Дайте подробно описание на политиката на сървъра. Дайте подробно описание на политиката на сървъра относно

Здравейте. Не можете да регистрирате собствен акаунт?
пишете на ЛС - vk.com/watsonshit
- Регистрираме акаунти по поръчка.
- Помагаме при етапи 1 и 2 на UCP.
- Бързо и качествено обслужване.
- Гаранции, прегледи. Ние сме отговорни за безопасността.
- Абсолютно различни сървъри с UCP регистрация.
Проект за тихоокеанско крайбрежие - SW проект и др.

Не намерихте отговора на въпроса си? Напишете в коментарите и аз ще ви дам отговора.

) За какво е OOC чатът?
- 1) Това е чат, който не засяга играта.

2) Какво се разбира под термина ролева игра?
- 2) Ролевата игра е вид игра, в която трябва да играете ролята, която съм избрал.

3) Ако някоя ситуация не е във ваша полза (убийство / грабеж). Вашите действия?
- 2) Ще продължа да играя, независимо от всичко.

2) Получихте пари от измамник, какво ще направите?
- 4) Ще информирам администрацията на сървъра, ще се отпиша в специална тема и ще добавя пари към /charity.

3) Имате ли право да убиете полицай?
- 1) Разбира се, мога да убия полицай само ако имам основателна причина.

1) Разрешено ли е преминаването от мястото на водача?
- 4) Не, подобни действия са забранени от правилата на сървъра.

4) Позволени ли са псевдоними на знаменитости и герои от филми/сериали/анимационни филми?
- 3) Не, забранени са.

5) По време на престрелката технически бяха убити трима героя, но след известно време същите тези герои вече играеха отново своите роли. Какъв тип убийство е това?
- 2) Убийство на играч.

7) Те стрелят по теб, но ти не искаш да умреш и затова...
- 4) Ще се опитате да избягате и да оцелеете чрез ролева игра.

2) Имате ли право да използвате Bunny-Hop?
- 3) Да, имам право да го използвам, ако не преча на никого.

7) Какво ще направите, ако имате предложение за развитие на сървъра?
- 3) Ще пиша за това в съответния раздел на форума.

3) Задължително ли е отписването на действия при използване на малогабаритни оръжия?
- 4) Не.

2) За първи път сте на сървъра и изобщо не знаете командите, какво ще правите?
- 3) Ще задам въпрос на администрацията с командата /askq, след което ще изчакам отговор.

3) Каква е целта на командата /coin?
- разрешаване на всички спорни ситуации

1) Какво е метагейминг?
- 2) Това е използването на неролева информация, когато се играе роля.

6) Играчът, чийто герой беше технически убит по време на престрелка, реши да отмъсти на нарушителите и уби един от опонентите без причина, свързана с ролята. Какви нарушения има тук от страна на играча?
- 3) Убийство за отмъщение.

10) Позволено ли е да се попълва количеството здраве по време на битка / схватка?
- 4) Не.

8) Позволено ли е да се стреля по служители на LSPD и с какво е изпълнено?
- 4) Да, обикновена престрелка завършва с PC и за двете страни. Ако това е дело или акция, на полицията се дава PK, а на престъпниците - SK.

6) Каква е максималната сума за обир, който не изисква административни проверки?
- 1) $500

9) Какви езици могат да се използват на нашия сървър?
- 1) руски.

7) След дълга и внимателна подготовка убиецът изпълни поръчката - той уби. Планът беше изчислен до най-малкия детайл, в резултат на което клиентът плати щедро. Каква е жертвата в случая?
- 1) Убийство на персонаж.

9) Разрешена ли е кражба на държавни превозни средства?
- 2) Да, но първо трябва да попитате администратора, както и да действате в съответствие с параграф 9 от правилата на играта.

8) Кога можете да проявявате сексуално насилие и жестокост?
- 2) Сексуалното насилие и жестокостта могат да се играят само със съгласието на всички лица, участващи в RP.

10) Какво трябва да направите, ако смятате, че играта не върви по правилата?
- 1) Пишете на / докладвайте, ако администраторът отсъства - напишете оплакване във форума.

7) Колко игрални часа трябва да има един играч, за да бъде ограбен?
- 3) 8 часа.

8) Посочете правилното използване на командата /coin. След:
- спрях да дишам и ударих топката, опитвайки се да я хвърля в дупката.

8) Посочете правилна употреба/me команди:
- /аз се усмихнах широко, гледайки право в очите на Линда. Той се приближи, после нежно я прегърна.

ПРОДАЖБА НА ВИРТУАЛНА ВАЛУТА НА ТИХООКЕАНСКОТО БРЯГИЕ ПРОЕКТ И СЪРВЪРИТЕ ЗА РОЛЕВИ ИГРИ GRINCH.
ЦЯЛА ИНФО В ГРУПАТА!
vk.com/virtongarant

Помощна програма GPResult.exe– е конзолно приложение, предназначено да анализира настройките и да диагностицира групови политики, които се прилагат към компютър и/или потребител в домейн на Active Directory. По-специално, GPResult ви позволява да получите данни от резултантния набор от политики (Resultant Set of Policy, RSOP), списък с приложени политики за домейни (GPO), техните настройки и подробна информация за грешките при тяхната обработка. Помощната програма е част от операционната система Windows от дните на Windows XP. Помощната програма GPResult ви позволява да отговорите на въпроси като дали определена политика се прилага за компютър, кой GPO е променил определена настройка на Windows и да разберете причините.

В тази статия ще разгледаме спецификата на използването на командата GPResult за диагностика и отстраняване на грешки в прилагането на групови политики в домейн на Active Directory.

Първоначално за диагностициране на прилагането на групови политики в Windows беше използвана графичната конзола RSOP.msc, която направи възможно получаването на настройките на получените политики (домейн + локални), приложени към компютъра и потребителя в графична форма, подобна на конзолата за редактор на GPO (по-долу, в примера на изгледа на конзолата RSOP.msc, можете да видите, че настройките за актуализиране са зададени).

Въпреки това, конзолата RSOP.msc в съвременните версии на Windows не е практична за използване, т.к не отразява настройките, приложени от различни разширения от страна на клиента (CSE), като GPP (Предпочитания за групови правила), не позволява търсене, предоставя малко диагностична информация. Следователно, на този моментименно командата GPResult е основният инструмент за диагностика на използването на GPO в Windows (в Windows 10 дори има предупреждение, че RSOP не дава пълен отчет, за разлика от GPResult).

Използване на помощната програма GPResult.exe

GPResult командаработи на компютъра, на който искате да тествате прилагането на групови правила. Командата GPResult има следния синтаксис:

GPRESULT ]] [(/X | /H)<имя_файла> ]

За да получите подробна информация за груповите правила, които се прилагат към даден AD обект (потребител и компютър) и други настройки, свързани с GPO инфраструктурата (т.е. произтичащите GPO политики настройки - RsoP), изпълнете командата:

Резултатите от изпълнението на командата са разделени на 2 секции:

• КОМПЮТЪР НАСТРОЙКИ (Компютърна конфигурация) – разделът съдържа информация за GPO обекти, които засягат компютъра (като обект на Active Directory);
• ПОТРЕБИТЕЛ НАСТРОЙКИ – потребителски раздел на политики (политики, които се прилагат за потребителски акаунт в AD).

Нека прегледаме накратко основните параметри/секции, които могат да представляват интерес за нас в изхода на GPResult:

• сайтИме(Site name:) - името на AD сайта, в който се намира компютърът;
• CN– пълен каноничен потребител/компютър, за който са генерирани RSoP данните;
• ПоследновремегрупаПолитикабешеприложено(Последно приложена групова политика) - времето, когато последно са приложени групови политики;
• групаПолитикабешеприложеноот(Груповата политика е приложена от) - домейн контролерът, от който е заредена последната версия на GPO;
• ДомейнИмеи домейнТип(Име на домейн, тип домейн) – име и версия на схемата на домейн на Active Directory;
• ПриложеногрупаПолитикаОбекти(Приложени GPO)– списъци с активни обекти на групова политика;
• TheследнотоGPOбяханеприложенозащототебяхафилтрираннавън(Следните GPO политики не бяха приложени, защото бяха филтрирани) - неприложени (филтрирани) GPO;
• Theпотребител/компютъреачастнанаследнотосигурностгрупи(Потребителят/компютърът е член на следните групи за сигурност) – Групи домейни, на които потребителят е член.

В нашия пример можете да видите, че потребителският обект е засегнат от 4 групови правила.

• Правила за домейни по подразбиране;
• Активирайте защитната стена на Windows;
• Списък за търсене на DNS суфикс

Ако не искате конзолата да показва информация както за потребителските политики, така и за компютърните политики едновременно, можете да използвате опцията /scope, за да покажете само секцията, която ви интересува. Само произтичащи потребителски правила:

gpresult /r /scope:user

или само приложени компютърни правила:

gpresult /r /scope:компютър

защото Помощната програма Gpresult извежда своите данни директно в конзолата на командния ред, което не винаги е удобно за последващ анализ; нейният изход може да бъде пренасочен към клипборда:

gpresult /r |клип

или текстов файл:

gpresult /r > c:\gpresult.txt

За да покажете супер подробна RSOP информация, добавете ключа /z.

HTML RSOP отчет с помощта на GPResult

В допълнение, помощната програма GPResult може да генерира HTML отчет за приложените правила за резултати (достъпни в Windows 7 и по-нови). Този доклад ще съдържа подробна информацияотносно всички системни настройки, които са зададени от групови правила и имената на конкретни GPO, които ги задават (резултантният отчет за структурата наподобява раздела Настройки в конзолата за управление на групови правила на домейна - GPMC). Можете да генерирате HTML GPResult отчет с помощта на командата:

GPResult /h c:\gp-report\report.html /f

За да генерирате отчет и автоматично да го отворите в браузър, изпълнете командата:

GPResult /h GPResult.html & GPResult.html

HTML отчетът gpresult съдържа доста полезна информация: Грешките в приложението на GPO, времето за обработка (в ms) и прилагането на специфични политики и CSE са видими (под Подробности за компютъра -> Състояние на компонента). Например на екранната снимка по-горе можете да видите, че политиката с настройките 24 пароли се помнят се прилага от Правилата за домейни по подразбиране (колона Winning GPO). Както можете да видите, такъв HTML отчет е много по-удобен за анализ на приложените политики, отколкото конзолата rsop.msc.

Получаване на GPResult данни от отдалечен компютър

GPResult може също да събира данни от отдалечен компютър, елиминирайки необходимостта администратор да влиза локално или RDP към отдалечен компютър. Командният формат за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

По същия начин можете да събирате данни както от потребителски правила, така и от компютърни правила от разстояние.

потребителското име няма RSOP данни

Когато е разрешено Стартиране на UAC GPResult без повишени привилегии извежда само настройките на раздела за потребителска групова политика. Ако трябва да покажете и двата раздела (ПОТРЕБИТЕЛСКИ НАСТРОЙКИ и НАСТРОЙКИ НА КОМПЮТЪРА) едновременно, командата трябва да се изпълни. Ако повишеният команден ред е нещо различно от текущия потребителсистема, помощната програма ще издаде предупреждение ИНФО: Theпотребител„домейн\потребител"правинеиматRSOPданни (Потребителят „domain\user“ няма RSOP данни). Това е така, защото GPResult се опитва да събере информация за потребителя, който го е изпълнил, но защото Този потребител не е влязъл в системата и няма налична RSOP информация за него. За да съберете RSOP информация за потребител с активна сесия, трябва да посочите неговия акаунт:

gpresult /r /потребител:tn\edward

Ако не знаете името на акаунт, в който сте влезли отдалечен компютър, можете да получите акаунт като този:

qwinsta /СЪРВЪР:remotePC1

Също така проверете часа(ата) на клиента. Часът трябва да съвпада с часа на PDC (основен домейн контролер).

Следните GPO правила не бяха приложени, защото бяха филтрирани

Когато отстранявате неизправности в групови правила, трябва също да обърнете внимание на раздела: Следните GPO не бяха приложени, защото бяха филтрирани (Следните GPO правила не бяха приложени, защото бяха филтрирани). Този раздел показва списък с GPO, които по една или друга причина не се отнасят за този обект. Възможни опции, за които политиката може да не е приложима:

Можете също така да разберете дали политиката трябва да се приложи към конкретен AD обект в раздела Ефективни разрешения (Разширени -> Ефективен достъп).

Така че в тази статия прегледахме функциите за диагностициране на прилагането на групови правила с помощта на помощната програма GPResult и прегледахме типичните сценарии за нейното използване.

Лекция 4 Сървър за мрежова политика: RADIUS сървър, RADIUS прокси и сървър за политика за сигурност

Лекция 4

Тема: Сървър за мрежова политика: RADIUS сървър, RADIUS прокси и сървър за политика за защита на достъпа до мрежата

Въведение

Windows сървър 2008 и Windows Server 2008 R2 са усъвършенствани операционни системи Windows Server, предназначени да захранват ново поколение мрежи, приложения и уеб услуги. С тези операционни системи можете да проектирате, доставяте и управлявате гъвкави и всеобхватни потребителски и приложни изживявания, да изграждате високо защитени мрежови инфраструктури и да повишавате технологичната ефективност и организация във вашата организация.

Сървър за мрежова политика

Сървърът за мрежови правила ви позволява да създавате и налагате политики за мрежов достъп за цялата организация, за да гарантирате здравето на клиента и да удостоверявате и разрешавате заявки за връзка. Можете също да използвате NPS като RADIUS прокси, за да препращате заявки за връзка към NPS или други RADIUS сървъри, конфигурирани в отдалечени групи RADIUS сървъри.

Сървърът за мрежови правила ви позволява централно да конфигурирате и управлявате правилата за удостоверяване, оторизация и изправност на клиентския мрежов достъп чрез следните три опции:

RADIUS сървър. NPS управлява централно удостоверяване, оторизация и отчитане на безжични връзки, удостоверени комутационни връзки, комутируеми връзки и връзки с виртуална частна мрежа (VPN). Когато използвате NPS като RADIUS сървър, сървърите за мрежов достъп, като точки за безжичен достъп и VPN сървъри, се конфигурират като RADIUS клиенти на NPS. Той също така конфигурира мрежовите правила, които NPS използва за разрешаване на заявки за връзка. Освен това можете да конфигурирате RADIUS отчитане, така че NPS да регистрира информация за регистрационни файлове, съхранявани на локален твърд диск или в база данни на Microsoft. SQL сървър.

RADIUS прокси. Ако NPS се използва като RADIUS прокси, трябва да конфигурирате правила за заявка за връзка, които определят кои заявки за връзка NPS ще препраща към други RADIUS сървъри и кои конкретни RADIUS сървъри ще препращат тези заявки. NPS може също да бъде конфигуриран да пренасочва идентификационни данни, които да се съхраняват на един или повече компютри в отдалечена RADIUS сървърна група.

Сървър за политики за защита на мрежовия достъп (NAP). Когато NPS е конфигуриран като NAP сървър за политики, NPS оценява състоянията на изправност, изпратени от NAP-активирани клиентски компютри, които се опитват да се свържат към мрежата. Сървър за мрежова политика, конфигуриран със защита на достъпа до мрежата, действа като RADIUS сървър, удостоверявайки и разрешавайки заявки за връзка. Сървърът за мрежови правила ви позволява да конфигурирате политики и настройки за защита на достъпа до мрежата, включително групи за проверка на изправността на системата, правила за изправност и сървър за актуализиране, които гарантират, че клиентските компютри се актуализират в съответствие с мрежовата политика на организацията.

Можете да конфигурирате всяка комбинация от функциите, изброени по-горе, на Network Policy Server. Например, NPS може да действа като NAP сървър за политики, използвайки един или повече методи за прилагане, докато действа като RADIUS сървър за комутируеми връзки и RADIUS прокси за препращане на някои заявки за връзка към група от отдалечени RADIUS сървъри, което позволява удостоверяване и оторизация в различен домейн.

RADIUS сървър и RADIUS прокси

NPS може да се използва като RADIUS сървър, RADIUS прокси или и двете.

RADIUS сървър

NPS на Microsoft е внедрен в съответствие със стандарта RADIUS, описан в IETF RFC 2865 и RFC 2866. Като RADIUS сървър, NPS извършва централно удостоверяване, оторизация и отчитане на връзката за различни видове мрежов достъп, включително безжичен достъп, превключване с удостоверяване, набиране -up и VPN достъп и връзки между рутери.

Сървърът за мрежова политика ви позволява да използвате разнороден набор от оборудване за безжичен достъп, отдалечен достъп, VPN мрежи и превключване. Сървърът за мрежова политика може да се използва с услугата за маршрутизиране и отдалечен достъп, която е налична на операционни системи Microsoft Windows 2000 Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition.

Ако NPS компютърът е член на домейн на Active Directory®, NPS използва тази справочна услуга като своя база данни с потребителски акаунти и е част от решението за единично влизане. Същият набор от идентификационни данни се използва за контрол на достъпа до мрежата (удостоверяване и оторизиране на достъп до мрежата) и за влизане в домейн на Active Directory.

Интернет доставчиците и организациите, които предоставят мрежов достъп, са изправени пред по-сложните предизвикателства на управлението на всички видове мрежи от една точка на администриране, независимо от използваното оборудване за мрежов достъп. Стандартът RADIUS поддържа тази функционалност както в хомогенни, така и в хетерогенни среди. Протоколът RADIUS е протокол клиент/сървър, който позволява на оборудването за мрежов достъп (действащо като RADIUS клиенти) да изпраща заявки за удостоверяване и отчитане към RADIUS сървър.

RADIUS сървърът има достъп до информацията за потребителския акаунт и може да проверява идентификационните данни при удостоверяване, за да предостави достъп до мрежата. Ако идентификационните данни на потребителя са автентични и опитът за свързване е разрешен, RADIUS сървърът разрешава достъпа на този потребител въз основа на посочените условия и регистрира информацията за връзката. Използването на протокола RADIUS позволява събирането и поддържането на информация за удостоверяване, оторизация и отчитане на едно място, вместо да се извършва на всеки сървър за достъп.

RADIUS прокси

Като RADIUS прокси, NPS препраща съобщения за удостоверяване и отчитане към други RADIUS сървъри.

С NPS организациите могат да изнесат своята инфраструктура за отдалечен достъп на доставчик на услуги, като същевременно поддържат контрол върху потребителското удостоверяване, оторизация и отчитане.

NPS конфигурации могат да бъдат създадени за следните сценарии:

Безжичен достъп

Комутируема или виртуална частна мрежова връзка в организация.

Отдалечен достъпили безжичен достъп, предоставен от външна организация

достъп до интернет

Удостоверен достъп до външни мрежови ресурси за бизнес партньори

Примери за конфигуриране на RADIUS сървър и RADIUS прокси

Следните примери за конфигурация демонстрират как да конфигурирате NPS като RADIUS сървър и RADIUS прокси.

NPS като RADIUS сървър. В този пример NPS е конфигуриран като RADIUS сървър, единствената конфигурирана политика е политиката за заявка за връзка по подразбиране и всички заявки за връзка се обработват от локалния NPS. NPS може да удостовери и упълномощи потребители, чиито акаунти са в домейна на сървъра или в доверени домейни.

NPS като RADIUS прокси. В този пример NPS е конфигуриран като RADIUS прокси, който препраща заявки за връзка към групи от отдалечени RADIUS сървъри в два различни ненадеждни домейна. Правилата за заявка за връзка по подразбиране се премахват и се заменят с две нови политики за заявка за връзка, които пренасочват заявките към всеки от двата ненадеждни домейна. В този пример NPS не обработва заявки за връзка на локалния сървър.

NPS като RADIUS сървър и RADIUS прокси. В допълнение към политиката за заявка за връзка по подразбиране, която обработва заявките локално, се създава нова политика за заявка за връзка, за да ги пренасочи към NPS или друг RADIUS сървър в ненадежден домейн. Втората политика се нарича Proxy. В този пример политиката за прокси се появява първа в подредения списък с политики. Ако заявката за свързване отговаря на правилата за „Прокси“, дадено исканепри връзката се пренасочва към RADIUS сървъра в отдалечената група RADIUS сървъри. Ако дадена заявка за връзка не съответства на правилата за прокси сървър, но отговаря на правилата за заявка за връзка по подразбиране, NPS обработва заявката за връзка на локалния сървър. Ако заявка за свързване не отговаря на нито една от тези политики, тя се отхвърля.

NPS като RADIUS сървър с отдалечени счетоводни сървъри. В този пример локалният NPS не е конфигуриран за отчитане и политиката за заявка за свързване по подразбиране се променя, така че съобщенията за отчитане на RADIUS да се препращат към NPS или друг RADIUS сървър в отдалечената група RADIUS сървъри. Въпреки че счетоводните съобщения се препращат, съобщенията за удостоверяване и оторизация не се препращат и подходящата функционалност за локалния домейн и всички доверени домейни се обработва от локалния NPS.

NPS с отдалечен RADIUS към потребителско картографиране на Windows. В този пример NPS действа както като RADIUS сървър, така и като RADIUS прокси за всяка отделна заявка за връзка, пренасочвайки заявката за удостоверяване към отдалечен RADIUS сървър, докато упълномощава с помощта на локален потребителски акаунт в Windows. Тази конфигурация се реализира чрез задаване на атрибута Remote RADIUS Server Mapping to Windows user като условие на политиката за заявка за връзка. (Освен това трябва да създадете локален потребителски акаунт на RADIUS сървъра със същото име като отдалечения акаунт, срещу който отдалеченият RADIUS сървър ще се удостоверява.)

Сървър за политики за защита на мрежовия достъп

Защитата на мрежовия достъп е включена в Windows Vista®, Windows® 7, Windows Server® 2008 и Windows Server® 2008 R2. Той помага за защита на достъпа до частни мрежи, като гарантира, че клиентските компютри отговарят на правилата за здраве, които са в сила в мрежата на организацията, когато позволяват на тези клиенти да имат достъп до мрежови ресурси. В допълнение, съответствието на клиентския компютър с дефинирана от администратора здравна политика се наблюдава от защитата на достъпа до мрежата, докато клиентският компютър е свързан към мрежата. С възможността за автоматично актуализиране на защитата на достъпа до мрежата, несъвместимите компютри могат да бъдат автоматично актуализирани в съответствие с политиката за здраве, така че по-късно да им бъде предоставен достъп до мрежата.

Системните администратори дефинират политики за изправност на мрежата и създават тези политики с помощта на NAP компоненти, които се предлагат от NPS или се доставят от други компании (в зависимост от изпълнението на NAP).

Правилата за здраве могат да имат характеристики като софтуерни изисквания, изисквания за актуализация на защитата и изисквания за настройки на конфигурацията. Защитата на достъпа до мрежата налага политики за изправност, като проверява и оценява изправността на клиентските компютри, ограничава достъпа до мрежата до компютри, които не отговарят на тези изисквания, и коригира това несъответствие, за да осигури неограничен достъп до мрежата.

Когато инсталирате Windows, повечето от несъществените подсистеми не се активират или инсталират. Това се прави от съображения за сигурност. Тъй като системата е защитена по подразбиране, системни администраториможе да се съсредоточи върху проектирането на система, която ще изпълнява само възложените й функции и нищо повече. За помощ при включване желани функции, Windows ви подканва да изберете сървърна роля.

Роли

Сървърната роля е набор от програми, които, когато са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява специфична функция за множество потребители или други компютри в мрежа. Като цяло всички роли имат следните характеристики.

• Те определят основната функция, цел или цел на използването на компютър. Можете да определите компютър да играе една роля, която се използва силно в предприятието, или да играе множество роли, като всяка роля се използва само от време на време.
• Ролите дават на потребителите в цялата организация достъп до ресурси, които се управляват от други компютри, като уебсайтове, принтери или файлове, съхранявани на различни компютри.
• Те обикновено имат свои собствени бази данни, които подреждат потребителски или компютърни заявки или записват информация за мрежови потребители и компютри, свързани с роля. Например домейн услугите на Active Directory съдържат база данни за съхраняване на имената и йерархичните връзки на всички компютри в мрежата.
• Веднъж правилно инсталирани и конфигурирани, ролите функционират автоматично. Това позволява на компютрите, на които са инсталирани, да изпълняват възложени задачи с ограничено потребителско взаимодействие.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалностроли. Когато инсталирате роля, можете да изберете кои услуги предоставя на други потребители и компютри в предприятието. Някои роли, като DNS сървъра, изпълняват само една функция, така че за тях няма ролеви услуги. Други роли, като услугите за отдалечен работен плот, имат няколко услуги, които можете да инсталирате въз основа на нуждите на вашето предприятие от отдалечен достъп. Една роля може да се разглежда като съвкупност от тясно свързани, допълващи се ролеви услуги. В повечето случаи инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Компоненти

Компонентите са програми, които не са директно част от роли, но поддържат или разширяват функционалността на една или повече роли или на целия сървър, независимо кои роли са инсталирани. Например, Failover Cluster Tool разширява други роли, като файлови услуги и DHCP сървър, като им позволява да се присъединят към сървърни клъстери, което осигурява увеличено резервиране и производителност. Другият компонент, Telnet Client, позволява отдалечена комуникация със сървъра Telnet през мрежова връзка. Тази функция подобрява възможностите за комуникация на сървъра.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни роли:

• Сертификатни услуги на Active Directory;
• Домейн услуги на Active Directory;
• DHCP сървър
• DNS сървър;
• файлови услуги (включително мениджър на ресурси на файлов сървър);
• Active Directory леки справочни услуги;
• Hyper-V
• услуги за печат и документи;
• услуги за стрийминг на медия;
• уеб сървър (включително подмножество на ASP.NET);
• Windows Server Update Server;
• Сървър за управление на права на Active Directory;
• Сървър за маршрутизиране и отдалечен достъп и следните подчинени роли:
  • Брокер за връзка с отдалечен работен плот;
  • лицензиране;
  • виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните функции на сървъра:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Фонова интелигентна трансферна услуга (BITS);
• BitLocker Drive Encryption;
• BitLocker Network Unlock;
• BranchCache
• мост за център за данни;
• Подобрено съхранение;
• отказоустойчив клъстеринг;
• Многопътен I/O;
• балансиране на натоварването на мрежата;
• PNRP протокол;
• qWave;
• дистанционна диференциална компресия;
• прости TCP/IP услуги;
• RPC през HTTP прокси;
• SMTP сървър;
• SNMP услуга;
• Telnet клиент;
• telnet сървър;
• TFTP клиент;
• вътрешна база данни на Windows;
• Windows PowerShell Web Access;
• Услуга за активиране на Windows;
• стандартизирано управление на съхранението на Windows;
• IIS WinRM разширение;
• WINS сървър;
• Поддръжка на WoW64.

Инсталиране на сървърни роли с помощта на Server Manager

За да добавите, отворете Server Manager и в менюто Manage щракнете върху Add Roles and features:

Отваря се съветникът за добавяне на роли и функции. Щракнете Напред

Тип инсталация, изберете инсталация, базирана на роли или функция. Следващия:

Избор на сървър - изберете нашия сървър. Щракнете върху Следващи сървърни роли - Изберете роли, ако е необходимо, изберете ролеви услуги и щракнете върху Напред, за да изберете компоненти. По време на тази процедура съветникът за добавяне на роли и функции автоматично ви информира за конфликти на целевия сървър, които могат да попречат на инсталирането или нормалната работа на избраните роли или функции. Също така ще бъдете подканени да добавите ролите, ролевите услуги и функциите, изисквани от избраните роли или функции.

Инсталиране на роли с PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списъка с налични и инсталирани роли и функции на локалния сървър. Резултатът от тази кратка команда съдържа имената на командите за ролите и функциите, които са инсталирани и достъпни за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да видите синтаксиса и позволени параметриКратка команда Install-WindowsFeature (MAN).

Въведете следната команда (-Restart ще рестартира сървъра, ако инсталацията на ролята изисква рестартиране).

Install-WindowsFeature – Име -Рестартирам

Описание на роли и ролеви услуги

Всички роли и ролеви услуги са описани по-долу. Нека да разгледаме разширените настройки за най-често срещаната роля на уеб сървър и услуги за отдалечен работен плот в нашата практика.

Подробно описание на IIS

• Общи HTTP функции - основни HTTP компоненти
  • Документ по подразбиране - позволява ви да зададете индексната страница за сайта.
  • Преглед на директория - Позволява на потребителите да преглеждат съдържанието на директория на уеб сървър. Използвайте сърфиране в директория, за да генерирате автоматично списък с всички директории и файлове в директория, когато потребителите не посочат файл в URL адреса и индексната страница е деактивирана или не е конфигурирана
  • HTTP грешки - позволява ви да персонализирате съобщенията за грешки, връщани на клиентите в браузъра.
  • Статично съдържание - позволява ви да публикувате статично съдържание, като изображения или html файлове.
  • HTTP пренасочване - Осигурява поддръжка за пренасочване на потребителски заявки.
  • WebDAV Publishing ви позволява да публикувате файлове от уеб сървър, използвайки HTTP протокола.
• Здравни и диагностични функции - Диагностични компоненти
  • HTTP Logging осигурява регистриране на дейността на уебсайта за даден сървър.
  • Персонализираното регистриране осигурява поддръжка за създаване на персонализирани журнали, които са различни от "традиционните" журнали.
  • Logging Tools предоставя рамка за управление на регистрационните файлове на уеб сървъра и автоматизиране на общи задачи за регистриране.
  • ODBC Logging предоставя рамка, която поддържа регистриране на активността на уеб сървъра в ODBC-съвместима база данни.
  • Мониторът на заявки предоставя рамка за наблюдение на състоянието на уеб приложенията чрез събиране на информация за HTTP заявки в работен процес на IIS.
  • Проследяването предоставя рамка за диагностика и отстраняване на неизправности в уеб приложения. С помощта на проследяване на неуспешни заявки можете да проследявате трудни за намиране събития, като лоша производителност или грешки при удостоверяване.
• Компоненти за производителност за увеличаване на производителността на уеб сървъра.
  • Статичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на статично съдържание
  • Динамичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на динамично съдържание.
• Компоненти за сигурност
  • Филтрирането на заявки ви позволява да уловите всички входящи заявки и да ги филтрирате въз основа на правила, зададени от администратора.
  • Основното удостоверяване ви позволява да зададете допълнително разрешение
  • Централизираната поддръжка на SSL сертификат е функция, която ви позволява да съхранявате сертификати на централно място, като споделяне на файлове.
  • Удостоверяването на картографиране на клиентски сертификат използва клиентски сертификати за удостоверяване на потребителите.
  • Digest Authentication работи чрез изпращане на хеш парола към домейн контролер на Windows за удостоверяване на потребителите. Ако се нуждаете от повече сигурност от основното удостоверяване, помислете за използването на обобщено удостоверяване
  • IIS Client Certificate Mapping Authentication използва клиентски сертификати за удостоверяване на потребителите. Клиентският сертификат е цифров идентификатор, получен от доверен източник.
  • Ограниченията за IP и домейн ви позволяват да разрешите/откажете достъп въз основа на заявения IP адрес или име на домейн.
  • Упълномощаването на URL адрес ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
  • Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейн на Windows да се възползват от инфраструктурата на домейна за удостоверяване на потребителя.
• Функции за разработка на приложения
• FTP сървър
  • FTP услуга Позволява FTP публикуване на уеб сървър.
  • FTP Extensibility Позволява поддръжка за FTP функции, които разширяват функционалността на
• Инструменти за управление
  • IIS Management Console инсталира IIS Manager, който ви позволява да управлявате уеб сървъра чрез GUI
  • Съвместимостта на управлението на IIS 6.0 осигурява съвместимост напред за приложения и скриптове, които използват Admin Base Object (ABO) и интерфейса на директорийната услуга (ADSI) Active Directory API. Това позволява съществуващите скриптове на IIS 6.0 да бъдат използвани от уеб сървъра на IIS 8.0
  • Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за програмно управление на IIS уеб сървъра, чрез използване на команди в прозорец на командния ред или чрез изпълнение на скриптове.
  • Услугата за управление предоставя инфраструктурата за персонализиране на потребителския интерфейс, IIS Manager.

Подробно описание на RDS

• Брокер за връзка с отдалечен работен плот - Осигурява повторно свързване на клиентско устройство към програми въз основа на сесии на десктоп и виртуален десктоп.
• Шлюз за отдалечен работен плот - Позволява на оторизирани потребители да се свързват с виртуални настолни компютри, програми RemoteApp и базирани на сесия настолни компютри в корпоративна мрежа или през интернет.
• Лицензиране на отдалечен работен плот - RDP инструмент за управление на лицензи
• Хост на сесия на отдалечен работен плот - Включва сървър за хостване на програми на RemoteApp или базирана на десктоп сесия.
• Хост за виртуализация на отдалечен работен плот - позволява ви да конфигурирате RDP на виртуални машини
• Remote Desktop WebAccess - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или уеб браузър.

Помислете за инсталиране и конфигуриране на терминален лицензен сървър. Горното описва как да инсталирате роли, инсталирането на RDS не се различава от инсталирането на други роли, в Role Services трябва да изберем Remote Desktop Licensing и Remote Desktop Session Host. След инсталирането елементът Terminal Services ще се появи в Server Manager-Tools. Има два елемента в Terminal Services RD Licensing Diagnoser, това е инструмент за диагностициране на работата на лицензирането на отдалечен работен плот, и Remote Desktop Licensing Manager, това е инструмент за управление на лицензи.

Стартирайте RD Licensing Diagnoser

Тук можем да видим, че все още няма налични лицензи, тъй като режимът на лицензиране не е зададен за хост сървъра на RD Session. Сървърът за лицензи е посочен в правилата на локалната група. За да стартирате редактора, изпълнете командата gpedit.msc. Отваря се редакторът на локални групови правила. В дървото отляво разгънете разделите:

• Компютърна конфигурация
• Административни шаблони
• Компоненти на Windows
• Услуги за отдалечен работен плот
• Хост на сесия на отдалечен работен плот
• „Лицензиране“ (Лицензиране)

Отворете параметрите Използвайте посочените сървъри за лицензи за отдалечен работен плот

В прозореца за редактиране на настройките на правилата активирайте сървъра за лицензиране (Активирано). След това трябва да дефинирате сървър за лицензи за услуги за отдалечен работен плот. В моя пример сървърът за лицензи се намира на същия физически сървър. Посочете името на мрежата или IP адреса на лицензния сървър и щракнете върху OK. Ако името на сървъра, сървърът за лицензи ще се промени в бъдеще, ще трябва да го промените в същия раздел.

След това в RD Licensing Diagnoser можете да видите, че сървърът за терминални лицензи е конфигуриран, но не е активиран. За да активирате, стартирайте Remote Desktop Licensing Manager

Изберете сървъра за лицензиране със статус Неактивиран. За да активирате, щракнете с десния бутон върху него и изберете Активиране на сървъра. Ще се стартира съветникът за активиране на сървъра. В раздела Метод на свързване изберете Автоматично свързване. След това попълнете информацията за организацията, след което сървърът за лицензи се активира.

Сертификатни услуги на Active Directory

AD CS предоставя конфигурируеми услуги за издаване и управление на цифрови сертификати, които се използват в софтуерни системи за сигурност, които използват технологии с публичен ключ. Цифровите сертификати, предоставени от AD CS, могат да се използват за криптиране и цифрово подписване на електронни документи и съобщения цифрови сертификатиможе да се използва за удостоверяване на акаунти на компютър, потребител и устройство в мрежа Цифровите сертификати се използват за предоставяне на:

• поверителност чрез криптиране;
• почтеност чрез цифрови подписи;
• удостоверяване чрез свързване на ключове на сертификати към акаунти на компютър, потребител и устройство в мрежата.

AD CS може да се използва за подобряване на сигурността чрез обвързване на самоличността на потребител, устройство или услуга със съответния частен ключ. Употребите, поддържани от AD CS, включват сигурни многофункционални стандартни разширения за интернет поща (S/MIME), защитени безжична мрежа, виртуални частни мрежи (VPN), IPsec, криптираща файлова система (EFS), влизане със смарт карта, сигурност на трансфера на данни и сигурност на транспортния слой (SSL/TLS) и цифрови подписи.

Домейн услуги на Active Directory

С помощта на ролята на сървъра на Active Directory Domain Services (AD DS) можете да създадете мащабируема, защитена и управляема инфраструктура за управление на потребители и ресурси; можете също така да предоставите приложения с активирана директория, като Microsoft Exchange Server. Домейн услугите на Active Directory предоставят разпределена база данни, която съхранява информация за мрежови ресурсии данни за приложения с активирана директория и управлявайте тази информация. Сървърът, който изпълнява AD DS, се нарича домейн контролер. Администраторите могат да използват AD DS, за да организират мрежови елементи като потребители, компютри и други устройства в йерархична вложена структура. Йерархичната вложена структура включва гората на Active Directory, домейните в гората и организационните единици във всеки домейн. Функциите за сигурност са интегрирани в AD DS под формата на удостоверяване и контрол на достъпа до ресурсите в директорията. С единично влизане администраторите могат да управляват информацията в директорията и организацията в мрежата. Оторизираните мрежови потребители могат също да използват мрежово единично влизане за достъп до ресурси, разположени навсякъде в мрежата. Домейн услугите на Active Directory предоставят следните допълнителни функции.

• Набор от правила е схема, която дефинира класовете от обекти и атрибути, които се съдържат в дадена директория, ограниченията и ограниченията за екземплярите на тези обекти и формата на техните имена.
• Глобален каталог, съдържащ информация за всеки обект в каталога. Потребителите и администраторите могат да използват глобалния каталог за търсене на каталожни данни, независимо кой домейн в каталога всъщност съдържа търсените данни.
• Механизъм за заявка и индексиране, чрез който обектите и техните свойства могат да бъдат публикувани и локализирани потребители на мрежатаи приложения.
• Услуга за репликация, която разпространява данни от директория в мрежа. Всички записваеми домейн контролери в домейна участват в репликацията и съдържат пълно копие на всички данни от директория за своя домейн. Всички промени в данните на директорията се репликират в домейна към всички домейн контролери.
• Роли на ръководител на операции (известни също като гъвкави единични главни операции или FSMO). Домейн контролерите, които действат като господари на операциите, са проектирани да изпълняват специални задачи, за да осигурят последователност на данните и да избегнат противоречиви записи в директория.

Услуги за федерация на Active Directory

AD FS предоставя на крайни потребители, които се нуждаят от достъп до приложения в предприятие, защитено с AD FS, във федеративни партньорски организации или в облака с опростена и защитена федерация на идентичност и уеб услуги за единично влизане (SSO). Windows Server AD FS включва услуга за роли Федерална услуга, действаща като доставчик на идентичност (удостоверява потребителите да предоставят токени за сигурност на приложения, които се доверяват на AD FS) или като доставчик на федерация (прилага токени от други доставчици на идентичност и след това предоставя токени за сигурност на приложения, които се доверяват на AD FS).

Active Directory леки справочни услуги

Active Directory Lightweight Directory Services (AD LDS) е LDAP протокол, който осигурява гъвкава поддръжка за приложения на директория без зависимостите и специфичните за домейна ограничения на услугите за домейн на Active Directory. AD LDS може да се изпълнява на членски или самостоятелни сървъри. Можете да изпълнявате множество екземпляри на AD LDS с независимо управлявани схеми на един и същи сървър. С ролята на услугата AD LDS можете да предоставяте услуги за директория на приложения с активирана директория, без да използвате данни за домейн и горска услуга и без да изисквате една схема за цялата гора.

Услуги за управление на правата на Active Directory

Можете да използвате AD RMS, за да разширите стратегията за сигурност на вашата организация, като защитите документи с помощта на управление на правата за информация (IRM). AD RMS позволява на потребителите и администраторите да присвояват разрешения за достъп до документи, работни книги и презентации с помощта на IRM политики. Това ви позволява да защитите поверителната информация от отпечатване, препращане или копиране от неоторизирани потребители. След като разрешенията на файла са ограничени чрез IRM, ограниченията за достъп и използване се прилагат независимо от местоположението на информацията, тъй като разрешението за файла се съхранява в самия файл на документа. С AD RMS и IRM отделните потребители могат да прилагат свои собствени предпочитания по отношение на прехвърлянето на лична и поверителна информация. Те също така ще помогнат на организацията да наложи корпоративни политики за контрол на използването и разпространението на чувствителна и лична информация. Решенията за IRM, поддържани от AD RMS, се използват за предоставяне на следните възможности.

• Постоянни политики за използване, които остават с информация, независимо дали е преместена, изпратена или препратена.
• Допълнителен слой на поверителност за защита на чувствителни данни - като отчети, продуктови спецификации, информация за клиенти и имейл съобщения - от умишлено или случайно попадане в неподходящи ръце.
• Предотвратете неоторизирано изпращане, копиране, редактиране, отпечатване, изпращане по факс или поставяне на ограничено съдържание от упълномощени получатели.
• Предотвратете копирането на ограничено съдържание с помощта на функцията PRINT SCREEN в Microsoft Windows.
• Поддръжка за изтичане на файла, предотвратяване на преглед на съдържанието на документа след определен период от време.
• Прилагане на корпоративни политики, които управляват използването и разпространението на съдържание в рамките на организацията

Сървър за приложения

Сървърът на приложения предоставя интегрирана среда за внедряване и изпълнение на персонализирани бизнес приложения, базирани на сървър.

DHCP сървър

DHCP е технология клиент-сървър, която позволява на DHCP сървърите да присвояват или наемат IP адреси на компютри и други устройства, които са DHCP клиенти. Разполагането на DHCP сървъри в мрежа автоматично предоставя на клиентските компютри и други мрежови устройства базирани на IPv4 и IPv6 валидни IP адреси и допълнителни настройки за конфигурация, изисквани от тези клиенти и устройства.Услугата DHCP сървър в Windows Server включва поддръжка за присвоявания, базирани на политики, и DHCP отказ.

DNS сървър

DNS услугата е йерархична разпределена база данни, съдържаща съпоставяне на имената на DNS домейни към различни типове данни, като например IP адреси. DNS услугата ви позволява да използвате приятелски имена като www.microsoft.com, за да ви помогне да намерите компютри и други ресурси в мрежи, базирани на TCP/IP. DNS услугата в Windows Server предоставя допълнителна подобрена поддръжка за DNS модули за сигурност (DNSSEC), включително мрежова регистрация и автоматизирано управление на настройките.

ФАКС сървър

Факс сървърът изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на вашия факс сървър.

Услуги за файлове и съхранение

Администраторите могат да използват ролята на File and Storage Services, за да настроят множество файлови сървъри и техните хранилища и да управляват тези сървъри с помощта на Server Manager или Windows PowerShell. Някои конкретни приложения включват следните функции.

• работни папки. Използвайте, за да позволите на потребителите да съхраняват и имат достъп до работни файлове на персонални компютри и устройства, различни от корпоративни компютри. Потребителите получават удобно място за съхранение на работни файлове и достъп до тях отвсякъде. Организациите контролират корпоративните данни, като съхраняват файлове на централно управлявани файлови сървъри и по желание задават правила за потребителско устройство (като криптиране и пароли за заключване на екрана).
• Дедупликация на данни. Използвайте, за да намалите изискванията за дисково пространство за съхранение на файлове, спестявайки пари за съхранение.
• iSCSI целеви сървър. Използвайте за създаване на централизирани, независими от софтуера и устройството iSCSI дискови подсистеми в мрежи за съхранение (SAN).
• Дискови пространства. Използвайте за внедряване на хранилище, което е високодостъпно, устойчиво и мащабируемо с рентабилни, стандартни за индустрията устройства.
• Мениджър на сървъра. Използвай за дистанционномножество файлови сървъри от един прозорец.
• Windows PowerShell. Използвайте за автоматизиране на управлението на повечето административни задачи на файлов сървър.

Hyper-V

Ролята Hyper-V ви позволява да създавате и управлявате виртуализирана изчислителна среда с помощта на технологията за виртуализация, вградена в Windows Server. Инсталирането на ролята на Hyper-V инсталира предпоставки и незадължителни инструменти за управление. Необходимите компоненти включват хипервизор на Windows, услуга за управление на виртуализация, Hyper-V машини, доставчик на виртуализация на WMI и компоненти за виртуализация като VMbus, доставчик на услуги за виртуализация (VSP) и драйвер за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Услугите за мрежова политика и достъп предоставят следните решения за мрежова свързаност:

• Защитата на мрежовия достъп е технология за създаване, налагане и коригиране на политики за изправност на клиента. Със защитата на достъпа до мрежата системните администратори могат да задават и автоматично да налагат политики за здраве, които включват изисквания за софтуер, актуализации на защитата и други настройки. За клиентски компютри, които не отговарят на политиката за изправност, можете да ограничите достъпа до мрежата, докато конфигурацията им не бъде актуализирана, за да отговаря на изискванията на политиката.
• Ако са внедрени 802.1X-активирани безжични точки за достъп, можете да използвате Network Policy Server (NPS) за внедряване на базирани на сертификати методи за удостоверяване, които са по-сигурни от удостоверяването, базирано на парола. Разполагането на хардуер с активиран 802.1X с NPS сървър позволява на потребителите на интранет да бъдат удостоверени, преди да могат да се свържат към мрежата или да получат IP адрес от DHCP сървър.
• Вместо да конфигурирате политика за мрежов достъп на всеки сървър за мрежов достъп, можете централно да създадете всички политики, които определят всички аспекти на заявките за мрежова връзка (кой може да се свързва, кога връзката е разрешена, нивото на защита, което трябва да се използва за свързване към мрежата) ).

Услуги за печат и документи

Услугите за печат и документи ви позволяват да централизирате задачите на сървъра за печат и мрежовия принтер. Тази роля също ви позволява да получавате сканирани документи от мрежови скенери и да качвате документи в мрежови споделени сайтове - сайт на Windows SharePoint Services или електронна поща.

отдалечен достъп

Ролята на сървъра за отдалечен достъп е логическо групиране на следните технологии за мрежов достъп.

• Директен достъп
• Маршрутизиране и отдалечен достъп
• Прокси за уеб приложение

Тези технологии са ролеви услугироля на сървър за отдалечен достъп. Когато инсталирате ролята на сървър за отдалечен достъп, можете да инсталирате една или повече ролеви услуги, като стартирате съветника за добавяне на роли и функции.

В Windows Server ролята на Remote Access Server предоставя възможност за централно администриране, конфигуриране и наблюдение на DirectAccess и VPN с Routing and Remote Access Service (RRAS) услуги за отдалечен достъп. DirectAccess и RRAS могат да бъдат внедрени на един и същ Edge сървър и управлявани чрез Windows команди PowerShell и конзола за управление на отдалечен достъп (MMC).

Услуги за отдалечен работен плот

Услугите за отдалечен работен плот ускоряват и разширяват внедряването на настолни компютри и приложения на всяко устройство, като правят отдалечения работник по-ефективен, като същевременно осигурява критична интелектуална собственост и опростява съответствието. Услугите за отдалечен работен плот включват инфраструктура за виртуален работен плот (VDI), настолни компютри, базирани на сесии, и приложения, които дават възможност на потребителите да работят отвсякъде.

Услуги за обемно активиране

Услугите за активиране на корпоративни лицензи са сървърна роля в Windows Server, започваща с Windows Server 2012, която автоматизира и опростява издаването и управлението на корпоративни лицензи за софтуер на Microsoft в различни сценарии и среди. Заедно с услугите за активиране на корпоративни лицензи можете да инсталирате и конфигурирате услугата за управление на ключове (KMS) и активиране на Active Directory.

Уеб сървър (IIS)

Ролята на уеб сървъра (IIS) в Windows Server предоставя платформа за хостване на уеб сайтове, услуги и приложения. Използването на уеб сървър осигурява достъп до информация на потребителите в Интернет, интранет и екстранет. Администраторите могат да използват ролята на уеб сървър (IIS), за да настроят и управляват множество уебсайтове, уеб приложения и FTP сайтове. Специалните функции включват следното.

• Използвайте диспечера на Интернет информационни услуги (IIS), за да конфигурирате IIS компоненти и да администрирате уебсайтове.
• Използване на FTP протокола, за да позволи на собствениците на уебсайтове да качват и изтеглят файлове.
• Използване на изолация на уебсайт, за да се предотврати влиянието на един уебсайт на сървъра върху други.
• Персонализиране на уеб приложения, разработени чрез различни технологии като Classic ASP, ASP.NET и PHP.
• Използвайте Windows PowerShell за автоматично управление на повечето административни задачи на уеб сървъра.
• Консолидирайте множество уеб сървъри в сървърна група, която може да се управлява с помощта на IIS.

Услуги за разполагане на Windows

Услугите за разполагане на Windows ви позволяват да внедрявате операционни системи Windows по мрежа, което означава, че не е необходимо да инсталирате всяка операционна система директно от CD или DVD.

Windows Server Essentials Experience

Тази роля ви позволява да изпълнявате следните задачи:

• защита на сървърните и клиентските данни чрез архивиране на сървъра и всички клиентски компютри в мрежата;
• управлявайте потребители и потребителски групи чрез опростено табло за управление на сървъра. В допълнение, интеграцията с Windows Azure Active Directory* предоставя на потребителите лесен достъп до онлайн онлайн услуги на Microsoft (като Office 365, Exchange Online и SharePoint Online), използвайки идентификационните данни на своя домейн;
• съхранява фирмени данни на централизирано място;
• интегрирайте сървъра с Microsoft Online Services (като Office 365, Exchange Online, SharePoint Online и Windows Intune):
• използване на повсеместни функции за достъп на сървъра (като отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, мрежови компютри и данни от високо защитени отдалечени местоположения;
• достъп до данни от всяко място и от всяко устройство, използвайки собствения уеб портал на организацията (чрез отдалечен уеб достъп);
• управлявам мобилни устройстваТези, които имат достъп до имейла на вашата организация с Office 365, използвайки протокола Active Sync от таблото за управление.
• наблюдавайте изправността на мрежата и получавате персонализирани отчети за изправност; отчетите могат да се генерират при поискване, персонализирани и изпратени по имейл до конкретни получатели.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компонентите, от които администраторите се нуждаят, за да управляват и разпространяват актуализации чрез конзолата за управление. Освен това WSUS сървърът може да бъде източник на актуализации за други WSUS сървъри в организацията. Когато внедрявате WSUS, поне един WSUS сървър в мрежата трябва да бъде свързан към Microsoft Update, за да получава информация за наличните актуализации. В зависимост от сигурността и конфигурацията на мрежата, администраторът може да определи колко други сървъра са директно свързани към Microsoft Update.

Когато инсталирате Windows, повечето от несъществените подсистеми не се активират или инсталират. Това се прави от съображения за сигурност. Тъй като системата е защитена по подразбиране, системните администратори могат да се съсредоточат върху проектирането на система, която прави това, което прави, и нищо повече. За да ви помогне да активирате функциите, които искате, Windows ви подканва да изберете сървърна роля.

Роли

Сървърната роля е набор от програми, които, когато са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява специфична функция за множество потребители или други компютри в мрежа. Като цяло всички роли имат следните характеристики.

• Те определят основната функция, цел или цел на използването на компютър. Можете да определите компютър да играе една роля, която се използва силно в предприятието, или да играе множество роли, като всяка роля се използва само от време на време.
• Ролите дават на потребителите в цялата организация достъп до ресурси, които се управляват от други компютри, като уебсайтове, принтери или файлове, съхранявани на различни компютри.
• Те обикновено имат свои собствени бази данни, които подреждат потребителски или компютърни заявки или записват информация за мрежови потребители и компютри, свързани с роля. Например домейн услугите на Active Directory съдържат база данни за съхраняване на имената и йерархичните връзки на всички компютри в мрежата.
• Веднъж правилно инсталирани и конфигурирани, ролите функционират автоматично. Това позволява на компютрите, на които са инсталирани, да изпълняват възложени задачи с ограничено потребителско взаимодействие.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалността на дадена роля. Когато инсталирате роля, можете да изберете кои услуги предоставя на други потребители и компютри в предприятието. Някои роли, като DNS сървъра, изпълняват само една функция, така че за тях няма ролеви услуги. Други роли, като услугите за отдалечен работен плот, имат няколко услуги, които можете да инсталирате въз основа на нуждите на вашето предприятие от отдалечен достъп. Една роля може да се разглежда като съвкупност от тясно свързани, допълващи се ролеви услуги. В повечето случаи инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Компоненти

Компонентите са програми, които не са директно част от роли, но поддържат или разширяват функционалността на една или повече роли или на целия сървър, независимо кои роли са инсталирани. Например, Failover Cluster Tool разширява други роли, като файлови услуги и DHCP сървър, като им позволява да се присъединят към сървърни клъстери, което осигурява увеличено резервиране и производителност. Другият компонент, Telnet Client, позволява отдалечена комуникация със сървъра Telnet през мрежова връзка. Тази функция подобрява възможностите за комуникация на сървъра.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни роли:

• Сертификатни услуги на Active Directory;
• Домейн услуги на Active Directory;
• DHCP сървър
• DNS сървър;
• файлови услуги (включително мениджър на ресурси на файлов сървър);
• Active Directory леки справочни услуги;
• Hyper-V
• услуги за печат и документи;
• услуги за стрийминг на медия;
• уеб сървър (включително подмножество на ASP.NET);
• Windows Server Update Server;
• Сървър за управление на права на Active Directory;
• Сървър за маршрутизиране и отдалечен достъп и следните подчинени роли:
  • Брокер за връзка с отдалечен работен плот;
  • лицензиране;
  • виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните функции на сървъра:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Фонова интелигентна трансферна услуга (BITS);
• BitLocker Drive Encryption;
• BitLocker Network Unlock;
• BranchCache
• мост за център за данни;
• Подобрено съхранение;
• отказоустойчив клъстеринг;
• Многопътен I/O;
• балансиране на натоварването на мрежата;
• PNRP протокол;
• qWave;
• дистанционна диференциална компресия;
• прости TCP/IP услуги;
• RPC през HTTP прокси;
• SMTP сървър;
• SNMP услуга;
• Telnet клиент;
• telnet сървър;
• TFTP клиент;
• вътрешна база данни на Windows;
• Windows PowerShell Web Access;
• Услуга за активиране на Windows;
• стандартизирано управление на съхранението на Windows;
• IIS WinRM разширение;
• WINS сървър;
• Поддръжка на WoW64.

Инсталиране на сървърни роли с помощта на Server Manager

За да добавите, отворете Server Manager и в менюто Manage щракнете върху Add Roles and features:

Отваря се съветникът за добавяне на роли и функции. Щракнете Напред

Тип инсталация, изберете инсталация, базирана на роли или функция. Следващия:

Избор на сървър - изберете нашия сървър. Щракнете върху Следващи сървърни роли - Изберете роли, ако е необходимо, изберете ролеви услуги и щракнете върху Напред, за да изберете компоненти. По време на тази процедура съветникът за добавяне на роли и функции автоматично ви информира за конфликти на целевия сървър, които могат да попречат на инсталирането или нормалната работа на избраните роли или функции. Също така ще бъдете подканени да добавите ролите, ролевите услуги и функциите, изисквани от избраните роли или функции.

Инсталиране на роли с PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списъка с налични и инсталирани роли и функции на локалния сървър. Резултатът от тази кратка команда съдържа имената на командите за ролите и функциите, които са инсталирани и достъпни за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да видите синтаксиса и валидните параметри за кратката команда Install-WindowsFeature (MAN).

Въведете следната команда (-Restart ще рестартира сървъра, ако инсталацията на ролята изисква рестартиране).

Инсталиране-WindowsFeature –Име -Рестартиране

Описание на роли и ролеви услуги

Всички роли и ролеви услуги са описани по-долу. Нека да разгледаме разширените настройки за най-често срещаната роля на уеб сървър и услуги за отдалечен работен плот в нашата практика.

Подробно описание на IIS

• Общи HTTP функции - основни HTTP компоненти
  • Документ по подразбиране - позволява ви да зададете индексната страница за сайта.
  • Преглед на директория - Позволява на потребителите да преглеждат съдържанието на директория на уеб сървър. Използвайте сърфиране в директория, за да генерирате автоматично списък с всички директории и файлове в директория, когато потребителите не посочат файл в URL адреса и индексната страница е деактивирана или не е конфигурирана
  • HTTP грешки - позволява ви да персонализирате съобщенията за грешки, връщани на клиентите в браузъра.
  • Статично съдържание - позволява ви да публикувате статично съдържание, като изображения или html файлове.
  • HTTP пренасочване - Осигурява поддръжка за пренасочване на потребителски заявки.
  • WebDAV Publishing ви позволява да публикувате файлове от уеб сървър, използвайки HTTP протокола.
• Здравни и диагностични функции - Диагностични компоненти
  • HTTP Logging осигурява регистриране на дейността на уебсайта за даден сървър.
  • Персонализираното регистриране осигурява поддръжка за създаване на персонализирани журнали, които са различни от "традиционните" журнали.
  • Logging Tools предоставя рамка за управление на регистрационните файлове на уеб сървъра и автоматизиране на общи задачи за регистриране.
  • ODBC Logging предоставя рамка, която поддържа регистриране на активността на уеб сървъра в ODBC-съвместима база данни.
  • Мониторът на заявки предоставя рамка за наблюдение на състоянието на уеб приложенията чрез събиране на информация за HTTP заявки в работен процес на IIS.
  • Проследяването предоставя рамка за диагностика и отстраняване на неизправности в уеб приложения. С помощта на проследяване на неуспешни заявки можете да проследявате трудни за намиране събития, като лоша производителност или грешки при удостоверяване.
• Компоненти за производителност за увеличаване на производителността на уеб сървъра.
  • Статичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на статично съдържание
  • Динамичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на динамично съдържание.
• Компоненти за сигурност
  • Филтрирането на заявки ви позволява да уловите всички входящи заявки и да ги филтрирате въз основа на правила, зададени от администратора.
  • Основното удостоверяване ви позволява да зададете допълнително разрешение
  • Централизираната поддръжка на SSL сертификат е функция, която ви позволява да съхранявате сертификати на централно място, като споделяне на файлове.
  • Удостоверяването на картографиране на клиентски сертификат използва клиентски сертификати за удостоверяване на потребителите.
  • Digest Authentication работи чрез изпращане на хеш парола към домейн контролер на Windows за удостоверяване на потребителите. Ако се нуждаете от повече сигурност от основното удостоверяване, помислете за използването на обобщено удостоверяване
  • IIS Client Certificate Mapping Authentication използва клиентски сертификати за удостоверяване на потребителите. Клиентският сертификат е цифров идентификатор, получен от доверен източник.
  • Ограниченията за IP и домейн ви позволяват да разрешите/откажете достъп въз основа на заявения IP адрес или име на домейн.
  • Упълномощаването на URL адрес ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
  • Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейн на Windows да се възползват от инфраструктурата на домейна за удостоверяване на потребителя.
• Функции за разработка на приложения
• FTP сървър
  • FTP услуга Позволява FTP публикуване на уеб сървър.
  • FTP Extensibility Позволява поддръжка за FTP функции, които разширяват функционалността на
• Инструменти за управление
  • IIS Management Console инсталира IIS Manager, който ви позволява да управлявате уеб сървъра чрез GUI
  • Съвместимостта на управлението на IIS 6.0 осигурява съвместимост напред за приложения и скриптове, които използват Admin Base Object (ABO) и интерфейса на директорийната услуга (ADSI) Active Directory API. Това позволява съществуващите скриптове на IIS 6.0 да бъдат използвани от уеб сървъра на IIS 8.0
  • Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за програмно управление на IIS уеб сървъра, чрез използване на команди в прозорец на командния ред или чрез изпълнение на скриптове.
  • Услугата за управление предоставя инфраструктурата за персонализиране на потребителския интерфейс, IIS Manager.

Подробно описание на RDS

• Брокер за връзка с отдалечен работен плот - Осигурява повторно свързване на клиентско устройство към програми въз основа на сесии на десктоп и виртуален десктоп.
• Шлюз за отдалечен работен плот - Позволява на оторизирани потребители да се свързват с виртуални настолни компютри, програми RemoteApp и базирани на сесия настолни компютри в корпоративна мрежа или през интернет.
• Лицензиране на отдалечен работен плот - RDP инструмент за управление на лицензи
• Хост на сесия на отдалечен работен плот - Включва сървър за хостване на програми на RemoteApp или базирана на десктоп сесия.
• Хост за виртуализация на отдалечен работен плот - позволява ви да конфигурирате RDP на виртуални машини
• Remote Desktop WebAccess - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или уеб браузър.

Помислете за инсталиране и конфигуриране на терминален лицензен сървър. Горното описва как да инсталирате роли, инсталирането на RDS не се различава от инсталирането на други роли, в Role Services трябва да изберем Remote Desktop Licensing и Remote Desktop Session Host. След инсталирането елементът Terminal Services ще се появи в Server Manager-Tools. Има два елемента в Terminal Services RD Licensing Diagnoser, това е инструмент за диагностициране на работата на лицензирането на отдалечен работен плот, и Remote Desktop Licensing Manager, това е инструмент за управление на лицензи.

Стартирайте RD Licensing Diagnoser

Тук можем да видим, че все още няма налични лицензи, тъй като режимът на лицензиране не е зададен за хост сървъра на RD Session. Сървърът за лицензи е посочен в правилата на локалната група. За да стартирате редактора, изпълнете командата gpedit.msc. Отваря се редакторът на локални групови правила. В дървото отляво разгънете разделите:

• Компютърна конфигурация
• Административни шаблони
• Компоненти на Windows
• Услуги за отдалечен работен плот
• Хост на сесия на отдалечен работен плот
• „Лицензиране“ (Лицензиране)

Отворете параметрите Използвайте посочените сървъри за лицензи за отдалечен работен плот

В прозореца за редактиране на настройките на правилата активирайте сървъра за лицензиране (Активирано). След това трябва да дефинирате сървър за лицензи за услуги за отдалечен работен плот. В моя пример сървърът за лицензи се намира на същия физически сървър. Посочете името на мрежата или IP адреса на лицензния сървър и щракнете върху OK. Ако името на сървъра, сървърът за лицензи ще се промени в бъдеще, ще трябва да го промените в същия раздел.

След това в RD Licensing Diagnoser можете да видите, че сървърът за терминални лицензи е конфигуриран, но не е активиран. За да активирате, стартирайте Remote Desktop Licensing Manager

Изберете сървъра за лицензиране със статус Неактивиран. За да активирате, щракнете с десния бутон върху него и изберете Активиране на сървъра. Ще се стартира съветникът за активиране на сървъра. В раздела Метод на свързване изберете Автоматично свързване. След това попълнете информацията за организацията, след което сървърът за лицензи се активира.

Сертификатни услуги на Active Directory

AD CS предоставя конфигурируеми услуги за издаване и управление на цифрови сертификати, които се използват в софтуерни системи за сигурност, които използват технологии с публичен ключ. Цифровите сертификати, предоставени от AD CS, могат да се използват за криптиране и цифрово подписване на електронни документи и съобщения. Тези цифрови сертификати могат да се използват за удостоверяване на акаунти на компютър, потребител и устройство в мрежата. Цифровите сертификати се използват за предоставяне на:

• поверителност чрез криптиране;
• почтеност чрез цифрови подписи;
• удостоверяване чрез свързване на ключове на сертификати към акаунти на компютър, потребител и устройство в мрежата.

AD CS може да се използва за подобряване на сигурността чрез обвързване на самоличността на потребител, устройство или услуга със съответния частен ключ. Приложенията, поддържани от AD CS, включват защитени многофункционални стандартни разширения за интернет поща (S/MIME), защитени безжични мрежи, виртуални частни мрежи (VPN), IPsec, криптираща файлова система (EFS), влизане със смарт карта, защита и протокол за сигурност на транспортния слой (SSL/TLS) и цифрови подписи.

Домейн услуги на Active Directory

С помощта на ролята на сървъра на Active Directory Domain Services (AD DS) можете да създадете мащабируема, защитена и управляема инфраструктура за управление на потребители и ресурси; можете също така да предоставите приложения с активирана директория, като Microsoft Exchange Server. Домейн услугите на Active Directory предоставят разпределена база данни, която съхранява и управлява информация за мрежови ресурси и данни за приложения с активирана директория. Сървърът, който изпълнява AD DS, се нарича домейн контролер. Администраторите могат да използват AD DS, за да организират мрежови елементи като потребители, компютри и други устройства в йерархична вложена структура. Йерархичната вложена структура включва гората на Active Directory, домейните в гората и организационните единици във всеки домейн. Функциите за сигурност са интегрирани в AD DS под формата на удостоверяване и контрол на достъпа до ресурсите в директорията. С единично влизане администраторите могат да управляват информацията в директорията и организацията в мрежата. Оторизираните мрежови потребители могат също да използват мрежово единично влизане за достъп до ресурси, разположени навсякъде в мрежата. Домейн услугите на Active Directory предоставят следните допълнителни функции.

• Набор от правила е схема, която дефинира класовете от обекти и атрибути, които се съдържат в дадена директория, ограниченията и ограниченията за екземплярите на тези обекти и формата на техните имена.
• Глобален каталог, съдържащ информация за всеки обект в каталога. Потребителите и администраторите могат да използват глобалния каталог за търсене на каталожни данни, независимо кой домейн в каталога всъщност съдържа търсените данни.
• Механизъм за заявки и индексиране, чрез който обекти и техните свойства могат да бъдат публикувани и локализирани от мрежови потребители и приложения.
• Услуга за репликация, която разпространява данни от директория в мрежа. Всички записваеми домейн контролери в домейна участват в репликацията и съдържат пълно копие на всички данни от директория за своя домейн. Всички промени в данните на директорията се репликират в домейна към всички домейн контролери.
• Роли на ръководител на операции (известни също като гъвкави единични главни операции или FSMO). Домейн контролерите, които действат като господари на операциите, са проектирани да изпълняват специални задачи, за да осигурят последователност на данните и да избегнат противоречиви записи в директория.

Услуги за федерация на Active Directory

AD FS предоставя на крайни потребители, които се нуждаят от достъп до приложения в предприятие, защитено с AD FS, във федеративни партньорски организации или в облака с опростена и защитена федерация на идентичност и уеб услуги за единично влизане (SSO). Windows Server AD FS включва услуга за роли Федерална услуга, действаща като доставчик на идентичност (удостоверява потребителите да предоставят токени за сигурност на приложения, които се доверяват на AD FS) или като доставчик на федерация (прилага токени от други доставчици на идентичност и след това предоставя токени за сигурност на приложения, които се доверяват на AD FS).

Active Directory леки справочни услуги

Active Directory Lightweight Directory Services (AD LDS) е LDAP протокол, който осигурява гъвкава поддръжка за приложения на директория без зависимостите и специфичните за домейна ограничения на услугите за домейн на Active Directory. AD LDS може да се изпълнява на членски или самостоятелни сървъри. Можете да изпълнявате множество екземпляри на AD LDS с независимо управлявани схеми на един и същи сървър. С ролята на услугата AD LDS можете да предоставяте услуги за директория на приложения с активирана директория, без да използвате данни за домейн и горска услуга и без да изисквате една схема за цялата гора.

Услуги за управление на правата на Active Directory

Можете да използвате AD RMS, за да разширите стратегията за сигурност на вашата организация, като защитите документи с помощта на управление на правата за информация (IRM). AD RMS позволява на потребителите и администраторите да присвояват разрешения за достъп до документи, работни книги и презентации с помощта на IRM политики. Това ви позволява да защитите поверителната информация от отпечатване, препращане или копиране от неоторизирани потребители. След като разрешенията на файла са ограничени чрез IRM, ограниченията за достъп и използване се прилагат независимо от местоположението на информацията, тъй като разрешението за файла се съхранява в самия файл на документа. С AD RMS и IRM отделните потребители могат да прилагат свои собствени предпочитания по отношение на прехвърлянето на лична и поверителна информация. Те също така ще помогнат на организацията да наложи корпоративни политики за контрол на използването и разпространението на чувствителна и лична информация. Решенията за IRM, поддържани от AD RMS, се използват за предоставяне на следните възможности.

• Постоянни политики за използване, които остават с информация, независимо дали е преместена, изпратена или препратена.
• Допълнителен слой на поверителност за защита на чувствителни данни - като отчети, продуктови спецификации, информация за клиенти и имейл съобщения - от умишлено или случайно попадане в неподходящи ръце.
• Предотвратете неоторизирано изпращане, копиране, редактиране, отпечатване, изпращане по факс или поставяне на ограничено съдържание от упълномощени получатели.
• Предотвратете копирането на ограничено съдържание с помощта на функцията PRINT SCREEN в Microsoft Windows.
• Поддръжка за изтичане на файла, предотвратяване на преглед на съдържанието на документа след определен период от време.
• Прилагане на корпоративни политики, които управляват използването и разпространението на съдържание в рамките на организацията

Сървър за приложения

Сървърът на приложения предоставя интегрирана среда за внедряване и изпълнение на персонализирани бизнес приложения, базирани на сървър.

DHCP сървър

DHCP е технология клиент-сървър, която позволява на DHCP сървърите да присвояват или наемат IP адреси на компютри и други устройства, които са DHCP клиенти. Разполагането на DHCP сървъри в мрежа автоматично предоставя на клиентските компютри и други мрежови устройства базирани на IPv4 и IPv6 валидни IP адреси и допълнителни настройки за конфигурация, изисквани от тези клиенти и устройства.Услугата DHCP сървър в Windows Server включва поддръжка за присвоявания, базирани на политики, и DHCP отказ.

DNS сървър

DNS услугата е йерархична разпределена база данни, съдържаща съпоставяне на имената на DNS домейни към различни типове данни, като например IP адреси. DNS услугата ви позволява да използвате приятелски имена като www.microsoft.com, за да ви помогне да намерите компютри и други ресурси в мрежи, базирани на TCP/IP. DNS услугата в Windows Server предоставя допълнителна подобрена поддръжка за DNS модули за сигурност (DNSSEC), включително мрежова регистрация и автоматизирано управление на настройките.

ФАКС сървър

Факс сървърът изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на вашия факс сървър.

Услуги за файлове и съхранение

Администраторите могат да използват ролята на File and Storage Services, за да настроят множество файлови сървъри и техните хранилища и да управляват тези сървъри с помощта на Server Manager или Windows PowerShell. Някои конкретни приложения включват следните функции.

• работни папки. Използвайте, за да позволите на потребителите да съхраняват и имат достъп до работни файлове на персонални компютри и устройства, различни от корпоративни компютри. Потребителите получават удобно място за съхранение на работни файлове и достъп до тях отвсякъде. Организациите контролират корпоративните данни, като съхраняват файлове на централно управлявани файлови сървъри и по желание задават правила за потребителско устройство (като криптиране и пароли за заключване на екрана).
• Дедупликация на данни. Използвайте, за да намалите изискванията за дисково пространство за съхранение на файлове, спестявайки пари за съхранение.
• iSCSI целеви сървър. Използвайте за създаване на централизирани, независими от софтуера и устройството iSCSI дискови подсистеми в мрежи за съхранение (SAN).
• Дискови пространства. Използвайте за внедряване на хранилище, което е високодостъпно, устойчиво и мащабируемо с рентабилни, стандартни за индустрията устройства.
• Мениджър на сървъра. Използвайте за дистанционно управление на множество файлови сървъри от един прозорец.
• Windows PowerShell. Използвайте за автоматизиране на управлението на повечето административни задачи на файлов сървър.

Hyper-V

Ролята Hyper-V ви позволява да създавате и управлявате виртуализирана изчислителна среда с помощта на технологията за виртуализация, вградена в Windows Server. Инсталирането на ролята на Hyper-V инсталира предпоставки и незадължителни инструменти за управление. Предпоставките включват хипервизор на Windows, услуга за управление на виртуална машина Hyper-V, доставчик на виртуализация на WMI и компоненти за виртуализация като VMbus, доставчик на услуги за виртуализация (VSP) и драйвер за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Услугите за мрежова политика и достъп предоставят следните решения за мрежова свързаност:

• Защитата на мрежовия достъп е технология за създаване, налагане и коригиране на политики за изправност на клиента. Със защитата на достъпа до мрежата системните администратори могат да задават и автоматично да налагат политики за здраве, които включват изисквания за софтуер, актуализации на защитата и други настройки. За клиентски компютри, които не отговарят на политиката за изправност, можете да ограничите достъпа до мрежата, докато конфигурацията им не бъде актуализирана, за да отговаря на изискванията на политиката.
• Ако са внедрени 802.1X-активирани безжични точки за достъп, можете да използвате Network Policy Server (NPS) за внедряване на базирани на сертификати методи за удостоверяване, които са по-сигурни от удостоверяването, базирано на парола. Разполагането на хардуер с активиран 802.1X с NPS сървър позволява на потребителите на интранет да бъдат удостоверени, преди да могат да се свържат към мрежата или да получат IP адрес от DHCP сървър.
• Вместо да конфигурирате политика за мрежов достъп на всеки сървър за мрежов достъп, можете централно да създадете всички политики, които определят всички аспекти на заявките за мрежова връзка (кой може да се свързва, кога връзката е разрешена, нивото на защита, което трябва да се използва за свързване към мрежата) ).

Услуги за печат и документи

Услугите за печат и документи ви позволяват да централизирате задачите на сървъра за печат и мрежовия принтер. Тази роля също така ви позволява да получавате сканирани документи от мрежови скенери и да качвате документи в мрежови споделени файлове - към сайт на Windows SharePoint Services или по имейл.

отдалечен достъп

Ролята на сървъра за отдалечен достъп е логическо групиране на следните технологии за мрежов достъп.

• Директен достъп
• Маршрутизиране и отдалечен достъп
• Прокси за уеб приложение

Тези технологии са ролеви услугироля на сървър за отдалечен достъп. Когато инсталирате ролята на сървър за отдалечен достъп, можете да инсталирате една или повече ролеви услуги, като стартирате съветника за добавяне на роли и функции.

В Windows Server ролята на Remote Access Server предоставя възможност за централно администриране, конфигуриране и наблюдение на DirectAccess и VPN с Routing and Remote Access Service (RRAS) услуги за отдалечен достъп. DirectAccess и RRAS могат да бъдат внедрени на един и същ Edge сървър и управлявани с помощта на команди на Windows PowerShell и конзола за управление на отдалечен достъп (MMC).

Услуги за отдалечен работен плот

Услугите за отдалечен работен плот ускоряват и разширяват внедряването на настолни компютри и приложения на всяко устройство, като правят отдалечения работник по-ефективен, като същевременно осигурява критична интелектуална собственост и опростява съответствието. Услугите за отдалечен работен плот включват инфраструктура за виртуален работен плот (VDI), настолни компютри, базирани на сесии, и приложения, които дават възможност на потребителите да работят отвсякъде.

Услуги за обемно активиране

Услугите за активиране на корпоративни лицензи са сървърна роля в Windows Server, започваща с Windows Server 2012, която автоматизира и опростява издаването и управлението на корпоративни лицензи за софтуер на Microsoft в различни сценарии и среди. Заедно с услугите за активиране на корпоративни лицензи можете да инсталирате и конфигурирате услугата за управление на ключове (KMS) и активиране на Active Directory.

Уеб сървър (IIS)

Ролята на уеб сървъра (IIS) в Windows Server предоставя платформа за хостване на уеб сайтове, услуги и приложения. Използването на уеб сървър осигурява достъп до информация на потребителите в Интернет, интранет и екстранет. Администраторите могат да използват ролята на уеб сървър (IIS), за да настроят и управляват множество уебсайтове, уеб приложения и FTP сайтове. Специалните функции включват следното.

• Използвайте диспечера на Интернет информационни услуги (IIS), за да конфигурирате IIS компоненти и да администрирате уебсайтове.
• Използване на FTP протокола, за да позволи на собствениците на уебсайтове да качват и изтеглят файлове.
• Използване на изолация на уебсайт, за да се предотврати влиянието на един уебсайт на сървъра върху други.
• Персонализиране на уеб приложения, разработени чрез различни технологии като Classic ASP, ASP.NET и PHP.
• Използвайте Windows PowerShell за автоматично управление на повечето административни задачи на уеб сървъра.
• Консолидирайте множество уеб сървъри в сървърна група, която може да се управлява с помощта на IIS.

Услуги за разполагане на Windows

Услугите за разполагане на Windows ви позволяват да внедрявате операционни системи Windows по мрежа, което означава, че не е необходимо да инсталирате всяка операционна система директно от CD или DVD.

Windows Server Essentials Experience

Тази роля ви позволява да изпълнявате следните задачи:

• защита на сървърните и клиентските данни чрез архивиране на сървъра и всички клиентски компютри в мрежата;
• управлявайте потребители и потребителски групи чрез опростено табло за управление на сървъра. В допълнение, интеграцията с Windows Azure Active Directory* предоставя на потребителите лесен достъп до онлайн онлайн услуги на Microsoft (като Office 365, Exchange Online и SharePoint Online), използвайки идентификационните данни на своя домейн;
• съхранява фирмени данни на централизирано място;
• интегрирайте сървъра с Microsoft Online Services (като Office 365, Exchange Online, SharePoint Online и Windows Intune):
• използване на повсеместни функции за достъп на сървъра (като отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, мрежови компютри и данни от високо защитени отдалечени местоположения;
• достъп до данни от всяко място и от всяко устройство, използвайки собствения уеб портал на организацията (чрез отдалечен уеб достъп);
• управлявайте мобилните устройства, които имат достъп до имейла на вашата организация с Office 365 чрез протокола Active Sync от таблото за управление;
• наблюдавайте изправността на мрежата и получавате персонализирани отчети за изправност; отчетите могат да се генерират при поискване, персонализирани и изпратени по имейл до конкретни получатели.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компонентите, от които администраторите се нуждаят, за да управляват и разпространяват актуализации чрез конзолата за управление. Освен това WSUS сървърът може да бъде източник на актуализации за други WSUS сървъри в организацията. Когато внедрявате WSUS, поне един WSUS сървър в мрежата трябва да бъде свързан към Microsoft Update, за да получава информация за наличните актуализации. В зависимост от сигурността и конфигурацията на мрежата, администраторът може да определи колко други сървъра са директно свързани към Microsoft Update.

Въведение

С нарастването на броя на компютрите в предприятието, все по-остро става въпросът за разходите за тяхното управление и поддръжка. Ръчна настройкакомпютрите отнемат много време от персонала и принуждават, с увеличаване на броя на компютрите, да увеличат персонала на своя персонал. Освен това с голям брой машини става все по-трудно да се следи спазването на стандартите, приети от предприятието. Груповата политика (Group Policy) е цялостен инструмент за централизирано управление на компютри, работещи под Windows 2000 и по-нова версия в домейн на Active Directory. Груповите правила не се прилагат към компютри, работещи под Windows NT4/9x: те се контролират от системни правила, които няма да бъдат обсъждани в тази статия.

GPO

Всички настройки, които създавате в груповите правила, ще се съхраняват в обекти на групови правила (GPO). GPO са два вида: локални GPO и GPO на Active Directory. Локалният GPO е наличен на компютри, работещи под Windows 2000 и по-нови. Може да има само един и това е единственият GPO, който може да бъде на машина без домейн.

Обектът на груповата политика е общо име за набор от файлове, директории и записи в базата данни на Active Directory (ако не е локален обект), които съхраняват вашите настройки и определят какви други настройки можете да промените с помощта на групови правила. Създавайки политика, вие всъщност създавате и модифицирате GPO. Локалният GPO се съхранява в %SystemRoot%\System32\GroupPolicy. GPO на Active Directory се съхраняват на домейн контролер и могат да бъдат свързани със сайт, домейн или OU (организационна единица, организационна единица или организационна единица). Обвързването на обекта определя неговия обхват. По подразбиране в домейн се създават две GPO: правила за домейн по подразбиране и правила за контролер на домейн по подразбиране. Първият дефинира политиката по подразбиране за пароли и акаунти в домейна. Вторият комуникира с OU домейн контролери и увеличава настройките за сигурност за домейн контролери.

Създайте GPO

За да създадете политика (т.е. всъщност да създадете нов GPO), отворете Active Directory Users & Computers и изберете къде да създадете нов обект. Можете да създадете и свържете GPO само със сайт, домейн или OU обект.

Ориз. 1. Създайте GPO.

За да създадете GPO и да го свържете с, например, OU тестери, щракнете с десния бутон върху това OU и в контекстно менюизберете имоти. В прозореца със свойства, който се отваря, отворете раздела Групови правила и щракнете върху Нов.

Ориз. 2. Създайте GPO.

Даваме името на GP обекта, след което обектът се създава и можете да започнете да конфигурирате политиката. Щракнете двукратно върху създадения обект или натиснете бутона Редактиране, ще се отвори прозорецът на редактора на GPO, където можете да конфигурирате конкретни параметри на обекта.

Ориз. 3. Описание на настройките в раздела Разширени.

Повечето от основните настройки са интуитивни (имат и описание, ако отворите раздела Разширени) и няма да се спираме подробно на всяка от тях. Както се вижда от фиг. 3, GPO се състои от два раздела: компютърна конфигурация и потребителска конфигурация. Настройките в първия раздел се прилагат по време на зареждане на Windows към компютри в този контейнер и по-долу (освен ако наследяването не е отменено) и не зависи от това кой потребител е влязъл. Настройките на втория раздел се прилагат при влизане на потребителя.

Ред за прилагане на GPO

Когато компютърът се стартира, се извършват следните действия:

1. Регистърът се чете и се определя към кой сайт принадлежи компютъра. Прави се заявка DNS сървърза да получите IP адресите на домейн контролерите, разположени в този сайт.
2. След като получи адресите, компютърът се свързва с домейн контролера.
3. Клиентът изисква списък с GP обекти от домейн контролера и ги прилага. Последният изпраща списък с GP обекти в реда, в който трябва да бъдат приложени.
4. Когато потребителят влезе, компютърът отново изисква списък с GP обекти, които да бъдат приложени към потребителя, извлича ги и ги прилага.

Груповите правила се прилагат, когато OC стартира и когато потребителят влезе. След това се прилагат на всеки 90 минути, с 30-минутна промяна, за да се избегне претоварването на домейн контролера, ако голям брой клиенти заявяват едновременно. За домейн контролери интервалът за актуализиране е 5 минути. Можете да промените това поведение в Computer Configuration\Administrative Templates\System\Group Policy. GPO може да действа само върху обектите Computer и User. Правилата се прилагат само за обекти, разположени в обекта на директорията (сайт, домейн, организационна единица), с който е свързан GPO, и по-надолу в дървото (освен ако наследяването не е забранено). Например: GPO се създава в OU тестери (както направихме по-горе).

Ориз. 4. Наследяване на настройките.

Всички настройки, направени в този GPO, ще засегнат само потребители и компютри, разположени в OU тестери и OU InTesters. Нека да разгледаме как се прилагат политиките, използвайки пример. Потребителският тест, намиращ се в тестерите на OU, влиза в компютъра на компютъра, разположен в OU compOU (вижте Фигура 5).

Ориз. 5. Ред за прилагане на полици.

В домейна има четири GPO:

1. SitePolicy, свързан с контейнера на сайта;
2. Правила за домейн по подразбиране, свързани с контейнера на домейна;
3. Политика1, свързана с тестерите на OU;
4. Политика2, свързана с OU compOU.

При зареждане на Windows на работна станция comp, опциите, дефинирани в разделите за конфигурация на компютъра, се прилагат в този ред:

1. Локални GPO настройки;
2. Настройки на GPO SitePolicy;

4. Настройки на GPO Policy2.

Когато тестовият потребител влезе в компютъра, параметрите, дефинирани в разделите за потребителска конфигурация, са:

1. Локални GPO настройки;
2. Настройки на GPO SitePolicy;
3. Настройки на правилата за домейни по подразбиране на GPO;
4. Настройки на GPO Policy1.

Това означава, че GPO се прилагат в този ред: локални политики, политики на ниво сайт, политики на ниво домейн, политики на ниво OU.

Груповите правила се прилагат асинхронно към клиенти на Windows XP и синхронно към клиенти на Windows 2000, което означава, че екранът за влизане на потребителя се появява само след като са приложени всички компютърни политики, а потребителските политики се прилагат преди да се появи работният плот. Прилагането на асинхронна политика означава, че екранът за влизане на потребителя се появява, преди да са приложени всички политики на компютъра, а работният плот се появява, преди да са приложени всички политики на потребителя, което води до по-бързо зареждане и влизане на потребителя.
Поведението, описано по-горе, се променя в два случая. Първо клиентският компютър откри бавна мрежова връзка. По подразбиране в този случай се прилагат само настройки за защита и административни шаблони. Връзка с честотна лента под 500 Kb/s се счита за бавна. Можете да промените тази стойност в Computer Configuration\Administrative Templates\System\Group Policy\Group Policy slow link detection. Също така в секцията Computer Configuration\Administrative Templates\System\Group Policy можете да конфигурирате някои други настройки на правилата, така че да се обработват и през бавна връзка. Вторият начин за промяна на реда, в който се прилагат правилата, е опцията за обратна обработка на политика на потребителска група. Тази опция променя реда, в който се прилагат политиките по подразбиране, където потребителските политики се прилагат след компютърните политики и заместват последните. Можете да настроите опцията за връщане към обратна връзка, за да прилагате компютърни политики след потребителски политики и да презапишете всички потребителски политики, които са в конфликт с компютърните политики. Параметърът за обратна връзка има 2 режима:

1. Обединяване (свързване) - първо се прилага компютърната политика, след това потребител и отново компютър. В този случай компютърната политика заменя настройките на потребителската политика, които й противоречат, със свои собствени.
2. Замяна (замяна) - потребителската политика не се обработва.

За да илюстрирате използването на настройката за обратна обработка на правилата на потребителската група, например на обществен компютър, на който трябва да имате същите ограничени настройки, независимо кой потребител го използва.

Предимство, наследяване и разрешаване на конфликти

Както вече сте забелязали, на всички нива GPO съдържат едни и същи настройки и една и съща настройка може да бъде дефинирана по различен начин на няколко нива. В този случай последната приложена стойност ще бъде ефективната стойност (редът, в който се прилагат GPO, беше обсъден по-горе). Това правило се прилага за всички настройки, с изключение на тези, дефинирани като неконфигурирани. За тези Настройки на Windowsне предприема никакви действия. Но има едно изключение: всички настройки на акаунт и парола могат да бъдат дефинирани само на ниво домейн, на други нива тези настройки ще бъдат игнорирани.

Ориз. 6. Потребители и компютри на Active Directory.

Ако има няколко GPO на едно и също ниво, те се прилагат отдолу нагоре. Като промените позицията на обекта на политиката в списъка (използвайки бутоните Нагоре и Надолу), можете да изберете желания ред на прилагане.

Ориз. 7. Ред за прилагане на полици.

Понякога искате конкретна OU да не получава настройки за политика от GPO, свързани с контейнери нагоре по веригата. В този случай трябва да деактивирате наследяването на правила, като поставите отметка в квадратчето Блокиране на наследяване на правила. Всички наследени настройки на политиката са блокирани и няма начин да се блокират отделни настройки. Настройките на ниво домейн, които определят политика за пароли и политика за акаунти, не могат да бъдат заключени.

Ориз. 9. Блокиране на наследяването на политики.

Ако искате определени настройки в даден GPO да не бъдат презаписани, изберете желания GPO, натиснете бутона Options и изберете No Override. Тази опция принуждава да се прилагат настройките на GPO, когато наследяването на политики е блокирано. Не е зададено Override на мястото, където GPO е свързан с обекта на директорията, а не на самия GPO. Ако GPO е свързан с множество контейнери в домейн, тогава тази настройка няма да бъде автоматично конфигурирана за останалите връзки. Ако настройката No Override е конфигурирана за множество връзки на едно и също ниво, настройките на GPO в горната част на списъка ще имат предимство (и ефект). Ако настройките за No Override са конфигурирани за множество GPO на различни нива, настройките на GPO по-високо в йерархията на директорията ще влязат в сила. Тоест, ако настройките Без замяна са конфигурирани да свързват GPO към обект на домейн и да свързват GPO към OU, настройките, дефинирани на ниво домейн, ще влязат в сила. Квадратчето за отметка Disabled отменя ефекта на този GPO върху този контейнер.

Ориз. 10. Опции No Override и Disabled.

Както бе споменато по-горе, политиките засягат само потребителите и компютрите. Често възниква въпросът: „как да накарам дадена политика да засегне всички потребители, включени в определена група за сигурност?“. За да направите това, GPO е обвързан с обект на домейн (или всеки контейнер над контейнерите или OU, в който всички потребителски обекти от желана група) и конфигурирайте настройките за достъп. Щракнете върху Свойства, в раздела Защита, изтрийте групата Удостоверени потребители и добавете необходимата група с права за четене и прилагане на групови правила.

Определяне на настройките, които засягат компютъра на потребителя

За да определите окончателната конфигурация и да идентифицирате проблемите, трябва да знаете кои настройки на правилата са в сила в момента за даден потребител или компютър. За да направите това, има инструмент Resultant Set of Policy (резултатният набор от политики, RSoP). RSoP може да работи както в режим на регистрация, така и в режим на планиране. За да извикате RSoP, щракнете с десния бутон върху обекта потребител или компютър и изберете Всички задачи.

Ориз. 11. Извикване на инструмента Resultant Set of Policy.

При стартиране (в режим на регистриране) ще бъдете помолени да изберете за кой компютър и потребител да дефинирате набора от резултати и ще се появи прозорец с настройки за резултат, показващ кой GPO коя настройка е приложил.

Ориз. 12. Резултатен набор от правила.

Други инструменти за управление на групови правила

GPResult е инструмент за команден ред, който предоставя част от функционалността на RSoP. GPResult е наличен по подразбиране на всички компютри с Windows XP и Windows Server 2003.

GPUpdate принуждава прилагането на групови политики - както локални, така и базирани на Active Directory. В Windows XP/2003 той замени опцията /refreshpolicy в инструмента secedit за Windows 2000.

Описание на синтаксиса на командите е достъпно, когато ги стартирате с клавиша /?.

Вместо заключение

Тази статия няма за цел да обясни всички аспекти на работа с групови политики, не е насочена към опитни системни администратори. Всичко по-горе, според мен, трябва само по някакъв начин да помогне за разбирането на основните принципи на работа с политици за тези, които никога не са работили с тях или тепърва започват да ги овладяват.

Помощна програма GPResult.exe– е конзолно приложение, предназначено да анализира настройките и да диагностицира групови политики, които се прилагат към компютър и/или потребител в домейн на Active Directory. По-специално, GPResult ви позволява да получите данни от резултантния набор от политики (Resultant Set of Policy, RSOP), списък с приложени политики за домейни (GPO), техните настройки и подробна информация за грешките при тяхната обработка. Помощната програма е част от операционната система Windows от дните на Windows XP. Помощната програма GPResult ви позволява да отговорите на въпроси като дали определена политика се прилага за компютър, кой GPO е променил определена настройка на Windows и да разберете причините.

В тази статия ще разгледаме спецификата на използването на командата GPResult за диагностика и отстраняване на грешки в прилагането на групови политики в домейн на Active Directory.

Първоначално за диагностициране на прилагането на групови политики в Windows беше използвана графичната конзола RSOP.msc, която направи възможно получаването на настройките на получените политики (домейн + локални), приложени към компютъра и потребителя в графична форма, подобна на конзолата за редактор на GPO (по-долу, в примера на изгледа на конзолата RSOP.msc, можете да видите, че настройките за актуализиране са зададени).

Въпреки това, конзолата RSOP.msc в съвременните версии на Windows не е практична за използване, т.к не отразява настройките, приложени от различни разширения от страна на клиента (CSE), като GPP (Предпочитания за групови правила), не позволява търсене, предоставя малко диагностична информация. Следователно в момента именно командата GPResult е основният инструмент за диагностициране на използването на GPO в Windows (в Windows 10 дори има предупреждение, че RSOP не дава пълен отчет, за разлика от GPResult).

Използване на помощната програма GPResult.exe

Командата GPResult се изпълнява на компютъра, на който искате да тествате прилагането на групови правила. Командата GPResult има следния синтаксис:

GPRESULT ]] [(/X | /H) ]

За да получите подробна информация за груповите правила, които се прилагат към даден AD обект (потребител и компютър) и други настройки, свързани с GPO инфраструктурата (т.е. произтичащите GPO политики настройки - RsoP), изпълнете командата:

Резултатите от изпълнението на командата са разделени на 2 секции:

• КОМПЮТЪР НАСТРОЙКИ (Компютърна конфигурация) – разделът съдържа информация за GPO обекти, които засягат компютъра (като обект на Active Directory);
• ПОТРЕБИТЕЛ НАСТРОЙКИ – потребителски раздел на политики (политики, които се прилагат за потребителски акаунт в AD).

Нека прегледаме накратко основните параметри/секции, които могат да представляват интерес за нас в изхода на GPResult:

• сайтИме(Site name:) - името на AD сайта, в който се намира компютърът;
• CN– пълен каноничен потребител/компютър, за който са генерирани RSoP данните;
• ПоследновремегрупаПолитикабешеприложено(Последно приложена групова политика) - времето, когато последно са приложени групови политики;
• групаПолитикабешеприложеноот(Груповата политика е приложена от) - домейн контролерът, от който е заредена последната версия на GPO;
• ДомейнИмеи домейнТип(Име на домейн, тип домейн) – име и версия на схемата на домейн на Active Directory;
• ПриложеногрупаПолитикаОбекти(Приложени GPO)– списъци с активни обекти на групова политика;
• TheследнотоGPOбяханеприложенозащототебяхафилтрираннавън(Следните GPO политики не бяха приложени, защото бяха филтрирани) - неприложени (филтрирани) GPO;
• Theпотребител/компютъреачастнанаследнотосигурностгрупи(Потребителят/компютърът е член на следните групи за сигурност) – Групи домейни, на които потребителят е член.

В нашия пример можете да видите, че потребителският обект е засегнат от 4 групови правила.

• Правила за домейни по подразбиране;
• Активирайте защитната стена на Windows;
• Списък за търсене на DNS суфикс

Ако не искате конзолата да показва информация както за потребителските политики, така и за компютърните политики едновременно, можете да използвате опцията /scope, за да покажете само секцията, която ви интересува. Само произтичащи потребителски правила:

gpresult /r /scope:user

или само приложени компютърни правила:

gpresult /r /scope:компютър

защото Помощната програма Gpresult извежда своите данни директно в конзолата на командния ред, което не винаги е удобно за последващ анализ; нейният изход може да бъде пренасочен към клипборда:

gpresult /r |клип

или текстов файл:

gpresult /r > c:\gpresult.txt

За да покажете супер подробна RSOP информация, добавете ключа /z.

HTML RSOP отчет с помощта на GPResult

В допълнение, помощната програма GPResult може да генерира HTML отчет за приложените правила за резултати (достъпни в Windows 7 и по-нови). Този отчет ще съдържа подробна информация за всички системни настройки, които са зададени от групови правила и имената на конкретни GPO, които ги задават (резултантният отчет за структурата наподобява раздела Настройки в конзолата за управление на групови правила на домейна - GPMC). Можете да генерирате HTML GPResult отчет с помощта на командата:

GPResult /h c:\gp-report\report.html /f

За да генерирате отчет и автоматично да го отворите в браузър, изпълнете командата:

GPResult /h GPResult.html & GPResult.html

HTML отчетът на gpresult съдържа доста полезна информация: виждат се грешки в приложението на GPO, време за обработка (в ms) и прилагане на специфични политики и CSE (в раздела Подробности за компютъра -> Състояние на компонента). Например на екранната снимка по-горе можете да видите, че политиката с настройките 24 пароли се помнят се прилага от Правилата за домейни по подразбиране (колона Winning GPO). Както можете да видите, такъв HTML отчет е много по-удобен за анализ на приложените политики, отколкото конзолата rsop.msc.

Получаване на GPResult данни от отдалечен компютър

GPResult може също да събира данни от отдалечен компютър, елиминирайки необходимостта администратор да влиза локално или RDP към отдалечен компютър. Командният формат за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

По същия начин можете да събирате данни както от потребителски правила, така и от компютърни правила от разстояние.

потребителското име няма RSOP данни

С активиран UAC, стартирането на GPResult без повишени привилегии показва само настройките за потребителския раздел на груповата политика. Ако трябва да покажете и двата раздела (ПОТРЕБИТЕЛСКИ НАСТРОЙКИ и НАСТРОЙКИ НА КОМПЮТЪРА) едновременно, командата трябва да се изпълни. Ако командният ред с повишени права е на система, различна от текущия потребител, помощната програма ще издаде предупреждение ИНФО: Theпотребител„домейн\потребител"правинеиматRSOPданни (Потребителят „domain\user“ няма RSOP данни). Това е така, защото GPResult се опитва да събере информация за потребителя, който го е изпълнил, но защото Този потребител не е влязъл в системата и няма налична RSOP информация за него. За да съберете RSOP информация за потребител с активна сесия, трябва да посочите неговия акаунт:

gpresult /r /потребител:tn\edward

Ако не знаете името на акаунта, който е влязъл на отдалечения компютър, можете да получите акаунта по следния начин:

qwinsta /СЪРВЪР:remotePC1

Също така проверете часа(ата) на клиента. Часът трябва да съвпада с часа на PDC (основен домейн контролер).

Следните GPO правила не бяха приложени, защото бяха филтрирани

Когато отстранявате неизправности в групови правила, трябва също да обърнете внимание на раздела: Следните GPO не бяха приложени, защото бяха филтрирани (Следните GPO правила не бяха приложени, защото бяха филтрирани). Този раздел показва списък с GPO, които по една или друга причина не се отнасят за този обект. Възможни опции, за които политиката може да не е приложима:

Можете също така да разберете дали политиката трябва да се приложи към конкретен AD обект в раздела Ефективни разрешения (Разширени -> Ефективен достъп).

Така че в тази статия прегледахме функциите за диагностициране на прилагането на групови правила с помощта на помощната програма GPResult и прегледахме типичните сценарии за нейното използване.

Функционалността в операционната система Windows Server се изчислява и се подобрява от версия на версия, има все повече роли и компоненти, така че в днешната статия ще се опитам да опиша накратко описание и цел на всяка роля в Windows Server 2016.

Преди да преминем към описанието на сървърните роли на Windows Server, нека разберем какво точно е " Роля на сървъра» на операционната система Windows Server.

Какво е "Сървърна роля" в Windows Server?

Роля на сървъра- това е софтуерен пакет, който осигурява изпълнението на определена функция от сървъра и тази функция е основната. С други думи, " Роля на сървъра' е дестинацията на сървъра, т.е. за какво е. За да може сървърът да изпълнява основната си функция, т.е. определена роля в Роля на сървъра» включва целия необходим софтуер за това ( програми, услуги).

Сървърът може да има една роля, ако се използва активно, или няколко, ако всяка от тях не натоварва силно сървъра и се използва рядко.

Сървърната роля може да включва множество ролеви услуги, които осигуряват функционалността на ролята. Например в сървърната роля " Уеб сървър (IIS)“ включва доста голям брой услуги, а ролята “ DNS сървър» не включва ролеви услуги, тъй като тази роля изпълнява само една функция.

Ролевите услуги могат да бъдат инсталирани всички заедно или поотделно, в зависимост от вашите нужди. По същество инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Windows Server също има " Компоненти» сървър.

Сървърни компоненти (функция)- Това софтуер, които не са сървърна роля, но подобряват една или повече роли или управляват една или повече роли.

Някои роли не могат да бъдат инсталирани, ако сървърът няма необходимите услуги или компоненти, които са необходими за функционирането на ролите. Следователно, по време на инсталирането на такива роли " Съветник за добавяне на роли и функции» автоматично ще ви подкани да инсталирате необходимите допълнителни ролеви услуги или компоненти.

Описание на сървърните роли на Windows Server 2016

Вероятно вече сте запознати с много от ролите, които са в Windows Server 2016, тъй като те съществуват от доста време, но както казах, с всяка нова Windows версияСървър, добавят се нови роли, с които може би все още не сте работили, но бихте искали да знаете за какво служат, така че нека започнем да ги разглеждаме.

Забележка! Можете да прочетете за новите функции на операционната система Windows Server 2016 в материала " Инсталиране на Windows Server 2016 и какво ново ».

Тъй като много често инсталирането и администрирането на роли, услуги и компоненти става с помощта на Windows PowerShell, ще посоча за всяка роля и нейната услуга име, което може да се използва в PowerShell, съответно за нейното инсталиране или за управление.

DHCP сървър

Тази роля ви позволява да конфигурирате централно динамични IP адреси и свързаните с тях настройки за компютри и устройства във вашата мрежа. Ролята на DHCP сървъра няма ролеви услуги.

Името на Windows PowerShell е DHCP.

DNS сървър

Тази роля е предназначена за разрешаване на имена в TCP/IP мрежи. Ролята на DNS сървъра осигурява и поддържа DNS. За да се опрости управлението на DNS сървър, той обикновено се инсталира на същия сървър като домейн услугите на Active Directory. Ролята на DNS сървъра няма ролеви услуги.

Името на ролята за PowerShell е DNS.

Hyper-V

С ролята на Hyper-V можете да създавате и управлявате виртуализирана среда. С други думи, това е инструмент за създаване и управление на виртуални машини.

Името на ролята за Windows PowerShell е Hyper-V.

Атестация за изправност на устройството

роля " » ви позволява да оцените изправността на устройството въз основа на измерени показатели на параметрите за сигурност, например индикатори за изправност безопасно зарежданеи Bitlocker инструменти на клиента.

За функционирането на тази роля са необходими много ролеви услуги и компоненти, например: няколко услуги от ролята " Уеб сървър (IIS)", компонент " ", компонент " Функции на .NET Framework 4.6».

По време на инсталацията всички необходими ролеви услуги и функции ще бъдат избрани автоматично. Ролята " Атестация за изправност на устройството» Няма ролеви услуги.

Името на PowerShell е DeviceHealthAttestationService.

Уеб сървър (IIS)

Осигурява надеждна, управляема и мащабируема инфраструктура за уеб приложения. Състои се от доста голям брой услуги (43).

Името на Windows PowerShell е Web-Server.

Включва следните ролеви услуги ( в скоби ще посоча името на Windows PowerShell):

Уеб сървър (Web-WebServer)- Група ролеви услуги, която осигурява поддръжка за HTML уебсайтове, ASP.NET разширения, ASP и уеб сървъра. Състои се от следните услуги:

• Сигурност (уеб сигурност)- набор от услуги за осигуряване на сигурността на уеб сървъра.
  • Филтриране на заявки (Web-Filtering) - с помощта на тези инструменти можете да обработвате всички заявки, идващи към сървъра, и да филтрирате тези заявки въз основа на специални правила, зададени от администратора на уеб сървъра;
  • Ограничения за IP адрес и домейн (Web-IP-Security) - тези инструменти ви позволяват да разрешите или откажете достъп до съдържание на уеб сървър въз основа на IP адреса или името на домейна на източника в заявката;
  • URL авторизация (Web-Url-Auth) - инструментите ви позволяват да разработите правила за ограничаване на достъпа до уеб съдържание и да ги асоциирате с потребители, групи или HTTP заглавни команди;
  • Разширено удостоверяване (Web-Digest-Auth) – Това удостоверяване осигурява по-високо ниво на сигурност от основното удостоверяване. Обобщеното удостоверяване за потребителско удостоверяване работи като предаване на хеш парола към домейн контролер на Windows;
  • Основно удостоверяване (Web-Basic-Auth) – Този метод за удостоверяване осигурява силна съвместимост с уеб браузър. Препоръчително е да се използва в малки вътрешни мрежи. Основният недостатък на този метод е, че паролите, предавани по мрежата, могат да бъдат доста лесно прихванати и декриптирани, така че използвайте този метод в комбинация със SSL;
  • Преглед Удостоверяване на Windows(Web-Windows-Auth) е удостоверяване, базирано на удостоверяване на домейн на Windows. С други думи, можете да използвате акаунти в Active Directory за удостоверяване на потребителите на вашите уеб сайтове;
  • Удостоверяване на картографиране на клиентски сертификат (Web-Client-Auth) – Този метод за удостоверяване използва клиентски сертификат. Този тип използва услугите на Active Directory за предоставяне на съпоставяне на сертификати;
  • Удостоверяване на картографиране на клиентски сертификат на IIS (Web-Cert-Auth) - в този методклиентските сертификати също се използват за удостоверяване, но IIS се използва тук, за да предостави картографиране на сертификати. Този тип осигурява по-добра производителност;
  • Централизирана поддръжка на SSL сертификати (Web-CertProvider) - тези инструменти ви позволяват да управлявате централно SSL сървърни сертификати, което значително опростява процеса на управление на тези сертификати;
• Обслужване и диагностика (Web-Health)– набор от услуги за наблюдение, управление и отстраняване на неизправности в уеб сървъри, сайтове и приложения:
  • http logging (Web-Http-Logging) - инструментите осигуряват логване на активността на уебсайта на даден сървър, т.е. запис в дневник;
  • ODBC регистриране (Web-ODBC-Logging) – Тези инструменти също осигуряват регистриране на дейността на уебсайта, но поддържат регистриране на тази дейност в ODBC-съвместима база данни;
  • Монитор на заявки (Web-Request-Monitor) е инструмент, който ви позволява да наблюдавате изправността на уеб приложение чрез прихващане на информация за HTTP заявки в работния процес на IIS;
  • Персонализирано регистриране (Web-Custom-Logging) – С помощта на тези инструменти можете да конфигурирате регистриране на дейността на уеб сървъра във формат, който се различава значително от стандартния IIS формат. С други думи, можете да създадете свой собствен модул за регистриране;
  • Инструментите за регистриране (Web-Log-Libraries) са инструменти за управление на регистрационните файлове на уеб сървъра и автоматизиране на задачите за регистриране;
  • Проследяването (Web-Http-Tracing) е инструмент за диагностика и разрешаване на нарушения в уеб приложения.
• http Общи функции (Web-Common-Http)– набор от услуги, които предоставят основна HTTP функционалност:
  • Документ по подразбиране (Web-Default-Doc) - Тази функция ви позволява да конфигурирате уеб сървъра да връща документ по подразбиране, когато потребителите не посочат конкретен документ в URL адреса на заявката, което улеснява достъпа на потребителите до уебсайта, например чрез домейн, без посочване на файл;
  • Преглед на директории (Web-Dir-Browsing) - Този инструмент може да се използва за конфигуриране на уеб сървър, така че потребителите да могат да преглеждат списък с всички директории и файлове на уебсайт. Например, за случаите, когато потребителите не посочват файл в URL адреса на заявката и документите по подразбиране са или деактивирани, или не са конфигурирани;
  • http грешки (Web-Http-Errors) - тази функция ви позволява да конфигурирате съобщения за грешка, които ще се връщат към уеб браузърите на потребителите, когато грешка бъде открита от уеб сървъра. Този инструмент се използва за по-лесно представяне на съобщения за грешки на потребителите;
  • Статично съдържание (Web-Static-Content) – този инструмент ви позволява да използвате съдържание на уеб сървър под формата на статични файлови формати, като HTML файлове или файлове с изображения;
  • http пренасочване (Web-Http-Redirect) - като използвате тази функция, можете да пренасочите потребителска заявка към конкретна дестинация, т.е. това е пренасочване;
  • WebDAV Публикуване (Web-DAV-Publishing) - позволява ви да използвате WebDAV технологията на IIS WEB сървъра. WebDAV ( Уеб разпределено създаване и създаване на версии) е технология, която позволява на потребителите да работят заедно ( четене, редактиране, четене на свойства, копиране, преместване) върху файлове на отдалечени уеб сървъри, използвайки HTTP протокола.
• Производителност (уеб ефективност)- набор от услуги за постигане на по-висока производителност на уеб сървъра чрез кеширане на изхода и общи механизми за компресиране като Gzip и Deflate:
  • Статично компресиране на съдържание (Web-Stat-Compression) е инструмент за персонализиране на компресирането на http статично съдържание, което позволява по-ефективно използване на честотната лента, без ненужно натоварване на процесора;
  • Динамично компресиране на съдържание (Web-Dyn-Compression) е инструмент за конфигуриране на HTTP динамично компресиране на съдържание. Този инструмент осигурява по-ефективно използване на честотната лента, но в този случай натоварването на процесора на сървъра, свързано с динамичната компресия, може да забави сайта, ако натоварването на процесора е високо дори без компресия.
• Разработка на приложения (Web-App-Dev)- набор от услуги и инструменти за разработване и хостване на уеб приложения, с други думи технологии за разработка на уебсайтове:
  • ASP (Web-ASP) - поддържаща среда и уеб разработкасайтове и уеб приложения, използващи ASP технология. В момента има по-нова и по-модерна технология за разработка на уеб сайтове - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи технологията ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) също е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи нова версия ASP.NET
  • CGI (Web-CGI) е способността да се използва CGI за предаване на информация от уеб сървър към външна програма. CGI е вид интерфейсен стандарт за свързване на външна програма към уеб сървър. Има недостатък, използването на CGI влияе върху производителността;
  • Включването от страна на сървъра (SSI) (Web-Includes) е поддръжка за SSI скриптовия език ( активиране от страна на сървъра), който се използва за динамично генериране на HTML страници;
  • Инициализация на приложения (Web-AppInit) – този инструмент изпълнява задачите по инициализиране на уеб приложения преди изпращане на уеб страница;
  • WebSocket протокол (Web-WebSockets) - добавяне на възможност за създаване на сървърни приложения, които комуникират чрез WebSocket протокола. WebSocket е протокол, който може да изпраща и получава данни едновременно между браузър и уеб сървър през TCP връзка, вид разширение на HTTP протокола;
  • ISAPI разширения (Web-ISAPI-Ext) - поддръжка за динамично развитие на уеб съдържание с помощта на интерфейса за програмиране на приложения ISAPI. ISAPI е API за IIS уеб сървъра. ISAPI приложенията са много по-бързи от ASP файлове или файлове, които извикват COM+ компоненти;
  • .NET 3.5 Extensibility (Web-Net-Ext) е функция за разширяване на .NET 3.5, която ви позволява да модифицирате, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • .NET 4.6 Extensibility (Web-Net-Ext45) е функция за разширяване на .NET 4.6, която също ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • ISAPI филтри (Web-ISAPI-Filter) - Добавете поддръжка за ISAPI филтри. ISAPI филтрите са програми, които се извикват, когато уеб сървър получи конкретна HTTP заявка, която да бъде обработена от този филтър.

FTP - сървър (Web-Ftp-Server)– услуги, които осигуряват поддръжка на FTP протокола. Говорихме по-подробно за FTP сървъра в материала - „Инсталация и конфигурация FTP сървърина Windows Server 2016". Съдържа следните услуги:

• FTP услуга (Web-Ftp-Service) - добавя поддръжка на FTP протокола на уеб сървъра;
• Разширяемост на FTP (Web-Ftp-Ext) - Разширява стандартните FTP възможности, като добавяне на поддръжка за функции като персонализирани доставчици, потребители на ASP.NET или потребители на IIS мениджър.

Инструменти за управление (Web-Mgmt-Tools)- Това са инструментите за управление на уеб сървъра IIS 10. Те включват: потребителски интерфейс IIS, инструменти за команден ред и скриптове.

• Конзолата за управление на IIS (Web-Mgmt-Console) е потребителският интерфейс за управление на IIS;
• Набори от символи и инструменти за управление на IIS (Web-Scripting-Tools) са инструменти и скриптове за управление на IIS с помощта на командния ред или скриптове. Те могат да се използват например за автоматизиране на управлението;
• Услуга за управление (Web-Mgmt-Service) - тази услуга добавя възможност за дистанционно управление на уеб сървър от друг компютър с помощта на IIS Manager;
• Управление на съвместимостта на IIS 6 (Web-Mgmt-Compat) - Осигурява съвместимост за приложения и скриптове, които използват двата API на IIS. Съществуващите IIS 6 скриптове могат да се използват за управление на IIS 10 уеб сървъра:
  • IIS 6 Compatibility Metabase (Web-Metabase) е инструмент за съвместимост, който ви позволява да стартирате приложения и набори от знаци, които са мигрирани от по-ранни версии на IIS;
  • Инструменти за скриптове на IIS 6 (Web-Lgcy-Scripting) – Тези инструменти ви позволяват да използвате същите услуги за скриптове на IIS 6, които са създадени за управление на IIS 6 в IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) е инструмент за администриране на отдалечени IIS 6.0 сървъри;
  • IIS 6 WMI Compatibility (Web-WMI) са интерфейси за скриптове на Windows Management Instrumentation (WMI) за програмно контролиране и автоматизиране на задачи на IIS 10.0 уеб сървър с помощта на набор от скриптове, създадени в WMI доставчик.

Домейн услуги на Active Directory

роля " Домейн услуги на Active Directory» (AD DS) предоставя разпределена база данни, която съхранява и обработва информация за мрежовите ресурси. Тази роля се използва за организиране на мрежови елементи като потребители, компютри и други устройства в йерархична структура. Йерархичната структура включва гори, домейни в една гора и организационни единици (OU) във всеки домейн. Сървърът, изпълняващ AD DS, се нарича домейн контролер.

Името на ролята за Windows PowerShell е AD-Domain-Services.

Режим Windows Server Essentials

Тази роля е компютърна инфраструктура и предоставя удобни и ефективни функции, например: съхраняване на клиентски данни на централизирано място и защита на тези данни чрез Резервно копиесървърни и клиентски компютри, отдалечен уеб достъп, който ви позволява достъп до данни от практически всяко устройство. Тази роля изисква няколко ролеви услуги и функции, като например: BranchCache Features, Windows Server Backup, Management групова политика, ролева услуга " Пространства от имена на DFS».

Името на PowerShell е ServerEssentialsRole.

Мрежов контролер

Въведена в Windows Server 2016, тази роля осигурява единна точка на автоматизация за управление, наблюдение и диагностика на физическата и виртуална мрежова инфраструктура в центъра за данни. Използвайки тази роля, можете да конфигурирате IP подмрежи, VLAN, физически мрежови адаптери на Hyper-V хостове от една точка, да управлявате виртуални комутатори, физически рутери, настройки на защитната стена и VPN шлюзове.

Името на Windows PowerShell е NetworkController.

Услуга пазител на възел

Това е сървърната роля на Hosted Guardian Service (HGS) и предоставя услуги за удостоверяване и защита на ключове, които позволяват на защитени хостове да изпълняват екранирани виртуални машини. За функционирането на тази роля са необходими няколко допълнителни роли и компоненти, например: домейн услуги на Active Directory, уеб сървър (IIS), " Failover Clustering" и други.

Името на PowerShell е HostGuardianServiceRole.

Active Directory леки справочни услуги

роля " Active Directory леки справочни услуги» (AD LDS) е олекотена версия на AD DS, която има по-малко функционалност, но не изисква разполагането на домейни или домейн контролери и няма зависимостите и ограниченията на домейни, изисквани от AD DS. AD LDS работи по протокола LDAP ( Лек протокол за достъп до директория). Можете да разположите множество екземпляри на AD LDS на един и същ сървър с независимо управлявани схеми.

Името на PowerShell е ADLDS.

MultiPoint услуги

Това също е нова роля, която е нова в Windows Server 2016. MultiPoint Services (MPS) предоставя основна функционалност за отдалечен работен плот, която позволява на множество потребители да работят едновременно и независимо на един и същ компютър. За да инсталирате и работите с тази роля, трябва да инсталирате няколко допълнителни услуги и компоненти, например: Print Server, Windows Search Service, XPS Viewer и други, всички от които ще бъдат автоматично избрани по време на инсталацията на MPS.

Името на ролята за PowerShell е MultiPointServerRole.

Услуги за актуализиране на Windows Server

С тази роля (WSUS) системните администратори могат да управляват актуализации на Microsoft. Например, създайте отделни групи компютри за различни набори от актуализации, както и получаване на отчети за съответствието на компютрите с изискванията и актуализациите, които трябва да бъдат инсталирани. За функциониране" Услуги за актуализиране на Windows Server» Имате нужда от ролеви услуги и компоненти като: уеб сървър (IIS), вътрешна база данни на Windows, услуга за активиране Windows процеси.

Името на Windows PowerShell е UpdateServices.

• WID свързаност (UpdateServices-WidDB) - зададена на WID ( Вътрешна база данни на Windows) база данни, използвана от WSUS. С други думи, WSUS ще съхранява своите данни за услугата в WID;
• WSUS услуги (UpdateServices-Services) са ролевите услуги на WSUS като услуга за актуализиране, уеб услуга за отчитане, уеб услуга за отдалечено API, уеб услуга за клиент, уеб услуга за просто удостоверяване, услуга за синхронизиране на сървър и уеб услуга за удостоверяване на DSS;
• SQL Server Connectivity (UpdateServices-DB) е инсталация на компонент, който позволява на услугата WSUS да се свързва с база данни на Microsoft SQL Server. Тази опция осигурява съхранение на сервизни данни в база данни на Microsoft SQL Server. В този случай вече трябва да имате инсталиран поне един екземпляр на SQL Server.

Услуги за активиране на корпоративни лицензи

С тази сървърна роля можете да автоматизирате и опростите издаването на обемни лицензи за софтуер от Microsoft и също така ви позволява да управлявате тези лицензи.

Името на PowerShell е VolumeActivation.

Услуги за печат и документи

Тази сървърна роля е предназначена за споделяне на принтери и скенери в мрежа, за да централизирани настройкии управление на сървъри за печат и сканиране, както и управление на мрежови принтери и скенери. Услугите за печат и документи също ви позволяват да изпращате сканирани документи по имейл, до споделени мрежови файлове или до сайтове на Windows SharePoint Services.

Името на PowerShell е Print-Services.

• Сървър за печат - тази услугаролята включва щракване " Управление на печат”, който се използва за управление на принтери или сървъри за печат, както и за мигриране на принтери и други сървъри за печат;
• Печат през Интернет (Print-Internet) - За да се реализира печат през Интернет, се създава уебсайт, чрез който потребителите могат да управляват задания за печат на сървъра. За да работи тази услуга, както разбирате, трябва да инсталирате " Уеб сървър (IIS)". Всички необходими компоненти ще бъдат избрани автоматично, когато поставите отметка в това квадратче по време на процеса на инсталиране на ролевата услуга " Интернет печат»;
• Сървърът за разпределено сканиране (Print-Scan-Server) е услуга, която ви позволява да получавате сканирани документи от мрежови скенери и да ги изпращате до дестинация. Тази услуга също така съдържа " Управление на сканиране”, който се използва за управление на мрежови скенери и за конфигуриране на сканиране;
• LPD Service (Print-LPD-Service) - LPD услуга ( Линеен принтер демон) позволява на UNIX-базирани компютри и други компютри, използващи услугата Line Printer Remote (LPR), да печатат на споделени принтерисървър.

Мрежова политика и услуги за достъп

роля " » (NPAS) позволява на сървъра за мрежова политика (NPS) да зададе и наложи достъп до мрежата, удостоверяване и оторизация и политики за изправност на клиента, с други думи, да защити мрежата.

Името на Windows PowerShell е NPAS.

Услуги за разполагане на Windows

С тази роля можете отдалечено да инсталирате операционната система Windows през мрежа.

Името на ролята за PowerShell е WDS.

• Сървър за разполагане (WDS-Deployment) - тази ролева услуга е предназначена за отдалечено внедряване и конфигуриране на операционна Windows системи. Също така ви позволява да създавате и персонализирате изображения за повторна употреба;
• Транспортен сървър (WDS-Transport) - Тази услуга съдържа основните мрежови компоненти, с които можете да прехвърляте данни чрез мултикастиране на самостоятелен сървър.

Сертификатни услуги на Active Directory

Тази роля е предназначена за създаване на сертифициращи органи и свързани ролеви услуги, които ви позволяват да издавате и управлявате сертификати за различни приложения.

Името на Windows PowerShell е AD-сертификат.

Включва следните ролеви услуги:

• Сертифициращ орган (ADCS-Cert-Authority) - с помощта на тази ролева услуга можете да издавате сертификати на потребители, компютри и услуги, както и да управлявате валидността на сертификата;
• Уеб услуга за правила за записване на сертификати (ADCS-Enroll-Web-Pol) – Тази услуга позволява на потребителите и компютрите да получат информация за правилата за записване на сертификати от уеб браузър, дори ако компютърът не е член на домейн. За функционирането му е необходимо Уеб сървър (IIS)»;
• Уеб услуга за записване на сертификати (ADCS-Enroll-Web-Svc) - Тази услуга позволява на потребителите и компютрите да записват и подновяват сертификати с помощта на уеб браузър през HTTPS, дори ако компютърът не е член на домейн. Освен това трябва да функционира Уеб сървър (IIS)»;
• Онлайн отговор (ADCS-Online-Cert) - Услугата е предназначена за проверка на анулиране на сертификат за клиенти. С други думи, той приема заявка за статус на анулиране за конкретни сертификати, оценява статуса на тези сертификати и изпраща обратно подписан отговор с информация за статуса. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
• Услуга за уеб записване на сертифициращ орган (ADCS-Web-Enrollment) - Тази услуга предоставя уеб интерфейс за потребителите да изпълняват задачи като заявяване и подновяване на сертификати, получаване на CRL и записване на сертификати за смарт карти. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
• Услуга за регистриране на мрежови устройства (ADCS-Device-Enrollment)—с помощта на тази услуга можете да издавате и управлявате сертификати за рутери и други мрежови устройства, които нямат мрежови акаунти. За да функционира услугата, е необходимо Уеб сървър (IIS)».

Услуги за отдалечен работен плот

Сървърна роля, която осигурява достъп до виртуални настолни компютри, базирани на сесия настолни компютри и отдалечени приложениядистанционно приложение.

Името на ролята за Windows PowerShell е Remote-Desktop-Services.

Състои се от следните услуги:

• Уеб достъп до отдалечен работен плот (RDS-Web-Access) - Тази ролева услуга позволява на потребителите достъп до отдалечени настолни компютри и приложения на RemoteApp чрез " Започнете» или чрез уеб браузър;
• Лицензиране на отдалечен работен плот (RDS-лицензиране) - Услугата е предназначена да управлява лицензите, които са необходими за свързване към хост сървъра на сесията на отдалечен работен плот или виртуален работен плот. Може да се използва за инсталиране, издаване на лицензи и проследяване на тяхната наличност. Тази услуга изисква " Уеб сървър (IIS)»;
• Брокер за връзка с отдалечен работен плот (RDS-Connection-Broker) е ролева услуга, която предоставя следните възможности: повторно свързване на потребител към съществуващ виртуален работен плот, приложение RemoteApp и базиран на сесия работен плот, както и балансиране на натоварването между настолни компютри на хост сървъри за отдалечени сесии или между обединени виртуални настолни компютри. Тази услуга изисква " »;
• Хост за виртуализация на отдалечен работен плот (DS-Virtualization) - Услугата позволява на потребителите да се свързват с виртуални настолни компютри с помощта на RemoteApp и Desktop Connection. Тази услуга работи във връзка с Hyper-V, т.е. тази роля трябва да бъде инсталирана;
• Хост на сесия на отдалечен работен плот (RDS-RD-сървър) - Тази услуга може да хоства приложения на RemoteApp и базирани на сесии десктопи на сървър. Достъпът е чрез клиента за връзка с отдалечен работен плот или RemoteApps;
• Шлюз за отдалечен работен плот (RDS-шлюз) - Услугата позволява на оторизирани отдалечени потребители да се свързват с виртуални десктопи, RemoteApps и базирани на сесии десктопи в корпоративна мрежа или през Интернет. Тази услуга изисква следните допълнителни услуги и компоненти: Уеб сървър (IIS)», « Мрежова политика и услуги за достъп», « RPC през HTTP прокси».

AD RMS

Това е сървърна роля, която ще ви позволи да защитите информацията от неоторизирана употреба. Той валидира самоличността на потребителите и предоставя лицензи на оторизирани потребители за достъп до защитени данни. Тази роля изисква допълнителни услуги и компоненти: Уеб сървър (IIS)», « Услуга за активиране на процеси на Windows», « Функции на .NET Framework 4.6».

Името на Windows PowerShell е ADRMS.

• Сървър за управление на правата на Active Directory (ADRMS-Server) - услугата за основна роля, необходима за инсталиране;
• Поддръжката на обединяване на самоличността (ADRMS-Identity) е незадължителна ролева услуга, която позволява на обединените самоличности да консумират защитено съдържание с помощта на услугите за обединяване на Active Directory.

AD FS

Тази роля осигурява опростена и сигурна федерация на идентичност и функционалност за единично влизане (SSO) на уебсайтове, използващи браузър.

Името на PowerShell е ADFS-Federation.

Отдалечен достъп

Тази роля осигурява свързаност чрез DirectAccess, VPN и прокси за уеб приложения. Също и ролята Отдалечен достъп» осигурява традиционни възможности за маршрутизиране, включително маршрутизиране мрежови адреси(NAT) и други настройки за връзка. Тази роля изисква допълнителни услуги и функции: Уеб сървър (IIS)», « Вътрешна база данни на Windows».

Името на ролята за Windows PowerShell е RemoteAccess.

• DirectAccess и VPN (RAS) (DirectAccess-VPN) - услугата позволява на потребителите да се свързват към корпоративната мрежа по всяко време, когато имат достъп до Интернет чрез DirectAccess, както и да организират VPN връзкив комбинация с технологии за тунелиране и криптиране на данни;
• Маршрутизация - услугата осигурява поддръжка на NAT рутери, рутери локална мрежас BGP, RIP и мултикаст рутери (IGMP прокси);
• Прокси за уеб приложение (Web-Application-Proxy) - Услугата ви позволява да публикувате приложения, базирани на HTTP и HTTPS протоколите от корпоративната мрежа към клиентски устройства, които са извън корпоративната мрежа.

Услуги за файлове и съхранение

Това е сървърна роля, която може да се използва за споделяне на файлове и папки, управление и контрол на споделяния, репликиране на файлове, предоставяне бързо търсенефайлове и предоставят достъп за UNIX клиентски компютри. Обсъдихме файловите услуги и по-специално файловия сървър по-подробно в материала „Инсталиране на файлов сървър (файлов сървър) на Windows Server 2016“.

Името на Windows PowerShell е FileAndStorage-Services.

Услуги за съхранение- Тази услуга предоставя функционалност за управление на съхранението, която винаги е инсталирана и не може да бъде премахната.

Файлови услуги и iSCSI услуги (файлови услуги)са технологии, които опростяват управлението на файлови сървъри и хранилища, спестяват дисково пространство, осигуряват репликация и кеширане на файлове в клонове, а също така осигуряват споделяне на файлове чрез протокола NFS. Включва следните ролеви услуги:

• Файлов сървър (FS-FileServer) - ролева услуга, която управлява споделени папки и предоставя на потребителите достъп до файловете на този компютър по мрежата;
• Дедупликация на данни (FS-Data-Deduplication) – тази услуга спестява дисково пространство, като съхранява само едно копие на идентични данни на том;
• Мениджър на ресурси на файлов сървър (FS-Resource-Manager) - с помощта на тази услуга можете да управлявате файлове и папки на файлов сървър, да създавате отчети за съхранение, да класифицирате файлове и папки, да конфигурирате квоти за папки и да дефинирате политики за блокиране на файлове;
• iSCSI Target Storage Provider (VDS и VSS Hardware Providers) (iSCSITarget-VSS-VDS) - Услугата позволява на приложения на сървър, свързан към iSCSI цел, да се изпълняват скрито копиетомове на iSCSI виртуални дискове;
• DFS пространства от имена (FS-DFS-Namespace) - с помощта на тази услуга можете да групирате споделени папкихоствани на различни сървъри в едно или повече логически структурирани пространства от имена;
• Работни папки (FS-SyncShareService) - услугата ви позволява да използвате работни файлове на различни компютривключително служебни и лични. Можете да съхранявате вашите файлове в работни папки, да ги синхронизирате и да имате достъп до тях от вашата локална мрежа или интернет. За да функционира услугата, компонентът " IIS In-Process Web Core»;
• DFS репликация (FS-DFS-репликация) е машина за репликация на данни с множество сървъри, която ви позволява да синхронизирате папки през LAN или WAN връзка. Тази технология използва протокола за дистанционно диференциално компресиране (RDC), за да актуализира само частта от файловете, които са се променили след последното репликиране. DFS репликацията може да се използва със или без DFS пространства от имена;
• Сървър за NFS (FS-NFS-Service) - Услугата позволява на този компютър да споделя файлове с UNIX-базирани компютри и други компютри, които използват протокола Network File System (NFS);
• iSCSI целеви сървър (FS-iSCSITarget-Server) - предоставя услуги и управление за iSCSI цели;
• Услуга BranchCache за мрежови файлове (FS-BranchCache) – Услугата осигурява поддръжка на BranchCache на този файлов сървър;
• Услуга на VSS агент на файлов сървър (FS-VSS-Agent) – Услугата позволява сенчести копия на томове за приложения, които съхраняват файлове с данни на този файлов сървър.

факс сървър

Ролята изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на този компютър или в мрежата. Задължително за работа Сървър за печат».

Името на ролята за Windows PowerShell е Факс.

Това завършва прегледа на сървърните роли на Windows Server 2016, надявам се, че материалът е бил полезен за вас, засега!

Преди да разработите сокет сървър, трябва да създадете сървър за политики, който казва на Silverlight на кои клиенти е разрешено да се свързват към сокет сървъра.

Както е показано по-горе, Silverlight не позволява да се зарежда съдържание или да се извиква уеб услуга, ако домейнът няма clientaccesspolicy .xml или crossdomain файл. xml, където тези операции са изрично разрешени. Подобно ограничение се прилага за сокет сървъра. Ако не позволите на клиентското устройство да изтегли файла clientaccesspolicy .xml, който позволява отдалечен достъп, Silverlight ще откаже да установи връзка.

За съжаление, предоставяне на политика за клиентски достъп. cml към приложение за сокет е по-голямо предизвикателство, отколкото предоставянето му чрез уебсайт. Когато използвате уебсайт, софтуерът на уеб сървъра може да предостави .xml файл clientaccesspolicy, просто не забравяйте да го добавите. В същото време, когато използвате приложение за сокет, трябва да отворите сокет, до който клиентските приложения имат достъп с заявки за политика. Освен това трябва ръчно да създадете кода, който обслужва сокета. За да изпълните тези задачи, трябва да създадете сървър за политики.

В това, което следва, ще покажем, че сървърът за политики работи по същия начин като сървъра за съобщения, той просто обработва малко по-прости взаимодействия. Сървърите за съобщения и политиките могат да бъдат създадени отделно или комбинирани в едно приложение. Във втория случай те трябва да слушат за заявки в различни нишки. В този пример ще създадем сървър за политики и след това ще го комбинираме със сървър за съобщения.

За да създадете сървър за политики, първо трябва да създадете .NET приложение. Всеки тип .NET приложение може да служи като сървър за политики. Най-лесният начин е да използвате конзолно приложение. След като сте отстранили грешки в конзолното си приложение, можете да преместите кода си в услуга на Windows, така че да работи във фонов режим през цялото време.

Политика файл

Следва файлът с политики, предоставен от сървъра за политики.

Файлът с политики определя три правила.

Позволява достъп до всички портове от 4502 до 4532 (това е пълният набор от портове, поддържани от добавката Silverlight). За да промените диапазона от налични портове, променете стойността на атрибута на порта на елемента.

Позволява TCP достъп (разрешението е дефинирано в атрибута на протокола на елемента).

Позволява обаждане от всеки домейн. Следователно приложение Silverlight, което установява връзка, може да бъде хоствано от всеки уебсайт. За да промените това правило, трябва да редактирате uri атрибута на елемента.

За да улесните нещата, правилата за правилата се поставят във файла clientaccess-ploi.cy.xml, който се добавя към проекта. IN визуално студиоНастройката за копиране в изходна директория на файла с правила трябва да бъде зададена на Винаги копиране. трябва просто да намери файла на твърдия диск, да го отвори и да върне съдържанието на клиентското устройство.

Клас PolicyServer

Функционалността на сървъра за политики се основава на два ключови класа: PolicyServer и PolicyConnection. Класът PolicyServer обработва чакащи връзки. Когато получи връзка, той предава контрола на нов екземпляр на класа PoicyConnection, който предава файла на правилата на клиента. Тази процедура от две части е често срещана в мрежовото програмиране. Ще го видите повече от веднъж, когато работите със сървъри за съобщения.

Класът PolicyServer зарежда файла с правилата от твърдия диск и го съхранява в полето като масив от байтове.

публичен клас PolicyServer

политика за лични байтове;

public PolicyServer(string policyFile) (

За да започне да слуша, сървърното приложение трябва да извика PolicyServer. Старт(). Той създава обект TcpListener, който слуша за заявки. Обектът TcpListener е конфигуриран да слуша на порт 943. В Silverlight този порт е запазен за сървъри за политики. Когато прави заявки за файлове с политики, приложението Silverlight автоматично ги насочва към порт 943.

частен TcpListener слушател;

public void Start()

// Създаване на слушател

слушател = нов TcpListener(IPAddress.Any, 943);

// Започнете да слушате; методът Start() връща II веднага след извикването на listener.Start();

// Изчакване на връзка; методът се връща веднага;

II изчакване се извършва в отделна тема

За да приеме предложената връзка, сървърът за политики извиква метода BeginAcceptTcpClient(). Подобно на всички методи Beginxxx() на .NET framework, той се връща веднага след като бъде извикан, като извършва необходимите операции в отделна нишка. За мрежовите приложения това е много важен фактор, тъй като позволява едновременното обработване на много заявки за файлове с правила.

Забележка. Начинаещите мрежови програмисти често се чудят как повече от една заявка могат да бъдат обработени едновременно и смятат, че това изисква няколко сървъра. Обаче не е така. С този подход клиентските приложения бързо биха изчерпали наличните портове. На практика сървърните приложения обработват много заявки през един порт. Този процес е невидим за приложенията, тъй като вградената TCP подсистема в Windows автоматично идентифицира съобщенията и ги насочва към подходящите обекти в кода на приложението. Всяка връзка се идентифицира уникално въз основа на четири параметъра: IP адрес на клиента, номер на клиентски порт, IP адрес на сървър и номер на порт на сървър.

При всяка заявка се задейства методът за обратно извикване OnAcceptTcpClient(). Той отново извиква метода BeginAcceptTcpClient O, за да започне да чака следващата заявка в друга нишка и след това започва да обработва текущата заявка.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Искането за правила е получено."); // Изчакване на следващото свързване.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Обработване на текущата връзка.

TcpClient клиент = слушател.EndAcceptTcpClient(ar); PolicyConnection policyConnection = нова PolicyConnection(клиент, политика); policyConnection.HandleRequest() ;

catch (Exception err) (

Всеки път, когато се получи нова връзка, се създава нов обект PolicyConnection, който да я обработва. Освен това обектът PolicyConnection поддържа файл с правила.

Последният компонент на класа PolicyServer е методът Stop(), който спира изчакването на заявки. Приложението го извиква, когато приключи.

private bool isStopped;

public void StopO(

isStopped = вярно;

слушател. Спри се();

catch (Exception err) (

Console.WriteLine(err.Message);

Следният код се използва в метода Main() на сървъра на приложения за стартиране на сървъра за политики.

static void Main(string args) (

PolicyServer policyServer = нов PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Сървърът за правила стартира."); Console.WriteLine("Натиснете клавиша Enter за изход.");

// Изчакване на натискане на клавиш; използвайки метода // Console.ReadKey(), можете да го настроите да изчаква конкретен // ред (например излизане) или да натиска произволен клавиш Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Край на сървъра за правила.");

Клас PolicyConnection

Класът PolicyConnection изпълнява по-проста задача. Обектът PolicyConnection съхранява препратка към данни от файла на правилата. След това, след като се извика методът HandleRequest(), обектът PolicyConnection извлича нова връзка от мрежовия поток и се опитва да я прочете. Клиентското устройство трябва да изпрати низ, съдържащ текст. След като прочете този текст, клиентското устройство записва данните за правилата в потока и затваря връзката. Следва кодът на класа PolicyConnection.

публичен клас PolicyConnection(

частен TcpClient клиент; политика за лични байтове;

public PolicyConnection(TcpClient клиент, байтова политика) (

this.client = клиент; this.policy = политика;

// Създаване на клиентска заявка за частен статичен низ policyRequestString = "

public void HandleRequest()(

Поток s = client.GetStream(); // Прочетете низа на заявка за политика

байтов буфер = нов байт;

// Изчакайте само 5 секунди client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Подаване на политиката (можете също да проверите дали заявката за политика има // необходимото съдържание) s.Write(policy, 0, policy.Length);

// Затворете връзката client.Close();

Console.WriteLine("Обслужен файл с правила.");

И така, имаме напълно работещ сървър за политики. За съжаление все още не може да се тества, тъй като добавката Silverlight не позволява изрично да се изискват файлове с правила. Вместо това, той автоматично ги изисква, когато се опитва да използва приложение за сокет. Преди да можете да създадете клиентско приложение за това сокет приложение, трябва да създадете сървър.

Продължение на темата:

Нови статии

/