Команда GPResult: диагностика на получените групови правила. Дайте подробно описание на политиката на сървъра относно

Когато инсталирате Windows, повечето от несъществените подсистеми не се активират или инсталират. Това се прави от съображения за сигурност. Тъй като системата е защитена по подразбиране, системните администратори могат да се съсредоточат върху проектирането на система, която прави това, което прави, и нищо повече. За да ви помогне да активирате функциите, които искате, Windows ви подканва да изберете сървърна роля.

Роли

Сървърната роля е набор от програми, които, когато са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява специфична функция за множество потребители или други компютри в мрежа. Като цяло всички роли имат следните характеристики.

  • Те определят основната функция, цел или цел на използването на компютър. Можете да определите компютър да играе една роля, която се използва силно в предприятието, или да играе множество роли, като всяка роля се използва само от време на време.
  • Ролите дават на потребителите в цялата организация достъп до ресурси, които се управляват от други компютри, като уебсайтове, принтери или файлове, съхранявани на различни компютри.
  • Те обикновено имат свои собствени бази данни, които подреждат потребителски или компютърни заявки или записват информация за мрежови потребители и компютри, свързани с роля. Например домейн услугите на Active Directory съдържат база данни за съхраняване на имената и йерархичните връзки на всички компютри в мрежата.
  • След правилна инсталацияи настройките на ролята функционират автоматично. Това позволява на компютрите, на които са инсталирани, да изпълняват възложени задачи с ограничено потребителско взаимодействие.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалността на дадена роля. Когато инсталирате роля, можете да изберете кои услуги предоставя на други потребители и компютри в предприятието. Някои роли, като DNS сървъра, изпълняват само една функция, така че за тях няма ролеви услуги. Други роли, като услугите за отдалечен работен плот, имат няколко услуги, които можете да инсталирате въз основа на нуждите на вашето предприятие от отдалечен достъп. Една роля може да се разглежда като съвкупност от тясно свързани, допълващи се ролеви услуги. В повечето случаи инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Компоненти

Компонентите са програми, които не са директно част от роли, но поддържат или разширяват функционалността на една или повече роли или на целия сървър, независимо кои роли са инсталирани. Например, Failover Cluster Tool разширява други роли, като файлови услуги и DHCP сървър, като им позволява да се присъединят към сървърни клъстери, което осигурява увеличено резервиране и производителност. Другият компонент, Telnet Client, позволява отдалечена комуникация със сървъра Telnet през мрежова връзка. Тази функция подобрява възможностите за комуникация на сървъра.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни роли:

  • Сертификатни услуги на Active Directory;
  • Домейн услуги на Active Directory;
  • DHCP сървър
  • DNS сървър;
  • файлови услуги (включително мениджър на ресурси на файлов сървър);
  • Active Directory леки справочни услуги;
  • Hyper-V
  • услуги за печат и документи;
  • услуги за стрийминг на медия;
  • уеб сървър (включително подмножество на ASP.NET);
  • сървър актуализации на windowsсървър;
  • Сървър за управление на права на Active Directory;
  • Сървър за маршрутизиране и отдалечен достъп и следните подчинени роли:
    • Брокер за връзка с отдалечен работен плот;
    • лицензиране;
    • виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните функции на сървъра:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • Фонова интелигентна трансферна услуга (BITS);
  • BitLocker Drive Encryption;
  • BitLocker Network Unlock;
  • BranchCache
  • мост за център за данни;
  • Подобрено съхранение;
  • отказоустойчив клъстеринг;
  • Многопътен I/O;
  • балансиране на натоварването на мрежата;
  • PNRP протокол;
  • qWave;
  • дистанционна диференциална компресия;
  • прости TCP/IP услуги;
  • RPC през HTTP прокси;
  • SMTP сървър;
  • SNMP услуга;
  • Telnet клиент;
  • telnet сървър;
  • TFTP клиент;
  • вътрешна база данни на Windows;
  • Windows PowerShell Web Access;
  • Услуга за активиране на Windows;
  • стандартизирано управление на съхранението на Windows;
  • IIS WinRM разширение;
  • WINS сървър;
  • Поддръжка на WoW64.

Инсталиране на сървърни роли с помощта на Server Manager

За да добавите, отворете Server Manager и в менюто Manage щракнете върху Add Roles and features:

Отваря се съветникът за добавяне на роли и функции. Щракнете Напред

Тип инсталация, изберете инсталация, базирана на роли или функция. Следващия:

Избор на сървър - изберете нашия сървър. Щракнете върху Следващи сървърни роли - Изберете роли, ако е необходимо, изберете ролеви услуги и щракнете върху Напред, за да изберете компоненти. По време на тази процедура съветникът за добавяне на роли и функции автоматично ви информира за конфликти на целевия сървър, които могат да попречат на инсталирането или нормалната работа на избраните роли или функции. Също така ще бъдете подканени да добавите ролите, ролевите услуги и функциите, изисквани от избраните роли или функции.

Инсталиране на роли с PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списъка с налични и инсталирани роли и функции на локалния сървър. Резултатът от тази кратка команда съдържа имената на командите за ролите и функциите, които са инсталирани и достъпни за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да видите синтаксиса и валидните параметри за кратката команда Install-WindowsFeature (MAN).

Въведете следната команда (-Restart ще рестартира сървъра, ако инсталацията на ролята изисква рестартиране).

Install-WindowsFeature – Име -Рестартирам

Описание на роли и ролеви услуги

Всички роли и ролеви услуги са описани по-долу. Нека да разгледаме разширените настройки за най-често срещаната роля на уеб сървър и услуги за отдалечен работен плот в нашата практика.

Подробно описание на IIS

  • Общи HTTP функции - основни HTTP компоненти
    • Документ по подразбиране - позволява ви да зададете индексната страница за сайта.
    • Преглед на директория - Позволява на потребителите да преглеждат съдържанието на директория на уеб сървър. Използвайте сърфиране в директория, за да генерирате автоматично списък с всички директории и файлове в директория, когато потребителите не посочат файл в URL адреса и индексната страница е деактивирана или не е конфигурирана
    • HTTP грешки - позволява ви да персонализирате съобщенията за грешки, връщани на клиентите в браузъра.
    • Статично съдържание - позволява ви да публикувате статично съдържание, като изображения или html файлове.
    • HTTP пренасочване - Осигурява поддръжка за пренасочване на потребителски заявки.
    • WebDAV Publishing ви позволява да публикувате файлове от уеб сървър, използвайки HTTP протокола.
  • Здравни и диагностични функции - Диагностични компоненти
    • HTTP Logging осигурява регистриране на дейността на уебсайта за даден сървър.
    • Персонализираното регистриране осигурява поддръжка за създаване на персонализирани журнали, които са различни от "традиционните" журнали.
    • Logging Tools предоставя рамка за управление на регистрационните файлове на уеб сървъра и автоматизиране на общи задачи за регистриране.
    • ODBC Logging предоставя рамка, която поддържа регистриране на активността на уеб сървъра в ODBC-съвместима база данни.
    • Мониторът на заявки предоставя рамка за наблюдение на състоянието на уеб приложенията чрез събиране на информация за HTTP заявки в работен процес на IIS.
    • Проследяването предоставя рамка за диагностика и отстраняване на неизправности в уеб приложения. С помощта на проследяване на неуспешни заявки можете да проследявате трудни за намиране събития, като лоша производителност или грешки при удостоверяване.
  • Компоненти за производителност за увеличаване на производителността на уеб сървъра.
    • Статичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на статично съдържание
    • Динамичното компресиране на съдържание предоставя рамка за конфигуриране на HTTP компресиране на динамично съдържание.
  • Компоненти за сигурност
    • Филтрирането на заявки ви позволява да уловите всички входящи заявки и да ги филтрирате въз основа на правила, зададени от администратора.
    • Основното удостоверяване ви позволява да зададете допълнително разрешение
    • Централизираната поддръжка на SSL сертификат е функция, която ви позволява да съхранявате сертификати на централно място, като споделяне на файлове.
    • Удостоверяването на картографиране на клиентски сертификат използва клиентски сертификати за удостоверяване на потребителите.
    • Digest Authentication работи чрез изпращане на хеш парола към домейн контролер на Windows за удостоверяване на потребителите. Ако имате нужда от повече високо нивосигурност в сравнение с основното удостоверяване, обмислете използването на обобщено удостоверяване
    • IIS Client Certificate Mapping Authentication използва клиентски сертификати за удостоверяване на потребителите. Клиентският сертификат е цифров идентификатор, получен от доверен източник.
    • Ограниченията за IP и домейн ви позволяват да разрешите/откажете достъп въз основа на заявения IP адрес или име на домейн.
    • Упълномощаването на URL адрес ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
    • Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейн на Windows да се възползват от инфраструктурата на домейна за удостоверяване на потребителя.
  • Функции за разработка на приложения
  • FTP сървър
    • FTP услуга Позволява FTP публикуване на уеб сървър.
    • FTP Extensibility Позволява поддръжка за FTP функции, които разширяват функционалността на
  • Инструменти за управление
    • IIS Management Console инсталира IIS Manager, който ви позволява да управлявате уеб сървъра чрез GUI
    • Съвместимостта на управлението на IIS 6.0 осигурява съвместимост напред за приложения и скриптове, които използват Admin Base Object (ABO) и интерфейса на директорийната услуга (ADSI) Active Directory API. Това позволява съществуващите скриптове на IIS 6.0 да бъдат използвани от уеб сървъра на IIS 8.0
    • Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за програмно управление на уеб сървъра на IIS с помощта на команди в командна линияили чрез стартиране на скриптове.
    • Услугата за управление предоставя инфраструктурата за персонализиране на потребителския интерфейс, IIS Manager.

Подробно описание на RDS

  • Брокер за връзка с отдалечен работен плот - Осигурява повторно свързване на клиентско устройство към програми въз основа на сесии на десктоп и виртуален десктоп.
  • Шлюз за отдалечен работен плот - Позволява на оторизирани потребители да се свързват с виртуални настолни компютри, програми RemoteApp и базирани на сесия настолни компютри в корпоративна мрежа или през интернет.
  • Лицензиране на отдалечен работен плот - RDP инструмент за управление на лицензи
  • Хост на сесия на отдалечен работен плот - Включва сървър за хостване на програми на RemoteApp или базирана на десктоп сесия.
  • Хост за виртуализация на отдалечен работен плот - позволява ви да конфигурирате RDP на виртуални машини
  • Remote Desktop WebAccess - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или уеб браузър.

Помислете за инсталиране и конфигуриране на терминален лицензен сървър. Горното описва как да инсталирате роли, инсталирането на RDS не се различава от инсталирането на други роли, в Role Services трябва да изберем Remote Desktop Licensing и Remote Desktop Session Host. След инсталирането елементът Terminal Services ще се появи в Server Manager-Tools. Има два елемента в Terminal Services RD Licensing Diagnoser, това е инструмент за диагностициране на работата на лицензирането на отдалечен работен плот, и Remote Desktop Licensing Manager, това е инструмент за управление на лицензи.

Стартирайте RD Licensing Diagnoser

Тук можем да видим, че все още няма налични лицензи, тъй като режимът на лицензиране не е зададен за хост сървъра на RD Session. Сървърът за лицензи е посочен в правилата на локалната група. За да стартирате редактора, изпълнете командата gpedit.msc. Отваря се редакторът на локални групови правила. В дървото отляво разгънете разделите:

  • Компютърна конфигурация
  • Административни шаблони
  • Компоненти на Windows
  • Услуги за отдалечен работен плот
  • Хост на сесия на отдалечен работен плот
  • „Лицензиране“ (Лицензиране)

Отворете параметрите Използвайте посочените сървъри за лицензи за отдалечен работен плот

В прозореца за редактиране на настройките на правилата активирайте сървъра за лицензиране (Активирано). След това трябва да дефинирате сървър за лицензи за услуги за отдалечен работен плот. В моя пример сървърът за лицензи се намира на същия физически сървър. Посочете името на мрежата или IP адреса на лицензния сървър и щракнете върху OK. Ако името на сървъра, сървърът за лицензи ще се промени в бъдеще, ще трябва да го промените в същия раздел.

След това в RD Licensing Diagnoser можете да видите, че сървърът за терминални лицензи е конфигуриран, но не е активиран. За да активирате, стартирайте Remote Desktop Licensing Manager

Изберете сървъра за лицензиране със статус Неактивиран. За да активирате, щракнете с десния бутон върху него и изберете Активиране на сървъра. Ще се стартира съветникът за активиране на сървъра. В раздела Метод на свързване изберете Автоматично свързване. След това попълнете информацията за организацията, след което сървърът за лицензи се активира.

Сертификатни услуги на Active Directory

AD CS предоставя конфигурируеми услуги за издаване и управление на цифрови сертификати, които се използват в софтуерни системи за сигурност, които използват технологии с публичен ключ. Цифровите сертификати, предоставени от AD CS, могат да се използват за криптиране и цифрово подписване електронни документии съобщения. Тези цифрови сертификати могат да се използват за удостоверяване на акаунти на компютър, потребител и устройство в мрежата. Цифровите сертификати се използват за предоставяне на:

  • поверителност чрез криптиране;
  • почтеност чрез цифрови подписи;
  • удостоверяване чрез свързване на ключове на сертификати към акаунти на компютър, потребител и устройство в мрежата.

AD CS може да се използва за подобряване на сигурността чрез обвързване на самоличността на потребител, устройство или услуга със съответния частен ключ. Употребите, поддържани от AD CS, включват сигурни многофункционални стандартни разширения за интернет поща (S/MIME), защитени безжична мрежа, виртуални частни мрежи (VPN), IPsec протокол, Шифроваща файлова система (EFS), Влизане със смарт карта, Сигурност при трансфер на данни и Сигурност на транспортния слой (SSL/TLS) и цифрови подписи.

Домейн услуги на Active Directory

С помощта на ролята на сървъра на Active Directory Domain Services (AD DS) можете да създадете мащабируема, защитена и управляема инфраструктура за управление на потребители и ресурси; можете също така да предоставите приложения с активирана директория, като Microsoft Exchange Server. Домейн услугите на Active Directory предоставят разпределена база данни, която съхранява и управлява информация за мрежови ресурси и данни за приложения с активирана директория. Сървърът, който изпълнява AD DS, се нарича домейн контролер. Администраторите могат да използват AD DS, за да организират мрежови елементи като потребители, компютри и други устройства в йерархична вложена структура. Йерархичната вложена структура включва гората на Active Directory, домейните в гората и организационните единици във всеки домейн. Функциите за сигурност са интегрирани в AD DS под формата на удостоверяване и контрол на достъпа до ресурсите в директорията. С единично влизане администраторите могат да управляват информацията в директорията и организацията в мрежата. Оторизираните мрежови потребители могат също да използват мрежово единично влизане за достъп до ресурси, разположени навсякъде в мрежата. Домейн услугите на Active Directory предоставят следните допълнителни функции.

  • Набор от правила е схема, която дефинира класовете от обекти и атрибути, които се съдържат в дадена директория, ограниченията и ограниченията за екземплярите на тези обекти и формата на техните имена.
  • Глобален каталог, съдържащ информация за всеки обект в каталога. Потребителите и администраторите могат да използват глобалния каталог за търсене на каталожни данни, независимо кой домейн в каталога всъщност съдържа търсените данни.
  • Механизъм за заявка и индексиране, чрез който обектите и техните свойства могат да бъдат публикувани и локализирани потребители на мрежатаи приложения.
  • Услуга за репликация, която разпространява данни от директория в мрежа. Всички записваеми домейн контролери в домейна участват в репликацията и съдържат пълно копие на всички данни от директория за своя домейн. Всички промени в данните на директорията се репликират в домейна към всички домейн контролери.
  • Роли на ръководител на операции (известни също като гъвкави единични главни операции или FSMO). Домейн контролерите, които действат като господари на операциите, са проектирани да изпълняват специални задачи, за да осигурят последователност на данните и да избегнат противоречиви записи в директория.

Услуги за федерация на Active Directory

AD FS предоставя на крайни потребители, които се нуждаят от достъп до приложения в предприятие, защитено с AD FS, във федеративни партньорски организации или в облака с опростена и защитена федерация на идентичност и уеб услуги за единично влизане (SSO). Windows Server AD FS включва услуга за роли Федерална услуга, действаща като доставчик на идентичност (удостоверява потребителите да предоставят токени за сигурност на приложения, които се доверяват на AD FS) или като доставчик на федерация (прилага токени от други доставчици на идентичност и след това предоставя токени за сигурност на приложения, които се доверяват на AD FS).

Active Directory леки справочни услуги

Active Directory Lightweight Directory Services (AD LDS) е LDAP протокол, който осигурява гъвкава поддръжка за приложения на директория без зависимостите и специфичните за домейна ограничения на услугите за домейн на Active Directory. AD LDS може да се изпълнява на членски или самостоятелни сървъри. Можете да изпълнявате множество екземпляри на AD LDS с независимо управлявани схеми на един и същи сървър. С ролята на услугата AD LDS можете да предоставяте услуги за директория на приложения с активирана директория, без да използвате данни за домейн и горска услуга и без да изисквате една схема за цялата гора.

Услуги за управление на правата на Active Directory

Можете да използвате AD RMS, за да разширите стратегията за сигурност на вашата организация, като защитите документи с помощта на управление на правата за информация (IRM). AD RMS позволява на потребителите и администраторите да присвояват разрешения за достъп до документи, работни книги и презентации с помощта на IRM политики. Това ви позволява да защитите поверителната информация от отпечатване, препращане или копиране от неоторизирани потребители. След като разрешенията на файла са ограничени чрез IRM, ограниченията за достъп и използване се прилагат независимо от местоположението на информацията, тъй като разрешението за файла се съхранява в самия файл на документа. С AD RMS и IRM отделните потребители могат да прилагат свои собствени предпочитания по отношение на прехвърлянето на лична и поверителна информация. Те също така ще помогнат на организацията да наложи корпоративни политики за контрол на използването и разпространението на чувствителна и лична информация. Решенията за IRM, поддържани от AD RMS, се използват за предоставяне на следните възможности.

  • Постоянни политики за използване, които остават с информация, независимо дали е преместена, изпратена или препратена.
  • Допълнителен слой на поверителност за защита на чувствителни данни - като отчети, продуктови спецификации, информация за клиенти и имейл съобщения - от умишлено или случайно попадане в неподходящи ръце.
  • Предотвратете неоторизирано изпращане, копиране, редактиране, отпечатване, изпращане по факс или поставяне на ограничено съдържание от упълномощени получатели.
  • Предотвратете копирането на ограничено съдържание с помощта на функцията PRINT SCREEN в Microsoft Windows.
  • Поддръжка за изтичане на файла, предотвратяване на преглед на съдържанието на документа след определен период от време.
  • Прилагане на корпоративни политики, които управляват използването и разпространението на съдържание в рамките на организацията

Сървър за приложения

Сървърът на приложения предоставя интегрирана среда за внедряване и изпълнение на персонализирани бизнес приложения, базирани на сървър.

DHCP сървър

DHCP е технология клиент-сървър, която позволява на DHCP сървърите да присвояват или наемат IP адреси на компютри и други устройства, които са DHCP клиенти. Разполагането на DHCP сървъри в мрежа автоматично предоставя на клиентските компютри и други мрежови устройства базирани на IPv4 и IPv6 валидни IP адреси и допълнителни настройки за конфигурация, изисквани от тези клиенти и устройства.Услугата DHCP сървър в Windows Server включва поддръжка за присвоявания, базирани на политики, и DHCP отказ.

DNS сървър

DNS услугата е йерархична разпределена база данни, съдържаща съпоставяне на имената на DNS домейни към различни типове данни, като например IP адреси. DNS услугата ви позволява да използвате приятелски имена като www.microsoft.com, за да ви помогне да намерите компютри и други ресурси в мрежи, базирани на TCP/IP. DNS услугата на Windows Server предоставя допълнителна подобрена поддръжка за DNS модули за сигурност (DNSSEC), включително мрежова регистрация и автоматизирано управлениепараметри.

ФАКС сървър

Факс сървърът изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на вашия факс сървър.

Услуги за файлове и съхранение

Администраторите могат да използват ролята на File and Storage Services, за да настроят множество файлови сървъри и техните хранилища и да управляват тези сървъри с помощта на Server Manager или Windows PowerShell. Някои конкретни приложения включват следните функции.

  • работни папки. Използвайте, за да позволите на потребителите да съхраняват и имат достъп до работни файлове на персонални компютри и устройства, различни от корпоративни компютри. Потребителите получават удобно място за съхранение на работни файлове и достъп до тях отвсякъде. Организациите контролират корпоративните данни, като съхраняват файлове на централно управлявани файлови сървъри и по желание задават правила за потребителско устройство (като криптиране и пароли за заключване на екрана).
  • Дедупликация на данни. Използвайте, за да намалите изискванията за дисково пространство за съхранение на файлове, спестявайки пари за съхранение.
  • iSCSI целеви сървър. Използвайте за създаване на централизирани, независими от софтуера и устройството iSCSI дискови подсистеми в мрежи за съхранение (SAN).
  • Дискови пространства. Използвайте за внедряване на хранилище, което е високодостъпно, устойчиво и мащабируемо с рентабилни, стандартни за индустрията устройства.
  • Мениджър на сървъра. Използвайте за дистанционно управление на множество файлови сървъри от един прозорец.
  • Windows PowerShell. Използвайте за автоматизиране на управлението на повечето административни задачи на файлов сървър.

Hyper-V

Ролята Hyper-V ви позволява да създавате и управлявате виртуализирана изчислителна среда с помощта на технологията за виртуализация, вградена в Windows Server. Инсталирането на ролята на Hyper-V инсталира предпоставки и незадължителни инструменти за управление. Предпоставките включват Windows хипервизор, услуга за управление виртуални машини Hyper-V, доставчик на виртуализация на WMI и компоненти за виртуализация като VMbus, доставчик на услуги за виртуализация (VSP) и драйвер за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Услугите за мрежова политика и достъп предоставят следните решения за мрежова свързаност:

  • Защитата на мрежовия достъп е технология за създаване, налагане и коригиране на политики за изправност на клиента. Със защитата на достъпа до мрежата системните администратори могат да задават и автоматично да налагат политики за здраве, които включват изисквания за софтуер, актуализации на защитата и други настройки. За клиентски компютри, които не отговарят на политиката за изправност, можете да ограничите достъпа до мрежата, докато конфигурацията им не бъде актуализирана, за да отговаря на изискванията на политиката.
  • Ако са внедрени 802.1X-активирани безжични точки за достъп, можете да използвате Network Policy Server (NPS) за внедряване на базирани на сертификати методи за удостоверяване, които са по-сигурни от удостоверяването, базирано на парола. Разполагането на хардуер с активиран 802.1X с NPS сървър позволява на потребителите на интранет да бъдат удостоверени, преди да могат да се свържат към мрежата или да получат IP адрес от DHCP сървър.
  • Вместо да конфигурирате политика за мрежов достъп на всеки сървър за мрежов достъп, можете централно да създадете всички политики, които определят всички аспекти на заявките за мрежова връзка (кой може да се свързва, кога връзката е разрешена, нивото на защита, което трябва да се използва за свързване към мрежата) ).

Услуги за печат и документи

Услугите за печат и документи ви позволяват да централизирате задачите на сървъра за печат и мрежовия принтер. Тази роля също така ви позволява да получавате сканирани документи от мрежови скенери и да качвате документи в мрежови споделени файлове - към сайт на Windows SharePoint Services или по имейл.

отдалечен достъп

Ролята на сървъра за отдалечен достъп е логическо групиране на следните технологии за мрежов достъп.

  • Директен достъп
  • Маршрутизиране и отдалечен достъп
  • Прокси за уеб приложение

Тези технологии са ролеви услугироля на сървър за отдалечен достъп. Когато инсталирате ролята на сървър за отдалечен достъп, можете да инсталирате една или повече ролеви услуги, като стартирате съветника за добавяне на роли и функции.

В Windows Server ролята на Remote Access Server предоставя възможност за централно администриране, конфигуриране и наблюдение на DirectAccess и VPN с Routing and Remote Access Service (RRAS) услуги за отдалечен достъп. DirectAccess и RRAS могат да бъдат внедрени на един и същ Edge сървър и управлявани с помощта на команди на Windows PowerShell и конзола за управление на отдалечен достъп (MMC).

Услуги за отдалечен работен плот

Услугите за отдалечен работен плот ускоряват и разширяват внедряването на настолни компютри и приложения на всяко устройство, като правят отдалечения работник по-ефективен, като същевременно осигурява критична интелектуална собственост и опростява съответствието. Услугите за отдалечен работен плот включват инфраструктура за виртуален работен плот (VDI), настолни компютри, базирани на сесии, и приложения, които дават възможност на потребителите да работят отвсякъде.

Услуги за обемно активиране

Услуги за активиране корпоративни лицензие сървърна роля в Windows Server, започваща с Windows Server 2012, която автоматизира и опростява издаването и управлението на корпоративни лицензи за софтуер на Microsoft в различни сценарии и среди. Заедно с услугите за активиране на корпоративни лицензи можете да инсталирате и конфигурирате услугата за управление на ключове (KMS) и активиране на Active Directory.

Уеб сървър (IIS)

Ролята на уеб сървъра (IIS) в Windows Server предоставя платформа за хостване на уеб сайтове, услуги и приложения. Използването на уеб сървър осигурява достъп до информация на потребителите в Интернет, интранет и екстранет. Администраторите могат да използват ролята на уеб сървър (IIS), за да настроят и управляват множество уебсайтове, уеб приложения и FTP сайтове. Специалните функции включват следното.

  • Използвайте диспечера на Интернет информационни услуги (IIS), за да конфигурирате IIS компоненти и да администрирате уебсайтове.
  • Използване на FTP протокола, за да позволи на собствениците на уебсайтове да качват и изтеглят файлове.
  • Използване на изолация на уебсайт, за да се предотврати влиянието на един уебсайт на сървъра върху други.
  • Персонализиране на уеб приложения, разработени чрез различни технологии като Classic ASP, ASP.NET и PHP.
  • Използвайте Windows PowerShell за автоматично управление на повечето административни задачи на уеб сървъра.
  • Консолидирайте множество уеб сървъри в сървърна група, която може да се управлява с помощта на IIS.

Услуги за разполагане на Windows

Услугите за разполагане на Windows ви позволяват да внедрявате операционни системи Windows по мрежа, което означава, че не е необходимо да инсталирате всяка операционна система директно от CD или DVD.

Windows Server Essentials Experience

Тази роля ви позволява да изпълнявате следните задачи:

  • защита на сървърните и клиентските данни чрез архивиране на сървъра и всички клиентски компютри в мрежата;
  • управлявайте потребители и потребителски групи чрез опростено табло за управление на сървъра. В допълнение, интеграцията с Windows Azure Active Directory* предоставя на потребителите лесен достъп до онлайн онлайн услуги на Microsoft (като Office 365, Exchange Online и SharePoint Online), използвайки идентификационните данни на своя домейн;
  • съхранява фирмени данни на централизирано място;
  • интегрирайте сървъра с Microsoft Online Services (като Office 365, Exchange Online, SharePoint Online и Windows Intune):
  • използване на повсеместни функции за достъп на сървъра (като отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, мрежови компютри и данни от високо защитени отдалечени местоположения;
  • достъп до данни от всяко място и от всяко устройство, използвайки собствения уеб портал на организацията (чрез отдалечен уеб достъп);
  • управлявайте мобилните устройства, които имат достъп до имейла на вашата организация с Office 365 чрез протокола Active Sync от таблото за управление;
  • наблюдавайте изправността на мрежата и получавате персонализирани отчети за изправност; отчетите могат да се генерират при поискване, персонализирани и изпратени по имейл до конкретни получатели.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компонентите, от които администраторите се нуждаят, за да управляват и разпространяват актуализации чрез конзолата за управление. Освен това WSUS сървърът може да бъде източник на актуализации за други WSUS сървъри в организацията. Когато внедрявате WSUS, поне един WSUS сървър в мрежата трябва да бъде свързан към Microsoft Update, за да получава информация за наличните актуализации. В зависимост от сигурността и конфигурацията на мрежата, администраторът може да определи колко други сървъра са директно свързани към Microsoft Update.

Помощна програма GPResult.exe– е конзолно приложение, предназначено да анализира настройките и да диагностицира групови политики, които се прилагат към компютър и/или потребител в домейн на Active Directory. По-специално, GPResult ви позволява да получите данни от резултантния набор от политики (Resultant Set of Policy, RSOP), списък с приложени политики за домейни (GPO), техните настройки и подробна информация за грешките при тяхната обработка. Помощната програма е част от операционната система Windows от дните на Windows XP. Помощната програма GPResult ви позволява да отговорите на въпроси като дали определена политика се прилага за компютър, кой GPO е променил определена настройка на Windows и да разберете причините.

В тази статия ще разгледаме спецификата на използването на командата GPResult за диагностика и отстраняване на грешки в прилагането на групови политики в домейн на Active Directory.

Първоначално за диагностициране на прилагането на групови политики в Windows беше използвана графичната конзола RSOP.msc, която направи възможно получаването на настройките на получените политики (домейн + локални), приложени към компютъра и потребителя в графична форма, подобна на конзолата за редактор на GPO (по-долу, в примера на изгледа на конзолата RSOP.msc, можете да видите, че настройките за актуализиране са зададени).

Въпреки това, конзолата RSOP.msc в съвременните версии на Windows не е практична за използване, т.к не отразява настройките, приложени от различни разширения от страна на клиента (CSE), като GPP (Предпочитания за групови правила), не позволява търсене, предоставя малко диагностична информация. Следователно, на този моментименно командата GPResult е основният инструмент за диагностика на използването на GPO в Windows (в Windows 10 дори има предупреждение, че RSOP не дава пълен отчет, за разлика от GPResult).

Използване на помощната програма GPResult.exe

Командата GPResult се изпълнява на компютъра, на който искате да тествате прилагането на групови правила. Командата GPResult има следния синтаксис:

GPRESULT ]] [(/X | /H)<имя_файла> ]

За да получите подробна информация за груповите правила, които се прилагат към даден AD обект (потребител и компютър) и други настройки, свързани с GPO инфраструктурата (т.е. произтичащите GPO политики настройки - RsoP), изпълнете командата:

Резултатите от изпълнението на командата са разделени на 2 секции:

  • КОМПЮТЪР НАСТРОЙКИ (Компютърна конфигурация) – разделът съдържа информация за GPO обекти, които засягат компютъра (като обект на Active Directory);
  • ПОТРЕБИТЕЛ НАСТРОЙКИ – потребителски раздел на политики (политики, които се прилагат за потребителски акаунт в AD).

Нека прегледаме накратко основните параметри/секции, които могат да представляват интерес за нас в изхода на GPResult:

  • сайтИме(Site name:) - името на AD сайта, в който се намира компютърът;
  • CN– пълен каноничен потребител/компютър, за който са генерирани RSoP данните;
  • ПоследновремегрупаПолитикабешеприложено(Последно приложена групова политика) - времето, когато последно са приложени групови политики;
  • групаПолитикабешеприложеноот(Груповата политика е приложена от) - домейн контролерът, от който е заредена последната версия на GPO;
  • ДомейнИмеи домейнТип(Име на домейн, тип домейн) – име и версия на схемата на домейн на Active Directory;
  • ПриложеногрупаПолитикаОбекти(Приложени GPO)– списъци с активни обекти на групова политика;
  • TheследнотоGPOбяханеприложенозащототебяхафилтрираннавън(Следните GPO политики не бяха приложени, защото бяха филтрирани) - неприложени (филтрирани) GPO;
  • Theпотребител/компютъреачастнанаследнотосигурностгрупи(Потребителят/компютърът е член на следните групи за сигурност) – Групи домейни, на които потребителят е член.

В нашия пример можете да видите, че потребителският обект е засегнат от 4 групови правила.

  • Правила за домейни по подразбиране;
  • Активирайте защитната стена на Windows;
  • Списък за търсене на DNS суфикс

Ако не искате конзолата да показва информация както за потребителските политики, така и за компютърните политики едновременно, можете да използвате опцията /scope, за да покажете само секцията, която ви интересува. Само произтичащи потребителски правила:

gpresult /r /scope:user

или само приложени компютърни правила:

gpresult /r /scope:компютър

защото Помощната програма Gpresult извежда своите данни директно в конзолата на командния ред, което не винаги е удобно за последващ анализ; нейният изход може да бъде пренасочен към клипборда:

gpresult /r |клип

или текстов файл:

gpresult /r > c:\gpresult.txt

За да покажете супер подробна RSOP информация, добавете ключа /z.

HTML RSOP отчет с помощта на GPResult

В допълнение, помощната програма GPResult може да генерира HTML отчет за приложените правила за резултати (достъпни в Windows 7 и по-нови). Този отчет ще съдържа подробна информация за всички системни настройки, които са зададени от групови правила и имената на конкретни GPO, които ги задават (резултантният отчет за структурата наподобява раздела Настройки в конзолата за управление на групови правила на домейна - GPMC). Можете да генерирате HTML GPResult отчет с помощта на командата:

GPResult /h c:\gp-report\report.html /f

За да генерирате отчет и автоматично да го отворите в браузър, изпълнете командата:

GPResult /h GPResult.html & GPResult.html

HTML отчетът gpresult съдържа доста полезна информация: Грешките в приложението на GPO, времето за обработка (в ms) и прилагането на специфични политики и CSE са видими (под Подробности за компютъра -> Състояние на компонента). Например на екранната снимка по-горе можете да видите, че политиката с настройките 24 пароли се помнят се прилага от Правилата за домейни по подразбиране (колона Winning GPO). Както можете да видите, такъв HTML отчет е много по-удобен за анализ на приложените политики, отколкото конзолата rsop.msc.

Получаване на GPResult данни от отдалечен компютър

GPResult може също да събира данни от отдалечен компютър, елиминирайки необходимостта администратор да влиза локално или RDP към отдалечен компютър. Командният формат за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

По същия начин можете да събирате данни както от потребителски правила, така и от компютърни правила от разстояние.

потребителското име няма RSOP данни

С активиран UAC, стартирането на GPResult без повишени привилегии показва само настройките за потребителския раздел на груповата политика. Ако трябва да покажете и двата раздела (ПОТРЕБИТЕЛСКИ НАСТРОЙКИ и НАСТРОЙКИ НА КОМПЮТЪРА) едновременно, командата трябва да се изпълни. Ако командният ред с повишени права е на система, различна от текущия потребител, помощната програма ще издаде предупреждение ИНФО: Theпотребител„домейн\потребител"правинеиматRSOPданни (Потребителят „domain\user“ няма RSOP данни). Това е така, защото GPResult се опитва да събере информация за потребителя, който го е изпълнил, но защото Този потребител не е влязъл в системата и няма налична RSOP информация за него. За да съберете RSOP информация за потребител с активна сесия, трябва да посочите неговия акаунт:

gpresult /r /потребител:tn\edward

Ако не знаете името на акаунта, който е влязъл на отдалечения компютър, можете да получите акаунта по следния начин:

qwinsta /СЪРВЪР:remotePC1

Също така проверете часа(ата) на клиента. Часът трябва да съвпада с часа на PDC (основен домейн контролер).

Следните GPO правила не бяха приложени, защото бяха филтрирани

Когато отстранявате неизправности в групови правила, трябва също да обърнете внимание на раздела: Следните GPO не бяха приложени, защото бяха филтрирани (Следните GPO правила не бяха приложени, защото бяха филтрирани). Този раздел показва списък с GPO, които по една или друга причина не се отнасят за този обект. Възможни опции, за които политиката може да не е приложима:


Можете също така да разберете дали политиката трябва да се приложи към конкретен AD обект в раздела Ефективни разрешения (Разширени -> Ефективен достъп).

Така че в тази статия прегледахме функциите за диагностициране на прилагането на групови правила с помощта на помощната програма GPResult и прегледахме типичните сценарии за нейното използване.

Функционалността в операционната система Windows Server се изчислява и се подобрява от версия на версия, има все повече роли и компоненти, така че в днешната статия ще се опитам да опиша накратко описание и цел на всяка роля в Windows Server 2016.

Преди да преминем към описанието на сървърните роли на Windows Server, нека разберем какво точно е " Роля на сървъра» на операционната система Windows Server.

Какво е "Сървърна роля" в Windows Server?

Роля на сървърае софтуерен пакет, който гарантира, че сървърът изпълнява определена функция и дадена функцияе основният. С други думи, " Роля на сървъра' е целта на сървъра, т.е. за какво е. За да може сървърът да изпълнява основната си функция, т.е. определена роля в Роля на сървъра» включва целия необходим софтуер за това ( програми, услуги).

Сървърът може да има една роля, ако се използва активно, или няколко, ако всяка от тях не натоварва силно сървъра и се използва рядко.

Сървърната роля може да включва множество ролеви услуги, които осигуряват функционалността на ролята. Например в сървърната роля " Уеб сървър (IIS)“ включва доста голям брой услуги, а ролята “ DNS сървър» не включва ролеви услуги, тъй като тази роля изпълнява само една функция.

Ролевите услуги могат да бъдат инсталирани всички заедно или поотделно, в зависимост от вашите нужди. По същество инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Windows Server също има " Компоненти» сървър.

Сървърни компоненти (функция)са софтуерни инструменти, които не са сървърна роля, но разширяват възможностите на една или повече роли или управляват една или повече роли.

Някои роли не могат да бъдат инсталирани, ако сървърът няма необходимите услуги или компоненти, които са необходими за функционирането на ролите. Следователно, по време на инсталирането на такива роли " Съветник за добавяне на роли и функции» автоматично ще ви подкани да инсталирате необходимите допълнителни ролеви услуги или компоненти.

Описание на сървърните роли на Windows Server 2016

Вероятно вече сте запознати с много от ролите, които са в Windows Server 2016, тъй като те съществуват от доста време, но както казах, с всяка нова версия на Windows Server се добавят нови роли, които може да не сте работили с, но бихме искали да знаем за какво служат, така че нека започнем да ги разглеждаме.

Забележка! Можете да прочетете за новите функции на операционната система Windows Server 2016 в материала " Инсталиране на Windows Server 2016 и преглед на новите функции » .

Тъй като много често инсталирането и администрирането на роли, услуги и компоненти става с помощта на Windows PowerShell, ще посоча за всяка роля и нейната услуга име, което може да се използва в PowerShell, съответно за нейната инсталация или за управление.

DHCP сървър

Тази роля ви позволява да конфигурирате централно динамични IP адреси и свързаните с тях настройки за компютри и устройства във вашата мрежа. Ролята на DHCP сървъра няма ролеви услуги.

Името на Windows PowerShell е DHCP.

DNS сървър

Тази роля е предназначена за разрешаване на имена в TCP/IP мрежи. Ролята на DNS сървъра осигурява и поддържа DNS. За да се опрости управлението на DNS сървър, той обикновено се инсталира на същия сървър като домейн услугите на Active Directory. Ролята на DNS сървъра няма ролеви услуги.

Името на ролята за PowerShell е DNS.

Hyper-V

С ролята на Hyper-V можете да създавате и управлявате виртуализирана среда. С други думи, това е инструмент за създаване и управление на виртуални машини.

Името на ролята за Windows PowerShell е Hyper-V.

Атестация за изправност на устройството

роля " » ви позволява да оцените изправността на устройството въз основа на измерени индикатори на параметри за сигурност, като индикатори за състоянието на защитено зареждане и Bitlocker на клиента.

За функционирането на тази роля са необходими много ролеви услуги и компоненти, например: няколко услуги от ролята " Уеб сървър (IIS)", компонент " ", компонент " Функции на .NET Framework 4.6».

По време на инсталацията всички необходими ролеви услуги и функции ще бъдат избрани автоматично. Ролята " Атестация за изправност на устройството» Няма ролеви услуги.

Името на PowerShell е DeviceHealthAttestationService.

Уеб сървър (IIS)

Осигурява надеждна, управляема и мащабируема инфраструктура за уеб приложения. Състои се от доста голям брой услуги (43).

Името на Windows PowerShell е Web-Server.

Включва следните ролеви услуги ( в скоби ще посоча името на Windows PowerShell):

Уеб сървър (Web-WebServer)- Група ролеви услуги, която осигурява поддръжка за HTML уебсайтове, ASP.NET разширения, ASP и уеб сървъра. Състои се от следните услуги:

  • Сигурност (уеб сигурност)- набор от услуги за осигуряване на сигурността на уеб сървъра.
    • Филтриране на заявки (Web-Filtering) - с помощта на тези инструменти можете да обработвате всички заявки, идващи към сървъра, и да филтрирате тези заявки въз основа на специални правила, зададени от администратора на уеб сървъра;
    • Ограничения за IP адрес и домейн (Web-IP-Security) - тези инструменти ви позволяват да разрешите или откажете достъп до съдържание на уеб сървър въз основа на IP адреса или името на домейна на източника в заявката;
    • URL авторизация (Web-Url-Auth) - инструментите ви позволяват да проектирате правила за ограничаване на достъпа до уеб съдържание и да ги свързвате с потребители, групи или HTTP заглавни команди;
    • Разширено удостоверяване (Web-Digest-Auth) – Това удостоверяване осигурява по-високо ниво на сигурност от основното удостоверяване. Обобщеното удостоверяване за потребителско удостоверяване работи като предаване на хеш парола към домейн контролер на Windows;
    • Основно удостоверяване (Web-Basic-Auth) – Този метод за удостоверяване осигурява силна съвместимост с уеб браузър. Препоръчително е да се използва в малки вътрешни мрежи. Основният недостатък на този метод е, че паролите, предавани по мрежата, могат да бъдат доста лесно прихванати и декриптирани, така че използвайте този метод в комбинация със SSL;
    • Удостоверяването на Windows (Web-Windows-Auth) е удостоверяване, базирано на удостоверяване на домейн на Windows. С други думи, можете да използвате акаунти в Active Directory за удостоверяване на потребителите на вашите уеб сайтове;
    • Удостоверяване на картографиране на клиентски сертификат (Web-Client-Auth) – Този метод за удостоверяване използва клиентски сертификат. Този тип използва услугите на Active Directory за предоставяне на съпоставяне на сертификати;
    • Удостоверяване на съпоставяне на клиентски сертификат на IIS (Web-Cert-Auth) – Този метод също използва клиентски сертификати за удостоверяване, но използва IIS, за да предостави съпоставяне на сертификати. Този тип осигурява по-добра производителност;
    • Централизирана поддръжка на SSL сертификати (Web-CertProvider) - тези инструменти ви позволяват да управлявате централно SSL сървърни сертификати, което значително опростява процеса на управление на тези сертификати;
  • Обслужване и диагностика (Web-Health)– набор от услуги за наблюдение, управление и отстраняване на неизправности в уеб сървъри, сайтове и приложения:
    • http регистриране (Web-Http-Logging) - Инструментите осигуряват регистриране на дейността на уебсайта този сървър, т.е. запис в дневник;
    • ODBC регистриране (Web-ODBC-Logging) – Тези инструменти също осигуряват регистриране на дейността на уебсайта, но поддържат регистриране на тази дейност в ODBC-съвместима база данни;
    • Монитор на заявки (Web-Request-Monitor) е инструмент, който ви позволява да наблюдавате изправността на уеб приложение чрез прихващане на информация за HTTP заявки в работния процес на IIS;
    • Персонализирано регистриране (Web-Custom-Logging) – С помощта на тези инструменти можете да конфигурирате регистриране на дейността на уеб сървъра във формат, който се различава значително от стандартния IIS формат. С други думи, можете да създадете свой собствен модул за регистриране;
    • Инструментите за регистриране (Web-Log-Libraries) са инструменти за управление на регистрационните файлове на уеб сървъра и автоматизиране на задачите за регистриране;
    • Проследяването (Web-Http-Tracing) е инструмент за диагностика и разрешаване на нарушения в уеб приложения.
  • http Общи функции (Web-Common-Http)– набор от услуги, които предоставят основна HTTP функционалност:
    • Документ по подразбиране (Web-Default-Doc) - Тази функция ви позволява да конфигурирате уеб сървъра да връща документ по подразбиране, когато потребителите не посочат конкретен документ в URL адреса на заявката, което улеснява достъпа на потребителите до уебсайта, например чрез домейн, без посочване на файл;
    • Преглед на директории (Web-Dir-Browsing) - Този инструмент може да се използва за конфигуриране на уеб сървър, така че потребителите да могат да преглеждат списък с всички директории и файлове на уебсайт. Например, за случаите, когато потребителите не посочват файл в URL адреса на заявката и документите по подразбиране са или деактивирани, или не са конфигурирани;
    • HTTP грешки (Web-Http-Errors) – тази възможностви позволява да персонализирате съобщенията за грешка, които ще се връщат към уеб браузърите на потребителите, когато грешка бъде открита от уеб сървъра. Този инструмент се използва за по-лесно представяне на съобщения за грешки на потребителите;
    • Статично съдържание (Web-Static-Content) – този инструмент ви позволява да използвате съдържание на уеб сървър под формата на статични файлови формати, като HTML файлове или файлове с изображения;
    • http пренасочване (Web-Http-Redirect) - като използвате тази функция, можете да пренасочите потребителска заявка към конкретна дестинация, т.е. това е пренасочване;
    • WebDAV Публикуване (Web-DAV-Publishing) - позволява ви да използвате WebDAV технологията на IIS WEB сървъра. WebDAV ( Уеб разпределено създаване и създаване на версии) е технология, която позволява на потребителите да работят заедно ( четене, редактиране, четене на свойства, копиране, преместване) върху файлове на отдалечени уеб сървъри, използвайки HTTP протокола.
  • Производителност (уеб ефективност)- набор от услуги за постигане на по-висока производителност на уеб сървъра чрез кеширане на изхода и общи механизми за компресиране като Gzip и Deflate:
    • Статично компресиране на съдържание (Web-Stat-Compression) е инструмент за персонализиране на компресирането на http статично съдържание, което позволява по-ефективно използване на честотната лента, без ненужно натоварване на процесора;
    • Динамично компресиране на съдържание (Web-Dyn-Compression) е инструмент за конфигуриране на HTTP динамично компресиране на съдържание. Този инструмент осигурява по-ефективно използване честотна лента, но в този случай натоварването на процесора на сървъра, свързано с динамичната компресия, може да забави сайта, ако натоварването на процесора е високо дори без компресия.
  • Разработка на приложения (Web-App-Dev)- набор от услуги и инструменти за разработване и хостване на уеб приложения, с други думи технологии за разработка на уебсайтове:
    • ASP (Web-ASP) е среда за поддържане и разработване на уеб сайтове и уеб приложенияс помощта на ASP технология. В момента има по-нова и по-модерна технология за разработка на уеб сайтове - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи технологията ASP.NET;
    • ASP.NET 4.6 (Web-Asp-Net45) също е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи новата версия на ASP.NET;
    • CGI (Web-CGI) е способността да се използва CGI за предаване на информация от уеб сървър към външна програма. CGI е вид интерфейсен стандарт за свързване на външна програма към уеб сървър. Има недостатък, използването на CGI влияе върху производителността;
    • Включването от страна на сървъра (SSI) (Web-Includes) е поддръжка за SSI скриптовия език ( активиране от страна на сървъра), който се използва за динамично генериране на HTML страници;
    • Инициализация на приложения (Web-AppInit) – този инструмент изпълнява задачите по инициализиране на уеб приложения преди изпращане на уеб страница;
    • Протокол WebSocket (Web-WebSockets) - Добавя възможност за създаване на сървърни приложения, които комуникират чрез протокола WebSocket. WebSocket е протокол, който може да изпраща и получава данни едновременно между браузър и уеб сървър през TCP връзка, вид разширение на HTTP протокола;
    • ISAPI разширения (Web-ISAPI-Ext) - поддръжка за динамично развитие на уеб съдържание с помощта на интерфейса за програмиране на приложения ISAPI. ISAPI е API за IIS уеб сървъра. ISAPI приложенията са много по-бързи от ASP файлове или файлове, които извикват COM+ компоненти;
    • .NET 3.5 Extensibility (Web-Net-Ext) е функция за разширяване на .NET 3.5, която ви позволява да модифицирате, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
    • .NET 4.6 Extensibility (Web-Net-Ext45) е функция за разширяване на .NET 4.6, която също ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
    • ISAPI филтри (Web-ISAPI-Filter) - Добавете поддръжка за ISAPI филтри. ISAPI филтрите са програми, които се извикват, когато уеб сървър получи конкретна HTTP заявка, която да бъде обработена от този филтър.

FTP - сървър (Web-Ftp-Server)– услуги, които осигуряват поддръжка на FTP протокола. Говорихме по-подробно за FTP сървъра в материала - " Инсталиране и конфигуриране на FTP сървър на Windows Server 2016". Съдържа следните услуги:

  • FTP услуга (Web-Ftp-Service) - добавя поддръжка на FTP протокола на уеб сървъра;
  • Разширяемост на FTP (Web-Ftp-Ext) - Разширява стандартните FTP възможности, като добавяне на поддръжка за функции като персонализирани доставчици, потребители на ASP.NET или потребители на IIS мениджър.

Инструменти за управление (Web-Mgmt-Tools)- Това са инструментите за управление на уеб сървъра IIS 10. Те включват: потребителски интерфейс IIS, инструменти за команден ред и скриптове.

  • Конзолата за управление на IIS (Web-Mgmt-Console) е потребителският интерфейс за управление на IIS;
  • Набори от символи и инструменти за управление на IIS (Web-Scripting-Tools) са инструменти и скриптове за управление на IIS с помощта на командния ред или скриптове. Те могат да се използват например за автоматизиране на управлението;
  • Услуга за управление (Web-Mgmt-Service) - тази услуга добавя възможност за дистанционно управление на уеб сървър от друг компютър с помощта на IIS Manager;
  • Управление на съвместимостта на IIS 6 (Web-Mgmt-Compat) - Осигурява съвместимост за приложения и скриптове, които използват двата API на IIS. Съществуващите IIS 6 скриптове могат да се използват за управление на IIS 10 уеб сървъра:
    • IIS 6 Compatibility Metabase (Web-Metabase) е инструмент за съвместимост, който ви позволява да стартирате приложения и набори от знаци, които са мигрирани от по-ранни версии на IIS;
    • Инструменти за скриптове на IIS 6 (Web-Lgcy-Scripting) – Тези инструменти ви позволяват да използвате същите услуги за скриптове на IIS 6, които са създадени за управление на IIS 6 в IIS 10;
    • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) е инструмент за администриране на отдалечени IIS 6.0 сървъри;
    • IIS 6 WMI Compatibility (Web-WMI) са скриптови интерфейси на Windows Management Instrumentation (WMI) за програмно контролиране и автоматизиране на задачи на IIS 10.0 уеб сървър, използвайки набор от скриптове, създадени в WMI доставчик.

Домейн услуги на Active Directory

роля " Домейн услуги на Active Directory» (AD DS) предоставя разпределена база данни, която съхранява и обработва информация за мрежовите ресурси. Тази роля се използва за организиране на мрежови елементи като потребители, компютри и други устройства в йерархична структура. Йерархичната структура включва гори, домейни в една гора и организационни единици (OU) във всеки домейн. Сървърът, изпълняващ AD DS, се нарича домейн контролер.

Името на ролята за Windows PowerShell е AD-Domain-Services.

Режим Windows Server Essentials

Тази роля е компютърна инфраструктура и предоставя удобни и ефективни функции, например: съхраняване на клиентски данни на централизирано място и защита на тези данни чрез Резервно копиесървърни и клиентски компютри, отдалечен уеб достъп, който ви позволява достъп до данни от практически всяко устройство. Тази роля изисква няколко ролеви услуги и функции, например: BranchCache Features, Windows Server Backup, Group Policy Management, Role Service " Пространства от имена на DFS».

Името на PowerShell е ServerEssentialsRole.

Мрежов контролер

Въведена в Windows Server 2016, тази роля осигурява единна точка на автоматизация за управление, наблюдение и диагностика на физическата и виртуална мрежова инфраструктура в центъра за данни. Използвайки тази роля, можете да конфигурирате IP подмрежи, VLAN, физически мрежови адаптери на Hyper-V хостове от една точка, да управлявате виртуални комутатори, физически рутери, настройки на защитната стена и VPN шлюзове.

Името на Windows PowerShell е NetworkController.

Услуга пазител на възел

Това е сървърната роля на Hosted Guardian Service (HGS) и предоставя услуги за удостоверяване и защита на ключове, които позволяват на защитени хостове да изпълняват екранирани виртуални машини. За функционирането на тази роля са необходими няколко допълнителни роли и компоненти, например: домейн услуги на Active Directory, уеб сървър (IIS), " Failover Clustering" и други.

Името на PowerShell е HostGuardianServiceRole.

Active Directory леки справочни услуги

роля " Active Directory леки справочни услуги» (AD LDS) е олекотена версия на AD DS, която има по-малко функционалност, но не изисква разполагането на домейни или домейн контролери и няма зависимостите и ограниченията на домейни, изисквани от AD DS. AD LDS работи по протокола LDAP ( Лек протокол за достъп до директория). Можете да разположите множество екземпляри на AD LDS на един и същ сървър с независимо управлявани схеми.

Името на PowerShell е ADLDS.

MultiPoint услуги

Това също е нова роля, която е нова в Windows Server 2016. MultiPoint Services (MPS) предоставя основна функционалност за отдалечен работен плот, която позволява на множество потребители да работят едновременно и независимо на един и същ компютър. За да инсталирате и работите с тази роля, трябва да инсталирате няколко допълнителни услуги и компоненти, например: Print Server, Windows Search Service, XPS Viewer и други, всички от които ще бъдат автоматично избрани по време на инсталацията на MPS.

Името на ролята за PowerShell е MultiPointServerRole.

Услуги за актуализиране на Windows Server

С тази роля (WSUS) системните администратори могат да управляват актуализации на Microsoft. Например, създайте отделни групи компютри за различни набори от актуализации, както и получаване на отчети за съответствието на компютрите с изискванията и актуализациите, които трябва да бъдат инсталирани. За функциониране" Услуги за актуализиране на Windows Server» Имате нужда от ролеви услуги и компоненти като: уеб сървър (IIS), вътрешна база данни на Windows, услуга за активиране Windows процеси.

Името на Windows PowerShell е UpdateServices.

  • WID свързаност (UpdateServices-WidDB) - зададена на WID ( Вътрешна база данни на Windows) база данни, използвана от WSUS. С други думи, WSUS ще съхранява своите данни за услугата в WID;
  • WSUS услуги (UpdateServices-Services) са ролевите услуги на WSUS като услуга за актуализиране, уеб услуга за отчитане, уеб услуга за отдалечено API, уеб услуга за клиент, уеб услуга за просто удостоверяване, услуга за синхронизиране на сървър и уеб услуга за удостоверяване на DSS;
  • SQL Server Connectivity (UpdateServices-DB) е инсталация на компонент, който позволява на услугата WSUS да се свързва с база данни на Microsoft SQL Server. Тази опция осигурява съхранение на сервизни данни в база данни на Microsoft SQL Server. В този случай вече трябва да имате инсталиран поне един екземпляр на SQL Server.

Услуги за активиране на корпоративни лицензи

С тази сървърна роля можете да автоматизирате и опростите издаването на обемни лицензи за софтуер от Microsoft и също така ви позволява да управлявате тези лицензи.

Името на PowerShell е VolumeActivation.

Услуги за печат и документи

Тази сървърна роля е предназначена за споделяне на принтери и скенери в мрежа, за да централизирани настройкии управление на сървъри за печат и сканиране, както и управление на мрежови принтери и скенери. Услугите за печат и документи също ви позволяват да изпращате сканирани документи по имейл, до споделени мрежови файлове или до сайтове на Windows SharePoint Services.

Името на PowerShell е Print-Services.

  • Сървър за печат (сървър за печат) - Тази ролева услуга включва " Управление на печат”, който се използва за управление на принтери или сървъри за печат, както и за мигриране на принтери и други сървъри за печат;
  • Печат през интернет (Print-Internet) - За да се реализира печат през интернет, се създава уебсайт, който позволява на потребителите да управляват заданията за печат на сървъра. За да работи тази услуга, както разбирате, трябва да инсталирате " Уеб сървър (IIS)". Всички необходими компоненти ще бъдат избрани автоматично, когато поставите отметка в това квадратче по време на процеса на инсталиране на ролевата услуга " Интернет печат»;
  • Сървърът за разпределено сканиране (Print-Scan-Server) е услуга, която ви позволява да получавате сканирани документи от мрежови скенери и да ги изпращате до дестинация. Тази услуга също така съдържа " Управление на сканиране”, който се използва за управление на мрежови скенери и за конфигуриране на сканиране;
  • LPD Service (Print-LPD-Service) - LPD услуга ( Линеен принтер демон) позволява на UNIX-базирани компютри и други компютри, използващи услугата Line Printer Remote (LPR), да печатат на споделени принтери на сървъра.

Мрежова политика и услуги за достъп

роля " » (NPAS) позволява на сървъра за мрежова политика (NPS) да зададе и наложи достъп до мрежата, удостоверяване и оторизация и политики за изправност на клиента, с други думи, да защити мрежата.

Името на Windows PowerShell е NPAS.

Услуги за разполагане на Windows

С тази роля можете отдалечено да инсталирате операционната система Windows през мрежа.

Името на ролята за PowerShell е WDS.

  • Сървър за разполагане (WDS-Deployment) - тази ролева услуга е предназначена за отдалечено внедряване и конфигуриране на операционни системи Windows. Също така ви позволява да създавате и персонализирате изображения за повторна употреба;
  • Транспортен сървър (WDS-Transport) - Тази услуга съдържа основните мрежови компоненти, с които можете да прехвърляте данни чрез мултикастиране на самостоятелен сървър.

Сертификатни услуги на Active Directory

Тази роля е предназначена за създаване на сертифициращи органи и свързани ролеви услуги, които ви позволяват да издавате и управлявате сертификати за различни приложения.

Името на Windows PowerShell е AD-сертификат.

Включва следните ролеви услуги:

  • Сертифициращ орган (ADCS-Cert-Authority) - с помощта на тази ролева услуга можете да издавате сертификати на потребители, компютри и услуги, както и да управлявате валидността на сертификата;
  • Уеб услуга за правила за записване на сертификати (ADCS-Enroll-Web-Pol) – Тази услуга позволява на потребителите и компютрите да получат информация за правилата за записване на сертификати от уеб браузър, дори ако компютърът не е член на домейн. За функционирането му е необходимо Уеб сървър (IIS)»;
  • Уеб услуга за записване на сертификати (ADCS-Enroll-Web-Svc) - Тази услуга позволява на потребителите и компютрите да записват и подновяват сертификати с помощта на уеб браузър през HTTPS, дори ако компютърът не е член на домейн. Освен това трябва да функционира Уеб сървър (IIS)»;
  • Онлайн отговор (ADCS-Online-Cert) - Услугата е предназначена за проверка на анулиране на сертификат за клиенти. С други думи, той приема заявка за статус на анулиране за конкретни сертификати, оценява статуса на тези сертификати и изпраща обратно подписан отговор с информация за статуса. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
  • Услуга за уеб записване на сертифициращ орган (ADCS-Web-Enrollment) - Тази услуга предоставя уеб интерфейс за потребителите да изпълняват задачи като заявяване и подновяване на сертификати, получаване на CRL и записване на сертификати за смарт карти. За да функционира услугата, е необходимо Уеб сървър (IIS)»;
  • Услуга за регистриране на мрежови устройства (ADCS-Device-Enrollment)—с помощта на тази услуга можете да издавате и управлявате сертификати за рутери и други мрежови устройства, които нямат мрежови акаунти. За да функционира услугата, е необходимо Уеб сървър (IIS)».

Услуги за отдалечен работен плот

Сървърна роля, която може да се използва за предоставяне на достъп до виртуални настолни компютри, базирани на сесия настолни компютри и RemoteApps.

Името на ролята за Windows PowerShell е Remote-Desktop-Services.

Състои се от следните услуги:

  • Уеб достъп до отдалечен работен плот (RDS-Web-Access) - Тази ролева услуга позволява на потребителите достъп до отдалечени настолни компютри и приложения на RemoteApp чрез " Започнете» или чрез уеб браузър;
  • Лицензиране на отдалечен работен плот (RDS-Лицензиране) - Услугата е предназначена да управлява лицензите, които са необходими за свързване към хост сървър на сесия на отдалечен работен плот или виртуален работен плот. Може да се използва за инсталиране, издаване на лицензи и проследяване на тяхната наличност. Тази услуга изисква " Уеб сървър (IIS)»;
  • Брокер за връзка с отдалечен работен плот (RDS-Connection-Broker) е ролева услуга, която предоставя следните възможности: повторно свързване на потребител към съществуващ виртуален работен плот, приложение RemoteApp и базиран на сесия работен плот, както и балансиране на натоварването между настолни компютри на хост сървъри за отдалечени сесии или между обединени виртуални настолни компютри. Тази услуга изисква " »;
  • Хост за виртуализация на отдалечен работен плот (DS-Virtualization) - Услугата позволява на потребителите да се свързват с виртуални настолни компютри с помощта на RemoteApp и Desktop Connection. Тази услуга работи във връзка с Hyper-V, т.е. тази роля трябва да бъде инсталирана;
  • Хост на сесия на отдалечен работен плот (RDS-RD-сървър) - Тази услуга може да хоства приложения на RemoteApp и базирани на сесии десктопи на сървър. Достъпът е чрез клиента за връзка с отдалечен работен плот или RemoteApps;
  • Шлюз за отдалечен работен плот (RDS-шлюз) - Услугата позволява на оторизирани отдалечени потребители да се свързват с виртуални десктопи, RemoteApps и базирани на сесии десктопи в корпоративна мрежа или през Интернет. Тази услуга изисква следните допълнителни услуги и компоненти: Уеб сървър (IIS)», « Мрежова политика и услуги за достъп», « RPC през HTTP прокси».

AD RMS

Това е сървърна роля, която ще ви позволи да защитите информацията от неоторизирана употреба. Той валидира самоличността на потребителите и предоставя лицензи на оторизирани потребители за достъп до защитени данни. Тази роля изисква допълнителни услуги и компоненти: Уеб сървър (IIS)», « Услуга за активиране на процеси на Windows», « Функции на .NET Framework 4.6».

Името на Windows PowerShell е ADRMS.

  • Сървър за управление на правата на Active Directory (ADRMS-Server) - услугата за основна роля, необходима за инсталиране;
  • Поддръжката на обединяване на самоличността (ADRMS-Identity) е незадължителна ролева услуга, която позволява на обединените самоличности да консумират защитено съдържание с помощта на услугите за обединяване на Active Directory.

AD FS

Тази роля осигурява опростена и сигурна федерация на идентичност и функционалност за единично влизане (SSO) на уебсайтове, използващи браузър.

Името на PowerShell е ADFS-Federation.

Отдалечен достъп

Тази роля осигурява свързаност чрез DirectAccess, VPN и прокси за уеб приложения. Също и ролята Отдалечен достъп"осигурява традиционни възможности за маршрутизиране, включително преобразуване на мрежови адреси (NAT) и други опции за свързване. Тази роля изисква допълнителни услуги и функции: Уеб сървър (IIS)», « Вътрешна база данни на Windows».

Името на ролята за Windows PowerShell е RemoteAccess.

  • DirectAccess и VPN (RAS) (DirectAccess-VPN) - услугата позволява на потребителите да се свързват към корпоративната мрежа по всяко време с достъп до Интернет чрез DirectAccess, както и да организират VPN връзки в комбинация с технологии за тунелиране и криптиране на данни;
  • Маршрутизиране (Routing) - услугата осигурява поддръжка на NAT рутери, LAN рутери с BGP протоколи, RIP и рутери с мултикаст поддръжка (IGMP proxy);
  • Прокси за уеб приложение (Web-Application-Proxy) - Услугата ви позволява да публикувате приложения, базирани на HTTP и HTTPS протоколите от корпоративната мрежа към клиентски устройства, които са извън корпоративната мрежа.

Услуги за файлове и съхранение

Това е сървърна роля, която може да се използва за споделяне на файлове и папки, управление и контрол на споделяния, репликиране на файлове, предоставяне на бързо търсене на файлове и предоставяне на достъп до UNIX клиентски компютри. Разгледахме файловите услуги и по-специално файловия сървър по-подробно в материала " Инсталиране на файлов сървър на Windows Server 2016 ».

Името на Windows PowerShell е FileAndStorage-Services.

Услуги за съхранение- Тази услуга предоставя функционалност за управление на съхранението, която винаги е инсталирана и не може да бъде премахната.

Файлови услуги и iSCSI услуги (файлови услуги)са технологии, които опростяват управлението на файлови сървъри и хранилища, спестяват дисково пространство, осигуряват репликация и кеширане на файлове в клонове, а също така осигуряват споделяне на файлове чрез протокола NFS. Включва следните ролеви услуги:

  • Файлов сървър (FS-FileServer) - ролева услуга, която управлява споделени папки и предоставя на потребителите достъп до файловете на този компютър по мрежата;
  • Дедупликация на данни (FS-Data-Deduplication) – тази услуга спестява дисково пространство, като съхранява само едно копие на идентични данни на том;
  • Мениджър на ресурси на файлов сървър (FS-Resource-Manager) - с помощта на тази услуга можете да управлявате файлове и папки на файлов сървър, да създавате отчети за съхранение, да класифицирате файлове и папки, да конфигурирате квоти за папки и да дефинирате политики за блокиране на файлове;
  • iSCSI Target Storage Provider (VDS и VSS Hardware Providers) (iSCSITarget-VSS-VDS) - Услугата позволява на приложения на сървър, свързан към iSCSI цел, да се изпълняват скрито копиетомове на iSCSI виртуални дискове;
  • DFS пространства от имена (FS-DFS-Namespace) - с помощта на тази услуга можете да групирате споделени папки, хоствани на различни сървъри, в едно или повече логически структурирани пространства от имена;
  • Работни папки (FS-SyncShareService) - услугата ви позволява да използвате работни файлове на различни компютри, включително работни и лични. Можете да съхранявате вашите файлове в работни папки, да ги синхронизирате и да имате достъп до тях от вашата локална мрежа или интернет. За да функционира услугата, компонентът " IIS In-Process Web Core»;
  • DFS репликация (FS-DFS-репликация) е машина за репликация на данни с множество сървъри, която ви позволява да синхронизирате папки през LAN или WAN връзка. Тази технология използва протокола за дистанционно диференциално компресиране (RDC), за да актуализира само частта от файловете, които са се променили след последното репликиране. DFS репликацията може да се използва със или без DFS пространства от имена;
  • Сървър за NFS (FS-NFS-Service) - Услугата позволява на този компютър да споделя файлове с UNIX-базирани компютри и други компютри, които използват протокола Network File System (NFS);
  • iSCSI целеви сървър (FS-iSCSITarget-Server) - предоставя услуги и управление за iSCSI цели;
  • Услуга BranchCache за мрежови файлове (FS-BranchCache) – Услугата осигурява поддръжка на BranchCache на този файлов сървър;
  • Услуга на VSS агент на файловия сървър (FS-VSS-Agent) - Услугата позволява копиране на томове в сянка за приложения, които съхраняват файлове с данни на този файлов сървър.

факс сървър

Ролята изпраща и получава факсове и ви позволява да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на този компютър или в мрежата. Задължително за работа Сървър за печат».

Името на ролята за Windows PowerShell е Факс.

Това завършва прегледа на сървърните роли на Windows Server 2016, надявам се, че материалът е бил полезен за вас, засега!



Зареждане...
Връх