се задава замяна на мястото, където GPO е свързан с обекта на директорията, а не на самия GPO. Ако GPO е свързан с множество контейнери в домейн, тогава тази настройка няма да бъде конфигурирана автоматично за останалите връзки. Ако настройката No Override е конфигурирана за множество връзки на едно и също ниво, настройките на GPO в горната част на списъка ще имат предимство (и ефект). Ако настройките без отмяна са конфигурирани за множество GPO на различни нива, настройките на GPO по-високо в йерархията на директорията ще влязат в сила. Тоест, ако настройките за без отмяна са конфигурирани да свързват GPO към обект на домейн и да свързват GPO към OU, настройките, дефинирани на ниво домейн, ще влязат в сила. Клетката за отметка Деактивирано отменя ефекта на този GPO върху този контейнер.

Ориз. 10. Опции No Override и Disabled.

Както бе споменато по-горе, политиките засягат само потребителите и компютрите. Често възниква въпросът: „как да накарам определена политика да засегне всички потребители, включени в определена група за сигурност?“. За да направите това, GPO е свързан с обект на домейн (или всеки контейнер, разположен над контейнерите или OU, в който се намират всички потребителски обекти от желаната група) и се конфигурират настройките за достъп. Щракнете върху Свойства, в раздела Защита, изтрийте групата Удостоверени потребители и добавете необходимата група с права за четене и прилагане на групови правила.

Определяне на настройките, които засягат компютъра на потребителя

За да определите окончателната конфигурация и да отстраните проблеми, трябва да знаете какви настройки на правилата се прилагат към даден потребител или компютър този момент. За да направите това, има инструмент Resultant Set of Policy (резултантният набор от политики, RSoP). RSoP може да работи както в режим на регистрация, така и в режим на планиране. За да извикате RSoP, щракнете с десния бутон върху потребителския или компютърния обект и изберете Всички задачи.

Ориз. 11. Извикване на инструмента за резултатен набор от политики.

При стартиране (в режим на регистриране) ще бъдете помолени да изберете за кой компютър и потребител да дефинирате набора от резултати и ще се появи прозорец за настройки на резултата, показващ кой GPO е приложил коя настройка.

Ориз. 12. Получен набор от политики.

Други инструменти за управление на групови правила

GPResult е инструмент на командния ред, който предоставя част от функционалността на RSoP. GPResult е наличен по подразбиране на всички компютри, работещи с Windows XP и Windows Server 2003.

GPUpdate налага прилагането на групови политики - както локални, така и базирани на Active Directory. В Windows XP/2003 той замени опцията /refreshpolicy в инструмента secedit за Windows 2000.

Описание на синтаксиса на командите е достъпно, когато ги стартирате с ключа /?.

Вместо заключение

Тази статия няма за цел да обясни всички аспекти на работата с групови политики, не е насочена към опитни системни администратори. Всичко по-горе според мен би трябвало само по някакъв начин да помогне за разбирането на основните принципи на работа с политици за тези, които никога не са работили с тях или тепърва започват да ги овладяват.

Помощна програма GPResult.exe– е конзолно приложение, предназначено да анализира настройките и да диагностицира групови политики, които се прилагат към компютър и/или потребител в домейн на Active Directory. По-специално, GPResult ви позволява да получите данни от получения набор от политики (Resultant Set of Policy, RSOP), списък на приложените политики на домейни (GPO), техните настройки и подробна информация за грешките при обработката им. Помощната програма е част от операционната система Windows от дните на Windows XP. Помощната програма GPResult ви позволява да отговорите на въпроси като дали дадена политика се прилага за компютър, кой GPO е променил конкретна настройка на Windows и да разберете причините.

В тази статия ще разгледаме особеностите на използването на командата GPResult за диагностициране и отстраняване на грешки в приложението на групови политики в домейн на Active Directory.

Първоначално, за диагностициране на прилагането на групови политики в Windows, беше използвана графичната конзола RSOP.msc, която направи възможно получаването на настройките на получените политики (домейн + локални), приложени към компютъра и потребителя в подобна графична форма към конзолата на редактора на GPO (по-долу, в примера на изгледа на конзолата RSOP.msc, можете да видите, че настройките за актуализиране са зададени).

Въпреки това, конзолата RSOP.msc в съвременните версии на Windows не е практична за използване, т.к не отразява настройките, прилагани от различни разширения от страна на клиента (CSE), като GPP (Предпочитания за групови правила), не позволява търсене, предоставя малко диагностична информация. Следователно в момента именно командата GPResult е основният инструмент за диагностициране на използването на GPO в Windows (в Windows 10 дори има предупреждение, че RSOP не дава пълен отчет, за разлика от GPResult).

Използване на помощната програма GPResult.exe

Командата GPResult се изпълнява на компютъра, на който искате да тествате прилагането на групови политики. Командата GPResult има следния синтаксис:

GPRESULT ]] [(/X | /H) ]

За да получите подробна информация за груповите политики, които се прилагат към даден AD обект (потребител и компютър) и други настройки, свързани с инфраструктурата на GPO (т.е. получените настройки на GPO политика - RsoP), изпълнете командата:

Резултатите от изпълнението на командата са разделени на 2 секции:

КОМПЮТЪР НАСТРОЙКИ (Конфигурация на компютъра) – секцията съдържа информация за GPO обекти, които засягат компютъра (като обект на Active Directory);
ПОТРЕБИТЕЛ НАСТРОЙКИ – потребителски раздел от политики (политики, които се прилагат към потребителски акаунт в AD).

Нека да разгледаме накратко основните параметри/секции, които могат да ни представляват интерес в изхода на GPResult:

сайтиме(Име на сайта:) - името на сайта на АД, в който се намира компютърът;
CN– пълен каноничен потребител/компютър, за който са генерирани RSoP данните;
Последновремегрупаполитикабешеприлаган(Последно приложена групова политика) - времето, когато груповите политики са били последно приложени;
групаполитикабешеприлаганот(Груповата политика е приложена от) - контролера на домейна, от който е заредена последна версия GPO
домейнимеи домейнТип(Име на домейн, тип на домейн) – Име и версия на схемата на домейн на Active Directory;
ПриложеногрупаполитикаОбекти(Приложени GPO)– списъци с активни обекти на групова политика;
ВследвайкиGPOса билинеприлаганзащототеса билифилтрираннавън(Следните GPO политики не бяха приложени, тъй като бяха филтрирани) - неприложени (филтрирани) GPO;
Впотребител/компютъреачастнанаследвайкисигурностгрупи(Потребителят/компютърът е член на следните групи за защита) – Групи на домейни, в които членува потребителят.

В нашия пример можете да видите, че потребителският обект е засегнат от 4 групови политики.

Правила за домейн по подразбиране;
Активирайте защитната стена на Windows;
Списък за търсене на DNS суфикси

Ако не искате конзолата да показва едновременно информация както за потребителските, така и за компютърните политики, можете да използвате опцията /scope, за да покажете само секцията, която ви интересува. Само получените потребителски политики:

gpresult /r /scope:user

или само приложени компютърни политики:

gpresult /r /обхват:компютър

Защото Помощната програма Gpresult извежда своите данни директно в конзолата на командния ред, което не винаги е удобно за последващ анализ; нейният изход може да бъде пренасочен към клипборда:

gpresult /r | клип

или текстов файл:

gpresult /r > c:\gpresult.txt

За да покажете супер подробна RSOP информация, добавете превключвателя /z.

HTML RSOP отчет с помощта на GPResult

В допълнение, помощната програма GPResult може да генерира HTML отчет за приложените политики за резултати (достъпни в Windows 7 и по-нови версии). Този отчет ще съдържа подробна информация за всички системни настройки, които са зададени от групови политики и имената на конкретни GPO, които ги задават (резултантният отчет в структурата прилича на раздела Настройки в конзолата за управление на групови политики на домейна - GPMC). Можете да генерирате HTML GPResult отчет с помощта на командата:

GPResult /h c:\gp-report\report.html /f

За да генерирате отчет и автоматично да го отворите в браузър, изпълнете командата:

GPResult /h GPResult.html & GPResult.html

HTML отчетът gpresult съдържа доста полезна информация: Грешките в приложението на GPO, времето за обработка (в ms) и прилагането на специфични политики и CSE са видими (под Подробности за компютъра -> Състояние на компонента). Например, на екранната снимка по-горе можете да видите, че политиката с настройките 24 пароли запомня се прилага от политиката за домейн по подразбиране (колона за печеливш GPO). Както можете да видите, такъв HTML отчет е много по-удобен за анализиране на приложените политики от конзолата rsop.msc.

Получаване на GPResult данни от отдалечен компютър

GPResult може също да събира данни от отдалечен компютър, елиминирайки необходимостта администратор да отиде локално или rdp входкъм отдалечен компютър. Форматът на командата за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

По същия начин можете да събирате данни както от потребителски политики, така и от компютърни политики от разстояние.

потребителското име няма данни за RSOP

С активиран UAC, стартирането на GPResult без повишени привилегии показва само настройките за персонализирания раздел на груповите правила. Ако трябва да покажете и двата раздела (ПОЛЗИТЕЛСКИ НАСТРОЙКИ и КОМПЮТЪРНИ НАСТРОЙКИ) едновременно, командата трябва да се изпълни. Ако повишеният команден ред е в система, различна от текущия потребител, помощната програма ще издаде предупреждение ИНФО: Theпотребител„домейн\потребител"правинеиматRSOPданни (Потребителят „домейн\потребител“ няма данни за RSOP). Това е така, защото GPResult се опитва да събере информация за потребителя, който го е стартирал, но защото Този потребител не е влязъл в системата и няма налична RSOP информация за този потребител. За да съберете RSOP информация за потребител с активна сесия, трябва да посочите неговия акаунт:

gpresult /r /user:tn\edward

Ако не знаете името на акаунт, в който сте влезли отдалечен компютър, можете да получите акаунт като този:

qwinsta /SERVER:remotePC1

Също така проверете времето(ите) на клиента. Времето трябва да съвпада с времето на PDC (основния контролер на домейн).

Следните правила на GPO не бяха приложени, защото бяха филтрирани

Когато отстранявате групови политики, трябва да обърнете внимание и на раздела: Следните GPO не бяха приложени, защото бяха филтрирани (Следните GPO политики не бяха приложени, защото бяха филтрирани). Този раздел показва списък с GPO, които по една или друга причина не се прилагат към този обект. Възможни опции, за които политиката може да не се прилага:

Можете също да разберете дали политиката трябва да се прилага към конкретен AD обект в раздела Ефективни разрешения (Разширени -> Ефективен достъп).

И така, в тази статия прегледахме функциите за диагностициране на прилагането на групови политики с помощта на помощната програма GPResult и прегледахме типични сценарии за нейното използване.

Функционалността в операционната система Windows Server се изчислява и подобрява от версия на версия, има все повече роли и компоненти, така че в днешната статия ще се опитам да опиша накратко описание и предназначение на всяка роля в Windows Server 2016.

Преди да продължим с описанието на сървърните роли на Windows Server, нека разберем какво точно е " Роля на сървъра» на операционната система Windows Server.

Какво е „роля на сървъра“ в Windows Server?

Роля на сървърае софтуерен пакет, който гарантира, че сървърът изпълнява определена функция и дадена функцияе основният. С други думи, " Роля на сървъра' е дестинацията на сървъра, т.е. за какво е. За да може сървърът да изпълнява основната си функция, т.е. определена роля, в " Роля на сървъра» включва целия необходим софтуер за това ( програми, услуги).

Сървърът може да има една роля, ако се използва активно, или няколко, ако всяка от тях не натоварва силно сървъра и се използва рядко.

Ролята на сървъра може да включва множество услуги за роли, които осигуряват функционалността на ролята. Например в ролята на сървъра " уеб сървър (IIS)” включва доста голям брой услуги, а ролята “ DNS сървър» не включва ролеви услуги, тъй като тази роля изпълнява само една функция.

Role Services могат да бъдат инсталирани всички заедно или поотделно, в зависимост от вашите нужди. По същество инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Windows Server също има " Компоненти» сървър.

Сървърни компоненти (функция)- това е софтуер, които не са роля на сървър, но подобряват една или повече роли или управляват една или повече роли.

Някои роли не могат да бъдат инсталирани, ако сървърът няма необходими услуги или компоненти, които са необходими за функционирането на ролите. Следователно, в момента на инсталиране на такива роли " Съветник за добавяне на роли и функции» автоматично ще ви подкани да инсталирате необходимите допълнителни ролеви услуги или компоненти.

Описание на сървърните роли на Windows Server 2016

Вероятно вече сте запознати с много от ролите, които са в Windows Server 2016, тъй като те съществуват от доста време, но както казах, с всяка нова версия на WindowsСървър, добавят се нови роли, с които може би все още не сте работили, но бихте искали да знаете за какво служат, така че нека започнем да ги разглеждаме.

Забележка! Можете да прочетете за новите функции на операционната система Windows Server 2016 в материала " Инсталация на Windows Server 2016 и какво е новото ».

Тъй като много често инсталирането и администрирането на роли, услуги и компоненти става с използвайки Windows PowerShell , за всяка роля и нейната услуга ще посоча името, което може да се използва в PowerShell, съответно за неговата инсталация или за управление.

DHCP сървър

Тази роля ви позволява централно да конфигурирате динамични IP адреси и свързаните с тях настройки за компютри и устройства във вашата мрежа. Ролята на DHCP сървъра няма ролеви услуги.

Името на Windows PowerShell е DHCP.

DNS сървър

Тази роля е предназначена за разрешаване на имена в TCP/IP мрежи. Ролята на DNS сървър осигурява и поддържа DNS. За да се опрости управлението на DNS сървър, той обикновено се инсталира на същия сървър като Active Directory Domain Services. Ролята на DNS сървъра няма услуги за роли.

Името на ролята за PowerShell е DNS.

Hyper-V

С ролята на Hyper-V можете да създавате и управлявате виртуализирана среда. С други думи, това е инструмент за създаване и управление на виртуални машини.

Името на ролята за Windows PowerShell е Hyper-V.

Атестация за здравето на устройството

роля" » ви позволява да оцените изправността на устройството въз основа на измерени показатели за параметри за сигурност, като индикатори за състоянието на сигурно зареждане и Bitlocker на клиента.

За функционирането на тази роля са необходими много ролеви услуги и компоненти, например: няколко услуги от ролята " уеб сървър (IIS)", компонент " ", компонент " Функции на .NET Framework 4.6».

По време на инсталацията всички необходими ролеви услуги и функции ще бъдат избрани автоматично. Ролята " Атестация за здравето на устройството» Няма ролеви услуги.

Името на PowerShell е DeviceHealthAttestationService.

уеб сървър (IIS)

Осигурява надеждна, управляема и мащабируема инфраструктура на уеб приложения. Състои се от доста голям брой услуги (43).

Името на Windows PowerShell е Web-Server.

Включва следните ролеви услуги ( в скоби ще посоча името на Windows PowerShell):

Уеб сървър (Web-WebServer)- Група ролеви услуги, която осигурява поддръжка за HTML уебсайтове, ASP.NET разширения, ASP и уеб сървъра. Състои се от следните услуги:

Сигурност (Web Security)- набор от услуги за осигуряване на сигурността на уеб сървъра.
- Филтриране на заявки (Web-Filtering) - с помощта на тези инструменти можете да обработвате всички заявки, идващи към сървъра, и да филтрирате тези заявки въз основа на специални правила, зададени от администратора на уеб сървъра;
- Ограничения за IP адрес и домейн (Web-IP-Security) – тези инструменти ви позволяват да разрешите или откажете достъп до съдържание на уеб сървър въз основа на IP адреса или името на домейна на източника в заявката;
- URL авторизация (Web-Url-Auth) - инструментите ви позволяват да разработите правила за ограничаване на достъпа до уеб съдържание и да ги свържете с потребители, групи или команди за HTTP заглавки;
- Дайджест Удостоверяване (Web-Digest-Auth) − тази проверкаУдостоверяването осигурява по-високо ниво на сигурност от основното удостоверяване. Дайджест автентификацията за потребителска автентификация работи като предаване на хеш на парола към контролер на домейн на Windows;
- Основно удостоверяване (Web-Basic-Auth) – Този метод за удостоверяване осигурява силна съвместимост с уеб браузър. Препоръчва се да се използва в малки вътрешни мрежи. Основният недостатък на този метод е, че паролите, предавани по мрежата, могат да бъдат доста лесно прихванати и декриптирани, така че използвайте този метод в комбинация със SSL;
- Удостоверяването на Windows (Web-Windows-Auth) е удостоверяване, базирано на удостоверяване на домейн на Windows. С други думи, можете да използвате сметки Active Directory за удостоверяване на потребители на техните уеб сайтове;
- Удостоверяване на картографиране на клиентски сертификат (Web-Client-Auth) – Този метод за удостоверяване използва клиентски сертификат. Този тип използва услугите на Active Directory за предоставяне на картографиране на сертификати;
- Удостоверяване на картографиране на сертификати на IIS (Web-Cert-Auth) – Този метод също използва клиентски сертификати за удостоверяване, но използва IIS за предоставяне на картографиране на сертификати. Този тип осигурява по-добра производителност;
- Централизирана поддръжка за SSL сертификат (Web-CertProvider) - тези инструменти ви позволяват централизирано да управлявате SSL сървърни сертификати, което значително опростява процеса на управление на тези сертификати;
Възможност за обслужване и диагностика (Web-Health)– набор от услуги за наблюдение, управление и отстраняване на неизправности на уеб сървъри, сайтове и приложения:
- http logging (Web-Http-Logging) - инструментите осигуряват регистриране на активността на уебсайта на даден сървър, т.е. запис в дневника;
- ODBC Logging (Web-ODBC-Logging) – Тези инструменти също осигуряват регистриране на активността на уебсайта, но поддържат регистриране на тази дейност в ODBC-съвместима база данни;
- Монитор на заявки (Web-Request-Monitor) е инструмент, който ви позволява да наблюдавате здравето на уеб приложение чрез прихващане на информация за HTTP заявки в работния процес на IIS;
- Персонализирано регистриране (Web-Custom-Logging) - Използвайки тези инструменти, можете да конфигурирате регистриране на активността на уеб сървъра във формат, който се различава значително от стандартния IIS формат. С други думи, можете да създадете свой собствен модул за регистриране;
- Инструментите за регистриране (Web-Log-Libraries) са инструменти за управление на регистрационни файлове на уеб сървъра и автоматизиране на задачи за регистриране;
- Проследяването (Web-Http-Tracing) е инструмент за диагностициране и разрешаване на нарушения в уеб приложения.
http общи функции (Web-Common-Http)– набор от услуги, които предоставят основна HTTP функционалност:
- Документ по подразбиране (Web-Default-Doc) – Тази функция ви позволява да конфигурирате уеб сървъра да връща документ по подразбиране, когато потребителите не посочат конкретен документ в URL адреса на заявката, което улеснява достъпа на потребителите до уебсайта, например чрез домейн, без да се посочва файл;
- Преглеждане на директории (Web-Dir-Browsing) – Този инструмент може да се използва за конфигуриране на уеб сървър, така че потребителите да могат да преглеждат списък с всички директории и файлове на уебсайт. Например, за случаи, когато потребителите не посочват файл в URL адреса на заявката и документите по подразбиране са или деактивирани, или не са конфигурирани;
- http грешки (Web-Http-Errors) – тази възможностви позволява да персонализирате съобщенията за грешки, които ще се връщат в уеб браузърите на потребителите, когато уеб сървърът открие грешка. Този инструмент се използва за по-лесно представяне на съобщения за грешки на потребителите;
- Статично съдържание (Web-Static-Content) – този инструмент ви позволява да използвате съдържание на уеб сървър под формата на статични файлови формати, като HTML файлове или файлове с изображения;
- http пренасочване (Web-Http-Redirect) - използвайки тази функция, можете да пренасочите потребителска заявка към конкретна дестинация, т.е. това е пренасочване;
- WebDAV Publishing (Web-DAV-Publishing) - ви позволява да използвате технологията WebDAV на IIS WEB сървъра. WebDAV ( Уеб разпределено авторство и версия) е технология, която позволява на потребителите да работят заедно ( четене, редактиране, четене на свойства, копиране, преместване) над файлове на отдалечени уеб сървъри, използващи HTTP протокол.
производителност (ефективност в мрежата)- набор от услуги за постигане на по-висока производителност на уеб сървъра чрез кеширане на изхода и общи механизми за компресия като Gzip и Deflate:
- Статично компресиране на съдържание (Web-Stat-Compression) е инструмент за персонализиране на компресирането на http статично съдържание, позволява по-ефективно използване на честотната лента, като същевременно без ненужно натоварване на процесора;
- Динамично компресиране на съдържание (Web-Dyn-Compression) е инструмент за конфигуриране на HTTP динамично компресиране на съдържание. Този инструмент осигурява по-ефективно използване на честотната лента, но в този случай натоварването на сървърния процесор, свързано с динамична компресия, може да забави сайта, ако натоварването на процесора е високо дори без компресия.
Разработване на приложения (Web-App-Dev)- набор от услуги и инструменти за разработване и хостване на уеб приложения, с други думи, технологии за разработка на уебсайтове:
- ASP (Web-ASP) е среда за поддръжка и разработване на уеб сайтове и уеб приложения, използващи ASP технология. В момента има по-нова и усъвършенствана технология за разработка на уебсайтове – ASP.NET;
- ASP.NET 3.5 (Web-Asp-Net) е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи ASP.NET технология;
- ASP.NET 4.6 (Web-Asp-Net45) също е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи новата версия на ASP.NET;
- CGI (Web-CGI) е способността да се използва CGI за предаване на информация от уеб сървър към външна програма. CGI е един вид интерфейсен стандарт за свързване на външна програма към уеб сървър. Има недостатък, използването на CGI влияе върху производителността;
- Server Side Inclusions (SSI) (Web-Includes) е поддръжка за езика за скриптове SSI ( активиране от страна на сървъра), който се използва за динамично генериране на HTML страници;
- Инициализация на приложение (Web-AppInit) – този инструмент изпълнява задачите по инициализиране на уеб приложения преди изпращане на уеб страница;
- Протокол WebSocket (Web-WebSockets) - добавяне на възможност за създаване на сървърни приложения, които комуникират с помощта на протокола WebSocket. WebSocket е протокол, който може да изпраща и получава данни едновременно между браузър и уеб сървървърху TCP връзка, вид разширение към HTTP протокола;
- ISAPI разширения (Web-ISAPI-Ext) - поддръжка за динамично развитие на уеб съдържание с помощта на интерфейса за програмиране на приложението ISAPI. ISAPI е API за уеб сървъра на IIS. ISAPI приложенията са много по-бързи от ASP файлове или файлове, които извикват COM+ компоненти;
- .NET 3.5 Extensibility (Web-Net-Ext) е функция за разширяемост на .NET 3.5, която ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
- .NET 4.6 Extensibility (Web-Net-Ext45) е функция за разширяване на .NET 4.6, която също ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
- ISAPI филтри (Web-ISAPI-Filter) - Добавете поддръжка за ISAPI филтри. ISAPI филтрите са програми, които се извикват, когато уеб сървър получи конкретна HTTP заявка, която да бъде обработена от този филтър.

FTP - сървър (Web-Ftp-Server)– услуги, които осигуряват поддръжка на FTP протокола. За FTP сървъра говорихме по-подробно в материала - "Инсталиране и конфигуриране на FTP сървър на Windows Server 2016". Съдържа следните услуги:

FTP услуга (Web-Ftp-Service) - добавя поддръжка за FTP протокола на уеб сървъра;
FTP разширяемост (Web-Ftp-Ext) - Разширява стандартните FTP възможности, като добавяне на поддръжка за функции като персонализирани доставчици, потребители на ASP.NET или потребители на мениджър на IIS.

Инструменти за управление (Web-Mgmt-Tools)- Това са инструментите за управление на уеб сървъра IIS 10. Те включват: потребителски интерфейс IIS, инструменти и скриптове на командния ред.

Конзолата за управление на IIS (Web-Mgmt-Console) е потребителският интерфейс за управление на IIS;
Наборите от символи и инструментите за управление на IIS (Web-Scripting-Tools) са инструменти и скриптове за управление на IIS с помощта на командния ред или скриптове. Могат да се използват например за автоматизиране на управлението;
Услуга за управление (Web-Mgmt-Service) - тази услуга добавя възможност за дистанционно управление на уеб сървър от друг компютър с помощта на IIS Manager;
Управление на съвместимостта на IIS 6 (Web-Mgmt-Compat) - Осигурява съвместимост за приложения и скриптове, които използват двата IIS API. Съществуващите скриптове на IIS 6 могат да се използват за управление на уеб сървъра на IIS 10:
- IIS 6 Compatibility Metabase (Web-Metabase) е инструмент за съвместимост, който ви позволява да стартирате приложения и набори от знаци, които са мигрирани от по-ранни версии на IIS;
- IIS 6 Scripting Tools (Web-Lgcy-Scripting) – Тези инструменти ви позволяват да използвате същите IIS 6 Scripting Services, които са създадени за управление на IIS 6 в IIS 10;
- IIS 6 Management Console (Web-Lgcy-Mgmt-Console) - Инструмент за администриране от разстояние IIS сървъри 6.0;
- IIS 6 WMI Compatibility (Web-WMI) са скриптови интерфейси на Windows Management Instrumentation (WMI) за програмно контролиране и автоматизиране на задачи на уеб сървъра на IIS 10.0 с помощта на набор от скриптове, създадени в доставчик на WMI.