Дайте подробно описание на политиката на сървъра за релацията. Дайте подробно описание на политиката на сървъра

Помощна програма GPResult.exe– е конзолно приложение, предназначено да анализира настройките и да диагностицира групови политики, които се прилагат към компютър и/или потребител в домейн на Active Directory. По-специално, GPResult ви позволява да получите данни от резултантния набор от политики (Resultant Set of Policy, RSOP), списък с приложени политики за домейни (GPO), техните настройки и подробна информация за грешките при тяхната обработка. Помощната програма е част от операционната система Windows от дните на Windows XP. Помощната програма GPResult ви позволява да отговорите на въпроси като дали определена политика се прилага за компютър, кой GPO е променил определена настройка на Windows и да разберете причините.

В тази статия ще разгледаме спецификата на използването на командата GPResult за диагностика и отстраняване на грешки в прилагането на групови политики в домейн на Active Directory.

Първоначално за диагностициране на прилагането на групови политики в Windows беше използвана графичната конзола RSOP.msc, която направи възможно получаването на настройките на получените политики (домейн + локални), приложени към компютъра и потребителя в графична форма, подобна на конзолата за редактор на GPO (по-долу, в примера на изгледа на конзолата RSOP.msc, можете да видите, че настройките за актуализиране са зададени).

Въпреки това, конзолата RSOP.msc в съвременните версии на Windows не е практична за използване, т.к не отразява настройките, приложени от различни разширения от страна на клиента (CSE), като GPP (Предпочитания за групови правила), не позволява търсене, предоставя малко диагностична информация. Следователно в момента именно командата GPResult е основният инструмент за диагностициране на използването на GPO в Windows (в Windows 10 дори има предупреждение, че RSOP не дава пълен отчет, за разлика от GPResult).

Използване на помощната програма GPResult.exe

Командата GPResult се изпълнява на компютъра, на който искате да тествате прилагането на групови правила. Командата GPResult има следния синтаксис:

GPRESULT ]] [(/X | /H)<имя_файла> ]

За да получите подробна информация за груповите правила, които се прилагат към даден AD обект (потребител и компютър) и други настройки, свързани с GPO инфраструктурата (т.е. произтичащите GPO политики настройки - RsoP), изпълнете командата:

Резултатите от изпълнението на командата са разделени на 2 секции:

• КОМПЮТЪР НАСТРОЙКИ (Компютърна конфигурация) – разделът съдържа информация за GPO обекти, които засягат компютъра (като обект на Active Directory);
• ПОТРЕБИТЕЛ НАСТРОЙКИ – потребителски раздел на политики (политики, които се прилагат за потребителски акаунт в AD).

Нека прегледаме накратко основните параметри/секции, които могат да представляват интерес за нас в изхода на GPResult:

• сайтИме(Site name:) - името на AD сайта, в който се намира компютърът;
• CN– пълен каноничен потребител/компютър, за който са генерирани RSoP данните;
• ПоследновремегрупаПолитикабешеприложено(Последно приложена групова политика) - времето, когато последно са приложени групови политики;
• групаПолитикабешеприложеноот(Груповата политика е приложена от) - домейн контролерът, от който е заредена последна версия GPO
• домейнИмеи домейнТип(Име на домейн, тип домейн) – име и версия на схемата на домейн на Active Directory;
• ПриложеногрупаПолитикаОбекти(Приложени GPO)– списъци с активни обекти на групова политика;
• TheследнотоGPOбяханеприложенозащототебяхафилтрираннавън(Следните GPO политики не бяха приложени, защото бяха филтрирани) - неприложени (филтрирани) GPO;
• Theпотребител/компютъреачастнанаследнотосигурностгрупи(Потребителят/компютърът е член на следните групи за сигурност) – Групи домейни, на които потребителят е член.

В нашия пример можете да видите, че потребителският обект е засегнат от 4 групови правила.

• Правила за домейни по подразбиране;
• Активирайте защитната стена на Windows;
• Списък за търсене на DNS суфикс

Ако не искате конзолата да показва информация както за потребителските политики, така и за компютърните политики едновременно, можете да използвате опцията /scope, за да покажете само секцията, която ви интересува. Само произтичащи потребителски правила:

gpresult /r /scope:user

или само приложени компютърни правила:

gpresult /r /scope:компютър

защото Помощната програма Gpresult извежда своите данни директно в конзолата на командния ред, което не винаги е удобно за последващ анализ; нейният изход може да бъде пренасочен към клипборда:

gpresult /r |клип

или текстов файл:

gpresult /r > c:\gpresult.txt

За да покажете супер подробна RSOP информация, добавете ключа /z.

HTML RSOP отчет с помощта на GPResult

В допълнение, помощната програма GPResult може да генерира HTML отчет за приложените правила за резултати (достъпни в Windows 7 и по-нови). Този отчет ще съдържа подробна информация за всички системни настройки, които са зададени от групови правила и имената на конкретни GPO, които ги задават (резултантният отчет за структурата наподобява раздела Настройки в конзолата за управление на групови правила на домейна - GPMC). Можете да генерирате HTML GPResult отчет с помощта на командата:

GPResult /h c:\gp-report\report.html /f

За да генерирате отчет и автоматично да го отворите в браузър, изпълнете командата:

GPResult /h GPResult.html & GPResult.html

HTML отчетът на gpresult съдържа доста полезна информация: виждат се грешки в приложението на GPO, време за обработка (в ms) и прилагане на специфични политики и CSE (в раздела Подробности за компютъра -> Състояние на компонента). Например на екранната снимка по-горе можете да видите, че политиката с настройките 24 пароли се помнят се прилага от Правилата за домейни по подразбиране (колона Winning GPO). Както можете да видите, такъв HTML отчет е много по-удобен за анализ на приложените политики, отколкото конзолата rsop.msc.

Получаване на GPResult данни от отдалечен компютър

GPResult може също да събира данни от отдалечен компютър, елиминирайки необходимостта администратор да влиза локално или RDP към отдалечен компютър. Командният формат за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

По същия начин можете да събирате данни както от потребителски правила, така и от компютърни правила от разстояние.

потребителското име няма RSOP данни

С активиран UAC, стартирането на GPResult без повишени привилегии показва само настройките за потребителския раздел на груповата политика. Ако трябва да покажете и двата раздела (ПОТРЕБИТЕЛСКИ НАСТРОЙКИ и НАСТРОЙКИ НА КОМПЮТЪРА) едновременно, командата трябва да се изпълни. Ако командният ред с повишени права е на система, различна от текущия потребител, помощната програма ще издаде предупреждение ИНФО: Theпотребител„домейн\потребител"правинеиматRSOPданни (Потребителят „domain\user“ няма RSOP данни). Това е така, защото GPResult се опитва да събере информация за потребителя, който го е изпълнил, но защото Този потребител не е влязъл в системата и няма налична RSOP информация за него. За да съберете RSOP информация за потребител с активна сесия, трябва да посочите неговия акаунт:

gpresult /r /потребител:tn\edward

Ако не знаете името на акаунта, който е влязъл на отдалечения компютър, можете да получите акаунта по следния начин:

qwinsta /СЪРВЪР:remotePC1

Също така проверете часа(ата) на клиента. Часът трябва да съвпада с часа на PDC (основен домейн контролер).

Следните GPO правила не бяха приложени, защото бяха филтрирани

Когато отстранявате неизправности в групови правила, трябва също да обърнете внимание на раздела: Следните GPO не бяха приложени, защото бяха филтрирани (Следните GPO правила не бяха приложени, защото бяха филтрирани). Този раздел показва списък с GPO, които по една или друга причина не се отнасят за този обект. Възможни опции, за които политиката може да не е приложима:

Можете също така да разберете дали политиката трябва да се приложи към конкретен AD обект в раздела Ефективни разрешения (Разширени -> Ефективен достъп).

Така че в тази статия прегледахме функциите за диагностициране на прилагането на групови правила с помощта на помощната програма GPResult и прегледахме типичните сценарии за нейното използване.

Преди да разработите сокет сървър, трябва да създадете сървър за политики, който казва на Silverlight на кои клиенти е разрешено да се свързват към сокет сървъра.

Както е показано по-горе, Silverlight не позволява да се зарежда съдържание или да се извиква уеб услуга, ако домейнът няма clientaccesspolicy .xml или crossdomain файл. xml, където тези операции са изрично разрешени. Подобно ограничение се прилага за сокет сървъра. Ако не позволите на клиентското устройство да изтегли файла clientaccesspolicy .xml, който позволява отдалечен достъп, Silverlight ще откаже да установи връзка.

За съжаление, предоставяне на политика за клиентски достъп. cml към приложение за сокет е по-голямо предизвикателство, отколкото предоставянето му чрез уебсайт. При използване на уебсайта софтуеруеб сървърът може да предостави clientaccesspolicy .xml файл, просто не забравяйте да го добавите. В същото време, когато използвате приложение за сокет, трябва да отворите сокет, до който клиентските приложения имат достъп с заявки за политика. Освен това трябва ръчно да създадете кода, който обслужва сокета. За да изпълните тези задачи, трябва да създадете сървър за политики.

В това, което следва, ще покажем, че сървърът за политики работи по същия начин като сървъра за съобщения, той просто обработва малко по-прости взаимодействия. Сървърите за съобщения и политиките могат да бъдат създадени отделно или комбинирани в едно приложение. Във втория случай те трябва да слушат за заявки в различни нишки. В този пример ще създадем сървър за политики и след това ще го комбинираме със сървър за съобщения.

За да създадете сървър за политики, първо трябва да създадете .NET приложение. Всеки тип .NET приложение може да служи като сървър за политики. Най-лесният начин е да използвате конзолно приложение. След като сте отстранили грешки в конзолното си приложение, можете да преместите кода си в услуга на Windows, така че да работи във фонов режим през цялото време.

Политика файл

Следва файлът с политики, предоставен от сървъра за политики.

Файлът с политики определя три правила.

Позволява достъп до всички портове от 4502 до 4532 (това е пълният набор от портове, поддържани от добавката Silverlight). За да промените диапазона от налични портове, променете стойността на атрибута на порта на елемента.

Позволява TCP достъп (разрешението е дефинирано в атрибута на протокола на елемента).

Позволява обаждане от всеки домейн. Следователно приложение Silverlight, което установява връзка, може да бъде хоствано от всеки уебсайт. За да промените това правило, трябва да редактирате uri атрибута на елемента.

За да улесните нещата, правилата за правилата се поставят във файла clientaccess-ploi.cy.xml, който се добавя към проекта. IN визуално студиоНастройката за копиране в изходна директория на файла с правила трябва да бъде зададена на Винаги копиране. трябва просто да намери файла на твърдия диск, да го отвори и да върне съдържанието на клиентското устройство.

Клас PolicyServer

Функционалността на сървъра за политики се основава на два ключови класа: PolicyServer и PolicyConnection. Класът PolicyServer обработва чакащи връзки. Когато получи връзка, той предава контрола на нов екземпляр на класа PoicyConnection, който предава файла на правилата на клиента. Тази процедура от две части е често срещана в мрежовото програмиране. Ще го видите повече от веднъж, когато работите със сървъри за съобщения.

Класът PolicyServer зарежда файла с правилата от твърдия диск и го съхранява в полето като масив от байтове.

публичен клас PolicyServer

политика за лични байтове;

public PolicyServer(string policyFile) (

За да започне да слуша, сървърното приложение трябва да извика PolicyServer. Старт(). Той създава обект TcpListener, който слуша за заявки. Обектът TcpListener е конфигуриран да слуша на порт 943. В Silverlight този порт е запазен за сървъри за политики. Когато прави заявки за файлове с политики, приложението Silverlight автоматично ги насочва към порт 943.

частен TcpListener слушател;

public void Start()

// Създаване на слушател

слушател = нов TcpListener(IPAddress.Any, 943);

// Започнете да слушате; методът Start() връща II веднага след извикването на listener.Start();

// Изчакване на връзка; методът се връща веднага;

II изчакване се извършва в отделна тема

За да приеме предложената връзка, сървърът за политики извиква метода BeginAcceptTcpClient(). Подобно на всички методи Beginxxx() на .NET framework, той се връща веднага след като бъде извикан, като извършва необходимите операции в отделна нишка. За мрежовите приложения това е много важен фактор, тъй като позволява едновременното обработване на много заявки за файлове с правила.

Забележка. Начинаещите мрежови програмисти често се чудят как повече от една заявка могат да бъдат обработени едновременно и смятат, че това изисква няколко сървъра. Обаче не е така. С този подход клиентските приложения бързо биха изчерпали наличните портове. На практика сървърните приложения обработват много заявки през един порт. Този процес е невидим за приложенията, тъй като вградената TCP подсистема в Windows автоматично идентифицира съобщенията и ги насочва към подходящите обекти в кода на приложението. Всяка връзка се идентифицира уникално въз основа на четири параметъра: IP адрес на клиент, номер на клиентски порт, IP адрес на сървър и номер на порт на сървър.

При всяка заявка се задейства методът за обратно извикване OnAcceptTcpClient(). Той отново извиква метода BeginAcceptTcpClient O, за да започне да чака следващата заявка в друга нишка и след това започва да обработва текущата заявка.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Искането за правила е получено."); // Изчакване на следващото свързване.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Обработване на текущата връзка.

TcpClient клиент = слушател.EndAcceptTcpClient(ar); PolicyConnection policyConnection = нова PolicyConnection(клиент, политика); policyConnection.HandleRequest() ;

catch (Exception err) (

Всеки път, когато се получи нова връзка, се създава нов обект PolicyConnection, който да я обработва. Освен това обектът PolicyConnection поддържа файл с правила.

Последният компонент на класа PolicyServer е методът Stop(), който спира изчакването на заявки. Приложението го извиква, когато приключи.

private bool isStopped;

public void StopO(

isStopped = вярно;

слушател. Спри се();

catch (Exception err) (

Console.WriteLine(err.Message);

Следният код се използва в метода Main() на сървъра на приложения за стартиране на сървъра за политики.

static void Main(string args) (

PolicyServer policyServer = нов PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Сървърът за правила стартира."); Console.WriteLine("Натиснете клавиша Enter за изход.");

// Изчакване на натискане на клавиш; използвайки метода // Console.ReadKey(), можете да го настроите да изчаква конкретен // ред (например излизане) или да натиска произволен клавиш Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Край на сървъра за правила.");

Клас PolicyConnection

Класът PolicyConnection изпълнява по-проста задача. Обектът PolicyConnection съхранява препратка към данни от файла на правилата. След това, след като се извика методът HandleRequest(), обектът PolicyConnection извлича нова връзка от мрежовия поток и се опитва да я прочете. Клиентското устройство трябва да изпрати низ, съдържащ текст. След като прочете този текст, клиентското устройство записва данните за правилата в потока и затваря връзката. Следва кодът на класа PolicyConnection.

публичен клас PolicyConnection(

частен TcpClient клиент; политика за лични байтове;

public PolicyConnection(TcpClient клиент, байтова политика) (

this.client = клиент; this.policy = политика;

// Създаване на клиентска заявка за частен статичен низ policyRequestString = "

public void HandleRequest()(

Поток s = client.GetStream(); // Прочетете низа на заявка за политика

байтов буфер = нов байт;

// Изчакайте само 5 секунди client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Подаване на политиката (можете също да проверите дали заявката за политика има // необходимото съдържание) s.Write(policy, 0, policy.Length);

// Затворете връзката client.Close();

Console.WriteLine("Обслужен файл с правила.");

И така, имаме напълно работещ сървър за политики. За съжаление все още не може да се тества, тъй като добавката Silverlight не позволява изрично да се изискват файлове с правила. Вместо това, той автоматично ги изисква, когато се опитва да използва приложение за сокет. Преди да можете да създадете клиентско приложение за това сокет приложение, трябва да създадете сървър.

В предишните статии от тази поредица научихте как ефективно да използвате функционалността на локалните политики за сигурност, което ви позволява да защитите максимално инфраструктурата на вашата организация от атаки на недоброжелатели отвън, както и от повечето действия на некомпетентни служители . Вече знаете как можете ефективно да настроите политики за акаунти, които ви позволяват да управлявате сложността на паролите на вашите потребители, да настроите политики за одит, за да анализирате допълнително удостоверяването на вашите потребители в регистъра за сигурност. Освен това научихте как да присвоявате права на вашите потребители, за да избегнете увреждане на вашата система и дори на компютрите във вашия интранет, и как можете ефективно да конфигурирате регистрационни файлове на събития, ограничени групи, системни услуги, регистър и файлова система. В тази статия ще продължим нашето проучване на местните политики за сигурност и ще научите за настройките за сигурност на кабелната мрежа за вашето предприятие.

Сървърните операционни системи на Microsoft, започвайки с Windows Server 2008, представиха компонента Wired Network Policies (IEEE 802.3), който осигурява автоматично конфигуриране за разполагане на услуги за кабелен достъп с IEEE 802.1X удостоверяване за мрежови клиенти Ethernet 802.3. За да приложат настройките за сигурност за кабелни мрежи с помощта на групови правила, операционните системи използват услугата Wired AutoConfig (Wired AutoConfig - DOT3SVC). Текущата услуга е отговорна за IEEE 802.1X удостоверяване при свързване към Ethernet мрежисъс съвместими 802.1X комутатори и управлява профил, използван за конфигуриране на мрежов клиент за удостоверен достъп. Също така си струва да се отбележи, че ако използвате тези правила, тогава е желателно да попречите на потребителите във вашия домейн да променят режима на стартиране на тази услуга.

Конфигуриране на правила за кабелна мрежа

Можете да зададете настройките на правилата за кабелна мрежа директно от конзолната добавка. За да конфигурирате тези настройки, изпълнете следните стъпки:

1. Отворете модула и изберете възела в дървото на конзолата, щракнете с десния бутон върху него и изберете командата от контекстното меню „Създаване на нова политика за кабелна мрежа за Windows Vista и по-нова версия“както е показано на следната илюстрация:

   Ориз. 1. Създайте политика за кабелна мрежа

2. В отворения диалогов прозорец „Нова политика за свойства на кабелни мрежи“, в раздела "Обичайни са", можете да посочите да използвате услугата Wired AutoConfig за конфигуриране на LAN адаптери за свързване към кабелна мрежа. В допълнение към настройките на правилата, които се прилагат за Windows Vista и по-нови операционни системи, има някои настройки на правилата, които ще се прилагат само за операционните системи Windows 7 и Windows Server 2008 R2. В този раздел можете да направите следното:
   • Име на правилата. В това текстово поле можете да дадете име на вашата политика за кабелна мрежа. Можете да видите името на правилото в панела с подробности на възела „Правила за кабелна мрежа (IEEE 802.3)“щракам Редактор за управление на групови правила;
   • Описание. Това текстово поле е за попълване на подробно описание на целта на политиката за кабелна мрежа;
   • Използвайте услугата Windows Wired AutoConfig за клиенти. Тази опция прави действителната конфигурация и свързва клиенти към кабелна 802.3 мрежа. Ако деактивирате тази опция, операционната система Windows няма да контролира кабелната мрежова връзка и настройките на правилата няма да влязат в сила;
   • Предотвратете използването на споделени потребителски идентификационни данни за мрежово удостоверяване. Тази настройка определя дали потребителят трябва да бъде предотвратен от съхраняване на споделени потребителски идентификационни данни за мрежово удостоверяване. Можете да промените тази настройка локално с командата netsh lan set allowexplicitcreds;
   • Активирайте периода на блокиране. Тази настройка определя дали да попречи на компютъра да се свързва автоматично към кабелна мрежа за посочения от вас брой минути. По подразбиране е 20 минути. Периодът на блокиране може да се регулира от 1 до 60 минути.

"Обичайни са"правила за кабелна мрежа:

Ориз. 2. Раздел Общи на диалоговия прозорец с настройки на правилата за кабелна мрежа

3. В раздела "безопасност"предоставя опции за конфигурация за метода на удостоверяване и режима на кабелна връзка. Можете да конфигурирате следните настройки за сигурност:
   • Активирайте IEEE 802.1X удостоверяване за достъп до мрежата. Тази опция се използва директно за активиране или деактивиране на 802.1X удостоверяване достъп до мрежата. Тази опция е активирана по подразбиране;
   • Изберете метод за мрежово удостоверяване. Като използвате този падащ списък, можете да посочите един от методите за удостоверяване на мрежовия клиент, който ще бъде приложен към вашата политика за кабелна мрежа. Следните две опции са налични за избор:
     • Microsoft: Защитени EAP (PEAP). За този метод за удостоверяване, прозорецът "Имоти"съдържа конфигурационни настройки за използвания метод за удостоверяване;
     • Microsoft: смарт карти или друг сертификат. За този метод за удостоверяване в прозореца "Имоти"предоставя опции за конфигуриране, които ви позволяват да посочите смарт карта или сертификат, към които да се свържете, както и списък с доверени основни CA.

   Методът е избран по подразбиране Microsoft: Защитени EAP (PEAP);

4. Режим на удостоверяване. Този падащ списък се използва за изпълнение проверка на мрежатаавтентичност. Следните четири опции са налични за избор:
   • Удостоверяване на потребител или компютър. Ако тази опция е избрана, идентификационните данни за сигурност ще се използват въз основа на текущото състояние на компютъра. Дори ако никой потребител не е влязъл, удостоверяването ще се извърши с помощта на идентификационните данни на компютъра. Когато потребител влезе, ще се използват идентификационните данни на влезлия потребител. Microsoft препоръчва използването на тази настройка за режим на удостоверяване в повечето случаи.
   • Само за компютър. В този случай се удостоверяват само идентификационните данни на компютъра;
   • Удостоверяване на потребителя. Избирането на тази опция налага удостоверяване на потребителя само при свързване към ново 802.1X устройство. Във всички останали случаи удостоверяването се извършва само за компютъра;
   • Удостоверяване на гост. Тази настройка ви позволява да се свързвате към мрежата въз основа на акаунт на гост.
5. Максимален брой грешки при удостоверяване. Тази настройка ви позволява да посочите максималния брой грешки при удостоверяване. Стойността по подразбиране е 1;
6. Кеширане на потребителски данни за последващи връзки към тази мрежа. Когато тази настройка е активирана, потребителските идентификационни данни ще се съхраняват в системния регистър и няма да се изискват идентификационни данни, когато потребителят излезе и след това влезе.

Следната илюстрация показва раздела "безопасност"този диалогов прозорец:

Ориз. 3. Раздел Сигурност на диалоговия прозорец Настройки на правилата за кабелна мрежа

Свойства на режимите на удостоверяване

Както бе споменато в предишния раздел, и за двата метода за удостоверяване има допълнителни настройки, които се извикват чрез щракване върху бутона "Имоти". В този раздел ще разгледаме всички възможни настройки за методите за удостоверяване.

„Microsoft: Secure EAP (PEAP)“ настройки на метода за удостоверяване

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) е разширяема инфраструктура за удостоверяване, която определя формата на пакета. Налични са следните опции за конфигуриране на този метод за удостоверяване:

Активирайте бързо повторно свързване. Тази опция позволява на потребителите с безжични компютрипреминавайте бързо между точките за достъп без повторно удостоверяване в нова мрежа. Това превключване може да работи само за точки за достъп, които са конфигурирани като RADIUS клиенти. Тази опция е активирана по подразбиране;

Активирайте защитата на достъпа до мрежата. Когато тази опция е избрана, преди да се позволи на заявителите на EAP да се свържат с мрежата, ще бъдат извършени подходящи проверки, за да се определи проверката на здравните изисквания;

Прекъснете връзката, ако сървърът не поддържа криптирано обвързване чрез механизма TLV. Тази опция е отговорна за прекъсването на процеса на удостоверяване на свързващите клиенти, ако RADIUS сървърът не предоставя криптографска TLV свързваща стойност, която подобрява сигурността на TLS тунела в PEAP чрез комбиниране на вътрешни и външни методи за удостоверяване, така че нападателите да не могат да извършват атаки за подправяне. трета страна;

Активирайте самоличността за поверителност. Тази настройка не позволява на клиентите да изпращат своята самоличност, преди клиентът да е удостоверил RADIUS сървъра, и по избор предоставя място за въвеждане на анонимна стойност за самоличност.

Диалоговият прозорец със свойства на Secure EAP е показан на следната илюстрация:

Ориз. 5. Диалогов прозорец със свойства на Secure EAP

Настройки на метода за удостоверяване „Смарт карта или друг сертификат – EAP-TLS настройки“

Налични са следните опции за конфигуриране на този метод за удостоверяване:

• Използвайте моята смарт карта при свързване. Ако зададете бутона за избор на тази позиция, клиентите, които правят заявки за удостоверяване, ще представят сертификат за смарт карта за удостоверяване на мрежата;
• Когато се свързвате, използвайте сертификата на този компютър. Когато тази опция е избрана, проверката на клиентската връзка ще използва сертификата, намиращ се в хранилището на текущия потребител или локалния компютър;
• Използвайте прост избор на сертификат. Тази опция позволява на операционната система Windows да филтрира сертификати, които не отговарят на изискванията за удостоверяване;
• Проверете сертификата на сървъра. Тази опция ви позволява да зададете проверката на сертификата на сървъра, който се предоставя на клиентските компютри за валиден, неизтекъл подпис, както и наличието на доверен главен сертифициращ орган, който е издал сертификата на този сървър
• Свържете се със сървъри. Тази опция е идентична с опцията със същото име, описана в предишния раздел;
• Доверен коренови центровесертифициране. Точно както в диалоговия прозорец със защитени свойства на EAP, в този списък можете да намерите всички доверени главни сертифициращи органи, които са инсталирани в хранилищата за потребителски и компютърни сертификати;
• Не подканвайте потребителя да упълномощи нови сървъри или доверени сертифициращи органи. Чрез отметка на тази опция, ако има неправилно конфигуриран сървърен сертификат или присъства в списъка за потребителя, няма да се покаже диалогов прозорец с молба да разрешите такъв сертификат. Тази опция е деактивирана по подразбиране;
• Използвайте различно потребителско име за свързване. Тази настройка определя дали да се използва различно потребителско име за удостоверяване от потребителското име в сертификата. Когато опцията за използване на различно потребителско име е активирана, трябва да изберете поне един сертификат от списъка с доверени главни сертифициращи центрове.

Диалоговият прозорец за настройка на смарт карти или други сертификати се показва на следната илюстрация:

Ориз. 6. Диалогов прозорец за настройка на смарт карти или други сертификати

Ако не сте сигурни за сертификата, който избирате, тогава като щракнете върху бутона „Преглед на сертификата“ще можете да видите всички подробности за избрания сертификат, както е показано по-долу:

Ориз. 7. Вижте сертификат от списъка с доверени главни сертифициращи органи

Разширени опции за сигурност на кабелната политика

Вероятно сте забелязали това в раздела "безопасност"В диалоговия прозорец Настройки на правилата за кабелна мрежа има допълнителни опции за защита за промяна на поведението на мрежови клиенти, които искат достъп с 802.1X удостоверяване. Разширените настройки на политиката за кабел могат да бъдат разделени на две групи - настройки на IEEE 802.1X и настройки за единично влизане. Нека разгледаме всяка от тези групи:

В групата настройки IEEE 802.1X можете да укажете характеристиките на заявките за кабелна мрежа с 802.1X удостоверяване. Следните опции са налични за редактиране:

• Приложете разширени настройки за 802.1X. Тази опция ви позволява да активирате следните четири настройки;
• Макс. EAPOL съобщения. EAPOL е EAP протокол, който се използва преди компютърът да има време да се удостовери и само след успешно „влизане“ целият друг трафик ще може да премине през порта на комутатора, към който е свързан този компютър. Този параметър контролира максималния брой изпратени съобщения EAPOL-Start;
• Период на забавяне (сек). Тази настройка контролира забавянето в секунди, преди да бъде направена следващата заявка за удостоверяване 802.1X след получаване на известие за неуспешно удостоверяване;
• Начален период (начален период). Този параметър контролира времето за изчакване преди повторно изпращане на последователни съобщения EAPOL-Start;
• Период на проверка (сек). Този параметър указва броя секунди между повторното предаване на последователни първоначални EAPOL съобщения след иницииране на 802.1X проверка за преминаващ достъп;
• Съобщение за стартиране на EAPOL. С този параметър можете да укажете следните характеристики на предаване на първоначалните EAPOL съобщения:
  • Не прехвърляйте. Ако тази опция е избрана, съобщенията EAPOL няма да се предават;
  • Прехвърлен. Ако тази опция е избрана, клиентът ще трябва ръчно да изпрати първоначалните EAPOL съобщения;
  • IEEE 802.1X предаване. Ако тази опция е избрана (по подразбиране), EAPOL съобщенията ще се изпращат автоматично, чакайки 802.1X удостоверяването да започне.

Когато използвате единично влизане, удостоверяването трябва да се извърши въз основа на конфигурацията за защита на мрежата по време на процеса на влизане на потребителя в операционната система. Налични са следните опции за пълно конфигуриране на SSO профили:

• Активирайте единично влизане за мрежата. Активирането на тази опция активира настройките за единично влизане;
• Активирайте точно преди влизане на потребителя. Ако отметнете тази опция, тогава 802.1X удостоверяване ще бъде извършено преди потребителят да завърши влизането;
• Активирайте веднага след влизане на потребителя. Ако отметнете тази опция, тогава 802.1X удостоверяване ще бъде извършено, след като потребителят влезе;
• Макс. забавяне на връзката. Този параметър определя максималното време, за което трябва да бъде завършена автентификацията и, съответно, колко време ще чака потребителят, преди да се появи прозорецът за влизане на потребителя;
• Разрешете показването на допълнителни диалогови прозорци при единично влизане. Тази настройка отговаря за показването на диалоговия прозорец за влизане на потребителя;
• Тази мрежа използва различни VLAN за удостоверяване на идентификационни данни на машина и потребител. Ако зададете тази настройка, при стартиране всички компютри ще бъдат поставени в една и съща виртуална мрежа и след успешно влизане на потребителя, в зависимост от разрешенията, ще бъдат прехвърлени към различни виртуални мрежи. Има смисъл да активирате тази опция само ако имате няколко VLAN във вашето предприятие.

Диалоговият прозорец с разширени настройки за защита на правилата за кабелна мрежа е показан на следната илюстрация:

Ориз. Фигура 8. Диалогов прозорец за разширени настройки за защита на правилата за кабелни мрежи

Заключение

В тази статия научихте за всички настройки на правилата за кабелна мрежа IEE 802.1X. Научихте как можете да създадете такава политика и научихте за методите за удостоверяване на EAP и удостоверяването с помощта на смарт карти или други сертификати. В следващата статия ще научите за местните политики за сигурност на Network List Manager.

Политиките в Exchange Server 2003 са предназначени да увеличат гъвкавостта на администрирането, като същевременно намаляват тежестта върху администраторите. Правилото е набор от конфигурационни настройки, които се прилагат към един или повече обекти от същия клас в Exchange. Например, можете да създадете политика, която засяга определени настройки на някои или всички сървъри на Exchange. Ако трябва да промените тези настройки, тогава просто трябва да промените тази политика и тя ще бъде приложена към съответната сървърна организация.

Има два вида политики: системна политика и политика за получател. Правилата за получатели се прилагат за обекти за достъп до поща и определят как се генерират имейл адресите. Правилата за получатели се обсъждат в „Създаване и управление на получатели“. Системните правила се прилагат към сървъри, хранилища на пощенски кутии и публични папки. Тези правила се появяват в контейнера Политики в групата, отговорна за администрациятази политика (Фигура 12.10).

Ориз. 12.10.Обект на системна политика

Забележка. Инсталацията на Exchange Server 2003 не създава контейнер по подразбиране за системни правила. Той трябва да бъде създаден преди изграждането на системни политики. Щракнете с десния бутон върху административната група, в която искате да създадете папка с правила, задръжте курсора на мишката върху Нов и изберете Контейнер за системни правила.

Създайте системна политика

За да създадете системна политика, отидете до съответния контейнер за системни правила, щракнете с десния бутон върху контейнера и след това изберете типа политика, която да създадете: политика за сървър, политика за съхранение на пощенска кутия или политика за съхранение на публична папка.

Когато работите със системни политики, не забравяйте да създадете обект на политика в групата, която отговаря за администрирането на тази политика. В противен случай може да възникне грешка при избора на хора, които упражняват административен контрол върху критични политики. Нека да разгледаме как се създава всеки от трите типа политики, като започнем със сървърните политики.

Създайте сървърна политика

Политиката на сървъра определя настройките за проследяване на съобщения и поддръжка на регистрационни файлове. Не се отнася за настройките за защита или други настройки на сървърите в тази административна група. За да създадете сървърна политика, щракнете с десния бутон върху контейнера System Policies, посочете New и след това изберете опцията Server Policy. Ще се появи диалоговият прозорец Нова политика, показан на фигура 1. 12.11, който определя разделите, които се показват на страницата със свойства на правилата. Има само една опция за политиката на сървъра: разделът Общи. Проверете опцията за този раздел и след това щракнете върху OK. Ще се покаже прозорец за конфигурация, в който ще бъде създадена политиката.

Ориз. 12.11.

След това трябва да въведете име за правилото в прозореца на раздела Общи на страницата със свойства на правилото. Както е показано на Фигура 12.12, всъщност има два раздела Общи. Първият раздел се използва за въвеждане на името на политиката. Изберете име, за да опишете задачата, която тази политика е предназначена да изпълнява, като например Правила за проследяване на съобщения или Правила за активиране на регистриране на теми. Подходящо име, избрано на този етап, ще спести време, тъй като няма да е необходимо да отваряте страницата със свойства на политиката, за да определите нейната цел.

Разделът Общи (Политика), показан на фиг. 12.13 съдържа действителните настройки на правилата, приложени към Exchange сървърите на въпросната организация. Разделът се нарича Общи (Политика), защото потенциално конфигурира раздела Общи на страниците със свойства за всички налични сървъри. (По-късно в тази глава ще видим как да приложим тази политика към всички сървъри в една организация.) Ако сравните този раздел с раздела Общи на страницата със свойства на сървъра, ще видите, че разделите са еднакви с изключение на идентифициращата информация в горната част на раздела.

Разделът Общи (Политика) позволява регистриране и разрешаване на регистриране и показване на обекти за всички съществуващи сървъри на Exchange 2003. Тази настройка работи заедно с опцията Разрешаване на проследяване на съобщения, която ви позволява да проследявате съобщения, изпратени в организацията. Тези опции са полезни за отстраняване на източника на проблеми, които възникват, когато някои потребители не получават съобщения от други потребители. Възможно е да се проследи преминаването на съобщение през организация, за да се определи къде има проблеми с предаването на данни. За повече информация относно проследяването на съобщенията и записването на темата на съобщението вижте Глава 6, Функционалност, сигурност и поддръжка на Exchange Server 2003.

Ориз. 12.12.

Ориз. 12.13.

След като дадена политика влезе в сила, тя не може да бъде променена на ниво локален сървър. Политиката за проследяване на съобщения, която използвахме като пример, беше генерирана на сървър EX-SRV1 в групата администратори на Аризона. На

Функционалността в операционната система Windows Server се изчислява и се подобрява от версия на версия, има все повече роли и компоненти, така че в днешната статия ще се опитам да опиша накратко описание и цел на всяка роля в Windows Server 2016.

Преди да преминем към описанието на сървърните роли на Windows Server, нека разберем какво точно е " Роля на сървъра» на операционната система Windows Server.

Какво е "Сървърна роля" в Windows Server?

Роля на сървъра- това е софтуерен пакет, който осигурява изпълнението на определена функция от сървъра и тази функция е основната. С други думи, " Роля на сървъра' е дестинацията на сървъра, т.е. за какво е. За да може сървърът да изпълнява основната си функция, т.е. определена роля в Роля на сървъра» включва целия необходим софтуер за това ( програми, услуги).

Сървърът може да има една роля, ако се използва активно, или няколко, ако всяка от тях не натоварва силно сървъра и се използва рядко.

Сървърната роля може да включва множество ролеви услуги, които осигуряват функционалността на ролята. Например в сървърната роля " Уеб сървър (IIS)“ включва доста голям брой услуги, а ролята “ DNS сървър» не включва ролеви услуги, тъй като тази роля изпълнява само една функция.

Ролевите услуги могат да бъдат инсталирани всички заедно или поотделно, в зависимост от вашите нужди. По същество инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Windows Server също има " Компоненти» сървър.

Сървърни компоненти (функция)- Това софтуер, които не са сървърна роля, но подобряват една или повече роли или управляват една или повече роли.

Някои роли не могат да бъдат инсталирани, ако сървърът няма необходимите услуги или компоненти, които са необходими за функционирането на ролите. Следователно, по време на инсталирането на такива роли " Съветник за добавяне на роли и функции» автоматично ще ви подкани да инсталирате необходимите допълнителни ролеви услуги или компоненти.

Описание на сървърните роли на Windows Server 2016

Вероятно вече сте запознати с много от ролите, които са в Windows Server 2016, тъй като те съществуват от доста време, но както казах, с всяка нова Windows версияСървър, добавят се нови роли, с които може би все още не сте работили, но бихте искали да знаете за какво служат, така че нека започнем да ги разглеждаме.

Забележка! Можете да прочетете за новите функции на операционната система Windows Server 2016 в материала „Инсталиране на Windows Server 2016 и преглед на новите функции“.

Тъй като много често инсталирането и администрирането на роли, услуги и компоненти става с използвайки Windows PowerShell , за всяка роля и нейната услуга ще посоча името, което може да се използва в PowerShell, съответно за нейната инсталация или за управление.

DHCP сървър

Тази роля ви позволява да конфигурирате централно динамични IP адреси и свързаните с тях настройки за компютри и устройства във вашата мрежа. Ролята на DHCP сървъра няма ролеви услуги.

Името на Windows PowerShell е DHCP.

DNS сървър

Тази роля е предназначена за разрешаване на имена в TCP/IP мрежи. Ролята на DNS сървъра осигурява и поддържа DNS. За да се опрости управлението на DNS сървър, той обикновено се инсталира на същия сървър като домейн услугите на Active Directory. Ролята на DNS сървъра няма ролеви услуги.

Името на ролята за PowerShell е DNS.

Hyper-V

С ролята на Hyper-V можете да създавате и управлявате виртуализирана среда. С други думи, това е инструмент за създаване и управление виртуални машини.

Името на ролята за Windows PowerShell е Hyper-V.

Атестация за изправност на устройството

роля " » ви позволява да оцените изправността на устройството въз основа на измерени индикатори на параметри за сигурност, като индикатори за състоянието на защитено зареждане и Bitlocker на клиента.

За функционирането на тази роля са необходими много ролеви услуги и компоненти, например: няколко услуги от ролята " Уеб сървър (IIS)", компонент " ", компонент " Функции на .NET Framework 4.6».

По време на инсталацията всички необходими ролеви услуги и функции ще бъдат избрани автоматично. Ролята " Атестация за изправност на устройството» Няма ролеви услуги.

Името на PowerShell е DeviceHealthAttestationService.

Уеб сървър (IIS)

Осигурява надеждна, управляема и мащабируема инфраструктура за уеб приложения. Състои се от доста голям брой услуги (43).

Името на Windows PowerShell е Web-Server.

Включва следните ролеви услуги ( в скоби ще посоча името на Windows PowerShell):

Уеб сървър (Web-WebServer)- Група ролеви услуги, която осигурява поддръжка за HTML уебсайтове, ASP.NET разширения, ASP и уеб сървъра. Състои се от следните услуги:

• Сигурност (уеб сигурност)- набор от услуги за осигуряване на сигурността на уеб сървъра.
  • Филтриране на заявки (Web-Filtering) - с помощта на тези инструменти можете да обработвате всички заявки, идващи към сървъра, и да филтрирате тези заявки въз основа на специални правила, зададени от администратора на уеб сървъра;
  • Ограничения за IP адрес и домейн (Web-IP-Security) - тези инструменти ви позволяват да разрешите или откажете достъп до съдържание на уеб сървър въз основа на IP адреса или името на домейна на източника в заявката;
  • URL авторизация (Web-Url-Auth) - инструментите ви позволяват да разработите правила за ограничаване на достъпа до уеб съдържание и да ги асоциирате с потребители, групи или HTTP заглавни команди;
  • Разширено удостоверяване (Web-Digest-Auth) – Това удостоверяване осигурява по-високо ниво на сигурност от основното удостоверяване. Обобщеното удостоверяване за потребителско удостоверяване работи като предаване на хеш парола към домейн контролер на Windows;
  • Основно удостоверяване (Web-Basic-Auth) – Този метод за удостоверяване осигурява силна съвместимост с уеб браузър. Препоръчително е да се използва в малки вътрешни мрежи. Основният недостатък на този метод е, че паролите, предавани по мрежата, могат да бъдат доста лесно прихванати и декриптирани, така че използвайте този метод в комбинация със SSL;
  • Удостоверяването на Windows (Web-Windows-Auth) е удостоверяване, базирано на удостоверяване на домейн на Windows. С други думи, можете да използвате Сметки Active Directory за удостоверяване на потребителите на техните уеб сайтове;
  • Удостоверяване на картографиране на клиентски сертификат (Web-Client-Auth) – Този метод за удостоверяване използва клиентски сертификат. Този тип използва услугите на Active Directory за предоставяне на съпоставяне на сертификати;
  • Удостоверяване на съпоставяне на клиентски сертификат на IIS (Web-Cert-Auth) – Този метод също използва клиентски сертификати за удостоверяване, но използва IIS, за да предостави съпоставяне на сертификати. Този тип осигурява по-добра производителност;
  • Централизирана поддръжка на SSL сертификати (Web-CertProvider) - тези инструменти ви позволяват да управлявате централно SSL сървърни сертификати, което значително опростява процеса на управление на тези сертификати;
• Обслужване и диагностика (Web-Health)– набор от услуги за наблюдение, управление и отстраняване на неизправности в уеб сървъри, сайтове и приложения:
  • http logging (Web-Http-Logging) - инструментите осигуряват логване на активността на уебсайта на даден сървър, т.е. запис в дневник;
  • ODBC регистриране (Web-ODBC-Logging) – Тези инструменти също осигуряват регистриране на дейността на уебсайта, но поддържат регистриране на тази дейност в ODBC-съвместима база данни;
  • Монитор на заявки (Web-Request-Monitor) е инструмент, който ви позволява да наблюдавате изправността на уеб приложение чрез прихващане на информация за HTTP заявки в работния процес на IIS;
  • Персонализирано регистриране (Web-Custom-Logging) – С помощта на тези инструменти можете да конфигурирате регистриране на дейността на уеб сървъра във формат, който се различава значително от стандартния IIS формат. С други думи, можете да създадете свой собствен модул за регистриране;
  • Инструментите за регистриране (Web-Log-Libraries) са инструменти за управление на регистрационните файлове на уеб сървъра и автоматизиране на задачите за регистриране;
  • Проследяването (Web-Http-Tracing) е инструмент за диагностика и разрешаване на нарушения в уеб приложения.
• http Общи функции (Web-Common-Http)– набор от услуги, които предоставят основна HTTP функционалност:
  • Документ по подразбиране (Web-Default-Doc) - Тази функция ви позволява да конфигурирате уеб сървъра да връща документ по подразбиране, когато потребителите не посочат конкретен документ в URL адреса на заявката, което улеснява достъпа на потребителите до уебсайта, например чрез домейн, без посочване на файл;
  • Преглед на директории (Web-Dir-Browsing) - Този инструмент може да се използва за конфигуриране на уеб сървър, така че потребителите да могат да преглеждат списък с всички директории и файлове на уебсайт. Например, за случаите, когато потребителите не посочват файл в URL адреса на заявката и документите по подразбиране са или деактивирани, или не са конфигурирани;
  • http грешки (Web-Http-Errors) - тази функция ви позволява да конфигурирате съобщения за грешка, които ще се връщат към уеб браузърите на потребителите, когато грешка бъде открита от уеб сървъра. Този инструмент се използва за по-лесно представяне на съобщения за грешки на потребителите;
  • Статично съдържание (Web-Static-Content) − това лекарствови позволява да използвате съдържание под формата на статични файлови формати, като HTML файлове или файлове с изображения, на уеб сървър;
  • http пренасочване (Web-Http-Redirect) - като използвате тази функция, можете да пренасочите потребителска заявка към конкретна дестинация, т.е. това е пренасочване;
  • WebDAV Публикуване (Web-DAV-Publishing) - позволява ви да използвате WebDAV технологията на IIS WEB сървъра. WebDAV ( Уеб разпределено създаване и създаване на версии) е технология, която позволява на потребителите да работят заедно ( четене, редактиране, четене на свойства, копиране, преместване) върху файлове на отдалечени уеб сървъри, използвайки HTTP протокола.
• Производителност (уеб ефективност)- набор от услуги за постигане на по-висока производителност на уеб сървъра чрез кеширане на изхода и общи механизми за компресиране като Gzip и Deflate:
  • Статично компресиране на съдържание (Web-Stat-Compression) е инструмент за персонализиране на компресирането на http статично съдържание, което позволява по-ефективно използване на честотната лента, без ненужно натоварване на процесора;
  • Динамично компресиране на съдържание (Web-Dyn-Compression) е инструмент за конфигуриране на HTTP динамично компресиране на съдържание. Този инструмент осигурява по-ефективно използване на честотната лента, но в този случай натоварването на процесора на сървъра, свързано с динамична компресия, може да забави сайта, ако натоварването на процесора е високо дори без компресия.
• Разработка на приложения (Web-App-Dev)- набор от услуги и инструменти за разработване и хостване на уеб приложения, с други думи технологии за разработка на уебсайтове:
  • ASP (Web-ASP) е среда за поддържане и разработване на уеб сайтове и уеб приложенияс помощта на ASP технология. В момента има по-нова и по-модерна технология за разработка на уеб сайтове - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи технологията ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) също е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи новата версия на ASP.NET;
  • CGI (Web-CGI) е способността да се използва CGI за предаване на информация от уеб сървър към външна програма. CGI е вид интерфейсен стандарт за свързване на външна програма към уеб сървър. Има недостатък, използването на CGI влияе върху производителността;
  • Включването от страна на сървъра (SSI) (Web-Includes) е поддръжка за SSI скриптовия език ( активиране от страна на сървъра), който се използва за динамично генериране на HTML страници;
  • Инициализация на приложение (Web-AppInit) – този инструмент изпълнява задачите по инициализиране на уеб приложения преди изпращане на уеб страница;
  • WebSocket протокол (Web-WebSockets) - добавяне на възможност за създаване на сървърни приложения, които комуникират чрез WebSocket протокола. WebSocket е протокол, който може да изпраща и получава данни едновременно между браузър и уеб сървър през TCP връзка, вид разширение на HTTP протокола;
  • ISAPI разширения (Web-ISAPI-Ext) - поддръжка за динамично развитие на уеб съдържание с помощта на интерфейса за програмиране на приложения ISAPI. ISAPI е API за IIS уеб сървъра. ISAPI приложенията са много по-бързи от ASP файлове или файлове, които извикват COM+ компоненти;
  • .NET 3.5 Extensibility (Web-Net-Ext) е функция за разширяване на .NET 3.5, която ви позволява да модифицирате, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • .NET 4.6 Extensibility (Web-Net-Ext45) е функция за разширяване на .NET 4.6, която също ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • ISAPI филтри (Web-ISAPI-Filter) - Добавете поддръжка за ISAPI филтри. ISAPI филтрите са програми, които се извикват, когато уеб сървър получи конкретна HTTP заявка, която да бъде обработена от този филтър.

FTP - сървър (Web-Ftp-Server)– услуги, които осигуряват поддръжка на FTP протокола. Говорихме по-подробно за FTP сървъра в материала - „Инсталиране и конфигуриране на FTP сървър на Windows Server 2016“. Съдържа следните услуги:

• FTP услуга (Web-Ftp-Service) - добавя поддръжка на FTP протокола на уеб сървъра;
• Разширяемост на FTP (Web-Ftp-Ext) - Разширява стандартните FTP възможности, като добавяне на поддръжка за функции като персонализирани доставчици, потребители на ASP.NET или потребители на IIS мениджър.

Инструменти за управление (Web-Mgmt-Tools)са инструментите за управление на уеб сървъра IIS 10. Те включват: потребителския интерфейс на IIS, инструменти за команден ред и скриптове.

• Конзолата за управление на IIS (Web-Mgmt-Console) е потребителският интерфейс за управление на IIS;
• Набори от символи и инструменти за управление на IIS (Web-Scripting-Tools) са инструменти и скриптове за управление на IIS с помощта на командния ред или скриптове. Те могат да се използват например за автоматизиране на управлението;
• Услуга за управление (Web-Mgmt-Service) - тази услуга добавя възможност за дистанционно управление на уеб сървър от друг компютър с помощта на IIS Manager;
• Управление на съвместимостта на IIS 6 (Web-Mgmt-Compat) - Осигурява съвместимост за приложения и скриптове, които използват двата API на IIS. Съществуващите IIS 6 скриптове могат да се използват за управление на IIS 10 уеб сървъра:
  • IIS 6 Compatibility Metabase (Web-Metabase) е инструмент за съвместимост, който ви позволява да стартирате приложения и набори от знаци, които са мигрирани от по-ранни версии на IIS;
  • Инструменти за скриптове на IIS 6 (Web-Lgcy-Scripting) – Тези инструменти ви позволяват да използвате същите услуги за скриптове на IIS 6, които са създадени за управление на IIS 6 в IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) - Инструмент за администриране на отдалечено IIS сървъри 6.0;
  • IIS 6 WMI Compatibility (Web-WMI) са скриптови интерфейси на Windows Management Instrumentation (WMI) за програмно контролиране и автоматизиране на задачи на IIS 10.0 уеб сървър, използвайки набор от скриптове, създадени в WMI доставчик.

Домейн услуги на Active Directory

роля " Домейн услуги на Active Directory» (AD DS) предоставя разпределена база данни, която съхранява и обработва информация за мрежовите ресурси. Тази роля се използва за организиране на мрежови елементи като потребители, компютри и други устройства в йерархична структура. Йерархичната структура включва гори, домейни в една гора и организационни единици (OU) във всеки домейн. Сървърът, изпълняващ AD DS, се нарича домейн контролер.

Името на ролята за Windows PowerShell е AD-Domain-Services.

Режим Windows Server Essentials

Тази роля е компютърна инфраструктура и предоставя удобни и ефективни функции, например: съхраняване на клиентски данни на централизирано място и защита на тези данни чрез Резервно копиесървърни и клиентски компютри, отдалечен уеб достъп, който ви позволява достъп до данни от практически всяко устройство. Тази роля изисква няколко ролеви услуги и функции, като например: BranchCache Features, Windows Server Backup, Management групова политика, ролева услуга " Пространства от имена на DFS».

Името на PowerShell е ServerEssentialsRole.

Мрежов контролер

Въведена в Windows Server 2016, тази роля осигурява единна точка на автоматизация за управление, наблюдение и диагностика на физическата и виртуална мрежова инфраструктура в центъра за данни. Използвайки тази роля, можете да конфигурирате IP подмрежи, VLAN, физически мрежови адаптери Hyper-V хостове, управление на виртуални комутатори, физически рутери, настройки на защитната стена и VPN шлюзове.

Името на Windows PowerShell е NetworkController.

Услуга пазител на възел

Това е сървърната роля на Hosted Guardian Service (HGS) и предоставя услуги за удостоверяване и защита на ключове, които позволяват на защитени хостове да изпълняват екранирани виртуални машини. За функционирането на тази роля са необходими няколко допълнителни роли и компоненти, например: домейн услуги на Active Directory, уеб сървър (IIS), " Failover Clustering" и други.

Името на PowerShell е HostGuardianServiceRole.

Active Directory леки справочни услуги

роля " Active Directory леки справочни услуги» (AD LDS) е олекотена версия на AD DS, която има по-малко функционалност, но не изисква разполагането на домейни или домейн контролери и няма зависимостите и ограниченията на домейни, изисквани от AD DS. AD LDS работи по протокола LDAP ( Лек протокол за достъп до директория). Можете да разположите множество екземпляри на AD LDS на един и същ сървър с независимо управлявани схеми.

Името на PowerShell е ADLDS.

MultiPoint услуги

Това също е нова роля, която е нова в Windows Server 2016. MultiPoint Services (MPS) предоставя основна функционалност за отдалечен работен плот, която позволява на множество потребители да работят едновременно и независимо на един и същ компютър. За да инсталирате и работите с тази роля, трябва да инсталирате няколко допълнителни услуги и компоненти, например: Print Server, Windows Search Service, XPS Viewer и други, всички от които ще бъдат автоматично избрани по време на инсталацията на MPS.

Името на ролята за PowerShell е MultiPointServerRole.

Услуги за актуализиране на Windows Server

С тази роля (WSUS) системните администратори могат да управляват актуализации на Microsoft. Например, създайте отделни групи компютри за различни набори от актуализации, както и получаване на отчети за съответствието на компютрите с изискванията и актуализациите, които трябва да бъдат инсталирани. За функциониране" Услуги за актуализиране на Windows Server» Имате нужда от ролеви услуги и компоненти като: уеб сървър (IIS), вътрешна база данни на Windows, услуга за активиране Windows процеси.

Името на Windows PowerShell е UpdateServices.

• WID свързаност (UpdateServices-WidDB) - зададена на WID ( Вътрешна база данни на Windows) база данни, използвана от WSUS. С други думи, WSUS ще съхранява своите данни за услугата в WID;
• WSUS услуги (UpdateServices-Services) са ролевите услуги на WSUS като услуга за актуализиране, уеб услуга за отчитане, уеб услуга за отдалечено API, уеб услуга за клиент, уеб услуга за просто удостоверяване, услуга за синхронизиране на сървър и уеб услуга за удостоверяване на DSS;
• SQL Server Connectivity (UpdateServices-DB) е инсталация на компонент, който позволява на услугата WSUS да се свързва с база данни на Microsoft SQL Server. Тази опция осигурява съхранение на сервизни данни в база данни на Microsoft SQL Server. В този случай вече трябва да имате инсталиран поне един екземпляр на SQL Server.

Услуги за активиране на корпоративни лицензи

С тази сървърна роля можете да автоматизирате и опростите издаването на обемни лицензи за софтуер от Microsoft и също така ви позволява да управлявате тези лицензи.

Името на PowerShell е VolumeActivation.

Услуги за печат и документи

Тази сървърна роля е предназначена за споделяне на принтери и скенери в мрежа, за централно конфигуриране и управление на сървъри за печат и сканиране и за управление на мрежови принтери и скенери. Услугите за печат и документи също ви позволяват да изпращате сканирани документи по имейл, публично мрежови папкиили към сайтове на Windows SharePoint Services.

Името на PowerShell е Print-Services.

• Сървър за печат (сървър за печат) - Тази ролева услуга включва " Управление на печата”, който се използва за управление на принтери или сървъри за печат, както и за мигриране на принтери и други сървъри за печат;
• Печат през Интернет (Print-Internet) - За да се реализира печат през Интернет, се създава уебсайт, чрез който потребителите могат да управляват заданията за печат на сървъра. За да работи тази услуга, както разбирате, трябва да инсталирате " Уеб сървър (IIS)". Всички необходими компоненти ще бъдат избрани автоматично, когато поставите отметка в това квадратче по време на процеса на инсталиране на ролевата услуга " Интернет печат»;
• Сървърът за разпределено сканиране (Print-Scan-Server) е услуга, която ви позволява да получавате сканирани документи от мрежови скенери и да ги изпращате до дестинация. Тази услуга също така съдържа " Управление на сканиране”, който се използва за управление на мрежови скенери и за конфигуриране на сканиране;
• LPD Service (Print-LPD-Service) - LPD услуга ( Линеен принтер демон) позволява на UNIX-базирани компютри и други компютри, използващи услугата Line Printer Remote (LPR), да печатат на споделени принтери на сървъра.

Мрежова политика и услуги за достъп

роля " » (NPAS) позволява на сървъра за мрежова политика (NPS) да зададе и наложи достъп до мрежата, удостоверяване и оторизация и политики за изправност на клиента, с други думи, да защити мрежата.

Името на Windows PowerShell е NPAS.

Услуги за разполагане на Windows

С тази роля можете отдалечено да инсталирате операционната система Windows през мрежа.

Името на ролята за PowerShell е WDS.

• Сървър за разполагане (WDS-Deployment) - тази ролева услуга е предназначена за отдалечено внедряване и конфигуриране на операционни системи Windows. Също така ви позволява да създавате и персонализирате изображения за повторна употреба;
• Транспортен сървър (WDS-Transport) - Тази услуга съдържа основните мрежови компоненти, с които можете да прехвърляте данни чрез мултикастиране на самостоятелен сървър.

Сертификатни услуги на Active Directory

Тази роля е предназначена за създаване на сертифициращи органи и свързани ролеви услуги, които ви позволяват да издавате и управлявате сертификати за различни приложения.

Името на Windows PowerShell е AD-сертификат.

Включва следните ролеви услуги:

• Сертифициращ орган (ADCS-Cert-Authority) - с помощта на тази ролева услуга можете да издавате сертификати на потребители, компютри и услуги, както и да управлявате валидността на сертификата;
• Уеб услуга за правила за записване на сертификати (ADCS-Enroll-Web-Pol) – Тази услуга позволява на потребителите и компютрите да получат информация за правилата за записване на сертификати от уеб браузър, дори ако компютърът не е член на домейн. За функционирането му е необходимо Уеб сървър (IIS)»;
• Уеб услуга за записване на сертификати (ADCS-Enroll-Web-Svc) - Тази услуга позволява на потребителите и компютрите да записват и подновяват сертификати с помощта на уеб браузър през HTTPS, дори ако компютърът не е член на домейн. Освен това трябва да функционира Уеб сървър (IIS)»;
• Онлайн отговор (ADCS-Online-Cert) - Услугата е предназначена за проверка на анулиране на сертификат за клиенти. С други думи, той приема заявка за статус на анулиране за конкретни сертификати, оценява статуса на тези сертификати и изпраща обратно подписан отговор с информация за статуса. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
• Услуга за уеб записване на сертифициращ орган (ADCS-Web-Enrollment) - Тази услуга предоставя уеб интерфейс за потребителите да изпълняват задачи като заявяване и подновяване на сертификати, получаване на CRL и записване на сертификати за смарт карти. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
• Услуга за регистриране на мрежови устройства (ADCS-Device-Enrollment)—с помощта на тази услуга можете да издавате и управлявате сертификати за рутери и други мрежови устройства, които нямат мрежови акаунти. За да функционира услугата, е необходимо Уеб сървър (IIS)».

Услуги за отдалечен работен плот

Сървърна роля, която може да се използва за предоставяне на достъп до виртуални настолни компютри, базирани на сесия настолни компютри и RemoteApps.

Името на ролята за Windows PowerShell е Remote-Desktop-Services.

Състои се от следните услуги:

• Уеб достъп до отдалечен работен плот (RDS-Web-Access) - Тази ролева услуга позволява на потребителите достъп до отдалечени настолни компютри и приложения на RemoteApp чрез " Започнете» или чрез уеб браузър;
• Лицензиране на отдалечен работен плот (RDS-лицензиране) - Услугата е предназначена да управлява лицензите, които са необходими за свързване към хост сървъра на сесията на отдалечен работен плот или виртуален работен плот. Може да се използва за инсталиране, издаване на лицензи и проследяване на тяхната наличност. Тази услуга изисква " Уеб сървър (IIS)»;
• Брокер за връзка с отдалечен работен плот (RDS-Connection-Broker) е ролева услуга, която предоставя следните възможности: повторно свързване на потребител към съществуващ виртуален работен плот, приложение RemoteApp и базиран на сесия работен плот, както и балансиране на натоварването между настолни компютри на хост сървъри за отдалечени сесии или между обединени виртуални настолни компютри. Тази услуга изисква " »;
• Хост за виртуализация на отдалечен работен плот (DS-Virtualization) - Услугата позволява на потребителите да се свързват с виртуални настолни компютри с помощта на RemoteApp и Desktop Connection. Тази услуга работи във връзка с Hyper-V, т.е. тази роля трябва да бъде инсталирана;
• Хост на сесия на отдалечен работен плот (RDS-RD-сървър) - Тази услуга може да хоства приложения на RemoteApp и базирани на сесии десктопи на сървър. Достъпът е чрез клиента за връзка с отдалечен работен плот или RemoteApps;
• Шлюз за отдалечен работен плот (RDS-шлюз) - Услугата позволява на оторизирани отдалечени потребители да се свързват с виртуални десктопи, RemoteApps и базирани на сесии десктопи в корпоративна мрежа или през Интернет. Тази услуга изисква следните допълнителни услуги и компоненти: Уеб сървър (IIS)», « Мрежова политика и услуги за достъп», « RPC през HTTP прокси».

AD RMS

Това е сървърна роля, която ще ви позволи да защитите информацията от неоторизирана употреба. Той валидира самоличността на потребителите и предоставя лицензи на оторизирани потребители за достъп до защитени данни. Тази роля изисква допълнителни услуги и компоненти: Уеб сървър (IIS)», « Услуга за активиране на процеси на Windows», « Функции на .NET Framework 4.6».

Името на Windows PowerShell е ADRMS.

• Сървър за управление на правата на Active Directory (ADRMS-Server) - услугата за основна роля, необходима за инсталиране;
• Поддръжката на обединяване на самоличността (ADRMS-Identity) е незадължителна ролева услуга, която позволява на обединените самоличности да консумират защитено съдържание с помощта на услугите за обединяване на Active Directory.

AD FS

Тази роля осигурява опростена и сигурна федерация на идентичност и функционалност за единично влизане (SSO) на уебсайтове, използващи браузър.

Името на PowerShell е ADFS-Federation.

Отдалечен достъп

Тази роля осигурява свързаност чрез DirectAccess, VPN и прокси за уеб приложения. Също и ролята Отдалечен достъп"осигурява традиционни възможности за маршрутизиране, включително преобразуване на мрежови адреси (NAT) и други опции за свързване. Тази роля изисква допълнителни услуги и функции: Уеб сървър (IIS)», « Вътрешна база данни на Windows».

Името на ролята за Windows PowerShell е RemoteAccess.

• DirectAccess и VPN (RAS) (DirectAccess-VPN) - услугата позволява на потребителите да се свързват към корпоративната мрежа по всяко време, когато имат достъп до Интернет чрез DirectAccess, както и да организират VPN връзкив комбинация с технологии за тунелиране и криптиране на данни;
• Маршрутизация - услугата осигурява поддръжка на NAT рутери, рутери локална мрежас BGP, RIP и мултикаст рутери (IGMP прокси);
• Прокси за уеб приложение (Web-Application-Proxy) - Услугата ви позволява да публикувате приложения, базирани на HTTP и HTTPS протоколите от корпоративната мрежа към клиентски устройства, които са извън корпоративната мрежа.

Услуги за файлове и съхранение

Това е сървърна роля, която може да се използва за споделяне на файлове и папки, управление и контрол на споделяния, репликиране на файлове, предоставяне на бързо търсене на файлове и предоставяне на достъп до UNIX клиентски компютри. Обсъдихме файловите услуги и по-специално файловия сървър по-подробно в материала „Инсталиране на файлов сървър (файлов сървър) на Windows Server 2016“.

Името на Windows PowerShell е FileAndStorage-Services.

Услуги за съхранение- Тази услуга предоставя функционалност за управление на съхранението, която винаги е инсталирана и не може да бъде премахната.

Файлови услуги и iSCSI услуги (файлови услуги)са технологии, които опростяват управлението на файлови сървъри и хранилища, спестяват дисково пространство, осигуряват репликация и кеширане на файлове в клонове, а също така осигуряват споделяне на файлове чрез протокола NFS. Включва следните ролеви услуги:

• Файлов сървър (FS-FileServer) - ролева услуга, която управлява споделени папки и предоставя на потребителите достъп до файловете на този компютър по мрежата;
• Дедупликация на данни (FS-Data-Deduplication) – тази услуга спестява дисково пространство, като съхранява само едно копие на идентични данни на том;
• Мениджър на ресурси на файлов сървър (FS-Resource-Manager) - с помощта на тази услуга можете да управлявате файлове и папки на файлов сървър, да създавате отчети за съхранение, да класифицирате файлове и папки, да конфигурирате квоти за папки и да дефинирате политики за блокиране на файлове;
• Доставчик на iSCSI Target Storage (VDS и VSS хардуерни доставчици) (iSCSITarget-VSS-VDS) – Услугата позволява на приложения на сървър, свързан към iSCSI цел, да копират обеми в сянка на iSCSI виртуални дискове;
• DFS пространства от имена (FS-DFS-Namespace) - с помощта на тази услуга можете да групирате споделени папкихоствани на различни сървъри в едно или повече логически структурирани пространства от имена;
• Работни папки (FS-SyncShareService) - услугата ви позволява да използвате работни файлове наведнъж персонални компютривключително служебни и лични. Можете да съхранявате вашите файлове в работни папки, да ги синхронизирате и да имате достъп до тях от вашата локална мрежа или интернет. За да функционира услугата, компонентът " IIS In-Process Web Core»;
• DFS репликация (FS-DFS-репликация) е машина за репликация на данни с множество сървъри, която ви позволява да синхронизирате папки през LAN или WAN връзка. Тази технология използва протокола за дистанционно диференциално компресиране (RDC), за да актуализира само частта от файловете, които са се променили след последното репликиране. DFS репликацията може да се използва със или без DFS пространства от имена;
• Сървър за NFS (FS-NFS-Service) - Услугата позволява на този компютър да споделя файлове с UNIX-базирани компютри и други компютри, които използват протокола Network File System (NFS);
• iSCSI целеви сървър (FS-iSCSITarget-Server) - предоставя услуги и управление за iSCSI цели;
• Услуга BranchCache за мрежови файлове (FS-BranchCache) – Услугата осигурява поддръжка на BranchCache на този файлов сървър;
• Услуга на VSS агент на файлов сървър (FS-VSS-Agent) – Услугата позволява сенчести копия на томове за приложения, които съхраняват файлове с данни на този файлов сървър.

факс сървър

Ролята изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на този компютър или в мрежата. Задължително за работа Сървър за печат».

Името на ролята за Windows PowerShell е Факс.

Това завършва прегледа на сървърните роли на Windows Server 2016, надявам се, че материалът е бил полезен за вас, засега!

Прилагане на групови правила (част 3)

Обикновено GPO се присвояват на контейнер (домейн, сайт или OU) и се прилагат към всички обекти в този контейнер. При добре организирана домейн структура това е напълно достатъчно, но понякога се налага допълнително ограничаване на прилагането на политики към конкретна група обекти. За това могат да се използват два вида филтри.

Защитни филтри

Филтрите за сигурност ви позволяват да ограничите прилагането на политики до конкретна група за сигурност. Например, нека вземем GPO2, който се използва за централно конфигуриране на менюто "Старт" на работни станции с Windows 8.1\Windows 10. GPO2 е присвоен на OU на служителите и се прилага за всички потребители без изключение.

Сега нека отидем в раздела "Обхват", където в секцията "Филтриране на защитата" са посочени групите, към които може да се приложи този GPO. По подразбиране тук е посочена групата Удостоверени потребители. Това означава, че политиката може да се приложи към всекипотребител или компютър, който успешно се е удостоверил в домейна.

Всъщност всеки GPO има свой собствен списък за достъп, който може да се види в раздела Делегиране.

За да приложи политиката, обектът трябва да има права за четене (Четене) и прилагане (Прилагане на групова политика), които има групата Authenticated Users. Съответно, за да може политиката да се прилага не към всички, а само към определена група, е необходимо да премахнете Authenticated Users от списъка, след което да добавите желаната група и да й дадете съответните права.

Така че в нашия пример политиката може да се приложи само към счетоводната група.

WMI филтри

Windows Management Instrumentation (WMI) е един от най-мощните инструменти за управление на операционната система Windows. WMI съдържа огромен брой класове, с които можете да опишете почти всички потребителски и компютърни настройки. Можете да видите всички налични WMI класове като списък с помощта на PowerShell, като изпълните командата:

Get-WmiObject -List

Например, вземете класа Win32_OperatingSystem, който отговаря за свойствата на операционната система. Да предположим, че искате да филтрирате всички операционни системи с изключение на Windows 10. Отиваме на компютър с инсталиран Window 10, отваряме конзолата PowerShell и показваме името, версията и типа на операционната система, като използваме командата:

Get-WmiObject -Class Win32_OperatingSystem | fl име, версия, тип продукт

За филтъра използваме версията и типа на ОС. Версията е една и съща за клиентска и сървърна ОС и се дефинира, както следва:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Типът продукт отговаря за предназначението на компютъра и може да има 3 стойности:

1 - работна станция;
2 - домейн контролер;
3 - сървър.

Сега нека да преминем към създаването на филтър. За да направите това, отворете конзолната добавка за управление на групови правила и отидете в раздела WMI филтри. Щракнете с десния бутон върху него и изберете Нов от контекстното меню.

В прозореца, който се отваря, дайте име и описание на филтъра. След това натискаме бутона "Добави" и в полето "Заявка" въвеждаме WQL заявката, която е в основата на WMI филтъра. Трябва да изберем OS версия 10.0 с тип 1, така че заявката ще изглежда така:

ИЗБЕРЕТЕ * ОТ Win32_OperatingSystem WHERE Версия КАТО ″10.0%″ И ProductType = ″1″

Забележка. Windows Query Language (WQL) - WMI език за заявки. Можете да научите повече за него в MSDN.

Запазете получения филтър.

Сега всичко, което остава, е да присвоите WMI филтъра на GPO, като GPO3. Отидете до свойствата на GPO, отворете раздела „Обхват“ и в полето „WMI филтриране“ изберете желания филтър от списъка.

Анализ на прилагането на групови политики

С толкова много методи за филтриране на GPO е необходимо да можете да диагностицирате и анализирате тяхното приложение. Най-лесният начин да проверите ефекта на груповите правила върху компютър е да използвате помощната програма за команден ред gpresult.

Например, нека отидем на компютъра wks2, който има инсталиран Windows 7, и да проверим дали WMI филтърът работи. За да направите това, отворете cmd конзолата с администраторски права и изпълнете командата gpresult /r, който показва обобщена информация за груповите правила, приложени към потребителя и компютъра.

Забележка.Помощната програма gpresult има много настройки, които могат да се видят с командата gpresult /?.

Както можете да видите от получените данни, GPO3 политиката не е приложена към компютъра, тъй като е филтрирана от WMI филтъра.

Можете също да проверите действието на GPO от модула за управление на групови правила, като използвате специален съветник. За да стартирате съветника, щракнете с десния бутон върху секцията „Резултати от груповата политика“ и изберете елемента „Съветник за резултати от груповата политика“ в менюто, което се отваря.

Посочете името на компютъра, за който ще се генерира отчета. Ако искате да видите само специфични за потребителя настройки на груповата политика, можете да изберете да не събирате настройки за компютъра. За да направите това, поставете отметка в квадратчето по-долу (показване само на настройките на потребителските правила).

След това избираме потребителското име, за което ще се събират данни, или можете да посочите да не включвате настройките на груповата политика за потребителя в отчета (показване само на настройките на компютърната политика).

Проверяваме избраните настройки, натискаме "Напред" и изчакваме, докато се съберат данните и се генерира отчетът.

Докладът съдържа изчерпателни данни за GPO, приложени (или неприложени) към потребителя и компютъра, както и използваните филтри.

Например, нека създадем отчети за двама различни потребители и да ги сравним. Нека първо отворим отчета за потребител Кирил и да отидем в секцията с потребителски настройки. Както можете да видите, политиката на GPO2 не е приложена към този потребител, защото той няма права да я прилага (Причина за отказ - недостъпна).

А сега нека отворим отчета за потребителя Олег. Този потребител е член на групата Accounting, така че политиката е приложена успешно към него. Това означава, че защитният филтър е завършен успешно.

С това може би ще завърша ″очарователната″ история за прилагането на групови политики. Надявам се тази информация да ви бъде полезна и да ви помогне в трудната задача на системното администриране 🙂

Когато инсталирате Windows, повечето от несъществените подсистеми не се активират или инсталират. Това се прави от съображения за сигурност. Тъй като системата е защитена по подразбиране, системните администратори могат да се съсредоточат върху проектирането на система, която прави това, което прави, и нищо повече. За да ви помогне да активирате функциите, които искате, Windows ви подканва да изберете сървърна роля.

Роли

Сървърната роля е набор от програми, които, когато са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява специфична функция за множество потребители или други компютри в мрежа. Като цяло всички роли имат следните характеристики.

• Те определят основната функция, цел или цел на използването на компютър. Можете да определите компютър да играе една роля, която се използва силно в предприятието, или да играе множество роли, като всяка роля се използва само от време на време.
• Ролите дават на потребителите в цялата организация достъп до ресурси, които се управляват от други компютри, като уебсайтове, принтери или файлове, съхранявани на различни компютри.
• Те обикновено имат свои собствени бази данни, които подреждат потребителски или компютърни заявки или записват информация за мрежови потребители и компютри, свързани с роля. Например домейн услугите на Active Directory съдържат база данни за съхраняване на имената и йерархичните връзки на всички компютри в мрежата.
• Веднъж правилно инсталирани и конфигурирани, ролите функционират автоматично. Това позволява на компютрите, на които са инсталирани, да изпълняват възложени задачи с ограничено потребителско взаимодействие.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалността на дадена роля. Когато инсталирате роля, можете да изберете кои услуги предоставя на други потребители и компютри в предприятието. Някои роли, като DNS сървъра, изпълняват само една функция, така че за тях няма ролеви услуги. Други роли, като услугите за отдалечен работен плот, имат няколко услуги, които можете да инсталирате въз основа на нуждите на вашето предприятие от отдалечен достъп. Една роля може да се разглежда като съвкупност от тясно свързани, допълващи се ролеви услуги. В повечето случаи инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Компоненти

Компонентите са програми, които не са директно част от роли, но поддържат или разширяват функционалността на една или повече роли или на целия сървър, независимо кои роли са инсталирани. Например, Failover Cluster Tool разширява други роли, като файлови услуги и DHCP сървър, като им позволява да се присъединят към сървърни клъстери, което осигурява увеличено резервиране и производителност. Другият компонент, Telnet Client, позволява отдалечена комуникация със сървъра Telnet през мрежова връзка. Тази функция подобрява възможностите за комуникация на сървъра.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни роли:

• Сертификатни услуги на Active Directory;
• Домейн услуги на Active Directory;
• DHCP сървър
• DNS сървър;
• файлови услуги (включително мениджър на ресурси на файлов сървър);
• Active Directory леки справочни услуги;
• Hyper-V
• услуги за печат и документи;
• услуги за стрийминг на медия;
• уеб сървър (включително подмножество на ASP.NET);
• Windows Server Update Server;
• Сървър за управление на права на Active Directory;
• Сървър за маршрутизиране и отдалечен достъп и следните подчинени роли:
  • Брокер за връзка с отдалечен работен плот;
  • лицензиране;
  • виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните функции на сървъра:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Фонова интелигентна трансферна услуга (BITS);
• BitLocker Drive Encryption;
• BitLocker Network Unlock;
• BranchCache
• мост за център за данни;
• Подобрено съхранение;
• отказоустойчив клъстеринг;
• Многопътен I/O;
• балансиране на натоварването на мрежата;
• PNRP протокол;
• qWave;
• дистанционна диференциална компресия;
• прости TCP/IP услуги;
• RPC през HTTP прокси;
• SMTP сървър;
• SNMP услуга;
• Telnet клиент;
• telnet сървър;
• TFTP клиент;
• вътрешна база данни на Windows;
• Windows PowerShell Web Access;
• Услуга за активиране на Windows;
• стандартизирано управление на съхранението на Windows;
• IIS WinRM разширение;
• WINS сървър;
• Поддръжка на WoW64.

Инсталиране на сървърни роли с помощта на Server Manager

За да добавите, отворете Server Manager и в менюто Manage щракнете върху Add Roles and features:

Отваря се съветникът за добавяне на роли и функции. Щракнете Напред

Тип инсталация, изберете инсталация, базирана на роли или функция. Следващия:

Избор на сървър - изберете нашия сървър. Щракнете върху Следващи сървърни роли - Изберете роли, ако е необходимо, изберете ролеви услуги и щракнете върху Напред, за да изберете компоненти. По време на тази процедура съветникът за добавяне на роли и функции автоматично ви информира за всякакви конфликти на целевия сървър, които могат да попречат на инсталирането или нормална операцияизбрани роли или функции. Също така ще бъдете подканени да добавите ролите, ролевите услуги и функциите, изисквани от избраните роли или функции.

Инсталиране на роли с PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списъка с налични и инсталирани роли и функции на локалния сървър. Резултатът от тази кратка команда съдържа имената на командите за ролите и функциите, които са инсталирани и достъпни за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да видите синтаксиса и позволени параметриКратка команда Install-WindowsFeature (MAN).

Въведете следната команда (-Restart ще рестартира сървъра, ако инсталацията на ролята изисква рестартиране).

Инсталиране-WindowsFeature –Име -Рестартиране

Описание на роли и ролеви услуги

Всички роли и ролеви услуги са описани по-долу. Нека видим разширените настройки за най-често срещаните в нашия уеб практикаРоля на сървъра и услуги за отдалечен работен плот

Подробно описание на IIS

• Общи HTTP функции - основни HTTP компоненти
  • Документ по подразбиране - позволява ви да зададете индексната страница за сайта.
  • Преглед на директория - Позволява на потребителите да преглеждат съдържанието на директория на уеб сървър. Използвайте сърфиране в директория, за да генерирате автоматично списък с всички директории и файлове в директория, когато потребителите не посочат файл в URL адреса и индексната страница е деактивирана или не е конфигурирана
  • HTTP грешки - позволява ви да персонализирате съобщенията за грешки, връщани на клиентите в браузъра.
  • Статично съдържание - позволява ви да публикувате статично съдържание, като изображения или html файлове.
  • HTTP пренасочване - Осигурява поддръжка за пренасочване на потребителски заявки.
  • WebDAV Publishing ви позволява да публикувате файлове от уеб сървър, използвайки HTTP протокола.
• Здравни и диагностични функции - Диагностични компоненти
  • HTTP Logging осигурява регистриране на дейността на уебсайта за даден сървър.
  • Персонализираното регистриране осигурява поддръжка за създаване на персонализирани журнали, които са различни от "традиционните" журнали.
  • Logging Tools предоставя рамка за управление на регистрационните файлове на уеб сървъра и автоматизиране на общи задачи за регистриране.
  • ODBC Logging предоставя рамка, която поддържа регистриране на активността на уеб сървъра в ODBC-съвместима база данни.
  • Мониторът на заявки предоставя рамка за наблюдение на състоянието на уеб приложенията чрез събиране на информация за HTTP заявки в работен процес на IIS.
  • Проследяването предоставя рамка за диагностика и отстраняване на неизправности в уеб приложения. С помощта на проследяване на неуспешни заявки можете да проследявате трудни за намиране събития, като лоша производителност или грешки при удостоверяване.
• Компоненти за производителност за увеличаване на производителността на уеб сървъра.
  • Статичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на статично съдържание
  • Динамичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на динамично съдържание.
• Компоненти за сигурност
  • Филтрирането на заявки ви позволява да уловите всички входящи заявки и да ги филтрирате въз основа на правила, зададени от администратора.
  • Основното удостоверяване ви позволява да зададете допълнително разрешение
  • Централизираната поддръжка на SSL сертификат е функция, която ви позволява да съхранявате сертификати на централно място, като споделяне на файлове.
  • Удостоверяването на картографиране на клиентски сертификат използва клиентски сертификати за удостоверяване на потребителите.
  • Digest Authentication работи чрез изпращане на хеш парола към домейн контролер на Windows за удостоверяване на потребителите. Ако се нуждаете от повече сигурност от основното удостоверяване, помислете за използването на обобщено удостоверяване
  • IIS Client Certificate Mapping Authentication използва клиентски сертификати за удостоверяване на потребителите. Клиентският сертификат е цифров идентификатор, получен от доверен източник.
  • Ограниченията за IP и домейн ви позволяват да разрешите/откажете достъп въз основа на заявения IP адрес или име на домейн.
  • Упълномощаването на URL адрес ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
  • Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейн на Windows да се възползват от инфраструктурата на домейна за удостоверяване на потребителя.
• Функции за разработка на приложения
• FTP сървър
  • FTP услуга Позволява FTP публикуване на уеб сървър.
  • FTP Extensibility Позволява поддръжка за FTP функции, които разширяват функционалността на
• Инструменти за управление
  • IIS Management Console инсталира IIS Manager, който ви позволява да управлявате уеб сървъра чрез GUI
  • Съвместимостта на управлението на IIS 6.0 осигурява съвместимост напред за приложения и скриптове, които използват Admin Base Object (ABO) и интерфейса на справочната услуга (ADSI) Active Directory API. Това позволява съществуващите скриптове на IIS 6.0 да бъдат използвани от уеб сървъра на IIS 8.0
  • Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за програмно управление на IIS уеб сървъра, чрез използване на команди в прозорец на командния ред или чрез изпълнение на скриптове.
  • Услугата за управление предоставя инфраструктурата за персонализиране на потребителския интерфейс, IIS Manager.

Подробно описание на RDS

• Брокер за връзка с отдалечен работен плот - Осигурява повторно свързване на клиентско устройство към програми въз основа на сесии на десктоп и виртуален десктоп.
• Шлюз за отдалечен работен плот - позволява на оторизираните потребители да се свързват с виртуални настолни компютри, програми RemoteApp и базирани на сесия настолни компютри в корпоративна мрежа или през интернет.
• Лицензиране на отдалечен работен плот - RDP инструмент за управление на лицензи
• Хост на сесия на отдалечен работен плот - Включва сървър за хостване на програми на RemoteApp или базирана на десктоп сесия.
• Хост за виртуализация на отдалечен работен плот - позволява ви да конфигурирате RDP на виртуални машини
• Remote Desktop WebAccess - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или уеб браузър.

Помислете за инсталиране и конфигуриране на терминален лицензен сървър. Горното описва как да инсталирате роли, инсталирането на RDS не се различава от инсталирането на други роли, в Role Services трябва да изберем Remote Desktop Licensing и Remote Desktop Session Host. След инсталирането елементът Terminal Services ще се появи в Server Manager-Tools. Има два елемента в Terminal Services RD Licensing Diagnoser, това е инструмент за диагностициране на работата на лицензирането на отдалечен работен плот, и Remote Desktop Licensing Manager, това е инструмент за управление на лицензи.

Стартирайте RD Licensing Diagnoser

Тук можем да видим, че все още няма налични лицензи, тъй като режимът на лицензиране не е зададен за хост сървъра на RD Session. Сървърът за лицензи е посочен в правилата на локалната група. За да стартирате редактора, изпълнете командата gpedit.msc. Отваря се редакторът на локални групови правила. В дървото отляво разгънете разделите:

• Компютърна конфигурация
• Административни шаблони
• Компоненти на Windows
• Услуги за отдалечен работен плот
• Хост на сесия на отдалечен работен плот
• „Лицензиране“ (Лицензиране)

Отворете параметрите Използвайте посочените сървъри за лицензи за отдалечен работен плот

В прозореца за редактиране на настройките на правилата активирайте сървъра за лицензиране (Активирано). След това трябва да дефинирате сървър за лицензи за услуги за отдалечен работен плот. В моя пример сървърът за лицензи се намира на същия физически сървър. Посочете името на мрежата или IP адреса на лицензния сървър и щракнете върху OK. Ако името на сървъра, сървърът за лицензи ще се промени в бъдеще, ще трябва да го промените в същия раздел.

След това в RD Licensing Diagnoser можете да видите, че сървърът за терминални лицензи е конфигуриран, но не е активиран. За да активирате, стартирайте Remote Desktop Licensing Manager

Изберете сървъра за лицензиране със статус Неактивиран. За да активирате, щракнете с десния бутон върху него и изберете Активиране на сървъра. Ще се стартира съветникът за активиране на сървъра. В раздела Метод на свързване изберете Автоматично свързване. След това попълнете информацията за организацията, след което сървърът за лицензи се активира.

Сертификатни услуги на Active Directory

AD CS предоставя конфигурируеми услуги за издаване и управление на цифрови сертификати, които се използват в софтуерни системи за сигурност, които използват технологии с публичен ключ. Цифровите сертификати, предоставени от AD CS, могат да се използват за криптиране и цифрово подписване на електронни документи и съобщения. Тези цифрови сертификати могат да се използват за удостоверяване на акаунти на компютър, потребител и устройство в мрежата. Цифровите сертификати се използват за предоставяне на:

• поверителност чрез криптиране;
• почтеност чрез цифрови подписи;
• удостоверяване чрез свързване на ключове на сертификати към акаунти на компютър, потребител и устройство в мрежата.

AD CS може да се използва за подобряване на сигурността чрез обвързване на самоличността на потребител, устройство или услуга със съответния частен ключ. Приложенията, поддържани от AD CS, включват защитени многофункционални стандартни разширения за интернет поща (S/MIME), защитени безжични мрежи, виртуални частни мрежи (VPN), IPsec, криптираща файлова система (EFS), влизане със смарт карта, защита и протокол за сигурност на транспортния слой (SSL/TLS) и цифрови подписи.

Домейн услуги на Active Directory

С помощта на ролята на сървъра на Active Directory Domain Services (AD DS) можете да създадете мащабируема, защитена и управляема инфраструктура за управление на потребители и ресурси; можете също така да предоставите приложения с активирана директория, като Microsoft Exchange Server. Домейн услугите на Active Directory предоставят разпределена база данни, която съхранява и управлява информация за мрежови ресурси и данни за приложения с активирана директория. Сървърът, който изпълнява AD DS, се нарича домейн контролер. Администраторите могат да използват AD DS, за да организират мрежови елементи като потребители, компютри и други устройства в йерархична вложена структура. Йерархичната вложена структура включва гората на Active Directory, домейните в гората и организационните единици във всеки домейн. Функциите за сигурност са интегрирани в AD DS под формата на удостоверяване и контрол на достъпа до ресурсите в директорията. С единично влизане администраторите могат да управляват информацията в директорията и организацията в мрежата. Оторизираните мрежови потребители могат също да използват мрежово единично влизане за достъп до ресурси, разположени навсякъде в мрежата. Домейн услугите на Active Directory предоставят следните допълнителни функции.

• Набор от правила е схема, която дефинира класовете от обекти и атрибути, които се съдържат в дадена директория, ограниченията и ограниченията за екземплярите на тези обекти и формата на техните имена.
• Глобален каталог, съдържащ информация за всеки обект в каталога. Потребителите и администраторите могат да използват глобалния каталог за търсене на каталожни данни, независимо кой домейн в каталога всъщност съдържа търсените данни.
• Механизъм за заявка и индексиране, чрез който обектите и техните свойства могат да бъдат публикувани и локализирани потребители на мрежатаи приложения.
• Услуга за репликация, която разпространява данни от директория в мрежа. Всички записваеми домейн контролери в домейна участват в репликацията и съдържат пълно копие на всички данни от директория за своя домейн. Всички промени в данните на директорията се репликират в домейна към всички домейн контролери.
• Роли на ръководител на операции (известни също като гъвкави единични главни операции или FSMO). Домейн контролерите, които действат като господари на операциите, са проектирани да изпълняват специални задачи, за да осигурят последователност на данните и да избегнат противоречиви записи в директория.

Услуги за федерация на Active Directory

AD FS предоставя на крайни потребители, които се нуждаят от достъп до приложения в предприятие, защитено с AD FS, във федеративни партньорски организации или в облака с опростена и защитена федерация на идентичност и уеб услуги за единично влизане (SSO). Windows Server AD FS включва услуга за роли Федерална услуга, действаща като доставчик на идентичност (удостоверява потребителите да предоставят токени за сигурност на приложения, които се доверяват на AD FS) или като доставчик на федерация (прилага токени от други доставчици на идентичност и след това предоставя токени за сигурност на приложения, които се доверяват на AD FS).

Active Directory леки справочни услуги

Active Directory Lightweight Directory Services (AD LDS) е LDAP протокол, който осигурява гъвкава поддръжка за приложения на директория без зависимостите и специфичните за домейна ограничения на услугите за домейн на Active Directory. AD LDS може да се изпълнява на членски или самостоятелни сървъри. Можете да изпълнявате множество екземпляри на AD LDS с независимо управлявани схеми на един и същи сървър. С ролята на услугата AD LDS можете да предоставяте услуги за директория на приложения с активирана директория, без да използвате данни за домейн и горска услуга и без да изисквате една схема за цялата гора.

Услуги за управление на правата на Active Directory

Можете да използвате AD RMS, за да разширите стратегията за сигурност на вашата организация, като защитите документи с помощта на управление на правата за информация (IRM). AD RMS позволява на потребителите и администраторите да присвояват разрешения за достъп до документи, работни книги и презентации с помощта на IRM политики. Това ви позволява да защитите поверителната информация от отпечатване, препращане или копиране от неоторизирани потребители. След като разрешенията на файла са ограничени чрез IRM, ограниченията за достъп и използване се прилагат независимо от местоположението на информацията, тъй като разрешението за файла се съхранява в самия файл на документа. С AD RMS и IRM отделните потребители могат да прилагат свои собствени предпочитания по отношение на прехвърлянето на лична и поверителна информация. Те също така ще помогнат на организацията да наложи корпоративни политики за контрол на използването и разпространението на чувствителна и лична информация. Решенията за IRM, поддържани от AD RMS, се използват за предоставяне на следните възможности.

• Постоянни политики за използване, които остават с информация, независимо дали е преместена, изпратена или препратена.
• Допълнителен слой на поверителност за защита на чувствителни данни - като отчети, продуктови спецификации, информация за клиенти и имейл съобщения - от умишлено или случайно попадане в неподходящи ръце.
• Предотвратете неоторизирано изпращане, копиране, редактиране, отпечатване, изпращане по факс или поставяне на ограничено съдържание от упълномощени получатели.
• Предотвратете копирането на ограничено съдържание с помощта на функцията PRINT SCREEN в Microsoft Windows.
• Поддръжка за изтичане на файла, предотвратяване на преглед на съдържанието на документа след определен период от време.
• Прилагане на корпоративни политики, които управляват използването и разпространението на съдържание в рамките на организацията

Сървър за приложения

Сървърът на приложения предоставя интегрирана среда за внедряване и изпълнение на персонализирани бизнес приложения, базирани на сървър.

DHCP сървър

DHCP е технология клиент-сървър, която позволява на DHCP сървърите да присвояват или наемат IP адреси на компютри и други устройства, които са DHCP клиенти. Разполагането на DHCP сървъри в мрежа автоматично осигурява клиентски компютри и други устройства мрежови устройствана базата на IPv4 и IPv6 валидни IP адреси и допълнителни настройки за конфигурация, изисквани от тези клиенти и устройства.Услугата DHCP сървър в Windows Server включва поддръжка за присвоявания, базирани на правила, и DHCP failover.

DNS сървър

DNS услугата е йерархична разпределена база данни, съдържаща съпоставяне на имената на DNS домейни към различни типове данни, като например IP адреси. DNS услугата ви позволява да използвате приятелски имена като www.microsoft.com, за да ви помогне да намерите компютри и други ресурси в мрежи, базирани на TCP/IP. DNS услугата в Windows Server предоставя допълнителна подобрена поддръжка за DNS модули за сигурност (DNSSEC), включително мрежова регистрация и автоматизирано управление на настройките.

ФАКС сървър

Факс сървърът изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на вашия факс сървър.

Услуги за файлове и съхранение

Администраторите могат да използват ролята на File and Storage Services, за да настроят множество файлови сървъри и техните хранилища и да управляват тези сървъри с помощта на Server Manager или Windows PowerShell. Някои конкретни приложения включват следните функции.

• работни папки. Използвайте, за да позволите на потребителите да съхраняват и имат достъп до работни файлове на персонални компютри и устройства, различни от корпоративни компютри. Потребителите получават удобно място за съхранение на работни файлове и достъп до тях отвсякъде. Организациите контролират корпоративните данни, като съхраняват файлове на централно управлявани файлови сървъри и по желание задават правила за потребителско устройство (като криптиране и пароли за заключване на екрана).
• Дедупликация на данни. Използвайте, за да намалите изискванията за дисково пространство за съхранение на файлове, спестявайки пари за съхранение.
• iSCSI целеви сървър. Използвайте за създаване на централизирани, независими от софтуера и устройството iSCSI дискови подсистеми в мрежи за съхранение (SAN).
• Дискови пространства. Използвайте за внедряване на хранилище, което е високодостъпно, устойчиво и мащабируемо с рентабилни, стандартни за индустрията устройства.
• Мениджър на сървъра. Използвайте за дистанционно управление на множество файлови сървъри от един прозорец.
• Windows PowerShell. Използвайте за автоматизиране на управлението на повечето административни задачи на файлов сървър.

Hyper-V

Ролята Hyper-V ви позволява да създавате и управлявате виртуализирана изчислителна среда с помощта на технологията за виртуализация, вградена в Windows Server. Инсталирането на ролята на Hyper-V инсталира предпоставки и незадължителни инструменти за управление. Необходимите компоненти включват хипервизор на Windows, услуга за управление на виртуализация, Hyper-V машини, доставчик на виртуализация на WMI и компоненти за виртуализация като VMbus, доставчик на услуги за виртуализация (VSP) и драйвер за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Услугите за мрежова политика и достъп предоставят следните решения за мрежова свързаност:

• Защитата на мрежовия достъп е технология за създаване, налагане и коригиране на политики за изправност на клиента. Със защитата на достъпа до мрежата системните администратори могат да задават и автоматично да налагат политики за здраве, които включват изисквания за софтуер, актуализации на защитата и други настройки. За клиентски компютри, които не отговарят на политиката за изправност, можете да ограничите достъпа до мрежата, докато конфигурацията им не бъде актуализирана, за да отговаря на изискванията на политиката.
• Ако са внедрени 802.1X-активирани безжични точки за достъп, можете да използвате Network Policy Server (NPS) за внедряване на базирани на сертификати методи за удостоверяване, които са по-сигурни от удостоверяването, базирано на парола. Разполагането на хардуер с активиран 802.1X с NPS сървър позволява на потребителите на интранет да бъдат удостоверени, преди да могат да се свържат към мрежата или да получат IP адрес от DHCP сървър.
• Вместо да конфигурирате политика за мрежов достъп на всеки сървър за мрежов достъп, можете централно да създадете всички политики, които определят всички аспекти на заявките за мрежова връзка (кой може да се свързва, кога връзката е разрешена, нивото на защита, което трябва да се използва за свързване към мрежата) ).

Услуги за печат и документи

Услугите за печат и документи ви позволяват да централизирате задачите на сървъра за печат и мрежовия принтер. Тази роля също така ви позволява да получавате сканирани документи от мрежови скенери и да качвате документи в мрежови споделени файлове - към сайт на Windows SharePoint Services или по имейл.

отдалечен достъп

Ролята на сървъра за отдалечен достъп е логическо групиране на следните технологии за мрежов достъп.

• Директен достъп
• Маршрутизиране и отдалечен достъп
• Прокси за уеб приложение

Тези технологии са ролеви услугироля на сървър за отдалечен достъп. Когато инсталирате ролята на сървър за отдалечен достъп, можете да инсталирате една или повече ролеви услуги, като стартирате съветника за добавяне на роли и функции.

В Windows Server ролята на Remote Access Server предоставя възможност за централно администриране, конфигуриране и наблюдение на DirectAccess и VPN с Routing and Remote Access Service (RRAS) услуги за отдалечен достъп. DirectAccess и RRAS могат да бъдат внедрени на един и същ Edge сървър и управлявани чрез Windows команди PowerShell и конзола за управление на отдалечен достъп (MMC).

Услуги за отдалечен работен плот

Услугите за отдалечен работен плот ускоряват и разширяват внедряването на настолни компютри и приложения на всяко устройство, като правят отдалечения работник по-ефективен, като същевременно осигурява критична интелектуална собственост и опростява съответствието. Услугите за отдалечен работен плот включват инфраструктура за виртуален работен плот (VDI), настолни компютри, базирани на сесии, и приложения, които дават възможност на потребителите да работят отвсякъде.

Услуги за обемно активиране

Услугите за активиране на корпоративни лицензи са сървърна роля в Windows Server, започваща с Windows Server 2012, която автоматизира и опростява издаването и управлението на корпоративни лицензи за софтуер на Microsoft в различни сценарии и среди. Заедно с услугите за активиране на корпоративни лицензи можете да инсталирате и конфигурирате услугата за управление на ключове (KMS) и активиране на Active Directory.

Уеб сървър (IIS)

Ролята на уеб сървъра (IIS) в Windows Server предоставя платформа за хостване на уеб сайтове, услуги и приложения. Използването на уеб сървър осигурява достъп до информация на потребителите в Интернет, интранет и екстранет. Администраторите могат да използват ролята на уеб сървър (IIS), за да настроят и управляват множество уебсайтове, уеб приложения и FTP сайтове. Специалните функции включват следното.

• Използване на диспечера IISза конфигуриране на IIS компоненти и администриране на уебсайтове.
• Използване на FTP протокола, за да позволи на собствениците на уебсайтове да качват и изтеглят файлове.
• Използване на изолация на уебсайт, за да се предотврати влиянието на един уебсайт на сървъра върху други.
• Персонализиране на уеб приложения, разработени чрез различни технологии като Classic ASP, ASP.NET и PHP.
• Използвайте Windows PowerShell за автоматично управление на повечето административни задачи на уеб сървъра.
• Консолидирайте множество уеб сървъри в сървърна група, която може да се управлява с помощта на IIS.

Услуги за разполагане на Windows

Услугите за разполагане на Windows ви позволяват да внедрявате операционни системи Windows по мрежа, което означава, че не е необходимо да инсталирате всяка операционна система директно от CD или DVD.

Windows Server Essentials Experience

Тази роля ви позволява да изпълнявате следните задачи:

• защита на сървърните и клиентските данни чрез архивиране на сървъра и всички клиентски компютри в мрежата;
• управлявайте потребители и потребителски групи чрез опростено табло за управление на сървъра. В допълнение, интеграцията с Windows Azure Active Directory* предоставя на потребителите лесен достъп до онлайн онлайн услуги на Microsoft (като Office 365, Exchange Online и SharePoint Online), използвайки идентификационните данни на своя домейн;
• съхранява фирмени данни на централизирано място;
• интегрирайте сървъра с Microsoft Online Services (като Office 365, Exchange Online, SharePoint Online и Windows Intune):
• използване на повсеместни функции за достъп на сървъра (като отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, мрежови компютри и данни от високо защитени отдалечени местоположения;
• достъп до данни от всяко място и от всяко устройство, използвайки собствения уеб портал на организацията (чрез отдалечен уеб достъп);
• управлявайте мобилните устройства, които имат достъп до имейла на вашата организация с Office 365 чрез протокола Active Sync от таблото за управление;
• наблюдавайте изправността на мрежата и получавате персонализирани отчети за изправност; отчетите могат да се генерират при поискване, персонализирани и изпратени по имейл до конкретни получатели.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компонентите, от които администраторите се нуждаят, за да управляват и разпространяват актуализации чрез конзолата за управление. Освен това WSUS сървърът може да бъде източник на актуализации за други WSUS сървъри в организацията. Когато внедрявате WSUS, поне един WSUS сървър в мрежата трябва да бъде свързан към Microsoft Update, за да получава информация за наличните актуализации. В зависимост от сигурността и конфигурацията на мрежата, администраторът може да определи колко други сървъра са директно свързани към Microsoft Update.

Въведение

С нарастването на броя на компютрите в предприятието, все по-остро става въпросът за разходите за тяхното управление и поддръжка. Ръчната конфигурация на компютрите отнема много време от персонала и принуждава, с увеличаване на броя на компютрите, да се увеличи персоналът, който ги обслужва. Освен това с голям брой машини става все по-трудно да се следи спазването на стандартите, приети от предприятието. Груповата политика (Group Policy) е цялостен инструмент за централизирано управление на компютри, работещи под Windows 2000 и по-нова версия в домейн на Active Directory. Груповите правила не се прилагат към компютри, работещи под Windows NT4/9x: те се контролират от системни правила, които няма да бъдат обсъждани в тази статия.

GPO

Всички настройки, които създавате в груповите правила, ще се съхраняват в обекти на групови правила (GPO). GPO са два вида: локални GPO и GPO на Active Directory. Локалният GPO е наличен на компютри, работещи под Windows 2000 и по-нови. Може да има само един и това е единственият GPO, който може да бъде на машина без домейн.

Обектът на груповата политика е общо име за набор от файлове, директории и записи в базата данни на Active Directory (ако не е локален обект), които съхраняват вашите настройки и определят какви други настройки можете да промените с помощта на групови правила. Създавайки политика, вие всъщност създавате и модифицирате GPO. Локалният GPO се съхранява в %SystemRoot%\System32\GroupPolicy. GPO на Active Directory се съхраняват на домейн контролер и могат да бъдат свързани със сайт, домейн или OU (организационна единица, организационна единица или организационна единица). Обвързването на обекта определя неговия обхват. По подразбиране в домейн се създават две GPO: правила за домейн по подразбиране и правила за контролер на домейн по подразбиране. Първият дефинира политиката по подразбиране за пароли и акаунти в домейна. Вторият комуникира с OU домейн контролери и увеличава настройките за сигурност за домейн контролери.

Създайте GPO

За да създадете политика (т.е. всъщност да създадете нов GPO), отворете Active Directory Users & Computers и изберете къде да създадете нов обект. Можете да създадете и свържете GPO само със сайт, домейн или OU обект.

Ориз. 1. Създайте GPO.

За да създадете GPO и да го свържете с, например, OU тестери, щракнете с десния бутон върху това OU и изберете свойства от контекстното меню. В прозореца със свойства, който се отваря, отворете раздела Групови правила и щракнете върху Нов.

Ориз. 2. Създайте GPO.

Даваме името на GP обекта, след което обектът се създава и можете да започнете да конфигурирате политиката. Щракнете двукратно върху създадения обект или натиснете бутона Редактиране, ще се отвори прозорецът на редактора на GPO, където можете да конфигурирате конкретни параметри на обекта.

Ориз. 3. Описание на настройките в раздела Разширени.

Повечето от основните настройки са интуитивни (имат и описание, ако отворите раздела Разширени) и няма да се спираме подробно на всяка от тях. Както се вижда от фиг. 3, GPO се състои от два раздела: компютърна конфигурация и потребителска конфигурация. Настройките в първия раздел се прилагат по време на зареждане на Windows към компютри в този контейнер и по-долу (освен ако наследяването не е отменено) и не зависи от това кой потребител е влязъл. Настройките на втория раздел се прилагат при влизане на потребителя.

Ред за прилагане на GPO

Когато компютърът се стартира, се извършват следните действия:

1. Регистърът се чете и се определя към кой сайт принадлежи компютъра. Прави се запитване към DNS сървъра, за да се получат IP адресите на домейн контролерите, разположени в този сайт.
2. След като получи адресите, компютърът се свързва с домейн контролера.
3. Клиентът изисква списък с GP обекти от домейн контролера и ги прилага. Последният изпраща списък с GP обекти в реда, в който трябва да бъдат приложени.
4. Когато потребителят влезе, компютърът отново изисква списък с GP обекти, които да бъдат приложени към потребителя, извлича ги и ги прилага.

Груповите правила се прилагат, когато OC стартира и когато потребителят влезе. След това се прилагат на всеки 90 минути, с 30-минутна промяна, за да се избегне претоварването на домейн контролера, ако голям брой клиенти заявяват едновременно. За домейн контролери интервалът за актуализиране е 5 минути. Можете да промените това поведение в Computer Configuration\Administrative Templates\System\Group Policy. GPO може да действа само върху обектите Computer и User. Правилата се прилагат само за обекти, разположени в обекта на директорията (сайт, домейн, организационна единица), с който е свързан GPO, и по-надолу в дървото (освен ако наследяването не е забранено). Например: GPO се създава в OU тестери (както направихме по-горе).

Ориз. 4. Наследяване на настройките.

Всички настройки, направени в този GPO, ще засегнат само потребители и компютри, разположени в OU тестери и OU InTesters. Нека да разгледаме как се прилагат политиките, използвайки пример. Потребителският тест, намиращ се в тестерите на OU, влиза в компютъра на компютъра, разположен в OU compOU (вижте Фигура 5).

Ориз. 5. Ред за прилагане на полици.

В домейна има четири GPO:

1. SitePolicy, свързан с контейнера на сайта;
2. Правила за домейн по подразбиране, свързани с контейнера на домейна;
3. Политика1, свързана с тестерите на OU;
4. Политика2, свързана с OU compOU.

При Стартиране на Windowsна компютърна работна станция настройките, дефинирани в разделите за компютърна конфигурация, се прилагат в този ред:

1. Локални GPO настройки;
2. Настройки на GPO SitePolicy;

4. Настройки на GPO Policy2.

Когато тестовият потребител влезе в компютъра, параметрите, дефинирани в разделите за потребителска конфигурация, са:

1. Локални GPO настройки;
2. Настройки на GPO SitePolicy;
3. Настройки на политиката за домейн по подразбиране на GPO;
4. Настройки на GPO Policy1.

Тоест GPO се прилагат в този ред: локални политики, политики на ниво сайт, политики на ниво домейн, политики на ниво OU.

Груповите правила се прилагат асинхронно към клиенти на Windows XP и синхронно към клиенти на Windows 2000, което означава, че екранът за влизане на потребителя се появява само след като са приложени всички компютърни политики, а потребителските политики се прилагат преди да се появи работният плот. Прилагането на асинхронна политика означава, че екранът за влизане на потребителя се появява, преди да са приложени всички политики на компютъра, а работният плот се появява, преди да са приложени всички политики на потребителя, което води до по-бързо зареждане и влизане на потребителя.
Поведението, описано по-горе, се променя в два случая. Първо клиентският компютър откри бавна мрежова връзка. По подразбиране в този случай се прилагат само настройки за защита и административни шаблони. Връзка с честотна лента под 500 Kb/s се счита за бавна. Можете да промените тази стойност в Computer Configuration\Administrative Templates\System\Group Policy\Group Policy slow link detection. Също така в секцията Computer Configuration\Administrative Templates\System\Group Policy можете да конфигурирате някои други настройки на правилата, така че да се обработват и през бавна връзка. Вторият начин за промяна на реда, в който се прилагат правилата, е опцията за обратна обработка на политика на потребителска група. Тази опция променя реда, в който се прилагат политиките по подразбиране, където потребителските политики се прилагат след компютърните политики и заместват последните. Можете да настроите опцията за връщане към обратна връзка, за да прилагате компютърни политики след потребителски политики и да презапишете всички потребителски политики, които са в конфликт с компютърните политики. Параметърът за обратна връзка има 2 режима:

1. Обединяване (свързване) - първо се прилага компютърната политика, след това потребител и отново компютър. В този случай компютърната политика заменя настройките на потребителската политика, които й противоречат, със свои собствени.
2. Замяна (замяна) - потребителската политика не се обработва.

За да илюстрирате използването на настройката за обратна обработка на правилата на потребителската група, например на обществен компютър, на който трябва да имате същите ограничени настройки, независимо кой потребител го използва.

Предимство, наследяване и разрешаване на конфликти

Както вече сте забелязали, на всички нива GPO съдържат едни и същи настройки и една и съща настройка може да бъде дефинирана по различен начин на няколко нива. В този случай последната приложена стойност ще бъде ефективната стойност (редът, в който се прилагат GPO, беше обсъден по-горе). Това правило се прилага за всички настройки, с изключение на тези, дефинирани като неконфигурирани. За тези настройки Windows не предприема никакви действия. Но има едно изключение: всички настройки на акаунт и парола могат да бъдат дефинирани само на ниво домейн, на други нива тези настройки ще бъдат игнорирани.

Ориз. 6. Потребители и компютри на Active Directory.

Ако има няколко GPO на едно и също ниво, те се прилагат отдолу нагоре. Като промените позицията на обекта на правилата в списъка (използвайки бутоните Нагоре и Надолу), можете да изберете желания ред на прилагане.

Ориз. 7. Ред за прилагане на полици.

Понякога искате конкретна OU да не получава настройки за политика от GPO, свързани с контейнери нагоре по веригата. В този случай трябва да деактивирате наследяването на правила, като поставите отметка в квадратчето Блокиране на наследяване на правила. Всички наследени настройки на политиката са блокирани и няма начин да се блокират отделни настройки. Настройките на ниво домейн, които определят политика за пароли и политика за акаунти, не могат да бъдат заключени.

Ориз. 9. Блокиране на наследяването на политики.

Ако искате определени настройки в даден GPO да не бъдат презаписани, изберете желания GPO, натиснете бутона Options и изберете No Override. Тази опция принуждава да се прилагат настройките на GPO, когато наследяването на политики е блокирано. Не е зададено Override на мястото, където GPO е свързан с обекта на директорията, а не на самия GPO. Ако GPO е свързан с множество контейнери в домейн, тогава тази настройка няма да бъде автоматично конфигурирана за останалите връзки. Ако настройката No Override е конфигурирана за множество връзки на едно и също ниво, настройките на GPO в горната част на списъка ще имат предимство (и ефект). Ако настройките за No Override са конфигурирани за множество GPO на различни нива, настройките на GPO по-високо в йерархията на директорията ще влязат в сила. Тоест, ако настройките Без замяна са конфигурирани да свързват GPO към обект на домейн и да свързват GPO към OU, настройките, дефинирани на ниво домейн, ще влязат в сила. Квадратчето за отметка Disabled отменя ефекта на този GPO върху този контейнер.

Ориз. 10. Опции No Override и Disabled.

Както бе споменато по-горе, политиките засягат само потребителите и компютрите. Често възниква въпросът: „как да накарам дадена политика да засегне всички потребители, включени в определена група за сигурност?“. За да направите това, GPO се свързва с обект на домейн (или всеки контейнер, разположен над контейнерите или OU, в който се намират всички потребителски обекти от желаната група) и се конфигурират настройките за достъп. Щракнете върху Свойства, в раздела Защита, изтрийте групата Удостоверени потребители и добавете необходимата група с права за четене и прилагане на групови правила.

Определяне на настройките, които засягат компютъра на потребителя

За да определите окончателната конфигурация и да идентифицирате проблемите, трябва да знаете кои настройки на правилата са в сила в момента за даден потребител или компютър. За да направите това, има инструмент Resultant Set of Policy (резултатният набор от политики, RSoP). RSoP може да работи както в режим на регистрация, така и в режим на планиране. За да извикате RSoP, щракнете с десния бутон върху обекта потребител или компютър и изберете Всички задачи.

Ориз. 11. Извикване на инструмента Resultant Set of Policy.

При стартиране (в режим на регистриране) ще бъдете помолени да изберете за кой компютър и потребител да дефинирате набора от резултати и ще се появи прозорец с настройки за резултат, показващ кой GPO е приложил коя настройка.

Ориз. 12. Резултатен набор от правила.

Други инструменти за управление на групови правила

GPResult е инструмент за команден ред, който предоставя част от функционалността на RSoP. GPResult е наличен по подразбиране на всички компютри с Windows XP и Windows Server 2003.

GPUpdate принуждава прилагането на групови политики - както локални, така и базирани на Active Directory. В Windows XP/2003 той замени опцията /refreshpolicy в инструмента secedit за Windows 2000.

Описание на синтаксиса на командите е достъпно, когато ги стартирате с клавиша /?.

Вместо заключение

Тази статия няма за цел да обясни всички аспекти на работа с групови политики, не е насочена към опитни системни администратори. Всичко по-горе, според мен, трябва само по някакъв начин да помогне да се разберат основните принципи на работа с политици за тези, които никога не са работили с тях или тепърва започват да ги овладяват.

Помощна програма GPResult.exe– е конзолно приложение, предназначено да анализира настройките и да диагностицира групови политики, които се прилагат към компютър и/или потребител в домейн на Active Directory. По-специално, GPResult ви позволява да получите данни от резултантния набор от политики (Resultant Set of Policy, RSOP), списък с приложени политики за домейни (GPO), техните настройки и подробна информация за грешките при тяхната обработка. Помощната програма е част от операционната система Windows от дните на Windows XP. Помощната програма GPResult ви позволява да отговорите на въпроси като дали определена политика се прилага за компютър, кой GPO е променил определена настройка на Windows и да разберете причините.

В тази статия ще разгледаме спецификата на използването на командата GPResult за диагностика и отстраняване на грешки в прилагането на групови политики в домейн на Active Directory.

Първоначално за диагностициране на прилагането на групови политики в Windows беше използвана графичната конзола RSOP.msc, която направи възможно получаването на настройките на получените политики (домейн + локални), приложени към компютъра и потребителя в графична форма, подобна на конзолата за редактор на GPO (по-долу, в примера на изгледа на конзолата RSOP.msc, можете да видите, че настройките за актуализиране са зададени).

Въпреки това, конзолата RSOP.msc в съвременните версии на Windows не е практична за използване, т.к не отразява настройките, приложени от различни разширения от страна на клиента (CSE), като GPP (Предпочитания за групови правила), не позволява търсене, предоставя малко диагностична информация. Следователно в момента именно командата GPResult е основният инструмент за диагностициране на използването на GPO в Windows (в Windows 10 дори има предупреждение, че RSOP не дава пълен отчет, за разлика от GPResult).

Използване на помощната програма GPResult.exe

Командата GPResult се изпълнява на компютъра, на който искате да тествате прилагането на групови правила. Командата GPResult има следния синтаксис:

GPRESULT ]] [(/X | /H) ]

За да получите подробна информация за груповите правила, които се прилагат към даден AD обект (потребител и компютър) и други настройки, свързани с GPO инфраструктурата (т.е. произтичащите GPO политики настройки - RsoP), изпълнете командата:

Резултатите от изпълнението на командата са разделени на 2 секции:

• КОМПЮТЪР НАСТРОЙКИ (Компютърна конфигурация) – разделът съдържа информация за GPO обекти, които засягат компютъра (като обект на Active Directory);
• ПОТРЕБИТЕЛ НАСТРОЙКИ – потребителски раздел на политики (политики, които се прилагат за потребителски акаунт в AD).

Нека прегледаме накратко основните параметри/секции, които могат да представляват интерес за нас в изхода на GPResult:

• сайтИме(Site name:) - името на AD сайта, в който се намира компютърът;
• CN– пълен каноничен потребител/компютър, за който са генерирани RSoP данните;
• ПоследновремегрупаПолитикабешеприложено(Последно приложена групова политика) - времето, когато последно са приложени групови политики;
• групаПолитикабешеприложеноот(Груповата политика е приложена от) - домейн контролерът, от който е заредена последната версия на GPO;
• домейнИмеи домейнТип(Име на домейн, тип домейн) – име и версия на схемата на домейн на Active Directory;
• ПриложеногрупаПолитикаОбекти(Приложени GPO)– списъци с активни обекти на групова политика;
• TheследнотоGPOбяханеприложенозащототебяхафилтрираннавън(Следните GPO политики не бяха приложени, защото бяха филтрирани) - неприложени (филтрирани) GPO;
• Theпотребител/компютъреачастнанаследнотосигурностгрупи(Потребителят/компютърът е член на следните групи за сигурност) – Групи домейни, на които потребителят е член.

В нашия пример можете да видите, че потребителският обект е засегнат от 4 групови правила.

• Правила за домейни по подразбиране;
• Активирайте защитната стена на Windows;
• Списък за търсене на DNS суфикс

Ако не искате конзолата да показва информация както за потребителските политики, така и за компютърните политики едновременно, можете да използвате опцията /scope, за да покажете само секцията, която ви интересува. Само произтичащи потребителски правила:

gpresult /r /scope:user

или само приложени компютърни правила:

gpresult /r /scope:компютър

защото Помощната програма Gpresult извежда своите данни директно в конзолата на командния ред, което не винаги е удобно за последващ анализ; нейният изход може да бъде пренасочен към клипборда:

gpresult /r |клип

или текстов файл:

gpresult /r > c:\gpresult.txt

За да покажете супер подробна RSOP информация, добавете ключа /z.

HTML RSOP отчет с помощта на GPResult

В допълнение, помощната програма GPResult може да генерира HTML отчет за приложените правила за резултати (достъпни в Windows 7 и по-нови). Този отчет ще съдържа подробна информация за всички системни настройки, които са зададени от групови правила и имената на конкретни GPO, които ги задават (резултантният отчет за структурата наподобява раздела Настройки в конзолата за управление на групови правила на домейна - GPMC). Можете да генерирате HTML GPResult отчет с помощта на командата:

GPResult /h c:\gp-report\report.html /f

За да генерирате отчет и автоматично да го отворите в браузър, изпълнете командата:

GPResult /h GPResult.html & GPResult.html

HTML отчетът на gpresult съдържа доста полезна информация: виждат се грешки в приложението на GPO, време за обработка (в ms) и прилагане на специфични политики и CSE (в раздела Подробности за компютъра -> Състояние на компонента). Например на екранната снимка по-горе можете да видите, че политиката с настройките 24 пароли се помнят се прилага от Правилата за домейни по подразбиране (колона Winning GPO). Както можете да видите, такъв HTML отчет е много по-удобен за анализ на приложените политики, отколкото конзолата rsop.msc.

Получаване на GPResult данни от отдалечен компютър

GPResult може също да събира данни от отдалечен компютър, елиминирайки необходимостта администратор да влиза локално или RDP към отдалечен компютър. Командният формат за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

По същия начин можете да събирате данни както от потребителски правила, така и от компютърни правила от разстояние.

потребителското име няма RSOP данни

С активиран UAC, стартирането на GPResult без повишени привилегии показва само настройките за потребителския раздел на груповата политика. Ако трябва да покажете и двата раздела (ПОТРЕБИТЕЛСКИ НАСТРОЙКИ и НАСТРОЙКИ НА КОМПЮТЪРА) едновременно, командата трябва да се изпълни. Ако командният ред с повишени права е на система, различна от текущия потребител, помощната програма ще издаде предупреждение ИНФО: Theпотребител„домейн\потребител"правинеиматRSOPданни (Потребителят „domain\user“ няма RSOP данни). Това е така, защото GPResult се опитва да събере информация за потребителя, който го е изпълнил, но защото Този потребител не е влязъл в системата и няма налична RSOP информация за него. За да съберете RSOP информация за потребител с активна сесия, трябва да посочите неговия акаунт:

gpresult /r /потребител:tn\edward

Ако не знаете името на акаунта, който е влязъл на отдалечения компютър, можете да получите акаунта по следния начин:

qwinsta /СЪРВЪР:remotePC1

Също така проверете часа(ата) на клиента. Часът трябва да съвпада с часа на PDC (основен домейн контролер).

Следните GPO правила не бяха приложени, защото бяха филтрирани

Когато отстранявате неизправности в групови правила, трябва също да обърнете внимание на раздела: Следните GPO не бяха приложени, защото бяха филтрирани (Следните GPO правила не бяха приложени, защото бяха филтрирани). Този раздел показва списък с GPO, които по една или друга причина не се отнасят за този обект. Възможни опции, за които политиката може да не е приложима:

Можете също така да разберете дали политиката трябва да се приложи към конкретен AD обект в раздела Ефективни разрешения (Разширени -> Ефективен достъп).

Така че в тази статия прегледахме функциите за диагностициране на прилагането на групови правила с помощта на помощната програма GPResult и прегледахме типичните сценарии за нейното използване.

Функционалността в операционната система Windows Server се изчислява и се подобрява от версия на версия, има все повече роли и компоненти, така че в днешната статия ще се опитам да опиша накратко описание и цел на всяка роля в Windows Server 2016.

Преди да преминем към описанието на сървърните роли на Windows Server, нека разберем какво точно е " Роля на сървъра» на операционната система Windows Server.

Какво е "Сървърна роля" в Windows Server?

Роля на сървъра- това е софтуерен пакет, който осигурява изпълнението на определена функция от сървъра и тази функция е основната. С други думи, " Роля на сървъра' е дестинацията на сървъра, т.е. за какво е. За да може сървърът да изпълнява основната си функция, т.е. определена роля в Роля на сървъра» включва целия необходим софтуер за това ( програми, услуги).

Сървърът може да има една роля, ако се използва активно, или няколко, ако всяка от тях не натоварва силно сървъра и се използва рядко.

Сървърната роля може да включва множество ролеви услуги, които осигуряват функционалността на ролята. Например в сървърната роля " Уеб сървър (IIS)“ включва доста голям брой услуги, а ролята “ DNS сървър» не включва ролеви услуги, тъй като тази роля изпълнява само една функция.

Ролевите услуги могат да бъдат инсталирани всички заедно или поотделно, в зависимост от вашите нужди. По същество инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Windows Server също има " Компоненти» сървър.

Сървърни компоненти (функция)са софтуерни инструменти, които не са сървърна роля, но разширяват възможностите на една или повече роли или управляват една или повече роли.

Някои роли не могат да бъдат инсталирани, ако сървърът няма необходимите услуги или компоненти, които са необходими за функционирането на ролите. Следователно, по време на инсталирането на такива роли " Съветник за добавяне на роли и функции» автоматично ще ви подкани да инсталирате необходимите допълнителни ролеви услуги или компоненти.

Описание на сървърните роли на Windows Server 2016

Вероятно вече сте запознати с много от ролите, които са в Windows Server 2016, тъй като те съществуват от доста време, но както казах, с всяка нова версия на Windows Server се добавят нови роли, които може да не сте работили с, но бихме искали да знаем за какво служат, така че нека започнем да ги разглеждаме.

Забележка! Можете да прочетете за новите функции на операционната система Windows Server 2016 в материала „Инсталиране на Windows Server 2016 и преглед на новите функции“.

Тъй като много често инсталирането и администрирането на роли, услуги и компоненти става с помощта на Windows PowerShell, ще посоча за всяка роля и нейната услуга име, което може да се използва в PowerShell, съответно за нейното инсталиране или за управление.

DHCP сървър

Тази роля ви позволява да конфигурирате централно динамични IP адреси и свързаните с тях настройки за компютри и устройства във вашата мрежа. Ролята на DHCP сървъра няма ролеви услуги.

Името на Windows PowerShell е DHCP.

DNS сървър

Тази роля е предназначена за разрешаване на имена в TCP/IP мрежи. Ролята на DNS сървъра осигурява и поддържа DNS. За да се опрости управлението на DNS сървър, той обикновено се инсталира на същия сървър като домейн услугите на Active Directory. Ролята на DNS сървъра няма ролеви услуги.

Името на ролята за PowerShell е DNS.

Hyper-V

С ролята на Hyper-V можете да създавате и управлявате виртуализирана среда. С други думи, това е инструмент за създаване и управление на виртуални машини.

Името на ролята за Windows PowerShell е Hyper-V.

Атестация за изправност на устройството

роля " » ви позволява да оцените изправността на устройството въз основа на измерени индикатори на параметри за сигурност, като индикатори за състоянието на защитено зареждане и Bitlocker на клиента.

За функционирането на тази роля са необходими много ролеви услуги и компоненти, например: няколко услуги от ролята " Уеб сървър (IIS)", компонент " ", компонент " Функции на .NET Framework 4.6».

По време на инсталацията всички необходими ролеви услуги и функции ще бъдат избрани автоматично. Ролята " Атестация за изправност на устройството» Няма ролеви услуги.

Името на PowerShell е DeviceHealthAttestationService.

Уеб сървър (IIS)

Осигурява надеждна, управляема и мащабируема инфраструктура за уеб приложения. Състои се от доста голям брой услуги (43).

Името на Windows PowerShell е Web-Server.

Включва следните ролеви услуги ( в скоби ще посоча името на Windows PowerShell):

Уеб сървър (Web-WebServer)- Група ролеви услуги, която осигурява поддръжка за HTML уебсайтове, ASP.NET разширения, ASP и уеб сървъра. Състои се от следните услуги:

• Сигурност (уеб сигурност)- набор от услуги за осигуряване на сигурността на уеб сървъра.
  • Филтриране на заявки (Web-Filtering) - с помощта на тези инструменти можете да обработвате всички заявки, идващи към сървъра, и да филтрирате тези заявки въз основа на специални правила, зададени от администратора на уеб сървъра;
  • Ограничения за IP адрес и домейн (Web-IP-Security) - тези инструменти ви позволяват да разрешите или откажете достъп до съдържание на уеб сървър въз основа на IP адреса или името на домейна на източника в заявката;
  • URL авторизация (Web-Url-Auth) - инструментите ви позволяват да разработите правила за ограничаване на достъпа до уеб съдържание и да ги асоциирате с потребители, групи или HTTP заглавни команди;
  • Разширено удостоверяване (Web-Digest-Auth) – Това удостоверяване осигурява по-високо ниво на сигурност от основното удостоверяване. Обобщеното удостоверяване за потребителско удостоверяване работи като предаване на хеш парола към домейн контролер на Windows;
  • Основно удостоверяване (Web-Basic-Auth) – Този метод за удостоверяване осигурява силна съвместимост с уеб браузър. Препоръчително е да се използва в малки вътрешни мрежи. Основният недостатък на този метод е, че паролите, предавани по мрежата, могат да бъдат доста лесно прихванати и декриптирани, така че използвайте този метод в комбинация със SSL;
  • Удостоверяването на Windows (Web-Windows-Auth) е удостоверяване, базирано на удостоверяване на домейн на Windows. С други думи, можете да използвате акаунти в Active Directory за удостоверяване на потребителите на вашите уеб сайтове;
  • Удостоверяване на картографиране на клиентски сертификат (Web-Client-Auth) – Този метод за удостоверяване използва клиентски сертификат. Този тип използва услугите на Active Directory за предоставяне на съпоставяне на сертификати;
  • Удостоверяване на съпоставяне на клиентски сертификат на IIS (Web-Cert-Auth) – Този метод също използва клиентски сертификати за удостоверяване, но използва IIS, за да предостави съпоставяне на сертификати. Този тип осигурява по-добра производителност;
  • Централизирана поддръжка на SSL сертификати (Web-CertProvider) - тези инструменти ви позволяват да управлявате централно SSL сървърни сертификати, което значително опростява процеса на управление на тези сертификати;
• Обслужване и диагностика (Web-Health)– набор от услуги за наблюдение, управление и отстраняване на неизправности в уеб сървъри, сайтове и приложения:
  • http logging (Web-Http-Logging) - инструментите осигуряват логване на активността на уебсайта на даден сървър, т.е. запис в дневник;
  • ODBC регистриране (Web-ODBC-Logging) – Тези инструменти също осигуряват регистриране на дейността на уебсайта, но поддържат регистриране на тази дейност в ODBC-съвместима база данни;
  • Монитор на заявки (Web-Request-Monitor) е инструмент, който ви позволява да наблюдавате изправността на уеб приложение чрез прихващане на информация за HTTP заявки в работния процес на IIS;
  • Персонализирано регистриране (Web-Custom-Logging) – С помощта на тези инструменти можете да конфигурирате регистриране на дейността на уеб сървъра във формат, който се различава значително от стандартния IIS формат. С други думи, можете да създадете свой собствен модул за регистриране;
  • Инструментите за регистриране (Web-Log-Libraries) са инструменти за управление на регистрационните файлове на уеб сървъра и автоматизиране на задачите за регистриране;
  • Проследяването (Web-Http-Tracing) е инструмент за диагностика и разрешаване на нарушения в уеб приложения.
• http Общи функции (Web-Common-Http)– набор от услуги, които предоставят основна HTTP функционалност:
  • Документ по подразбиране (Web-Default-Doc) - Тази функция ви позволява да конфигурирате уеб сървъра да връща документ по подразбиране, когато потребителите не посочат конкретен документ в URL адреса на заявката, което улеснява достъпа на потребителите до уебсайта, например чрез домейн, без посочване на файл;
  • Преглед на директории (Web-Dir-Browsing) - Този инструмент може да се използва за конфигуриране на уеб сървър, така че потребителите да могат да преглеждат списък с всички директории и файлове на уебсайт. Например, за случаите, когато потребителите не посочват файл в URL адреса на заявката и документите по подразбиране са или деактивирани, или не са конфигурирани;
  • http грешки (Web-Http-Errors) - тази функция ви позволява да конфигурирате съобщения за грешка, които ще се връщат към уеб браузърите на потребителите, когато грешка бъде открита от уеб сървъра. Този инструмент се използва за по-лесно представяне на съобщения за грешки на потребителите;
  • Статично съдържание (Web-Static-Content) – този инструмент ви позволява да използвате съдържание на уеб сървър под формата на статични файлови формати, като HTML файлове или файлове с изображения;
  • http пренасочване (Web-Http-Redirect) - като използвате тази функция, можете да пренасочите потребителска заявка към конкретна дестинация, т.е. това е пренасочване;
  • WebDAV Публикуване (Web-DAV-Publishing) - позволява ви да използвате WebDAV технологията на IIS WEB сървъра. WebDAV ( Уеб разпределено създаване и създаване на версии) е технология, която позволява на потребителите да работят заедно ( четене, редактиране, четене на свойства, копиране, преместване) върху файлове на отдалечени уеб сървъри, използвайки HTTP протокола.
• Производителност (уеб ефективност)- набор от услуги за постигане на по-висока производителност на уеб сървъра чрез кеширане на изхода и общи механизми за компресиране като Gzip и Deflate:
  • Статично компресиране на съдържание (Web-Stat-Compression) е инструмент за персонализиране на компресирането на http статично съдържание, което позволява по-ефективно използване на честотната лента, без ненужно натоварване на процесора;
  • Динамично компресиране на съдържание (Web-Dyn-Compression) е инструмент за конфигуриране на HTTP динамично компресиране на съдържание. Този инструмент осигурява по-ефективно използване на честотната лента, но в този случай натоварването на процесора на сървъра, свързано с динамична компресия, може да забави сайта, ако натоварването на процесора е високо дори без компресия.
• Разработка на приложения (Web-App-Dev)- набор от услуги и инструменти за разработване и хостване на уеб приложения, с други думи технологии за разработка на уебсайтове:
  • ASP (Web-ASP) е среда за поддържане и разработване на уеб сайтове и уеб приложения, използващи ASP технология. В момента има по-нова и по-модерна технология за разработка на уеб сайтове - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи технологията ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) също е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи новата версия на ASP.NET;
  • CGI (Web-CGI) е способността да се използва CGI за предаване на информация от уеб сървър към външна програма. CGI е вид интерфейсен стандарт за свързване на външна програма към уеб сървър. Има недостатък, използването на CGI влияе върху производителността;
  • Включването от страна на сървъра (SSI) (Web-Includes) е поддръжка за SSI скриптовия език ( активиране от страна на сървъра), който се използва за динамично генериране на HTML страници;
  • Инициализация на приложение (Web-AppInit) – този инструмент изпълнява задачите по инициализиране на уеб приложения преди изпращане на уеб страница;
  • WebSocket протокол (Web-WebSockets) - добавяне на възможност за създаване на сървърни приложения, които комуникират чрез WebSocket протокола. WebSocket е протокол, който може да изпраща и получава данни едновременно между браузър и уеб сървър през TCP връзка, вид разширение на HTTP протокола;
  • ISAPI разширения (Web-ISAPI-Ext) - поддръжка за динамично развитие на уеб съдържание с помощта на интерфейса за програмиране на приложения ISAPI. ISAPI е API за IIS уеб сървъра. ISAPI приложенията са много по-бързи от ASP файлове или файлове, които извикват COM+ компоненти;
  • .NET 3.5 Extensibility (Web-Net-Ext) е функция за разширяване на .NET 3.5, която ви позволява да модифицирате, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • .NET 4.6 Extensibility (Web-Net-Ext45) е функция за разширяване на .NET 4.6, която също ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • ISAPI филтри (Web-ISAPI-Filter) - Добавете поддръжка за ISAPI филтри. ISAPI филтрите са програми, които се извикват, когато уеб сървър получи конкретна HTTP заявка, която да бъде обработена от този филтър.

FTP - сървър (Web-Ftp-Server)– услуги, които осигуряват поддръжка на FTP протокола. Говорихме по-подробно за FTP сървъра в материала - „Инсталиране и конфигуриране на FTP сървър на Windows Server 2016“. Съдържа следните услуги:

• FTP услуга (Web-Ftp-Service) - добавя поддръжка на FTP протокола на уеб сървъра;
• Разширяемост на FTP (Web-Ftp-Ext) - Разширява стандартните FTP възможности, като добавяне на поддръжка за функции като персонализирани доставчици, потребители на ASP.NET или потребители на IIS мениджър.

Инструменти за управление (Web-Mgmt-Tools)са инструментите за управление на уеб сървъра IIS 10. Те включват: потребителския интерфейс на IIS, инструменти за команден ред и скриптове.

• Конзолата за управление на IIS (Web-Mgmt-Console) е потребителският интерфейс за управление на IIS;
• Набори от символи и инструменти за управление на IIS (Web-Scripting-Tools) са инструменти и скриптове за управление на IIS с помощта на командния ред или скриптове. Те могат да се използват например за автоматизиране на управлението;
• Услуга за управление (Web-Mgmt-Service) - тази услуга добавя възможност за дистанционно управление на уеб сървър от друг компютър с помощта на IIS Manager;
• Управление на съвместимостта на IIS 6 (Web-Mgmt-Compat) - Осигурява съвместимост за приложения и скриптове, които използват двата API на IIS. Съществуващите IIS 6 скриптове могат да се използват за управление на IIS 10 уеб сървъра:
  • IIS 6 Compatibility Metabase (Web-Metabase) е инструмент за съвместимост, който ви позволява да стартирате приложения и набори от знаци, които са мигрирани от по-ранни версии на IIS;
  • Инструменти за скриптове на IIS 6 (Web-Lgcy-Scripting) – Тези инструменти ви позволяват да използвате същите услуги за скриптове на IIS 6, които са създадени за управление на IIS 6 в IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) е инструмент за администриране на отдалечени IIS 6.0 сървъри;
  • IIS 6 WMI Compatibility (Web-WMI) са скриптови интерфейси на Windows Management Instrumentation (WMI) за програмно контролиране и автоматизиране на задачи на IIS 10.0 уеб сървър, използвайки набор от скриптове, създадени в WMI доставчик.

Домейн услуги на Active Directory

роля " Домейн услуги на Active Directory» (AD DS) предоставя разпределена база данни, която съхранява и обработва информация за мрежовите ресурси. Тази роля се използва за организиране на мрежови елементи като потребители, компютри и други устройства в йерархична структура. Йерархичната структура включва гори, домейни в една гора и организационни единици (OU) във всеки домейн. Сървърът, изпълняващ AD DS, се нарича домейн контролер.

Името на ролята за Windows PowerShell е AD-Domain-Services.

Режим Windows Server Essentials

Тази роля е компютърна инфраструктура и осигурява удобни и ефективни функции, например: съхраняване на клиентски данни на централизирано място и защита на тези данни чрез архивиране на сървъра и клиентските компютри, отдалечен уеб достъп, който ви позволява да имате достъп до данни от практически всяко устройство . Тази роля изисква няколко ролеви услуги и функции, например: BranchCache Features, Windows Server Backup, Group Policy Management, Role Service " Пространства от имена на DFS».

Името на PowerShell е ServerEssentialsRole.

Мрежов контролер

Въведена в Windows Server 2016, тази роля осигурява единна точка на автоматизация за управление, наблюдение и диагностика на физическата и виртуална мрежова инфраструктура в центъра за данни. Използвайки тази роля, можете да конфигурирате IP подмрежи, VLAN, физически мрежови адаптери на Hyper-V хостове от една точка, да управлявате виртуални комутатори, физически рутери, настройки на защитната стена и VPN шлюзове.

Името на Windows PowerShell е NetworkController.

Услуга пазител на възел

Това е сървърната роля на Hosted Guardian Service (HGS) и предоставя услуги за удостоверяване и защита на ключове, които позволяват на защитени хостове да изпълняват екранирани виртуални машини. За функционирането на тази роля са необходими няколко допълнителни роли и компоненти, например: домейн услуги на Active Directory, уеб сървър (IIS), " Failover Clustering" и други.

Името на PowerShell е HostGuardianServiceRole.

Active Directory леки справочни услуги

роля " Active Directory леки справочни услуги» (AD LDS) е олекотена версия на AD DS, която има по-малко функционалност, но не изисква разполагането на домейни или домейн контролери и няма зависимостите и ограниченията на домейни, изисквани от AD DS. AD LDS работи по протокола LDAP ( Лек протокол за достъп до директория). Можете да разположите множество екземпляри на AD LDS на един и същ сървър с независимо управлявани схеми.

Името на PowerShell е ADLDS.

MultiPoint услуги

Това също е нова роля, която е нова в Windows Server 2016. MultiPoint Services (MPS) предоставя основна функционалност за отдалечен работен плот, която позволява на множество потребители да работят едновременно и независимо на един и същ компютър. За да инсталирате и работите с тази роля, трябва да инсталирате няколко допълнителни услуги и компоненти, например: Print Server, Windows Search Service, XPS Viewer и други, всички от които ще бъдат автоматично избрани по време на инсталацията на MPS.

Името на ролята за PowerShell е MultiPointServerRole.

Услуги за актуализиране на Windows Server

С тази роля (WSUS) системните администратори могат да управляват актуализации на Microsoft. Например, създайте отделни групи компютри за различни набори от актуализации, както и получаване на отчети за съответствието на компютрите с изискванията и актуализациите, които трябва да бъдат инсталирани. За функциониране" Услуги за актуализиране на Windows Server» Имате нужда от ролеви услуги и компоненти като: уеб сървър (IIS), вътрешна база данни на Windows, услуга за активиране на процеси на Windows.

Името на Windows PowerShell е UpdateServices.

• WID свързаност (UpdateServices-WidDB) - зададена на WID ( Вътрешна база данни на Windows) база данни, използвана от WSUS. С други думи, WSUS ще съхранява своите данни за услугата в WID;
• WSUS услуги (UpdateServices-Services) са ролевите услуги на WSUS като услуга за актуализиране, уеб услуга за отчитане, уеб услуга за отдалечено API, уеб услуга за клиент, уеб услуга за просто удостоверяване, услуга за синхронизиране на сървър и уеб услуга за удостоверяване на DSS;
• SQL Server Connectivity (UpdateServices-DB) е инсталация на компонент, който позволява на услугата WSUS да се свързва с база данни на Microsoft SQL Server. Тази опция осигурява съхранение на сервизни данни в база данни на Microsoft SQL Server. В този случай вече трябва да имате инсталиран поне един екземпляр на SQL Server.

Услуги за активиране на корпоративни лицензи

С тази сървърна роля можете да автоматизирате и опростите издаването на обемни лицензи за софтуер от Microsoft и също така ви позволява да управлявате тези лицензи.

Името на PowerShell е VolumeActivation.

Услуги за печат и документи

Тази сървърна роля е предназначена за споделяне на принтери и скенери в мрежа, за централно конфигуриране и управление на сървъри за печат и сканиране и за управление на мрежови принтери и скенери. Услугите за печат и документи също ви позволяват да изпращате сканирани документи по имейл, до споделени мрежови файлове или до сайтове на Windows SharePoint Services.

Името на PowerShell е Print-Services.

• Сървър за печат (сървър за печат) - Тази ролева услуга включва " Управление на печата”, който се използва за управление на принтери или сървъри за печат, както и за мигриране на принтери и други сървъри за печат;
• Печат през Интернет (Print-Internet) - За да се реализира печат през Интернет, се създава уебсайт, чрез който потребителите могат да управляват заданията за печат на сървъра. За да работи тази услуга, както разбирате, трябва да инсталирате " Уеб сървър (IIS)". Всички необходими компоненти ще бъдат избрани автоматично, когато поставите отметка в това квадратче по време на процеса на инсталиране на ролевата услуга " Интернет печат»;
• Сървърът за разпределено сканиране (Print-Scan-Server) е услуга, която ви позволява да получавате сканирани документи от мрежови скенери и да ги изпращате до дестинация. Тази услуга също така съдържа " Управление на сканиране”, който се използва за управление на мрежови скенери и за конфигуриране на сканиране;
• LPD Service (Print-LPD-Service) - LPD услуга ( Линеен принтер демон) позволява на UNIX-базирани компютри и други компютри, използващи услугата Line Printer Remote (LPR), да печатат на споделени принтери на сървъра.

Мрежова политика и услуги за достъп

роля " » (NPAS) позволява на сървъра за мрежова политика (NPS) да зададе и наложи достъп до мрежата, удостоверяване и оторизация и политики за изправност на клиента, с други думи, да защити мрежата.

Името на Windows PowerShell е NPAS.

Услуги за разполагане на Windows

С тази роля можете отдалечено да инсталирате операционната система Windows през мрежа.

Името на ролята за PowerShell е WDS.

• Сървър за разполагане (WDS-Deployment) - тази ролева услуга е предназначена за отдалечено внедряване и конфигуриране на операционни системи Windows. Също така ви позволява да създавате и персонализирате изображения за повторна употреба;
• Транспортен сървър (WDS-Transport) - Тази услуга съдържа основните мрежови компоненти, с които можете да прехвърляте данни чрез мултикастиране на самостоятелен сървър.

Сертификатни услуги на Active Directory

Тази роля е предназначена за създаване на сертифициращи органи и свързани ролеви услуги, които ви позволяват да издавате и управлявате сертификати за различни приложения.

Името на Windows PowerShell е AD-сертификат.

Включва следните ролеви услуги:

• Сертифициращ орган (ADCS-Cert-Authority) - с помощта на тази ролева услуга можете да издавате сертификати на потребители, компютри и услуги, както и да управлявате валидността на сертификата;
• Уеб услуга за правила за записване на сертификати (ADCS-Enroll-Web-Pol) – Тази услуга позволява на потребителите и компютрите да получат информация за правилата за записване на сертификати от уеб браузър, дори ако компютърът не е член на домейн. За функционирането му е необходимо Уеб сървър (IIS)»;
• Уеб услуга за записване на сертификати (ADCS-Enroll-Web-Svc) - Тази услуга позволява на потребителите и компютрите да записват и подновяват сертификати с помощта на уеб браузър през HTTPS, дори ако компютърът не е член на домейн. Освен това трябва да функционира Уеб сървър (IIS)»;
• Онлайн отговор (ADCS-Online-Cert) - Услугата е предназначена за проверка на анулиране на сертификат за клиенти. С други думи, той приема заявка за статус на анулиране за конкретни сертификати, оценява статуса на тези сертификати и изпраща обратно подписан отговор с информация за статуса. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
• Услуга за уеб записване на сертифициращ орган (ADCS-Web-Enrollment) - Тази услуга предоставя уеб интерфейс за потребителите да изпълняват задачи като заявяване и подновяване на сертификати, получаване на CRL и записване на сертификати за смарт карти. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
• Услуга за регистриране на мрежови устройства (ADCS-Device-Enrollment)—с помощта на тази услуга можете да издавате и управлявате сертификати за рутери и други мрежови устройства, които нямат мрежови акаунти. За да функционира услугата, е необходимо Уеб сървър (IIS)».

Услуги за отдалечен работен плот

Сървърна роля, която може да се използва за предоставяне на достъп до виртуални настолни компютри, базирани на сесия настолни компютри и RemoteApps.

Името на ролята за Windows PowerShell е Remote-Desktop-Services.

Състои се от следните услуги:

• Уеб достъп до отдалечен работен плот (RDS-Web-Access) - Тази ролева услуга позволява на потребителите достъп до отдалечени настолни компютри и приложения на RemoteApp чрез " Започнете» или чрез уеб браузър;
• Лицензиране на отдалечен работен плот (RDS-лицензиране) - Услугата е предназначена да управлява лицензите, които са необходими за свързване към хост сървъра на сесията на отдалечен работен плот или виртуален работен плот. Може да се използва за инсталиране, издаване на лицензи и проследяване на тяхната наличност. Тази услуга изисква " Уеб сървър (IIS)»;
• Брокер за връзка с отдалечен работен плот (RDS-Connection-Broker) е ролева услуга, която предоставя следните възможности: повторно свързване на потребител към съществуващ виртуален работен плот, приложение RemoteApp и базиран на сесия работен плот, както и балансиране на натоварването между настолни компютри на хост сървъри за отдалечени сесии или между обединени виртуални настолни компютри. Тази услуга изисква " »;
• Хост за виртуализация на отдалечен работен плот (DS-Virtualization) - Услугата позволява на потребителите да се свързват с виртуални настолни компютри с помощта на RemoteApp и Desktop Connection. Тази услуга работи във връзка с Hyper-V, т.е. тази роля трябва да бъде инсталирана;
• Хост на сесия на отдалечен работен плот (RDS-RD-сървър) - Тази услуга може да хоства приложения на RemoteApp и базирани на сесии десктопи на сървър. Достъпът е чрез клиента за връзка с отдалечен работен плот или RemoteApps;
• Шлюз за отдалечен работен плот (RDS-шлюз) - Услугата позволява на оторизирани отдалечени потребители да се свързват с виртуални десктопи, RemoteApps и базирани на сесии десктопи в корпоративна мрежа или през Интернет. Тази услуга изисква следните допълнителни услуги и компоненти: Уеб сървър (IIS)», « Мрежова политика и услуги за достъп», « RPC през HTTP прокси».

AD RMS

Това е сървърна роля, която ще ви позволи да защитите информацията от неоторизирана употреба. Той валидира самоличността на потребителите и предоставя лицензи на оторизирани потребители за достъп до защитени данни. Тази роля изисква допълнителни услуги и компоненти: Уеб сървър (IIS)», « Услуга за активиране на процеси на Windows», « Функции на .NET Framework 4.6».

Името на Windows PowerShell е ADRMS.

• Сървър за управление на правата на Active Directory (ADRMS-Server) - услугата за основна роля, необходима за инсталиране;
• Поддръжката на обединяване на самоличността (ADRMS-Identity) е незадължителна ролева услуга, която позволява на обединените самоличности да консумират защитено съдържание с помощта на услугите за обединяване на Active Directory.

AD FS

Тази роля осигурява опростена и сигурна федерация на идентичност и функционалност за единично влизане (SSO) на уебсайтове, използващи браузър.

Името на PowerShell е ADFS-Federation.

Отдалечен достъп

Тази роля осигурява свързаност чрез DirectAccess, VPN и прокси за уеб приложения. Също и ролята Отдалечен достъп"осигурява традиционни възможности за маршрутизиране, включително преобразуване на мрежови адреси (NAT) и други опции за свързване. Тази роля изисква допълнителни услуги и функции: Уеб сървър (IIS)», « Вътрешна база данни на Windows».

Името на ролята за Windows PowerShell е RemoteAccess.

• DirectAccess и VPN (RAS) (DirectAccess-VPN) - услугата позволява на потребителите да се свързват към корпоративната мрежа по всяко време с достъп до Интернет чрез DirectAccess, както и да организират VPN връзки в комбинация с технологии за тунелиране и криптиране на данни;
• Маршрутизиране (Routing) - услугата осигурява поддръжка на NAT рутери, LAN рутери с BGP протоколи, RIP протоколи и рутери с мултикаст поддръжка (IGMP proxy);
• Прокси за уеб приложение (Web-Application-Proxy) - Услугата ви позволява да публикувате приложения, базирани на HTTP и HTTPS протоколите от корпоративната мрежа към клиентски устройства, които са извън корпоративната мрежа.

Услуги за файлове и съхранение

Това е сървърна роля, която може да се използва за споделяне на файлове и папки, управление и контрол на споделяния, репликиране на файлове, предоставяне на бързо търсене на файлове и предоставяне на достъп до UNIX клиентски компютри. Обсъдихме файловите услуги и по-специално файловия сървър по-подробно в материала „Инсталиране на файлов сървър (файлов сървър) на Windows Server 2016“.

Името на Windows PowerShell е FileAndStorage-Services.

Услуги за съхранение- Тази услуга предоставя функционалност за управление на съхранението, която винаги е инсталирана и не може да бъде премахната.

Файлови услуги и iSCSI услуги (файлови услуги)са технологии, които опростяват управлението на файлови сървъри и хранилища, спестяват дисково пространство, осигуряват репликация и кеширане на файлове в клонове, а също така осигуряват споделяне на файлове чрез протокола NFS. Включва следните ролеви услуги:

• Файлов сървър (FS-FileServer) - ролева услуга, която управлява споделени папки и предоставя на потребителите достъп до файловете на този компютър по мрежата;
• Дедупликация на данни (FS-Data-Deduplication) – тази услуга спестява дисково пространство, като съхранява само едно копие на идентични данни на том;
• Мениджър на ресурси на файлов сървър (FS-Resource-Manager) - с помощта на тази услуга можете да управлявате файлове и папки на файлов сървър, да създавате отчети за съхранение, да класифицирате файлове и папки, да конфигурирате квоти за папки и да дефинирате политики за блокиране на файлове;
• Доставчик на iSCSI Target Storage (VDS и VSS хардуерни доставчици) (iSCSITarget-VSS-VDS) – Услугата позволява на приложения на сървър, свързан към iSCSI цел, да копират обеми в сянка на iSCSI виртуални дискове;
• DFS пространства от имена (FS-DFS-Namespace) - с помощта на тази услуга можете да групирате споделени папки, хоствани на различни сървъри, в едно или повече логически структурирани пространства от имена;
• Работни папки (FS-SyncShareService) - услугата ви позволява да използвате работни файлове на различни компютри, включително работни и лични. Можете да съхранявате вашите файлове в работни папки, да ги синхронизирате и да имате достъп до тях от вашата локална мрежа или интернет. За да функционира услугата, компонентът " IIS In-Process Web Core»;
• DFS репликация (FS-DFS-репликация) е машина за репликация на данни с множество сървъри, която ви позволява да синхронизирате папки през LAN или WAN връзка. Тази технология използва протокола за дистанционно диференциално компресиране (RDC), за да актуализира само частта от файловете, които са се променили след последното репликиране. DFS репликацията може да се използва със или без DFS пространства от имена;
• Сървър за NFS (FS-NFS-Service) - Услугата позволява на този компютър да споделя файлове с UNIX-базирани компютри и други компютри, които използват протокола Network File System (NFS);
• iSCSI целеви сървър (FS-iSCSITarget-Server) - предоставя услуги и управление за iSCSI цели;
• Услуга BranchCache за мрежови файлове (FS-BranchCache) – Услугата осигурява поддръжка на BranchCache на този файлов сървър;
• Услуга на VSS агент на файлов сървър (FS-VSS-Agent) – Услугата позволява сенчести копия на томове за приложения, които съхраняват файлове с данни на този файлов сървър.

факс сървър

Ролята изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на този компютър или в мрежата. Задължително за работа Сървър за печат».

Името на ролята за Windows PowerShell е Факс.

Това завършва прегледа на сървърните роли на Windows Server 2016, надявам се, че материалът е бил полезен за вас, засега!

Преди да разработите сокет сървър, трябва да създадете сървър за политики, който казва на Silverlight на кои клиенти е разрешено да се свързват към сокет сървъра.

Както е показано по-горе, Silverlight не позволява да се зарежда съдържание или да се извиква уеб услуга, ако домейнът няма clientaccesspolicy .xml или crossdomain файл. xml, където тези операции са изрично разрешени. Подобно ограничение се прилага за сокет сървъра. Ако не позволите на клиентското устройство да изтегли файла clientaccesspolicy .xml, който позволява отдалечен достъп, Silverlight ще откаже да установи връзка.

За съжаление, предоставяне на политика за клиентски достъп. cml към приложение за сокет е по-голямо предизвикателство, отколкото предоставянето му чрез уебсайт. Когато използвате уебсайт, софтуерът на уеб сървъра може да предостави .xml файл clientaccesspolicy, просто не забравяйте да го добавите. В същото време, когато използвате приложение за сокет, трябва да отворите сокет, до който клиентските приложения имат достъп с заявки за политика. Освен това трябва ръчно да създадете кода, който обслужва сокета. За да изпълните тези задачи, трябва да създадете сървър за политики.

В това, което следва, ще покажем, че сървърът за политики работи по същия начин като сървъра за съобщения, той просто обработва малко по-прости взаимодействия. Сървърите за съобщения и политиките могат да бъдат създадени отделно или комбинирани в едно приложение. Във втория случай те трябва да слушат за заявки в различни нишки. В този пример ще създадем сървър за политики и след това ще го комбинираме със сървър за съобщения.

За да създадете сървър за политики, първо трябва да създадете .NET приложение. Всеки тип .NET приложение може да служи като сървър за политики. Най-лесният начин е да използвате конзолно приложение. След като сте отстранили грешки в конзолното си приложение, можете да преместите кода си в услуга на Windows, така че да работи във фонов режим през цялото време.

Политика файл

Следва файлът с политики, предоставен от сървъра за политики.

Файлът с политики определя три правила.

Позволява достъп до всички портове от 4502 до 4532 (това е пълният набор от портове, поддържани от добавката Silverlight). За да промените диапазона от налични портове, променете стойността на атрибута на порта на елемента.

Позволява TCP достъп (разрешението е дефинирано в атрибута на протокола на елемента).

Позволява обаждане от всеки домейн. Следователно приложение Silverlight, което установява връзка, може да бъде хоствано от всеки уебсайт. За да промените това правило, трябва да редактирате uri атрибута на елемента.

За да улесните нещата, правилата за правилата се поставят във файла clientaccess-ploi.cy.xml, който се добавя към проекта. Във Visual Studio параметърът Copy to Output Directory на файла с правила трябва да бъде зададен на Cop Always. трябва просто да намери файла на твърдия диск, да го отвори и да върне съдържанието на клиентското устройство.

Клас PolicyServer

Функционалността на сървъра за политики се основава на два ключови класа: PolicyServer и PolicyConnection. Класът PolicyServer обработва чакащи връзки. Когато получи връзка, той предава контрола на нов екземпляр на класа PoicyConnection, който предава файла на правилата на клиента. Тази процедура от две части е често срещана в мрежовото програмиране. Ще го видите повече от веднъж, когато работите със сървъри за съобщения.

Класът PolicyServer зарежда файла с правилата от твърдия диск и го съхранява в полето като масив от байтове.

публичен клас PolicyServer

политика за лични байтове;

public PolicyServer(string policyFile) (

За да започне да слуша, сървърното приложение трябва да извика PolicyServer. Старт(). Той създава обект TcpListener, който слуша за заявки. Обектът TcpListener е конфигуриран да слуша на порт 943. В Silverlight този порт е запазен за сървъри за политики. Когато прави заявки за файлове с политики, приложението Silverlight автоматично ги насочва към порт 943.

частен TcpListener слушател;

public void Start()

// Създаване на слушател

слушател = нов TcpListener(IPAddress.Any, 943);

// Започнете да слушате; методът Start() връща II веднага след извикването на listener.Start();

// Изчакване на връзка; методът се връща веднага;

II изчакване се извършва в отделна тема

За да приеме предложената връзка, сървърът за политики извиква метода BeginAcceptTcpClient(). Подобно на всички методи Beginxxx() на .NET framework, той се връща веднага след като бъде извикан, като извършва необходимите операции в отделна нишка. За мрежовите приложения това е много важен фактор, тъй като позволява едновременното обработване на много заявки за файлове с правила.

Забележка. Начинаещите мрежови програмисти често се чудят как повече от една заявка могат да бъдат обработени едновременно и смятат, че това изисква няколко сървъра. Обаче не е така. С този подход клиентските приложения бързо биха изчерпали наличните портове. На практика сървърните приложения обработват много заявки през един порт. Този процес е невидим за приложенията, тъй като вградената TCP подсистема в Windows автоматично идентифицира съобщенията и ги насочва към подходящите обекти в кода на приложението. Всяка връзка се идентифицира уникално въз основа на четири параметъра: IP адрес на клиент, номер на клиентски порт, IP адрес на сървър и номер на порт на сървър.

При всяка заявка се задейства методът за обратно извикване OnAcceptTcpClient(). Той отново извиква метода BeginAcceptTcpClient O, за да започне да чака следващата заявка в друга нишка и след това започва да обработва текущата заявка.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Искането за правила е получено."); // Изчакване на следващото свързване.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Обработване на текущата връзка.

TcpClient клиент = слушател.EndAcceptTcpClient(ar); PolicyConnection policyConnection = нова PolicyConnection(клиент, политика); policyConnection.HandleRequest() ;

catch (Exception err) (

Всеки път, когато се получи нова връзка, се създава нов обект PolicyConnection, който да я обработва. Освен това обектът PolicyConnection поддържа файл с правила.

Последният компонент на класа PolicyServer е методът Stop(), който спира изчакването на заявки. Приложението го извиква, когато приключи.

private bool isStopped;

public void StopO(

isStopped = вярно;

слушател. Спри се();

catch (Exception err) (

Console.WriteLine(err.Message);

Следният код се използва в метода Main() на сървъра на приложения за стартиране на сървъра за политики.

static void Main(string args) (

PolicyServer policyServer = нов PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Сървърът за правила стартира."); Console.WriteLine("Натиснете клавиша Enter за изход.");

// Изчакване на натискане на клавиш; използвайки метода // Console.ReadKey(), можете да го настроите да изчаква конкретен // ред (например излизане) или да натиска произволен клавиш Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Край на сървъра за правила.");

Клас PolicyConnection

Класът PolicyConnection изпълнява по-проста задача. Обектът PolicyConnection съхранява препратка към данни от файла на правилата. След това, след като се извика методът HandleRequest(), обектът PolicyConnection извлича нова връзка от мрежовия поток и се опитва да я прочете. Клиентското устройство трябва да изпрати низ, съдържащ текст. След като прочете този текст, клиентското устройство записва данните за правилата в потока и затваря връзката. Следва кодът на класа PolicyConnection.

публичен клас PolicyConnection(

частен TcpClient клиент; политика за лични байтове;

public PolicyConnection(TcpClient клиент, байтова политика) (

this.client = клиент; this.policy = политика;

// Създаване на клиентска заявка за частен статичен низ policyRequestString = "

public void HandleRequest()(

Поток s = client.GetStream(); // Прочетете низа на заявка за политика

байтов буфер = нов байт;

// Изчакайте само 5 секунди client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Подаване на политиката (можете също да проверите дали заявката за политика има // необходимото съдържание) s.Write(policy, 0, policy.Length);

// Затворете връзката client.Close();

Console.WriteLine("Обслужен файл с правила.");

И така, имаме напълно работещ сървър за политики. За съжаление все още не може да се тества, тъй като добавката Silverlight не позволява изрично да се изискват файлове с правила. Вместо това, той автоматично ги изисква, когато се опитва да използва приложение за сокет. Преди да можете да създадете клиентско приложение за това сокет приложение, трябва да създадете сървър.

Продължение на темата:

Нови статии

/

Когато инсталирате Windows, повечето от несъществените подсистеми не се активират или инсталират. Това се прави от съображения за сигурност. Тъй като системата е защитена по подразбиране, системните администратори могат да се съсредоточат върху проектирането на система, която прави това, което прави, и нищо повече. За да ви помогне да активирате функциите, които искате, Windows ви подканва да изберете сървърна роля.

Роли

Сървърната роля е набор от програми, които, когато са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява специфична функция за множество потребители или други компютри в мрежа. Като цяло всички роли имат следните характеристики.

• Те определят основната функция, цел или цел на използването на компютър. Можете да определите компютър да играе една роля, която се използва силно в предприятието, или да играе множество роли, като всяка роля се използва само от време на време.
• Ролите дават на потребителите в цялата организация достъп до ресурси, които се управляват от други компютри, като уебсайтове, принтери или файлове, съхранявани на различни компютри.
• Те обикновено имат свои собствени бази данни, които подреждат потребителски или компютърни заявки или записват информация за мрежови потребители и компютри, свързани с роля. Например домейн услугите на Active Directory съдържат база данни за съхраняване на имената и йерархичните връзки на всички компютри в мрежата.
• Веднъж правилно инсталирани и конфигурирани, ролите функционират автоматично. Това позволява на компютрите, на които са инсталирани, да изпълняват възложени задачи с ограничено потребителско взаимодействие.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалността на дадена роля. Когато инсталирате роля, можете да изберете кои услуги предоставя на други потребители и компютри в предприятието. Някои роли, като DNS сървъра, изпълняват само една функция, така че за тях няма ролеви услуги. Други роли, като услугите за отдалечен работен плот, имат няколко услуги, които можете да инсталирате въз основа на нуждите на вашето предприятие от отдалечен достъп. Една роля може да се разглежда като съвкупност от тясно свързани, допълващи се ролеви услуги. В повечето случаи инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Компоненти

Компонентите са програми, които не са директно част от роли, но поддържат или разширяват функционалността на една или повече роли или на целия сървър, независимо кои роли са инсталирани. Например, Failover Cluster Tool разширява други роли, като файлови услуги и DHCP сървър, като им позволява да се присъединят към сървърни клъстери, което осигурява увеличено резервиране и производителност. Другият компонент, Telnet Client, позволява отдалечена комуникация със сървъра Telnet през мрежова връзка. Тази функция подобрява възможностите за комуникация на сървъра.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни роли:

• Сертификатни услуги на Active Directory;
• Домейн услуги на Active Directory;
• DHCP сървър
• DNS сървър;
• файлови услуги (включително мениджър на ресурси на файлов сървър);
• Active Directory леки справочни услуги;
• Hyper-V
• услуги за печат и документи;
• услуги за стрийминг на медия;
• уеб сървър (включително подмножество на ASP.NET);
• Windows Server Update Server;
• Сървър за управление на права на Active Directory;
• Сървър за маршрутизиране и отдалечен достъп и следните подчинени роли:
  • Брокер за връзка с отдалечен работен плот;
  • лицензиране;
  • виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните функции на сървъра:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Фонова интелигентна трансферна услуга (BITS);
• BitLocker Drive Encryption;
• BitLocker Network Unlock;
• BranchCache
• мост за център за данни;
• Подобрено съхранение;
• отказоустойчив клъстеринг;
• Многопътен I/O;
• балансиране на натоварването на мрежата;
• PNRP протокол;
• qWave;
• дистанционна диференциална компресия;
• прости TCP/IP услуги;
• RPC през HTTP прокси;
• SMTP сървър;
• SNMP услуга;
• Telnet клиент;
• telnet сървър;
• TFTP клиент;
• вътрешна база данни на Windows;
• Windows PowerShell Web Access;
• Услуга за активиране на Windows;
• стандартизирано управление на съхранението на Windows;
• IIS WinRM разширение;
• WINS сървър;
• Поддръжка на WoW64.

Инсталиране на сървърни роли с помощта на Server Manager

За да добавите, отворете Server Manager и в менюто Manage щракнете върху Add Roles and features:

Отваря се съветникът за добавяне на роли и функции. Щракнете Напред

Тип инсталация, изберете инсталация, базирана на роли или функция. Следващия:

Избор на сървър - изберете нашия сървър. Щракнете върху Следващи сървърни роли - Изберете роли, ако е необходимо, изберете ролеви услуги и щракнете върху Напред, за да изберете компоненти. По време на тази процедура съветникът за добавяне на роли и функции автоматично ви информира за конфликти на целевия сървър, които могат да попречат на инсталирането или нормалната работа на избраните роли или функции. Също така ще бъдете подканени да добавите ролите, ролевите услуги и функциите, изисквани от избраните роли или функции.

Инсталиране на роли с PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списъка с налични и инсталирани роли и функции на локалния сървър. Резултатът от тази кратка команда съдържа имената на командите за ролите и функциите, които са инсталирани и достъпни за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да видите синтаксиса и валидните параметри за кратката команда Install-WindowsFeature (MAN).

Въведете следната команда (-Restart ще рестартира сървъра, ако инсталацията на ролята изисква рестартиране).

Install-WindowsFeature – Име -Рестартирам

Описание на роли и ролеви услуги

Всички роли и ролеви услуги са описани по-долу. Нека да разгледаме разширените настройки за най-често срещаната роля на уеб сървър и услуги за отдалечен работен плот в нашата практика.

Подробно описание на IIS

• Общи HTTP функции - основни HTTP компоненти
  • Документ по подразбиране - позволява ви да зададете индексната страница за сайта.
  • Преглед на директория - Позволява на потребителите да преглеждат съдържанието на директория на уеб сървър. Използвайте сърфиране в директория, за да генерирате автоматично списък с всички директории и файлове в директория, когато потребителите не посочат файл в URL адреса и индексната страница е деактивирана или не е конфигурирана
  • HTTP грешки - позволява ви да персонализирате съобщенията за грешки, връщани на клиентите в браузъра.
  • Статично съдържание - позволява ви да публикувате статично съдържание, като изображения или html файлове.
  • HTTP пренасочване - Осигурява поддръжка за пренасочване на потребителски заявки.
  • WebDAV Publishing ви позволява да публикувате файлове от уеб сървър, използвайки HTTP протокола.
• Здравни и диагностични функции - Диагностични компоненти
  • HTTP Logging осигурява регистриране на дейността на уебсайта за даден сървър.
  • Персонализираното регистриране осигурява поддръжка за създаване на персонализирани журнали, които са различни от "традиционните" журнали.
  • Logging Tools предоставя рамка за управление на регистрационните файлове на уеб сървъра и автоматизиране на общи задачи за регистриране.
  • ODBC Logging предоставя рамка, която поддържа регистриране на активността на уеб сървъра в ODBC-съвместима база данни.
  • Мониторът на заявки предоставя рамка за наблюдение на състоянието на уеб приложенията чрез събиране на информация за HTTP заявки в работен процес на IIS.
  • Проследяването предоставя рамка за диагностика и отстраняване на неизправности в уеб приложения. С помощта на проследяване на неуспешни заявки можете да проследявате трудни за намиране събития, като лоша производителност или грешки при удостоверяване.
• Компоненти за производителност за увеличаване на производителността на уеб сървъра.
  • Статичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на статично съдържание
  • Динамичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на динамично съдържание.
• Компоненти за сигурност
  • Филтрирането на заявки ви позволява да уловите всички входящи заявки и да ги филтрирате въз основа на правила, зададени от администратора.
  • Основното удостоверяване ви позволява да зададете допълнително разрешение
  • Централизираната поддръжка на SSL сертификат е функция, която ви позволява да съхранявате сертификати на централно място, като споделяне на файлове.
  • Удостоверяването на картографиране на клиентски сертификат използва клиентски сертификати за удостоверяване на потребителите.
  • Digest Authentication работи чрез изпращане на хеш парола към домейн контролер на Windows за удостоверяване на потребителите. Ако се нуждаете от повече сигурност от основното удостоверяване, помислете за използването на обобщено удостоверяване
  • IIS Client Certificate Mapping Authentication използва клиентски сертификати за удостоверяване на потребителите. Клиентският сертификат е цифров идентификатор, получен от доверен източник.
  • Ограниченията за IP и домейн ви позволяват да разрешите/откажете достъп въз основа на заявения IP адрес или име на домейн.
  • Упълномощаването на URL адрес ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
  • Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейн на Windows да се възползват от инфраструктурата на домейна за удостоверяване на потребителя.
• Функции за разработка на приложения
• FTP сървър
  • FTP услуга Позволява FTP публикуване на уеб сървър.
  • FTP Extensibility Позволява поддръжка за FTP функции, които разширяват функционалността на
• Инструменти за управление
  • IIS Management Console инсталира IIS Manager, който ви позволява да управлявате уеб сървъра чрез GUI
  • Съвместимостта на управлението на IIS 6.0 осигурява съвместимост напред за приложения и скриптове, които използват Admin Base Object (ABO) и интерфейса на справочната услуга (ADSI) Active Directory API. Това позволява съществуващите скриптове на IIS 6.0 да бъдат използвани от уеб сървъра на IIS 8.0
  • Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за програмно управление на IIS уеб сървъра, чрез използване на команди в прозорец на командния ред или чрез изпълнение на скриптове.
  • Услугата за управление предоставя инфраструктурата за персонализиране на потребителския интерфейс, IIS Manager.

Подробно описание на RDS

• Брокер за връзка с отдалечен работен плот - Осигурява повторно свързване на клиентско устройство към програми въз основа на сесии на десктоп и виртуален десктоп.
• Шлюз за отдалечен работен плот - позволява на оторизираните потребители да се свързват с виртуални настолни компютри, програми RemoteApp и базирани на сесия настолни компютри в корпоративна мрежа или през интернет.
• Лицензиране на отдалечен работен плот - RDP инструмент за управление на лицензи
• Хост на сесия на отдалечен работен плот - Включва сървър за хостване на програми на RemoteApp или базирана на десктоп сесия.
• Хост за виртуализация на отдалечен работен плот - позволява ви да конфигурирате RDP на виртуални машини
• Remote Desktop WebAccess - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или уеб браузър.

Помислете за инсталиране и конфигуриране на терминален лицензен сървър. Горното описва как да инсталирате роли, инсталирането на RDS не се различава от инсталирането на други роли, в Role Services трябва да изберем Remote Desktop Licensing и Remote Desktop Session Host. След инсталирането елементът Terminal Services ще се появи в Server Manager-Tools. Има два елемента в Terminal Services RD Licensing Diagnoser, това е инструмент за диагностициране на работата на лицензирането на отдалечен работен плот, и Remote Desktop Licensing Manager, това е инструмент за управление на лицензи.

Стартирайте RD Licensing Diagnoser

Тук можем да видим, че все още няма налични лицензи, тъй като режимът на лицензиране не е зададен за хост сървъра на RD Session. Сървърът за лицензи е посочен в правилата на локалната група. За да стартирате редактора, изпълнете командата gpedit.msc. Отваря се редакторът на локални групови правила. В дървото отляво разгънете разделите:

• Компютърна конфигурация
• Административни шаблони
• Компоненти на Windows
• Услуги за отдалечен работен плот
• Хост на сесия на отдалечен работен плот
• „Лицензиране“ (Лицензиране)

Отворете параметрите Използвайте посочените сървъри за лицензи за отдалечен работен плот

В прозореца за редактиране на настройките на правилата активирайте сървъра за лицензиране (Активирано). След това трябва да дефинирате сървър за лицензи за услуги за отдалечен работен плот. В моя пример сървърът за лицензи се намира на същия физически сървър. Посочете името на мрежата или IP адреса на лицензния сървър и щракнете върху OK. Ако името на сървъра, сървърът за лицензи ще се промени в бъдеще, ще трябва да го промените в същия раздел.

След това в RD Licensing Diagnoser можете да видите, че сървърът за терминални лицензи е конфигуриран, но не е активиран. За да активирате, стартирайте Remote Desktop Licensing Manager

Изберете сървъра за лицензиране със статус Неактивиран. За да активирате, щракнете с десния бутон върху него и изберете Активиране на сървъра. Ще се стартира съветникът за активиране на сървъра. В раздела Метод на свързване изберете Автоматично свързване. След това попълнете информацията за организацията, след което сървърът за лицензи се активира.

Сертификатни услуги на Active Directory

AD CS предоставя конфигурируеми услуги за издаване и управление на цифрови сертификати, които се използват в софтуерни системи за сигурност, които използват технологии с публичен ключ. Цифровите сертификати, предоставени от AD CS, могат да се използват за криптиране и цифрово подписване на електронни документи и съобщения. Тези цифрови сертификати могат да се използват за удостоверяване на акаунти на компютър, потребител и устройство в мрежата. Цифровите сертификати се използват за предоставяне на:

• поверителност чрез криптиране;
• почтеност чрез цифрови подписи;
• удостоверяване чрез свързване на ключове на сертификати към акаунти на компютър, потребител и устройство в мрежата.

AD CS може да се използва за подобряване на сигурността чрез обвързване на самоличността на потребител, устройство или услуга със съответния частен ключ. Приложенията, поддържани от AD CS, включват защитени многофункционални стандартни разширения за интернет поща (S/MIME), защитени безжични мрежи, виртуални частни мрежи (VPN), IPsec, криптираща файлова система (EFS), влизане със смарт карта, защита и протокол за сигурност на транспортния слой (SSL/TLS) и цифрови подписи.

Домейн услуги на Active Directory

С помощта на ролята на сървъра на Active Directory Domain Services (AD DS) можете да създадете мащабируема, защитена и управляема инфраструктура за управление на потребители и ресурси; можете също така да предоставите приложения с активирана директория, като Microsoft Exchange Server. Домейн услугите на Active Directory предоставят разпределена база данни, която съхранява и управлява информация за мрежови ресурси и данни за приложения с активирана директория. Сървърът, който изпълнява AD DS, се нарича домейн контролер. Администраторите могат да използват AD DS, за да организират мрежови елементи като потребители, компютри и други устройства в йерархична вложена структура. Йерархичната вложена структура включва гората на Active Directory, домейните в гората и организационните единици във всеки домейн. Функциите за сигурност са интегрирани в AD DS под формата на удостоверяване и контрол на достъпа до ресурсите в директорията. С единично влизане администраторите могат да управляват информацията в директорията и организацията в мрежата. Оторизираните мрежови потребители могат също да използват мрежово единично влизане за достъп до ресурси, разположени навсякъде в мрежата. Домейн услугите на Active Directory предоставят следните допълнителни функции.

• Набор от правила е схема, която дефинира класовете от обекти и атрибути, които се съдържат в дадена директория, ограниченията и ограниченията за екземплярите на тези обекти и формата на техните имена.
• Глобален каталог, съдържащ информация за всеки обект в каталога. Потребителите и администраторите могат да използват глобалния каталог за търсене на каталожни данни, независимо кой домейн в каталога всъщност съдържа търсените данни.
• Механизъм за заявки и индексиране, чрез който обекти и техните свойства могат да бъдат публикувани и локализирани от мрежови потребители и приложения.
• Услуга за репликация, която разпространява данни от директория в мрежа. Всички записваеми домейн контролери в домейна участват в репликацията и съдържат пълно копие на всички данни от директория за своя домейн. Всички промени в данните на директорията се репликират в домейна към всички домейн контролери.
• Роли на ръководител на операции (известни също като гъвкави единични главни операции или FSMO). Домейн контролерите, които действат като господари на операциите, са проектирани да изпълняват специални задачи, за да осигурят последователност на данните и да избегнат противоречиви записи в директория.

Услуги за федерация на Active Directory

AD FS предоставя на крайни потребители, които се нуждаят от достъп до приложения в предприятие, защитено с AD FS, във федеративни партньорски организации или в облака с опростена и защитена федерация на идентичност и уеб услуги за единично влизане (SSO). Windows Server AD FS включва услуга за роли Федерална услуга, действаща като доставчик на идентичност (удостоверява потребителите да предоставят токени за сигурност на приложения, които се доверяват на AD FS) или като доставчик на федерация (прилага токени от други доставчици на идентичност и след това предоставя токени за сигурност на приложения, които се доверяват на AD FS).

Active Directory леки справочни услуги

Active Directory Lightweight Directory Services (AD LDS) е LDAP протокол, който осигурява гъвкава поддръжка за приложения на директория без зависимостите и специфичните за домейна ограничения на услугите за домейн на Active Directory. AD LDS може да се изпълнява на членски или самостоятелни сървъри. Можете да изпълнявате множество екземпляри на AD LDS с независимо управлявани схеми на един и същи сървър. С ролята на услугата AD LDS можете да предоставяте услуги за директория на приложения с активирана директория, без да използвате данни за домейн и горска услуга и без да изисквате една схема за цялата гора.

Услуги за управление на правата на Active Directory

Можете да използвате AD RMS, за да разширите стратегията за сигурност на вашата организация, като защитите документи с помощта на управление на правата за информация (IRM). AD RMS позволява на потребителите и администраторите да присвояват разрешения за достъп до документи, работни книги и презентации с помощта на IRM политики. Това ви позволява да защитите поверителната информация от отпечатване, препращане или копиране от неоторизирани потребители. След като разрешенията на файла са ограничени чрез IRM, ограниченията за достъп и използване се прилагат независимо от местоположението на информацията, тъй като разрешението за файла се съхранява в самия файл на документа. С AD RMS и IRM отделните потребители могат да прилагат свои собствени предпочитания по отношение на прехвърлянето на лична и поверителна информация. Те също така ще помогнат на организацията да наложи корпоративни политики за контрол на използването и разпространението на чувствителна и лична информация. Решенията за IRM, поддържани от AD RMS, се използват за предоставяне на следните възможности.

• Постоянни политики за използване, които остават с информация, независимо дали е преместена, изпратена или препратена.
• Допълнителен слой на поверителност за защита на чувствителни данни - като отчети, продуктови спецификации, информация за клиенти и имейл съобщения - от умишлено или случайно попадане в неподходящи ръце.
• Предотвратете неоторизирано изпращане, копиране, редактиране, отпечатване, изпращане по факс или поставяне на ограничено съдържание от упълномощени получатели.
• Предотвратете копирането на ограничено съдържание с помощта на функцията PRINT SCREEN в Microsoft Windows.
• Поддръжка за изтичане на файла, предотвратяване на преглед на съдържанието на документа след определен период от време.
• Прилагане на корпоративни политики, които управляват използването и разпространението на съдържание в рамките на организацията

Сървър за приложения

Сървърът на приложения предоставя интегрирана среда за внедряване и изпълнение на персонализирани бизнес приложения, базирани на сървър.

DHCP сървър

DHCP е технология клиент-сървър, която позволява на DHCP сървърите да присвояват или наемат IP адреси на компютри и други устройства, които са DHCP клиенти. Разполагането на DHCP сървъри в мрежа автоматично предоставя на клиентските компютри и други мрежови устройства базирани на IPv4 и IPv6 валидни IP адреси и допълнителни настройки за конфигурация, изисквани от тези клиенти и устройства.Услугата DHCP сървър в Windows Server включва поддръжка за присвоявания, базирани на правила, и DHCP отказ.

DNS сървър

DNS услугата е йерархична разпределена база данни, съдържаща съпоставяне на имената на DNS домейни към различни типове данни, като например IP адреси. DNS услугата ви позволява да използвате приятелски имена като www.microsoft.com, за да ви помогне да намерите компютри и други ресурси в мрежи, базирани на TCP/IP. DNS услугата в Windows Server предоставя допълнителна подобрена поддръжка за DNS модули за сигурност (DNSSEC), включително мрежова регистрация и автоматизирано управление на настройките.

ФАКС сървър

Факс сървърът изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на вашия факс сървър.

Услуги за файлове и съхранение

Администраторите могат да използват ролята на File and Storage Services, за да настроят множество файлови сървъри и техните хранилища и да управляват тези сървъри с помощта на Server Manager или Windows PowerShell. Някои конкретни приложения включват следните функции.

• работни папки. Използвайте, за да позволите на потребителите да съхраняват и имат достъп до работни файлове на персонални компютри и устройства, различни от корпоративни компютри. Потребителите получават удобно място за съхранение на работни файлове и достъп до тях отвсякъде. Организациите контролират корпоративните данни, като съхраняват файлове на централно управлявани файлови сървъри и по желание задават правила за потребителско устройство (като криптиране и пароли за заключване на екрана).
• Дедупликация на данни. Използвайте, за да намалите изискванията за дисково пространство за съхранение на файлове, спестявайки пари за съхранение.
• iSCSI целеви сървър. Използвайте за създаване на централизирани, независими от софтуера и устройството iSCSI дискови подсистеми в мрежи за съхранение (SAN).
• Дискови пространства. Използвайте за внедряване на хранилище, което е високодостъпно, устойчиво и мащабируемо с рентабилни, стандартни за индустрията устройства.
• Мениджър на сървъра. Използвайте за дистанционно управление на множество файлови сървъри от един прозорец.
• Windows PowerShell. Използвайте за автоматизиране на управлението на повечето административни задачи на файлов сървър.

Hyper-V

Ролята Hyper-V ви позволява да създавате и управлявате виртуализирана изчислителна среда с помощта на технологията за виртуализация, вградена в Windows Server. Инсталирането на ролята на Hyper-V инсталира предпоставки и незадължителни инструменти за управление. Предпоставките включват хипервизор на Windows, услуга за управление на виртуална машина Hyper-V, доставчик на виртуализация на WMI и компоненти за виртуализация като VMbus, доставчик на услуги за виртуализация (VSP) и драйвер за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Услугите за мрежова политика и достъп предоставят следните решения за мрежова свързаност:

• Защитата на мрежовия достъп е технология за създаване, налагане и коригиране на политики за изправност на клиента. Със защитата на достъпа до мрежата системните администратори могат да задават и автоматично да налагат политики за здраве, които включват изисквания за софтуер, актуализации на защитата и други настройки. За клиентски компютри, които не отговарят на политиката за изправност, можете да ограничите достъпа до мрежата, докато конфигурацията им не бъде актуализирана, за да отговаря на изискванията на политиката.
• Ако са внедрени 802.1X-активирани безжични точки за достъп, можете да използвате Network Policy Server (NPS) за внедряване на базирани на сертификати методи за удостоверяване, които са по-сигурни от удостоверяването, базирано на парола. Разполагането на хардуер с активиран 802.1X с NPS сървър позволява на потребителите на интранет да бъдат удостоверени, преди да могат да се свържат към мрежата или да получат IP адрес от DHCP сървър.
• Вместо да конфигурирате политика за мрежов достъп на всеки сървър за мрежов достъп, можете централно да създадете всички политики, които определят всички аспекти на заявките за мрежова връзка (кой може да се свързва, кога връзката е разрешена, нивото на защита, което трябва да се използва за свързване към мрежата) ).

Услуги за печат и документи

Услугите за печат и документи ви позволяват да централизирате задачите на сървъра за печат и мрежовия принтер. Тази роля също така ви позволява да получавате сканирани документи от мрежови скенери и да качвате документи в мрежови споделени файлове - към сайт на Windows SharePoint Services или по имейл.

отдалечен достъп

Ролята на сървъра за отдалечен достъп е логическо групиране на следните технологии за мрежов достъп.

• Директен достъп
• Маршрутизиране и отдалечен достъп
• Прокси за уеб приложение

Тези технологии са ролеви услугироля на сървър за отдалечен достъп. Когато инсталирате ролята на сървър за отдалечен достъп, можете да инсталирате една или повече ролеви услуги, като стартирате съветника за добавяне на роли и функции.

В Windows Server ролята на Remote Access Server предоставя възможност за централно администриране, конфигуриране и наблюдение на DirectAccess и VPN с Routing and Remote Access Service (RRAS) услуги за отдалечен достъп. DirectAccess и RRAS могат да бъдат внедрени на един и същ Edge сървър и управлявани с помощта на команди на Windows PowerShell и конзола за управление на отдалечен достъп (MMC).

Услуги за отдалечен работен плот

Услугите за отдалечен работен плот ускоряват и разширяват внедряването на настолни компютри и приложения на всяко устройство, като правят отдалечения работник по-ефективен, като същевременно осигурява критична интелектуална собственост и опростява съответствието. Услугите за отдалечен работен плот включват инфраструктура за виртуален работен плот (VDI), настолни компютри, базирани на сесии, и приложения, които дават възможност на потребителите да работят отвсякъде.

Услуги за обемно активиране

Услугите за активиране на корпоративни лицензи са сървърна роля в Windows Server, започваща с Windows Server 2012, която автоматизира и опростява издаването и управлението на корпоративни лицензи за софтуер на Microsoft в различни сценарии и среди. Заедно с услугите за активиране на корпоративни лицензи можете да инсталирате и конфигурирате услугата за управление на ключове (KMS) и активиране на Active Directory.

Уеб сървър (IIS)

Ролята на уеб сървъра (IIS) в Windows Server предоставя платформа за хостване на уеб сайтове, услуги и приложения. Използването на уеб сървър осигурява достъп до информация на потребителите в Интернет, интранет и екстранет. Администраторите могат да използват ролята на уеб сървър (IIS), за да настроят и управляват множество уебсайтове, уеб приложения и FTP сайтове. Специалните функции включват следното.

• Използвайте диспечера на Интернет информационни услуги (IIS), за да конфигурирате IIS компоненти и да администрирате уебсайтове.
• Използване на FTP протокола, за да позволи на собствениците на уебсайтове да качват и изтеглят файлове.
• Използване на изолация на уебсайт, за да се предотврати влиянието на един уебсайт на сървъра върху други.
• Персонализиране на уеб приложения, разработени чрез различни технологии като Classic ASP, ASP.NET и PHP.
• Използвайте Windows PowerShell за автоматично управление на повечето административни задачи на уеб сървъра.
• Консолидирайте множество уеб сървъри в сървърна група, която може да се управлява с помощта на IIS.

Услуги за разполагане на Windows

Услугите за разполагане на Windows ви позволяват да внедрявате операционни системи Windows по мрежа, което означава, че не е необходимо да инсталирате всяка операционна система директно от CD или DVD.

Windows Server Essentials Experience

Тази роля ви позволява да изпълнявате следните задачи:

• защита на сървърните и клиентските данни чрез архивиране на сървъра и всички клиентски компютри в мрежата;
• управлявайте потребители и потребителски групи чрез опростено табло за управление на сървъра. В допълнение, интеграцията с Windows Azure Active Directory* предоставя на потребителите лесен достъп до онлайн онлайн услуги на Microsoft (като Office 365, Exchange Online и SharePoint Online), използвайки идентификационните данни на своя домейн;
• съхранява фирмени данни на централизирано място;
• интегрирайте сървъра с Microsoft Online Services (като Office 365, Exchange Online, SharePoint Online и Windows Intune):
• използване на повсеместни функции за достъп на сървъра (като отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, мрежови компютри и данни от високо защитени отдалечени местоположения;
• достъп до данни от всяко място и от всяко устройство, използвайки собствения уеб портал на организацията (чрез отдалечен уеб достъп);
• управлявайте мобилните устройства, които имат достъп до имейла на вашата организация с Office 365 чрез протокола Active Sync от таблото за управление;
• наблюдавайте изправността на мрежата и получавате персонализирани отчети за изправност; отчетите могат да се генерират при поискване, персонализирани и изпратени по имейл до конкретни получатели.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компонентите, от които администраторите се нуждаят, за да управляват и разпространяват актуализации чрез конзолата за управление. Освен това WSUS сървърът може да бъде източник на актуализации за други WSUS сървъри в организацията. Когато внедрявате WSUS, поне един WSUS сървър в мрежата трябва да бъде свързан към Microsoft Update, за да получава информация за наличните актуализации. В зависимост от сигурността и конфигурацията на мрежата, администраторът може да определи колко други сървъра са директно свързани към Microsoft Update.

Здравейте. Не можете да регистрирате собствен акаунт?
пишете на ЛС - vk.com/watsonshit
- Регистрираме акаунти по поръчка.
- Помагаме при етапи 1 и 2 на UCP.
- Бързо и качествено обслужване.
- Гаранции, прегледи. Ние сме отговорни за безопасността.
- Абсолютно различни сървъри с UCP регистрация.
Проект за тихоокеанско крайбрежие - SW проект и др.

Не намерихте отговора на въпроса си? Напишете в коментарите и аз ще ви дам отговора.

) За какво е OOC чатът?
- 1) Това е чат, който не засяга играта.

2) Какво се разбира под термина ролева игра?
- 2) Ролевата игра е вид игра, в която трябва да играете ролята, която съм избрал.

3) Ако някоя ситуация не е във ваша полза (убийство / грабеж). Вашите действия?
- 2) Ще продължа да играя, независимо от всичко.

2) Получихте пари от измамник, какво ще направите?
- 4) Ще информирам администрацията на сървъра, ще се отпиша в специална тема и ще добавя пари към /charity.

3) Имате ли право да убиете полицай?
- 1) Разбира се, мога да убия полицай само ако имам основателна причина.

1) Разрешено ли е преминаването от мястото на водача?
- 4) Не, подобни действия са забранени от правилата на сървъра.

4) Позволени ли са псевдоними на знаменитости и герои от филми/сериали/анимационни филми?
- 3) Не, забранени са.

5) По време на престрелката технически бяха убити трима героя, но след известно време същите тези герои вече играеха отново своите роли. Какъв тип убийство е това?
- 2) Убийство на играч.

7) Те стрелят по теб, но ти не искаш да умреш и затова...
- 4) Ще се опитате да избягате и да оцелеете чрез ролева игра.

2) Имате ли право да използвате Bunny-Hop?
- 3) Да, имам право да го използвам, ако не преча на никого.

7) Какво ще направите, ако имате предложение за развитие на сървъра?
- 3) Ще пиша за това в съответния раздел на форума.

3) Задължително ли е отписването на действия при използване на малогабаритни оръжия?
- 4) Не.

2) За първи път сте на сървъра и изобщо не знаете командите, какво ще правите?
- 3) Ще задам въпрос на администрацията с командата /askq, след което ще изчакам отговор.

3) Каква е целта на командата /coin?
- разрешаване на всички спорни ситуации

1) Какво е метагейминг?
- 2) Това е използването на неролева информация, когато се играе роля.

6) Играчът, чийто герой беше технически убит по време на престрелка, реши да отмъсти на нарушителите и уби един от опонентите без ролеви причини. Какви нарушения има тук от страна на играча?
- 3) Убийство за отмъщение.

10) Позволено ли е да се попълва количеството здраве по време на битка / схватка?
- 4) Не.

8) Позволено ли е да се стреля по служители на LSPD и с какво е изпълнено?
- 4) Да, обикновена престрелка завършва с PC и за двете страни. Ако това е дело или акция, на полицията се дава PK, а на престъпниците - SK.

6) Каква е максималната сума за обир, който не изисква административни проверки?
- 1) $500

9) Какви езици могат да се използват на нашия сървър?
- 1) руски.

7) След дълга и внимателна подготовка убиецът изпълни поръчката - той уби. Планът беше изчислен до най-малкия детайл, в резултат на което клиентът плати щедро. Каква е жертвата в случая?
- 1) Убийство на персонаж.

9) Разрешена ли е кражба на държавни превозни средства?
- 2) Да, но първо трябва да попитате администратора, както и да действате в съответствие с параграф 9 от правилата на играта.

8) Кога можете да проявявате сексуално насилие и жестокост?
- 2) Сексуалното насилие и жестокостта могат да се играят само със съгласието на всички лица, участващи в RP.

10) Какво трябва да направите, ако смятате, че играта не върви по правилата?
- 1) Пишете на / докладвайте, ако администраторът отсъства - напишете оплакване във форума.

7) Колко игрални часа трябва да има един играч, за да бъде ограбен?
- 3) 8 часа.

8) Посочете правилното използване на командата /coin. След:
- спрях да дишам и ударих топката, опитвайки се да я хвърля в дупката.

8) Посочете правилното използване на командата /me:
- /аз се усмихнах широко, гледайки право в очите на Линда. Той се приближи, после нежно я прегърна.

ПРОДАЖБА НА ВИРТУАЛНА ВАЛУТА НА ТИХООКЕАНСКОТО БРЯГИЕ ПРОЕКТ И СЪРВЪРИТЕ ЗА РОЛЕВИ ИГРИ GRINCH.
ЦЯЛА ИНФО В ГРУПАТА!
vk.com/virtongarant