GPResult-Befehl: Diagnose der resultierenden Gruppenrichtlinien. Geben Sie eine detaillierte Beschreibung der Richtlinie des Servers bzgl

Wenn Sie Windows installieren, werden die meisten nicht wesentlichen Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, Systemadministratoren kann sich darauf konzentrieren, ein System zu entwerfen, das nur die ihm zugewiesenen Funktionen ausführt und nicht mehr. Damit Sie die gewünschten Funktionen aktivieren können, fordert Windows Sie auf, eine Serverrolle auszuwählen.

Rollen

Eine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Im Allgemeinen haben alle Rollen die folgenden Eigenschaften.

• Sie definieren die Hauptfunktion, den Zweck oder den Zweck der Verwendung eines Computers. Sie können einem Computer eine Rolle zuweisen, die im Unternehmen stark genutzt wird, oder mehrere Rollen übernehmen, wobei jede Rolle nur gelegentlich verwendet wird.
• Rollen geben Benutzern in der gesamten Organisation Zugriff auf Ressourcen, die von anderen Computern verwaltet werden, z. B. Websites, Drucker oder Dateien, die auf verschiedenen Computern gespeichert sind.
• Sie haben normalerweise ihre eigenen Datenbanken, die Benutzer- oder Computeranforderungen in eine Warteschlange stellen oder Informationen über Netzwerkbenutzer und Computer aufzeichnen, die einer Rolle zugeordnet sind. Beispielsweise enthält Active Directory Domain Services eine Datenbank zum Speichern der Namen und hierarchischen Beziehungen aller Computer in einem Netzwerk.
• Einmal richtig installiert und konfiguriert, funktionieren Rollen automatisch. Dadurch können die Computer, auf denen sie installiert sind, zugewiesene Aufgaben mit eingeschränkter Benutzerinteraktion ausführen.

Rollendienste

Rollendienste sind Programme, die die Funktionalität einer Rolle bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen zur Verfügung stellt. Einige Rollen, wie z. B. der DNS-Server, führen nur eine Funktion aus, sodass es für sie keine Rollendienste gibt. Andere Rollen, wie z. B. Remotedesktopdienste, verfügen über mehrere Dienste, die Sie basierend auf den Remotezugriffsanforderungen Ihres Unternehmens installieren können. Eine Rolle kann als Sammlung eng verwandter, komplementärer Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Komponenten

Komponenten sind Programme, die nicht direkt Teil von Rollen sind, aber die Funktionalität einer oder mehrerer Rollen oder des gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert das Failover-Cluster-Tool andere Rollen wie Dateidienste und DHCP-Server, indem es ihnen ermöglicht wird, Serverclustern beizutreten, was für mehr Redundanz und Leistung sorgt. Die andere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion erweitert die Kommunikationsoptionen für den Server.

Wenn Windows Server Im Server Core-Modus werden die folgenden Serverrollen unterstützt:

• Active Directory-Zertifikatsdienste;
• Active Directory-Domänendienste;
• DHCP-Server
• DNS Server;
• Dateidienste (einschließlich des Dateiserver-Ressourcenmanagers);
• Active Directory Lightweight-Verzeichnisdienste;
• Hyper-V
• Druck- und Dokumentendienste;
• Streaming-Mediendienste;
• Webserver (einschließlich einer Teilmenge von ASP.NET);
• Windows Server Update-Server;
• Active Directory-Rechteverwaltungsserver;
• Routing- und RAS-Server und die folgenden untergeordneten Rollen:
  • Remotedesktop-Verbindungsbroker;
  • Lizenzierung;
  • Virtualisierung.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverfeatures unterstützt:

• Microsoft.NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Intelligenter Hintergrundübertragungsdienst (BITS);
• BitLocker-Laufwerkverschlüsselung;
• BitLocker-Netzwerkentsperrung;
• BranchCache
• Rechenzentrumsbrücke;
• Erweiterter Speicher;
• Failover-Clustering;
• Multipath-E/A;
• Netzwerklastenausgleich;
• PNRP-Protokoll;
• qWelle;
• Remote-Differentialkomprimierung;
• einfache TCP/IP-Dienste;
• RPC über HTTP-Proxy;
• SMTP-Server;
• SNMP-Dienst;
• Telnet-Client;
• Telnet-Server;
• TFTP-Client;
• interne Basis Windows-Daten;
• Windows PowerShell-Webzugriff;
• Windows-Aktivierungsdienst;
• standardisierte Windows-Speicherverwaltung;
• IIS WinRM-Erweiterung;
• WINS-Server;
• WoW64-Unterstützung.

Installieren von Serverrollen mit dem Server-Manager

Öffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü Verwalten auf Rollen und Features hinzufügen:

Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Weiter klicken

Installationstyp, wählen Sie rollenbasierte oder funktionsbasierte Installation aus. Nächste:

Serverauswahl - Wählen Sie unseren Server aus. Klicken Sie auf Next Server Roles – Select roles (Rollen auswählen, falls erforderlich), wählen Sie Role Services aus und klicken Sie auf Next (Weiter), um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Features automatisch über Konflikte auf dem Zielserver, die die Installation oder den normalen Betrieb der ausgewählten Rollen oder Features verhindern können. Sie werden auch aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind.

Rollen mit PowerShell installieren

Windows PowerShell öffnen Geben Sie den Befehl Get-WindowsFeature ein, um die Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ausgabe dieses Cmdlets enthält die Befehlsnamen für die Rollen und Features, die installiert und für die Installation verfügbar sind.

Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax anzuzeigen und zulässige Parameter Install-WindowsFeature (MAN)-Cmdlet.

Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn die Rolleninstallation einen Neustart erfordert).

Install-WindowsFeature –Name -Restart

Beschreibung von Rollen und Rollendiensten

Nachfolgend werden alle Rollen und Rollendienste beschrieben. Sehen wir uns die erweiterten Einstellungen für die häufigsten in unserem an Web-Praxis Serverrolle und Remotedesktopdienste

Ausführliche Beschreibung von IIS

• Allgemeine HTTP-Funktionen - Grundlegende HTTP-Komponenten
  • Standarddokument – ​​ermöglicht Ihnen, die Indexseite für die Site festzulegen.
  • Verzeichnissuche – Ermöglicht Benutzern, den Inhalt eines Verzeichnisses auf einem Webserver anzuzeigen. Verwenden Sie die Verzeichnissuche, um automatisch eine Liste aller Verzeichnisse und Dateien in einem Verzeichnis zu erstellen, wenn Benutzer keine Datei in der URL angeben und die Indexseite deaktiviert oder nicht konfiguriert ist
  • HTTP-Fehler – ermöglicht Ihnen, die Fehlermeldungen anzupassen, die an Clients im Browser zurückgegeben werden.
  • Statischer Inhalt - ermöglicht Ihnen das Posten statischer Inhalte wie Bilder oder HTML-Dateien.
  • HTTP-Umleitung – Bietet Unterstützung für die Umleitung von Benutzeranforderungen.
  • Mit WebDAV Publishing können Sie Dateien von einem Webserver mithilfe des HTTP-Protokolls veröffentlichen.
• Zustands- und Diagnosefunktionen – Diagnosekomponenten
  • Die HTTP-Protokollierung ermöglicht die Protokollierung der Website-Aktivität für einen bestimmten Server.
  • Die benutzerdefinierte Protokollierung bietet Unterstützung für das Erstellen benutzerdefinierter Protokolle, die sich von „herkömmlichen“ Protokollen unterscheiden.
  • Protokollierungstools bieten ein Framework zum Verwalten von Webserverprotokollen und zum Automatisieren allgemeiner Protokollierungsaufgaben.
  • Die ODBC-Protokollierung stellt ein Framework bereit, das die Protokollierung von Webserveraktivitäten in einer ODBC-kompatiblen Datenbank unterstützt.
  • Request Monitor stellt ein Framework zum Überwachen des Zustands von Webanwendungen bereit, indem Informationen über HTTP-Anforderungen in einem IIS-Arbeitsprozess gesammelt werden.
  • Die Ablaufverfolgung stellt ein Framework für die Diagnose und Fehlerbehebung von Webanwendungen bereit. Durch die Verwendung der Ablaufverfolgung für fehlgeschlagene Anforderungen können Sie schwer zu findende Ereignisse wie schlechte Leistung oder Authentifizierungsfehler nachverfolgen.
• Leistungskomponenten zur Leistungssteigerung des Webservers.
  • Komprimierung statischer Inhalte bietet ein Framework zum Konfigurieren der HTTP-Komprimierung statischer Inhalte
  • Die dynamische Inhaltskomprimierung bietet ein Framework zum Konfigurieren der HTTP-Komprimierung dynamischer Inhalte.
• Sicherheitskomponenten
  • Mit der Anforderungsfilterung können Sie alle eingehenden Anforderungen erfassen und sie basierend auf vom Administrator festgelegten Regeln filtern.
  • Mit der Basisauthentifizierung können Sie zusätzliche Autorisierungen festlegen
  • Die Unterstützung zentralisierter SSL-Zertifikate ist eine Funktion, mit der Sie Zertifikate an einem zentralen Ort wie einer Dateifreigabe speichern können.
  • Die Clientzertiverwendet Clientzertifikate, um Benutzer zu authentifizieren.
  • Die Digest-Authentifizierung funktioniert, indem ein Kennwort-Hash an einen Windows-Domänencontroller gesendet wird, um Benutzer zu authentifizieren. Wenn Sie mehr brauchen hohes Niveau Sicherheit im Vergleich zur Standardauthentifizierung, ziehen Sie die Verwendung der Digest-Authentifizierung in Betracht
  • Die IIS-Clientzertiverwendet Clientzertifikate zum Authentifizieren von Benutzern. Das Client-Zertifikat ist eine digitale ID, die von einer vertrauenswürdigen Quelle bezogen wird.
  • IP- und Domänenbeschränkungen ermöglichen Ihnen, den Zugriff basierend auf der angeforderten IP-Adresse oder dem Domänennamen zuzulassen/zu verweigern.
  • Mit der URL-Autorisierung können Sie Regeln erstellen, die den Zugriff auf Webinhalte einschränken.
  • Windows-Authentifizierung Dieses Authentifizierungsschema ermöglicht es Windows-Domänenadministratoren, die Domäneninfrastruktur für die Benutzerauthentifizierung zu nutzen.
• Anwendungsentwicklungsfunktionen
• FTP-Server
  • FTP-Dienst Ermöglicht die FTP-Veröffentlichung auf einem Webserver.
  • FTP-Erweiterbarkeit Aktiviert die Unterstützung für FTP-Funktionen, die die Funktionalität von erweitern
• Management-Tools
  • Die IIS-Verwaltungskonsole installiert den IIS-Manager, mit dem Sie den Webserver über eine GUI verwalten können
  • IIS 6.0-Verwaltungskompatibilität bietet Aufwärtskompatibilität für Anwendungen und Skripts, die das Admin Base Object (ABO) und die Active Directory-API von Directory Service Interface (ADSI) verwenden. Dadurch können vorhandene IIS 6.0-Skripts vom IIS 8.0-Webserver verwendet werden
  • IIS-Verwaltungsskripts und -tools bieten die Infrastruktur zum programmgesteuerten Verwalten des IIS-Webservers mithilfe von Befehlen in der Befehlszeile oder durch Ausführen von Skripten.
  • Der Verwaltungsdienst stellt die Infrastruktur zum Anpassen der Benutzeroberfläche IIS-Manager bereit.

Detaillierte Beschreibung von RDS

• Remotedesktop-Verbindungsbroker – Stellt die Wiederverbindung von Clientgeräten mit Programmen basierend auf Desktop- und virtuellen Desktopsitzungen bereit.
• Remote Desktop Gateway – Ermöglicht autorisierten Benutzern, sich mit virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops in einem Unternehmensnetzwerk oder über das Internet zu verbinden.
• Remotedesktoplizenzierung – RDP-Lizenzverwaltungstool
• Remotedesktop-Sitzungshost – Enthält einen Server zum Hosten von RemoteApp-Programmen oder einer Desktop-basierten Sitzung.
• Remotedesktop-Virtualisierungshost – ermöglicht Ihnen die Konfiguration von RDP auf virtuellen Maschinen
• Remote Desktop WebAccess – Ermöglicht Benutzern das Herstellen einer Verbindung mit Desktop-Ressourcen über das Startmenü oder den Webbrowser.

Erwägen Sie die Installation und Konfiguration eines Terminallizenzservers. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir Remotedesktoplizenzierung und Remotedesktop-Sitzungshost auswählen. Nach der Installation erscheint das Terminaldienste-Element in Server Manager-Tools. Es gibt zwei Elemente in Terminal Services RD Licensing Diagnoser, dies ist ein Tool zur Diagnose des Betriebs der Remotedesktoplizenzierung, und Remotedesktoplizenzierungs-Manager, dies ist ein Lizenzverwaltungstool.

Führen Sie den RD-Lizenzierungsdiagnoser aus

Hier können wir sehen, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den RD-Sitzungshostserver nicht festgelegt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien festgelegt. Führen Sie zum Starten des Editors den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Erweitern Sie in der Baumstruktur auf der linken Seite die Registerkarten:

• Computerkonfiguration
• Administrative Vorlagen
• Windows-Komponenten
• Remotedesktopdienste
• Remotedesktop-Sitzungshost
• "Lizenzierung" (Lizenzierung)

Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver

Aktivieren Sie im Fenster zum Bearbeiten der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie einen Lizenzserver für Remotedesktopdienste definieren. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischer Server. Geben Sie den Netzwerknamen oder die IP-Adresse des Lizenzservers an und klicken Sie auf OK. Wenn sich der Servername des Lizenzservers in Zukunft ändert, müssen Sie ihn im selben Abschnitt ändern.

Danach können Sie im RD Licensing Diagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Führen Sie zum Aktivieren den Remote Desktop Licensing Manager aus

Wählen Sie den Lizenzserver mit dem Status Nicht aktiviert aus. Klicken Sie darauf, um es zu aktivieren. Rechtsklick Maus und wählen Sie Server aktivieren. Der Server-Aktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als nächstes die Informationen über die Organisation ein, danach wird der Lizenzserver aktiviert.

Active Directory-Zertifikatsdienste

AD CS bietet konfigurierbare Dienste zum Ausstellen und Verwalten digitaler Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die öffentliche Schlüsseltechnologien verwenden. Von AD CS bereitgestellte digitale Zertifikate können für die Verschlüsselung und digitale Signatur verwendet werden elektronische Dokumente und Nachrichten.Diese digitale Zertifikate können verwendet werden, um Computer-, Benutzer- und Gerätekonten in einem Netzwerk zu authentifizieren. Digitale Zertifikate werden verwendet, um Folgendes bereitzustellen:

• Privatsphäre durch Verschlüsselung;
• Integrität durch digitale Signaturen;
• Authentifizierung durch Verknüpfen von Zertifikatschlüsseln mit Computer-, Benutzer- und Gerätekonten im Netzwerk.

AD CS kann verwendet werden, um die Sicherheit zu verbessern, indem eine Benutzer-, Geräte- oder Dienstidentität mit der entsprechenden Identität verknüpft wird Privat Schlüssel. Zu den von AD CS unterstützten Anwendungen gehören sichere Mehrzweck-Internet-Mail-Standarderweiterungen (S/MIME), sichere drahtlose Netzwerke, virtuelle private Netzwerke (VPNs), IPsec-Protokoll, Encrypting File System (EFS), Smartcard-Anmeldung, Datenübertragungssicherheit und Transport Layer Security (SSL/TLS) und digitale Signaturen.

Active Directory-Domänendienste

Mit der Serverrolle Active Directory-Domänendienste (AD DS) können Sie eine skalierbare, sichere und verwaltbare Infrastruktur zum Verwalten von Benutzern und Ressourcen erstellen. Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server bereitstellen. Active Directory-Domänendienste stellen eine verteilte Datenbank bereit, in der Informationen über gespeichert werden Netzwerkressourcen und verzeichnisaktivierte Anwendungsdaten und verwalten diese Informationen. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen verschachtelten Struktur zu organisieren. Die hierarchische verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen in der Gesamtstruktur und die Organisationseinheiten in jeder Domäne. Sicherheitsfeatures sind in AD DS in Form von Authentifizierung und Zugriffssteuerung auf Ressourcen im Verzeichnis integriert. Mit Single Sign-On können Administratoren Verzeichnisinformationen und Organisation über das Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch die Netzwerk-Einzelanmeldung verwenden, um auf Ressourcen zuzugreifen, die sich irgendwo im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.

• Ein Regelsatz ist ein Schema, das die Klassen von Objekten und Attributen definiert, die in einem Verzeichnis enthalten sind, die Beschränkungen und Beschränkungen für Instanzen dieser Objekte und das Format ihrer Namen.
• Ein globaler Katalog, der Informationen zu jedem Objekt im Katalog enthält. Benutzer und Administratoren können den globalen Katalog verwenden, um nach Katalogdaten zu suchen, unabhängig davon, welche Domäne im Katalog die gesuchten Daten tatsächlich enthält.
• Ein Abfrage- und Indizierungsmechanismus, durch den Objekte und ihre Eigenschaften veröffentlicht und lokalisiert werden können Netzwerkbenutzer und Anwendungen.
• Ein Replikationsdienst, der Verzeichnisdaten über ein Netzwerk verteilt. Alle beschreibbaren Domänencontroller in der Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisdaten für ihre Domäne. Alle Änderungen an Verzeichnisdaten werden in der Domäne auf alle Domänencontroller repliziert.
• Betriebsmasterrollen (auch bekannt als Flexible Single Master Operations oder FSMOs). Domänencontroller, die als Master of Operations fungieren, sind darauf ausgelegt, spezielle Aufgaben auszuführen, um die Datenkonsistenz sicherzustellen und widersprüchliche Verzeichniseinträge zu vermeiden.

Active Directory-Verbunddienste

AD FS bietet Endbenutzern, die Zugriff auf Anwendungen in einem AD FS-gesicherten Unternehmen, in Verbundpartnerorganisationen oder in der Cloud benötigen, einen vereinfachten und sicheren Identitätsverbund und SSO-Webdienste (Single Sign-On).Windows Server AD FS umfasst a Rollendienst Verbunddienst, der als Identitätsanbieter fungiert (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen).

Active Directory Lightweight-Verzeichnisdienste

Active Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das Verzeichnisanwendungen ohne die Abhängigkeiten und domänenspezifischen Einschränkungen der Active Directory-Domänendienste flexibel unterstützt. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS mit unabhängig verwalteten Schemas auf demselben Server ausführen. Mit der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne Domänen- und Gesamtstrukturdienstdaten zu verwenden und ohne ein einziges gesamtstrukturweites Schema zu benötigen.

Active Directory-Rechteverwaltungsdienste

Sie können AD RMS verwenden, um die Sicherheitsstrategie Ihrer Organisation zu erweitern, indem Sie Dokumente mithilfe von Information Rights Management (IRM) sichern. AD RMS ermöglicht es Benutzern und Administratoren, mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuzuweisen. Dadurch können Sie sich schützen vertrauliche Informationen vor dem Ausdrucken, Weiterleiten oder Kopieren durch Unbefugte. Sobald die Berechtigungen einer Datei mithilfe von IRM eingeschränkt wurden, gelten Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen, da die Berechtigung der Datei in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen Präferenzen bezüglich der Übertragung persönlicher und vertraulicher Informationen anwenden. Sie helfen einer Organisation auch dabei, Unternehmensrichtlinien durchzusetzen, um die Verwendung und Verbreitung sensibler und persönlicher Informationen zu kontrollieren. Die von AD RMS unterstützten IRM-Lösungen werden verwendet, um die folgenden Funktionen bereitzustellen.

• Persistente Nutzungsrichtlinien, die Informationen enthalten, unabhängig davon, ob sie verschoben, gesendet oder weitergeleitet werden.
• Eine zusätzliche Datenschutzebene zum Schutz vertraulicher Daten – wie Berichte, Produktspezifikationen, Kundeninformationen und E-Mail-Nachrichten – davor, absichtlich oder versehentlich in die falschen Hände zu geraten.
• Verhindern Sie unbefugtes Senden, Kopieren, Bearbeiten, Drucken, Faxen oder Einfügen von eingeschränkten Inhalten durch autorisierte Empfänger.
• Verhindern des Kopierens eingeschränkter Inhalte mit der Funktion BILDSCHIRM DRUCKEN in Microsoft Windows.
• Unterstützung für den Ablauf von Dateien, wodurch verhindert wird, dass Dokumentinhalte nach einem bestimmten Zeitraum angezeigt werden.
• Implementieren Sie Unternehmensrichtlinien, die die Nutzung und Verteilung von Inhalten innerhalb der Organisation regeln

Anwendungsserver

Application Server bietet eine integrierte Umgebung zum Bereitstellen und Ausführen benutzerdefinierter serverbasierter Geschäftsanwendungen.

DHCP-Server

DHCP ist eine Client-Server-Technologie, die es DHCP-Servern ermöglicht, Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuzuweisen oder zu leasen.Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden Clientcomputern und anderen Netzwerkgeräten automatisch basierend auf IPv4 und IPv6 gültige IP-Adressen bereitgestellt und zusätzliche Konfigurationseinstellungen, die von diesen Clients und Geräten benötigt werden.Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Failover.

DNS Server

Der DNS-Dienst ist eine hierarchisch verteilte Datenbank, die Zuordnungen von DNS-Domänennamen zu verschiedenen Datentypen wie IP-Adressen enthält. Mit dem DNS-Dienst können Sie Anzeigenamen wie www.microsoft.com verwenden, um Computer und andere Ressourcen in TCP/IP-basierten Netzwerken zu finden. Der DNS-Dienst in Windows Server bietet weiter verbesserte Unterstützung für DNS-Sicherheitsmodule (DNSSEC), einschließlich Netzwerkregistrierung und automatisierter Einstellungsverwaltung.

FAX-Server

Der Faxserver sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf Ihrem Faxserver.

Datei- und Speicherdienste

Administratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und ihre Speicher einzurichten und diese Server mit dem Server-Manager oder Windows PowerShell zu verwalten. Einige spezifische Anwendungen umfassen die folgenden Merkmale.

• Arbeitsordner. Verwenden Sie diese Option, um Benutzern das Speichern und Zugreifen auf Arbeitsdateien zu ermöglichen persönliche Computer und andere Geräte als Firmen-PCs. Benutzer erhalten einen bequemen Ort, um Arbeitsdateien zu speichern und von überall darauf zuzugreifen. Organisationen kontrollieren Unternehmensdaten, indem sie Dateien auf zentral verwalteten Dateiservern speichern und optional Richtlinien für Benutzergeräte festlegen (z. B. Verschlüsselung und Kennwörter für die Bildschirmsperre).
• Datendeduplizierung. Wird verwendet, um den Speicherplatzbedarf zum Speichern von Dateien zu reduzieren und Geld für die Speicherung zu sparen.
• iSCSI-Zielserver. Wird verwendet, um zentralisierte, software- und geräteunabhängige iSCSI-Festplattensubsysteme in Storage Area Networks (SANs) zu erstellen.
• Speicherplatz. Zur Bereitstellung von hochverfügbarem, robustem und skalierbarem Speicher mit kostengünstigen Laufwerken nach Industriestandard.
• Server Administrator. Verwenden für Fernbedienung mehrere Dateiserver von einem Fenster aus.
• Windows PowerShell. Wird verwendet, um die Verwaltung der meisten Dateiserver-Verwaltungsaufgaben zu automatisieren.

Hyper-V

Mit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Beim Installieren der Hyper-V-Rolle werden Voraussetzungen und optionale Verwaltungstools installiert. Zu den erforderlichen Komponenten gehören der Windows-Hypervisor, der Virtualisierungsverwaltungsdienst, Hyper-V-Maschinen, WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualization Service Provider (VSP) und Virtual Infrastructure Driver (VID).

Netzwerkrichtlinie und Zugriffsdienste

Network Policy and Access Services bietet die folgenden Netzwerkkonnektivitätslösungen:

• Network Access Protection ist eine Technologie zum Erstellen, Durchsetzen und Korrigieren von Clientintegritätsrichtlinien. Mit Network Access Protection können Systemadministratoren Integritätsrichtlinien festlegen und automatisch durchsetzen, die Anforderungen für Software, Sicherheitsupdates und andere Einstellungen enthalten. Für Clientcomputer, die die Integritätsrichtlinie nicht einhalten, können Sie den Zugriff auf das Netzwerk einschränken, bis ihre Konfiguration aktualisiert wurde, um den Anforderungen der Richtlinie zu entsprechen.
• Wenn 802.1X-fähige drahtlose Zugriffspunkte bereitgestellt werden, können Sie den Netzwerkrichtlinienserver (NPS) verwenden, um zertifikatbasierte Authentifizierungsmethoden bereitzustellen, die sicherer sind als die kennwortbasierte Authentifizierung. Durch die Bereitstellung von 802.1X-fähiger Hardware mit einem NPS-Server können Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung mit dem Netzwerk herstellen oder eine IP-Adresse von einem DHCP-Server abrufen können.
• Anstatt eine Netzwerkzugriffsrichtlinie auf jedem Netzwerkzugriffsserver zu konfigurieren, können Sie alle Richtlinien zentral erstellen, die alle Aspekte von Netzwerkverbindungsanforderungen definieren (wer eine Verbindung herstellen kann, wann eine Verbindung zulässig ist, die Sicherheitsstufe, die zum Herstellen einer Verbindung mit dem Netzwerk verwendet werden muss ).

Druck- und Dokumentenservice

Mit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben hochladen – eine Windows SharePoint Services-Site oder Email.

Fernzugriff

Die Remote Access Server-Rolle ist eine logische Gruppierung der folgenden Technologien Netzwerkzugang.

• Direkter Zugang
• Routing und Fernzugriff
• Webanwendungsproxy

Diese Technologien sind Rollendienste RAS-Serverrolle. Wenn Sie die RAS-Serverrolle installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Features ausführen.

Unter Windows Server bietet die Remote Access Server-Rolle die Möglichkeit, DirectAccess und VPN mit RRAS-Remotezugriffsdiensten (Routing and Remote Access Service) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edgeserver bereitgestellt und mithilfe von Windows PowerShell-Befehlen und der Remote Access Management Console (MMC) verwaltet werden.

Remotedesktopdienste

Remote Desktop Services beschleunigt und erweitert die Bereitstellung von Desktops und Anwendungen auf jedem Gerät, macht den Remote-Mitarbeiter effizienter, schützt gleichzeitig wichtiges geistiges Eigentum und vereinfacht die Compliance. Remote Desktop Services umfassen Virtual Desktop Infrastructure (VDI), sitzungsbasierte Desktops und Anwendungen, die es Benutzern ermöglichen, von überall aus zu arbeiten.

Volumenaktivierungsdienste

Volume License Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung von Volumenlizenzen für automatisiert und vereinfacht Software Microsoft sowie die Verwaltung solcher Lizenzen in verschiedenen Szenarien und Umgebungen. Zusammen mit Volume License Activation Services können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren.

Webserver (IIS)

Die Rolle Webserver (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Die Verwendung eines Webservers bietet Benutzern Zugriff auf Informationen im Internet, Intranet und Extranet. Administratoren können die Rolle Webserver (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites einzurichten und zu verwalten. Zu den Besonderheiten gehören die folgenden.

• Verwenden Sie den Internet Information Services (IIS) Manager, um IIS-Komponenten zu konfigurieren und Websites zu verwalten.
• Verwenden des FTP-Protokolls, um Website-Eigentümern das Hoch- und Herunterladen von Dateien zu ermöglichen.
• Verwenden der Website-Isolierung, um zu verhindern, dass eine Website auf dem Server andere beeinträchtigt.
• Anpassung von Webanwendungen, die mit verschiedenen Technologien wie Classic ASP, ASP.NET und PHP entwickelt wurden.
• Verwenden Sie Windows PowerShell, um die meisten Verwaltungsaufgaben für Webserver automatisch zu verwalten.
• Konsolidieren Sie mehrere Webserver in einer Serverfarm, die mit IIS verwaltet werden kann.

Windows-Bereitstellungsdienste

Mit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen.

Windows Server Essentials-Erfahrung

Mit dieser Rolle können Sie die folgenden Aufgaben ausführen:

• Schützen Sie Server- und Client-Daten durch Erstellen Sicherungen Server und alle Client-Computer im Netzwerk;
• Verwalten Sie Benutzer und Benutzergruppen über ein vereinfachtes Server-Dashboard. Darüber hinaus bietet die Integration mit Windows Azure Active Directory* Benutzern einfachen Zugriff auf Online-Microsoft Online-Dienste (wie Office 365, Exchange Online und SharePoint Online) mit ihren Domänenanmeldeinformationen;
• Unternehmensdaten an einem zentralen Ort speichern;
• Integrieren Sie den Server in Microsoft Online Services (wie Office 365, Exchange Online, SharePoint Online und Windows Intune):
• Verwenden Sie Funktionen für den allgegenwärtigen Zugriff auf dem Server (z. B. Remote-Webzugriff und virtuelle private Netzwerke), um auf den Server, Computer im Netzwerk und Daten von entfernten Standorten aus zuzugreifen ein hohes Maß Sicherheit;
• Zugriff auf Daten von überall und von jedem Gerät über das eigene Webportal der Organisation (über Remote-Webzugriff);
• verwalten mobile Geräte Diejenigen, die mit Office 365 über das Active Sync-Protokoll über das Dashboard auf die E-Mails Ihrer Organisation zugreifen.
• den Netzwerkzustand überwachen und anpassbare Zustandsberichte erhalten; Berichte können bei Bedarf generiert, angepasst und per E-Mail an bestimmte Empfänger gesendet werden.

Windows Server-Update-Dienste

Der WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Quelle von Updates für andere WSUS-Server in der Organisation sein. Bei der Implementierung von WSUS muss mindestens ein WSUS-Server im Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von der Sicherheit und Konfiguration des Netzwerks kann ein Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind.

Einführung

Mit der Zunahme der Anzahl von Computern im Unternehmen wird die Frage nach den Kosten ihrer Verwaltung und Wartung immer akuter. Manuelle Einstellung Computer nimmt viel Zeit vom Personal in Anspruch und zwingt mit zunehmender Anzahl von Computern dazu, den Personalbestand ihres Personals zu erhöhen. Darüber hinaus wird es bei einer großen Anzahl von Maschinen immer schwieriger, die Einhaltung der vom Unternehmen angenommenen Standards zu überwachen. Die Gruppenrichtlinie (Gruppenrichtlinie) ist ein umfassendes Tool zur zentralisierten Verwaltung von Computern mit Windows 2000 und höher in einer Active Directory-Domäne. Gruppenrichtlinien werden nicht auf Computer angewendet, auf denen Windows NT4/9x ausgeführt wird: Sie werden von Systemrichtlinien gesteuert, die in diesem Artikel nicht behandelt werden.

GPOs

Alle Einstellungen, die Sie innerhalb von Gruppenrichtlinien erstellen, werden in Gruppenrichtlinienobjekten (GPOs) gespeichert. Es gibt zwei Arten von GPOs: lokale GPOs und Active Directory-GPOs. Das lokale Gruppenrichtlinienobjekt ist auf Computern mit Windows 2000 und höher verfügbar. Es kann nur eines geben, und es ist das einzige GPO, das sich auf einem Computer außerhalb der Domäne befinden kann.

Ein Gruppenrichtlinienobjekt ist ein generischer Name für eine Reihe von Dateien, Verzeichnissen und Einträgen in der Active Directory-Datenbank (sofern es sich nicht um ein lokales Objekt handelt), die Ihre Einstellungen speichern und bestimmen, welche anderen Einstellungen Sie mithilfe von Gruppenrichtlinien ändern können. Indem Sie eine Richtlinie erstellen, erstellen und ändern Sie tatsächlich ein Gruppenrichtlinienobjekt. Das lokale Gruppenrichtlinienobjekt wird in %SystemRoot%\System32\GroupPolicy gespeichert. Active Directory-GPOs werden auf einem Domänencontroller gespeichert und können einem Standort, einer Domäne oder einer OU (Organisationseinheit, Organisationseinheit oder Organisationseinheit) zugeordnet werden. Die Bindung eines Objekts definiert seinen Geltungsbereich. Standardmäßig werden zwei GPOs in einer Domäne erstellt: Standard-Domänenrichtlinie und Standard-Domänencontrollerrichtlinie. Die erste definiert die Standardrichtlinie für Kennwörter und Konten in der Domäne. Die zweite kommuniziert mit OU-Domänencontrollern und erhöht die Sicherheitseinstellungen für Domänencontroller.

Erstellen Sie ein Gruppenrichtlinienobjekt

Um eine Richtlinie zu erstellen (d. h. tatsächlich ein neues GPO zu erstellen), öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie aus, wo ein neues Objekt erstellt werden soll. Sie können ein Gruppenrichtlinienobjekt nur mit einem Standort, einer Domäne oder einem OU-Objekt erstellen und verknüpfen.

Reis. 1. Erstellen Sie ein GPO.

Um ein GPO zu erstellen und es beispielsweise mit OU-Testern zu verknüpfen, klicken Sie mit der rechten Maustaste auf diese OU und wählen Sie Eigenschaften aus dem Kontextmenü. Öffnen Sie im sich öffnenden Eigenschaftenfenster die Registerkarte Gruppenrichtlinie und klicken Sie auf Neu.

Reis. 2. Erstellen Sie ein GPO.

Wir geben dem GP-Objekt den Namen, danach wird das Objekt erstellt, und Sie können mit der Konfiguration der Richtlinie beginnen. Doppelklicken Sie auf das erstellte Objekt oder drücken Sie die Schaltfläche Bearbeiten, das GPO-Editor-Fenster wird geöffnet, in dem Sie bestimmte Parameter des Objekts konfigurieren können.

Reis. 3. Beschreibung der Einstellungen im Reiter Erweitert.

Die meisten Haupteinstellungen sind intuitiv (sie haben auch eine Beschreibung, wenn Sie die Registerkarte Erweitert öffnen), und wir werden nicht auf jede einzelne im Detail eingehen. Wie aus Abb. 3 besteht das Gruppenrichtlinienobjekt aus zwei Abschnitten: Computerkonfiguration und Benutzerkonfiguration. Die Einstellungen im ersten Abschnitt werden beim Windows-Start auf Computer in diesem Container und darunter angewendet (es sei denn, die Vererbung wird außer Kraft gesetzt) ​​und sind unabhängig davon, welcher Benutzer angemeldet ist. Die Einstellungen des zweiten Abschnitts werden während der Benutzeranmeldung angewendet.

Reihenfolge der Anwendung von GPOs

Wenn der Computer startet, finden die folgenden Aktionen statt:

1. Die Registrierung wird gelesen und festgestellt, zu welcher Site der Computer gehört. Es wird eine Anfrage gestellt DNS Server um die IP-Adressen von Domänencontrollern zu erhalten, die sich auf dieser Website befinden.
2. Nach Erhalt der Adressen verbindet sich der Computer mit dem Domänencontroller.
3. Der Client fordert eine Liste von GP-Objekten vom Domänencontroller an und wendet sie an. Letztere sendet eine Liste von GP-Objekten in der Reihenfolge, in der sie angewendet werden sollen.
4. Wenn sich der Benutzer anmeldet, fordert der Computer erneut eine Liste von GP-Objekten an, die auf den Benutzer anzuwenden sind, ruft sie ab und wendet sie an.

Gruppenrichtlinien werden angewendet, wenn das OC startet und wenn sich der Benutzer anmeldet. Sie werden dann alle 90 Minuten angewendet, mit einer Abweichung von 30 Minuten, um eine Überlastung des Domänencontrollers zu vermeiden, wenn eine große Anzahl von Clients gleichzeitig anfordert. Für Domänencontroller beträgt das Aktualisierungsintervall 5 Minuten. Sie können dieses Verhalten unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie ändern. Ein GPO kann nur auf die Computer- und Benutzerobjekte wirken. Die Richtlinie gilt nur für Objekte, die sich in dem Verzeichnisobjekt (Standort, Domäne, Organisationseinheit) befinden, dem das GPO zugeordnet ist, und weiter unten in der Struktur (es sei denn, die Vererbung ist deaktiviert). Beispiel: Ein GPO wird in OU-Testern erstellt (wie wir es oben getan haben).

Reis. 4. Vererbung von Einstellungen.

Alle in diesem Gruppenrichtlinienobjekt vorgenommenen Einstellungen wirken sich nur auf Benutzer und Computer aus, die sich in OU-Testern und OU-InTestern befinden. Sehen wir uns anhand eines Beispiels an, wie Richtlinien angewendet werden. Der Benutzertest, der sich in den OU-Testern befindet, meldet sich bei dem Computer comp an, der sich in der OU compOU befindet (siehe Abbildung 5).

Reis. 5. Reihenfolge der Anwendung von Richtlinien.

Es gibt vier GPOs in der Domäne:

1. SitePolicy, die dem Site-Container zugeordnet ist;
2. Standarddomänenrichtlinie, die dem Domänencontainer zugeordnet ist;
3. Richtlinie1, die OU-Testern zugeordnet ist;
4. Richtlinie2, die der OU compOU zugeordnet ist.

Beim Booten von Windows auf einer Comp-Workstation werden die in den Abschnitten Computerkonfiguration definierten Einstellungen in dieser Reihenfolge angewendet:

1. Lokale GPO-Einstellungen;
2. GPO SitePolicy-Einstellungen;

4. GPO Policy2-Einstellungen.

Wenn sich der Testbenutzer am Comp-Computer anmeldet, sind die in den Abschnitten Benutzerkonfiguration definierten Parameter:

1. Lokale GPO-Einstellungen;
2. GPO SitePolicy-Einstellungen;
3. Einstellungen der GPO-Standarddomänenrichtlinie;
4. GPO-Richtlinie1-Einstellungen.

Das heißt, die GPOs werden in dieser Reihenfolge angewendet: lokale Richtlinien, Richtlinien auf Standortebene, Richtlinien auf Domänenebene, Richtlinien auf OU-Ebene.

Gruppenrichtlinien werden asynchron auf Windows XP-Clients und synchron auf Windows 2000-Clients angewendet, was bedeutet, dass der Benutzeranmeldebildschirm erst angezeigt wird, nachdem alle Computerrichtlinien angewendet wurden, und Benutzerrichtlinien angewendet werden, bevor der Desktop angezeigt wird. Asynchrone Richtliniendurchsetzung bedeutet, dass der Anmeldebildschirm des Benutzers angezeigt wird, bevor alle Richtlinien des Computers angewendet wurden, und der Desktop angezeigt wird, bevor alle Richtlinien des Benutzers angewendet wurden, was zu einem schnelleren Laden und Anmelden des Benutzers führt.
Das oben beschriebene Verhalten ändert sich in zwei Fällen. Zuerst hat der Clientcomputer eine langsame Netzwerkverbindung erkannt. Standardmäßig werden in diesem Fall nur Sicherheitseinstellungen und administrative Vorlagen angewendet. Eine Verbindung mit einer Bandbreite von weniger als 500 Kb/s gilt als langsam. Sie können diesen Wert unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie\Erkennung langsamer Verbindungen in Gruppenrichtlinie ändern. Außerdem können Sie im Abschnitt Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie einige andere Richtlinieneinstellungen so konfigurieren, dass sie auch über eine langsame Verbindung verarbeitet werden. Die zweite Möglichkeit, die Reihenfolge zu ändern, in der Richtlinien angewendet werden, ist die Loopback-Verarbeitungsoption für Benutzergruppenrichtlinien. Diese Option ändert die Reihenfolge, in der Standardrichtlinien angewendet werden, wobei Benutzerrichtlinien nach Computerrichtlinien angewendet werden und letztere außer Kraft setzen. Sie können die Loopback-Option so einstellen, dass Computerrichtlinien nach Benutzerrichtlinien angewendet werden und alle Benutzerrichtlinien überschrieben werden, die mit Computerrichtlinien in Konflikt stehen. Der Loopback-Parameter hat 2 Modi:

1. Zusammenführen (zum Verbinden) – zuerst wird die Computerrichtlinie angewendet, dann Benutzer und wieder Computer. In diesem Fall ersetzt die Computerrichtlinie die Einstellungen der Benutzerrichtlinie, die ihr widersprechen, durch ihre eigenen.
2. Ersetzen (Ersetzen) - Die Benutzerrichtlinie wird nicht verarbeitet.

Zur Veranschaulichung der Verwendung der Loopback-Verarbeitungseinstellung der Benutzergruppenrichtlinie, beispielsweise auf einem öffentlichen Computer, auf dem Sie dieselben eingeschränkten Einstellungen haben müssen, unabhängig davon, welcher Benutzer sie verwendet.

Vorrang, Vererbung und Konfliktlösung

Wie Sie bereits bemerkt haben, enthalten GPOs auf allen Ebenen dieselben Einstellungen, und dieselbe Einstellung kann auf mehreren Ebenen unterschiedlich definiert werden. In diesem Fall ist der zuletzt angewendete Wert der effektive Wert (die Reihenfolge, in der GPOs angewendet werden, wurde oben besprochen). Diese Regel gilt für alle Einstellungen außer denen, die als nicht konfiguriert definiert sind. Für diese Einstellungen ergreift Windows keine Maßnahmen. Es gibt jedoch eine Ausnahme: Alle Konto- und Kennworteinstellungen können nur auf Domänenebene definiert werden, auf anderen Ebenen werden diese Einstellungen ignoriert.

Reis. 6. Active Directory-Benutzer und -Computer.

Wenn mehrere Gruppenrichtlinienobjekte auf derselben Ebene vorhanden sind, werden sie von unten nach oben angewendet. Durch Ändern der Position des Richtlinienobjekts in der Liste (mit den Schaltflächen Nach oben und Nach unten) können Sie die gewünschte Anwendungsreihenfolge auswählen.

Reis. 7. Reihenfolge der Anwendung der Richtlinien.

Manchmal möchten Sie, dass eine bestimmte OU keine Richtlinieneinstellungen von GPOs erhält, die Upstream-Containern zugeordnet sind. In diesem Fall müssen Sie die Richtlinienvererbung deaktivieren, indem Sie das Kontrollkästchen Richtlinienvererbung blockieren aktivieren. Alle geerbten Richtlinieneinstellungen werden blockiert, und es gibt keine Möglichkeit, einzelne Einstellungen zu blockieren. Einstellungen auf Domänenebene, die Kennwortrichtlinien und Kontorichtlinien definieren, können nicht gesperrt werden.

Reis. 9. Blockieren der Richtlinienvererbung.

Wenn Sie möchten, dass bestimmte Einstellungen in einem bestimmten GPO nicht überschrieben werden, wählen Sie das gewünschte GPO aus, drücken Sie die Taste „Optionen“ und wählen Sie „Kein Überschreiben“. Diese Option erzwingt die Anwendung von GPO-Einstellungen, wenn die Richtlinienvererbung blockiert ist. An der Stelle, an der das GPO dem Verzeichnisobjekt zugeordnet ist, wird kein Override festgelegt, nicht am GPO selbst. Wenn das Gruppenrichtlinienobjekt mit mehreren Containern in einer Domäne verknüpft ist, wird diese Einstellung nicht automatisch für die restlichen Verknüpfungen konfiguriert. Wenn die Einstellung „Kein Überschreiben“ für mehrere Links auf derselben Ebene konfiguriert ist, haben die Einstellungen des Gruppenrichtlinienobjekts ganz oben in der Liste Vorrang (und wirken sich aus). Wenn für mehrere GPOs auf unterschiedlichen Ebenen die Einstellungen „Keine Überschreibung“ konfiguriert sind, werden die GPO-Einstellungen höher in der Verzeichnishierarchie wirksam. Das heißt, wenn die Einstellungen „Keine Überschreibung“ so konfiguriert sind, dass ein Gruppenrichtlinienobjekt mit einem Domänenobjekt und ein Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpft wird, werden die auf Domänenebene definierten Einstellungen wirksam. Das Kontrollkästchen „Deaktiviert“ hebt die Wirkung dieses Gruppenrichtlinienobjekts auf diesen Container auf.

Reis. 10. Optionen Kein Überschreiben und Deaktiviert.

Wie oben erwähnt, wirken sich Richtlinien nur auf Benutzer und Computer aus. Oft stellt sich die Frage: „Wie lässt sich eine bestimmte Richtlinie auf alle Benutzer einer bestimmten Sicherheitsgruppe auswirken?“. Dazu wird das GPO an ein Domänenobjekt (oder einen beliebigen Container oberhalb der Container oder OU, in dem sich alle Benutzerobjekte aus der gewünschten Gruppe befinden) gebunden und die Zugriffseinstellungen konfiguriert. Klicken Sie auf Eigenschaften, löschen Sie auf der Registerkarte Sicherheit die Gruppe Authentifizierte Benutzer und fügen Sie die erforderliche Gruppe mit den Rechten Lesen und Anwenden von Gruppenrichtlinien hinzu.

Ermitteln der Einstellungen, die sich auf den Computer des Benutzers auswirken

Um die endgültige Konfiguration zu bestimmen und Probleme zu identifizieren, müssen Sie wissen, welche Richtlinieneinstellungen wirksam sind dieser Benutzer oder Computer ein dieser Moment. Dazu gibt es ein Tool Resultant Set of Policy (Resultant Set of Policy, RSoP). RSoP kann sowohl im Registrierungsmodus als auch im Scheduling-Modus betrieben werden. Klicken Sie zum Aufrufen von RSoP mit der rechten Maustaste auf das Benutzer- oder Computerobjekt und wählen Sie Alle Tasks aus.

Reis. 11. Aufrufen des Richtlinienergebnissatz-Tools.

Beim Start (im Protokollierungsmodus) werden Sie aufgefordert, auszuwählen, für welchen Computer und Benutzer die Ergebnismenge definiert werden soll, und ein Ergebniseinstellungsfenster wird angezeigt, das angibt, welches GPO welche Einstellung angewendet hat.

Reis. 12. Resultierendes Regelwerk.

Andere Verwaltungstools für Gruppenrichtlinien

GPResult ist ein Befehlszeilentool, das einige der RSoP-Funktionen bereitstellt. GPResult ist standardmäßig auf allen Computern mit Windows XP und Windows Server 2003 verfügbar.

GPUpdate erzwingt die Anwendung von Gruppenrichtlinien – sowohl lokal als auch Active Directory-basiert. In Windows XP/2003 ersetzte es die /refreshpolicy-Option im secedit-Tool für Windows 2000.

Eine Beschreibung der Befehlssyntax ist verfügbar, wenn Sie sie mit der Taste /? ausführen.

Anstelle eines Fazits

Dieser Artikel hat nicht das Ziel, alle Aspekte der Arbeit mit Gruppenrichtlinien zu erklären, er richtet sich nicht an erfahrene Systemadministratoren. All dies sollte meiner Meinung nach nur irgendwie dazu beitragen, die Grundprinzipien der Zusammenarbeit mit Politikern für diejenigen zu verstehen, die noch nie mit ihnen gearbeitet haben oder gerade erst anfangen, sie zu beherrschen.

GPResult-Dienstprogramm.exe– ist eine Konsolenanwendung zum Analysieren von Einstellungen und Diagnostizieren von Gruppenrichtlinien, die auf einen Computer und/oder Benutzer in einer Active Directory-Domäne angewendet werden. Insbesondere können Sie mit GPResult Daten aus dem resultierenden Richtliniensatz (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), ihre Einstellungen und detaillierte Informationen zu ihren Verarbeitungsfehlern abrufen. Das Dienstprogramm ist seit den Tagen von Windows XP Teil des Windows-Betriebssystems. Mit dem Dienstprogramm GPResult können Sie Fragen beantworten, z. B. ob eine bestimmte Richtlinie für einen Computer gilt, welches GPO eine bestimmte Windows-Einstellung geändert hat, und die Gründe dafür herausfinden.

In diesem Artikel sehen wir uns die Besonderheiten der Verwendung des GPResult-Befehls an, um die Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne zu diagnostizieren und zu debuggen.

Um die Anwendung von Gruppenrichtlinien in Windows zu diagnostizieren, wurde zunächst die grafische Konsole RSOP.msc verwendet, die es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in ähnlicher grafischer Form zu erhalten die GPO-Editor-Konsole (unten sehen Sie im Beispiel der RSOP.msc-Konsolenansicht, dass die Update-Einstellungen festgelegt sind).

Allerdings ist die RSOP.msc-Konsole in modernen Windows-Versionen nicht praktisch zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSE) wie GPP (Group Policy Preferences) angewendet werden, lässt keine Suche zu und bietet nur wenige Diagnoseinformationen. Daher ist derzeit der GPResult-Befehl das Hauptwerkzeug zur Diagnose der Verwendung von GPO in Windows (in Windows 10 gibt es sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert).

Verwenden des Dienstprogramms GPResult.exe

Der GPResult-Befehl wird auf dem Computer ausgeführt, auf dem Sie die Anwendung von Gruppenrichtlinien testen möchten. Der GPResult-Befehl hat die folgende Syntax:

GPRESULT ]] [(/X | /H) ]

Führen Sie den folgenden Befehl aus, um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) und andere Einstellungen im Zusammenhang mit der GPO-Infrastruktur gelten (d. h. die resultierenden GPO-Richtlinieneinstellungen - RsoP):

Die Ergebnisse der Befehlsausführung sind in 2 Abschnitte unterteilt:

• COMPUTER EINSTELLUNGEN (Computerkonfiguration) – der Abschnitt enthält Informationen über GPO-Objekte, die den Computer betreffen (als Active Directory-Objekt);
• BENUTZER EINSTELLUNGEN – Benutzerabschnitt von Richtlinien (Richtlinien, die für ein Benutzerkonto in AD gelten).

Gehen wir kurz auf die wichtigsten Parameter/Abschnitte ein, die für uns in der GPResult-Ausgabe von Interesse sein könnten:

• GrundstückName(Site-Name:) - der Name der AD-Site, in der sich der Computer befindet;
• CN– Vollständiger kanonischer Benutzer/Computer, für den die RSoP-Daten generiert wurden;
• ZuletztZeitGruppePolitikWarangewandt(Zuletzt angewendete Gruppenrichtlinie) – der Zeitpunkt, zu dem Gruppenrichtlinien zuletzt angewendet wurden;
• GruppePolitikWarangewandtaus(Gruppenrichtlinie wurde angewendet von) – der Domänencontroller, von dem sie geladen wurde letzte Version GPOs
• DomainNameund DomäneTyp(Domänenname, Domänentyp) – Name und Version des Active Directory-Domänenschemas;
• AngewandtGruppePolitikObjekte(Angewandte GPOs)– Listen aktiver Gruppenrichtlinienobjekte;
• DerfolgendeGPOswarnichtangewandtWeilSiewargefiltertaus(Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie gefiltert wurden) - nicht angewendete (gefilterte) GPOs;
• DerBenutzer/ComputerIstATeilvonDiefolgendeSicherheitGruppen(Der Benutzer/Computer ist Mitglied der folgenden Sicherheitsgruppen) – Domänengruppen, denen der Benutzer angehört.

In unserem Beispiel sehen Sie, dass das Benutzerobjekt von 4 Gruppenrichtlinien betroffen ist.

• Standarddomänenrichtlinie;
• Windows-Firewall aktivieren;
• DNS-Suffix-Suchliste

Wenn Sie nicht möchten, dass die Konsole gleichzeitig Informationen zu Benutzerrichtlinien und Computerrichtlinien anzeigt, können Sie die Option /scope verwenden, um nur den Abschnitt anzuzeigen, an dem Sie interessiert sind. Nur resultierende Benutzerrichtlinien:

gpresult /r /scope:Benutzer

oder nur angewendete Computerrichtlinien:

gpresult /r /scope:computer

Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer bequem ist; seine Ausgabe kann in die Zwischenablage umgeleitet werden:

gpresult /r |clip

oder Textdatei:

gpresult /r > c:\gpresult.txt

Um sehr detaillierte RSOP-Informationen anzuzeigen, fügen Sie den Schalter /z hinzu.

HTML-RSOP-Bericht mit GPResult

Darüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht zur Anwendung generieren resultierende Politik(verfügbar in Windows 7 und höher). Dieser Bericht enthält detaillierte Informationen zu allen Systemeinstellungen, die von Gruppenrichtlinien festgelegt werden, sowie die Namen bestimmter GPOs, die diese festlegen (der resultierende Bericht zur Struktur ähnelt der Registerkarte „Einstellungen“ in der Domänengruppenrichtlinien-Verwaltungskonsole – GPMC). Mit dem folgenden Befehl können Sie einen HTML-GPResult-Bericht generieren:

GPResult /h c:\gp-report\report.html /f

Führen Sie den folgenden Befehl aus, um einen Bericht zu generieren und automatisch in einem Browser zu öffnen:

GPResult /h GPResult.html & GPResult.html

Der HTML-Bericht von gpresult enthält einige nützliche Informationen: GPO-Anwendungsfehler, Verarbeitungszeit (in ms) und Anwendung bestimmter Richtlinien und CSE sind sichtbar (unter Computerdetails -> Komponentenstatus). Im obigen Screenshot können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen 24 Passwörter merken von der Standarddomänenrichtlinie (Spalte Gewinner-GPO) angewendet wird. Wie Sie sehen können, ist ein solcher HTML-Bericht viel bequemer für die Analyse angewendeter Richtlinien als die rsop.msc-Konsole.

Abrufen von GPResult-Daten von einem Remote-Computer

GPResult kann auch Daten von einem Remote-Computer sammeln, wodurch die Notwendigkeit entfällt, dass ein Administrator lokal oder RDP-Anmeldung zu einem entfernten Computer. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remote-Computer lautet wie folgt:

GPResult /s server-ts1 /r

Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien remote erfassen.

Benutzername hat keine RSOP-Daten

Wenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Rechte nur die Einstellungen für den benutzerdefinierten Abschnitt der Gruppenrichtlinie angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn die Eingabeaufforderung mit erhöhten Rechten etwas anderes als aktueller Benutzer System, gibt das Dienstprogramm eine Warnung aus DIE INFO: DerBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ hat keine RSOP-Daten). Dies liegt daran, dass GPResult versucht, Informationen für den Benutzer zu sammeln, der es ausgeführt hat, aber weil Dieser Benutzer hat sich nicht am System angemeldet und es sind keine RSOP-Informationen für diesen Benutzer verfügbar. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben:

gpresult /r /user:tn\edward

Wenn Sie den Namen eines Kontos, bei dem Sie angemeldet sind, nicht kennen entfernter Computer, können Sie ein Konto wie folgt erhalten:

qwinsta /SERVER:remotePC1

Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen.

Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurden

Beachten Sie bei der Problembehandlung von Gruppenrichtlinien auch den Abschnitt: Die folgenden GPOs wurden nicht angewendet, weil sie herausgefiltert wurden (Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie herausgefiltert wurden). Dieser Abschnitt zeigt eine Liste von GPOs an, die aus dem einen oder anderen Grund nicht auf dieses Objekt zutreffen. Mögliche Optionen, für die die Richtlinie möglicherweise nicht gilt:

Auf der Registerkarte Effektive Berechtigungen (Erweitert -> Effektiver Zugriff) können Sie auch nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll.

Daher haben wir in diesem Artikel die Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mit dem Dienstprogramm GPResult und typische Szenarien für seine Verwendung überprüft.

Die Funktionalität im Windows Server-Betriebssystem wird berechnet und von Version zu Version verbessert, es gibt immer mehr Rollen und Komponenten, daher werde ich im heutigen Artikel versuchen, sie kurz zu beschreiben Beschreibung und Zweck jeder Rolle in Windows Server 2016.

Bevor wir mit der Beschreibung der Windows Server-Serverrollen fortfahren, wollen wir herausfinden, was genau " Serverrolle» auf dem Betriebssystem Windows Server.

Was ist eine „Serverrolle“ in Windows Server?

Serverrolle ist ein Softwarepaket, das sicherstellt, dass der Server eine bestimmte Funktion ausführt, und gegebene Funktion ist die wichtigste. Mit anderen Worten, " Serverrolle' ist das Ziel des Servers, d.h. Wofür ist es. Damit der Server seine Hauptfunktion erfüllen kann, d.h. bestimmte Rolle bei Serverrolle» beinhaltet alle dafür notwendige Software ( Programme, Dienste).

Der Server kann eine Rolle haben, wenn er aktiv verwendet wird, oder mehrere, wenn jede von ihnen den Server nicht stark belastet und selten verwendet wird.

Eine Serverrolle kann mehrere Rollendienste enthalten, die die Funktionalität der Rolle bereitstellen. Beispielsweise in der Serverrolle " Webserver (IIS)“ umfasst eine ziemlich große Anzahl von Diensten und die Rolle „ DNS Server» enthält keine Rollendienste, da diese Rolle nur eine Funktion erfüllt.

Role Services können je nach Bedarf alle zusammen oder einzeln installiert werden. Im Wesentlichen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Windows Server hat auch " Komponenten»Server.

Serverkomponenten (Funktion)- Das Software, die keine Serverrolle sind, sondern eine oder mehrere Rollen erweitern oder eine oder mehrere Rollen verwalten.

Einige Rollen können nicht installiert werden, wenn der Server nicht über erforderliche Dienste oder Komponenten verfügt, die für das Funktionieren der Rollen erforderlich sind. Daher ist zum Zeitpunkt der Installation solcher Rollen " Assistent zum Hinzufügen von Rollen und Features» selbst, fordert Sie automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren.

Beschreibung der Windows Server 2016-Serverrollen

Viele der Rollen, die es in Windows Server 2016 gibt, sind Ihnen wahrscheinlich schon bekannt, da es sie schon eine ganze Weile gibt, aber wie gesagt, mit jeder neuen Windows-Version Server, es werden neue Rollen hinzugefügt, mit denen Sie vielleicht noch nicht gearbeitet haben, aber wissen möchten, wozu sie dienen, also fangen wir an, sie uns anzusehen.

Notiz! Über neue Funktionen Betriebssystem Windows Server 2016 können Sie im Material " Windows-Installation Server 2016 und was ist neu ».

Da sehr häufig die Installation und Verwaltung von Rollen, Diensten und Komponenten mit anfällt mit Windows PowerShell , für jede Rolle und ihren Dienst werde ich den Namen angeben, der in PowerShell für die Installation bzw. Verwaltung verwendet werden kann.

DHCP-Server

Mit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle hat keine Rollendienste.

Der Name für Windows PowerShell ist DHCP.

DNS Server

Diese Rolle ist für die Namensauflösung in TCP/IP-Netzwerken vorgesehen. Die DNS-Serverrolle stellt DNS bereit und verwaltet es. Um die Verwaltung eines DNS-Servers zu vereinfachen, wird er normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle hat keine Rollendienste.

Der Rollenname für PowerShell ist DNS.

Hyper-V

Mit der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es ist ein Tool zum Erstellen und Verwalten virtueller Maschinen.

Der Rollenname für Windows PowerShell ist Hyper-V.

Gesundheitsbescheinigung des Geräts

Rolle " » ermöglicht es Ihnen, den Zustand des Geräts basierend auf gemessenen Indikatoren für Sicherheitsparameter zu bewerten, wie z. B. Indikatoren für den Status des sicheren Bootens und Bitlocker auf dem Client.

Für das Funktionieren dieser Rolle werden viele Rollendienste und Komponenten benötigt, zum Beispiel: mehrere Dienste aus der Rolle " Webserver (IIS)", Komponente" ", Komponente" .NET Framework 4.6-Funktionen».

Während der Installation werden alle erforderlichen Rollendienste und Funktionen automatisch ausgewählt. Die Rolle " Gesundheitsbescheinigung des Geräts» Es gibt keine Rollendienste.

Der Name für PowerShell ist DeviceHealthAttestationService.

Webserver (IIS)

Bietet eine zuverlässige, verwaltbare und skalierbare Infrastruktur für Webanwendungen. Besteht aus einer ziemlich großen Anzahl von Diensten (43).

Der Name für Windows PowerShell ist Web-Server.

Enthält die folgenden Rollendienste ( In Klammern gebe ich den Namen für Windows PowerShell an):

Webserver (Web-WebServer)- Eine Gruppe von Rollendiensten, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und den Webserver bereitstellen. Besteht aus folgenden Leistungen:

• Sicherheit (Web-Sicherheit)- eine Reihe von Diensten, um die Sicherheit des Webservers zu gewährleisten.
  • Anforderungsfilterung (Web-Filtering) – Mit diesen Tools können Sie alle an den Server eingehenden Anforderungen verarbeiten und diese Anforderungen basierend auf speziellen Regeln filtern, die vom Webserver-Administrator festgelegt wurden;
  • IP-Adressen- und Domänenbeschränkungen (Web-IP-Security) – diese Tools ermöglichen es Ihnen, den Zugriff auf Inhalte auf einem Webserver basierend auf der IP-Adresse oder dem Domänennamen der Quelle in der Anforderung zuzulassen oder zu verweigern;
  • URL-Autorisierung (Web-Url-Auth) - Mit Tools können Sie Regeln entwickeln, um den Zugriff auf Webinhalte einzuschränken und sie mit Benutzern, Gruppen oder HTTP-Header-Befehlen zu verknüpfen;
  • Digest-Authentifizierung (Web-Digest-Auth) − dieser Scheck Die Authentifizierung bietet eine höhere Sicherheitsstufe als die Standardauthentifizierung. Die Digest-Authentifizierung für die Benutzerauthentifizierung funktioniert wie das Übergeben eines Kennworthashs an einen Windows-Domänencontroller.
  • Basisauthentifizierung (Web-Basic-Auth) – Diese Authentifizierungsmethode bietet starke Webbrowser-Kompatibilität. Es wird empfohlen, in kleinen internen Netzwerken zu verwenden. Der Hauptnachteil dieser Methode besteht darin, dass über das Netzwerk übertragene Passwörter recht einfach abgefangen und entschlüsselt werden können. Verwenden Sie diese Methode daher in Kombination mit SSL.
  • Die Windows-Authentifizierung (Web-Windows-Auth) ist eine Authentifizierung, die auf der Windows-Domänenauthentifizierung basiert. Mit anderen Worten, Sie können verwenden Konten Active Directory zur Authentifizierung von Benutzern ihrer Websites;
  • Client Certificate Mapping Authentication (Web-Client-Auth) – Diese Authentifizierungsmethode verwendet ein Client-Zertifikat. Dieser Typ verwendet Active Directory-Dienste, um die Zertifikatzuordnung bereitzustellen;
  • IIS-Clientzerti(Web-Cert-Auth) – Diese Methode verwendet ebenfalls Clientzertifikate zur Authentifizierung, verwendet jedoch IIS zur Bereitstellung der Zertifikatzuordnung. Dieser Typ bietet eine bessere Leistung;
  • Unterstützung zentralisierter SSL-Zertifikate (Web-CertProvider) – diese Tools ermöglichen Ihnen die zentrale Verwaltung von SSL-Serverzertifikaten, was den Prozess der Verwaltung dieser Zertifikate erheblich vereinfacht;
• Wartungsfreundlichkeit und Diagnose (Web-Health)– eine Reihe von Diensten zur Überwachung, Verwaltung und Fehlerbehebung von Webservern, Websites und Anwendungen:
  • HTTP-Protokollierung (Web-Http-Logging) - Tools ermöglichen die Protokollierung der Website-Aktivität auf einem bestimmten Server, d.h. Log Eintrag;
  • ODBC-Protokollierung (Web-ODBC-Protokollierung) – Diese Tools bieten auch die Protokollierung von Website-Aktivitäten, unterstützen jedoch die Protokollierung dieser Aktivität in einer ODBC-kompatiblen Datenbank;
  • Request Monitor (Web-Request-Monitor) ist ein Tool, mit dem Sie den Zustand einer Webanwendung überwachen können, indem Sie Informationen zu HTTP-Anforderungen im IIS-Arbeitsprozess abfangen.
  • Benutzerdefinierte Protokollierung (Web-Custom-Logging) – Mit diesen Tools können Sie die Protokollierung von Webserveraktivitäten in einem Format konfigurieren, das sich erheblich vom Standard-IIS-Format unterscheidet. Mit anderen Worten, Sie können Ihr eigenes Protokollierungsmodul erstellen;
  • Logging-Tools (Web-Log-Libraries) sind Tools zur Verwaltung von Webserver-Logs und zur Automatisierung von Logging-Aufgaben;
  • Tracing (Web-Http-Tracing) ist ein Werkzeug zur Diagnose und Behebung von Verstößen in Webanwendungen.
• Gemeinsame HTTP-Funktionen (Web-Common-Http)– eine Reihe von Diensten, die grundlegende HTTP-Funktionalität bereitstellen:
  • Standarddokument (Web-Default-Doc) – Mit dieser Funktion können Sie den Webserver so konfigurieren, dass er ein Standarddokument zurückgibt, wenn Benutzer kein bestimmtes Dokument in der Anforderungs-URL angeben, wodurch Benutzern beispielsweise der Zugriff auf Websites erleichtert wird Domäne, ohne Angabe einer Datei;
  • Directory Browsing (Web-Dir-Browsing) – Dieses Tool kann verwendet werden, um einen Webserver so zu konfigurieren, dass Benutzer eine Liste aller Verzeichnisse und Dateien auf einer Website anzeigen können. Beispielsweise für Fälle, in denen Benutzer keine Datei in der Anforderungs-URL angeben und Standarddokumente entweder deaktiviert oder nicht konfiguriert sind;
  • http-Fehler (Web-Http-Fehler) – diese Möglichkeit ermöglicht es Ihnen, die Fehlermeldungen anzupassen, die an die Webbrowser der Benutzer zurückgegeben werden, wenn ein Fehler vom Webserver erkannt wird. Dieses Tool wird verwendet, um Benutzern Fehlermeldungen einfacher anzuzeigen;
  • Statische Inhalte (Web-Static-Content) – Dieses Tool ermöglicht Ihnen die Nutzung von Inhalten auf einem Webserver in Form von statischen Dateiformaten wie HTML-Dateien oder Bilddateien;
  • http-Umleitung (Web-Http-Redirect) - Mit dieser Funktion können Sie eine Benutzeranfrage an ein bestimmtes Ziel umleiten, z. dies ist Umleitung;
  • WebDAV-Publishing (Web-DAV-Publishing) – ermöglicht die Verwendung der WebDAV-Technologie auf dem IIS-WEB-Server. WebDAV ( Verteiltes Web-Authoring und Versionierung) ist eine Technologie, die es Benutzern ermöglicht, zusammenzuarbeiten ( lesen, bearbeiten, Eigenschaften lesen, kopieren, verschieben) über Dateien auf entfernten Webservern mithilfe des HTTP-Protokolls.
• Leistung (Webleistung)- eine Reihe von Diensten, um eine höhere Webserverleistung durch Ausgabe-Caching und gängige Komprimierungsmechanismen wie Gzip und Deflate zu erreichen:
  • Static Content Compression (Web-Stat-Compression) ist ein Tool zum Anpassen der Komprimierung von statischen http-Inhalten, es ermöglicht eine effizientere Nutzung der Bandbreite ohne unnötige CPU-Last;
  • Dynamische Inhaltskomprimierung (Web-Dyn-Compression) ist ein Tool zum Konfigurieren der dynamischen HTTP-Inhaltskomprimierung. Dieses Tool bietet eine effizientere Nutzung der Bandbreite, aber in diesem Fall kann die mit dynamischer Komprimierung verbundene Server-CPU-Last die Site verlangsamen, wenn die CPU-Last auch ohne Komprimierung hoch ist.
• Anwendungsentwicklung (Web-App-Dev)- eine Reihe von Diensten und Tools zum Entwickeln und Hosten von Webanwendungen, mit anderen Worten, Technologien zur Entwicklung von Websites:
  • ASP (Web-ASP) ist eine Umgebung zur Unterstützung und Entwicklung von Websites und Webanwendungen mit ASP-Technologie. Im Moment gibt es eine neuere und fortschrittlichere Website-Entwicklungstechnologie - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) ist eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen mit ASP.NET-Technologie;
  • ASP.NET 4.6 (Web-Asp-Net45) ist ebenfalls eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen mit der neuen Version von ASP.NET;
  • CGI (Web-CGI) ist die Fähigkeit, CGI zu verwenden, um Informationen von einem Webserver an ein externes Programm zu übergeben. CGI ist eine Art Schnittstellenstandard, um ein externes Programm mit einem Webserver zu verbinden. Es gibt einen Nachteil, die Verwendung von CGI beeinträchtigt die Leistung;
  • Server Side Inclusions (SSI) (Web-Includes) ist die Unterstützung für die SSI-Skriptsprache ( serverseitig aktivieren), die zum dynamischen Generieren von HTML-Seiten verwendet wird;
  • Anwendungsinitialisierung (Web-AppInit) – Dieses Tool führt die Aufgaben der Initialisierung von Webanwendungen aus, bevor eine Webseite gesendet wird;
  • WebSocket-Protokoll (Web-WebSockets) – Hinzufügen der Möglichkeit, Serveranwendungen zu erstellen, die über das WebSocket-Protokoll kommunizieren. WebSocket ist ein Protokoll, das Daten gleichzeitig zwischen einem Browser senden und empfangen kann Webserver zusätzlich zu einer TCP-Verbindung eine Art Erweiterung des HTTP-Protokolls;
  • ISAPI-Erweiterungen (Web-ISAPI-Ext) - Unterstützung für die dynamische Entwicklung von Webinhalten unter Verwendung der ISAPI-Anwendungsprogrammierschnittstelle. ISAPI ist eine API für den IIS-Webserver. ISAPI-Anwendungen sind viel schneller als ASP-Dateien oder Dateien, die COM+-Komponenten aufrufen;
  • .NET 3.5-Erweiterbarkeit (Web-Net-Ext) ist eine .NET 3.5-Erweiterbarkeitsfunktion, mit der Sie die Webserver-Funktionalität in der gesamten Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche ändern, hinzufügen und erweitern können.
  • .NET 4.6-Erweiterbarkeit (Web-Net-Ext45) ist eine .NET 4.6-Erweiterbarkeitsfunktion, mit der Sie auch die Webserverfunktionalität über die gesamte Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche hinweg ändern, hinzufügen und erweitern können.
  • ISAPI-Filter (Web-ISAPI-Filter) – Unterstützung für ISAPI-Filter hinzufügen. ISAPI-Filter sind Programme, die aufgerufen werden, wenn ein Webserver eine bestimmte HTTP-Anforderung erhält, die von diesem Filter verarbeitet werden soll.

FTP - Server (Web-Ftp-Server)– Dienste, die das FTP-Protokoll unterstützen. Wir haben im Material „Installation und Konfiguration“ ausführlicher über den FTP-Server gesprochen FTP-Server auf Windows Server 2016". Enthält folgende Dienste:

• FTP Service (Web-Ftp-Service) - fügt Unterstützung für das FTP-Protokoll auf dem Webserver hinzu;
• FTP-Erweiterbarkeit (Web-Ftp-Ext) – Erweitert Standard-FTP-Funktionen, z. B. Hinzufügen von Unterstützung für Features wie benutzerdefinierte Anbieter, ASP.NET-Benutzer oder IIS-Manager-Benutzer.

Verwaltungstools (Web-Mgmt-Tools)– Dies sind die Verwaltungstools für den Webserver IIS 10. Dazu gehören: Benutzeroberfläche IIS, Befehlszeilentools und Skripte.

• Die IIS-Verwaltungskonsole (Web-Mgmt-Console) ist die Benutzeroberfläche zum Verwalten von IIS;
• Zeichensätze und IIS-Verwaltungstools (Web-Scripting-Tools) sind Tools und Skripte zum Verwalten von IIS über die Befehlszeile oder Skripte. Sie können zum Beispiel verwendet werden, um die Steuerung zu automatisieren;
• Verwaltungsdienst (Web-Mgmt-Service) – Dieser Dienst fügt die Möglichkeit hinzu, einen Webserver mithilfe von IIS Manager remote von einem anderen Computer aus zu verwalten;
• IIS 6 Compatibility Management (Web-Mgmt-Compat) – Bietet Kompatibilität für Anwendungen und Skripts, die die beiden IIS-APIs verwenden. Die vorhandenen IIS 6-Skripte können verwendet werden, um den IIS 10-Webserver zu verwalten:
  • IIS 6 Compatibility Metabase (Web-Metabase) ist ein Kompatibilitätstool, mit dem Sie Anwendungen und Zeichensätze ausführen können, die von früheren Versionen von IIS migriert wurden;
  • IIS 6-Skripttools (Web-Lgcy-Scripting) – Mit diesen Tools können Sie dieselben IIS 6-Skriptdienste verwenden, die zum Verwalten von IIS 6 in IIS 10 erstellt wurden;
  • Die IIS 6-Verwaltungskonsole (Web-Lgcy-Mgmt-Console) ist ein Tool zum Verwalten von Remote-IIS 6.0-Servern.
  • IIS 6 WMI-Kompatibilität (Web-WMI) sind WMI-Skriptschnittstellen (Windows Management Instrumentation) zum programmgesteuerten Steuern und Automatisieren von IIS 10.0-Webserveraufgaben mithilfe einer Reihe von Skripts, die in einem WMI-Anbieter erstellt wurden.

Active Directory-Domänendienste

Rolle " Active Directory-Domänendienste» (AD DS) stellt eine verteilte Datenbank bereit, die Informationen zu Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen Containment-Struktur zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen innerhalb einer Gesamtstruktur und Organisationseinheiten (OUs) innerhalb jeder Domäne. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.

Der Rollenname für Windows PowerShell lautet AD-Domain-Services.

Windows Server Essentials-Modus

Diese Rolle ist eine Computerinfrastruktur und bietet praktische und effiziente Funktionen, zum Beispiel: Speichern von Kundendaten an einem zentralen Ort und Schützen dieser Daten durch Exemplar reservieren Server- und Client-Computer, Remote-Webzugriff, mit dem Sie von praktisch jedem Gerät aus auf Daten zugreifen können. Diese Rolle erfordert mehrere Rollendienste und -features, z. B.: BranchCache-Features, Windows Server-Sicherung, Verwaltung Gruppenrichtlinie, Rollendienst " DFS-Namespaces».

Der Name für PowerShell ist ServerEssentialsRole.

Netzwerk-Controller

Diese in Windows Server 2016 eingeführte Rolle bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs und physisch konfigurieren Netzwerkadapter Hyper-V-Hosts, verwalten Sie virtuelle Switches, physische Router, Firewall-Einstellungen und VPN-Gateways.

Der Name für Windows PowerShell ist NetworkController.

Knotenwächterdienst

Dies ist die Serverrolle Hosted Guardian Service (HGS) und stellt Nachweis- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, abgeschirmt ausgeführt zu werden virtuelle Maschinen. Für das Funktionieren dieser Rolle werden mehrere zusätzliche Rollen und Komponenten benötigt, zum Beispiel: Active Directory Domain Services, Web Server (IIS), der " Failover-Clustering" und andere.

Der Name für PowerShell ist HostGuardianServiceRole.

Active Directory Lightweight-Verzeichnisdienste

Rolle " Active Directory Lightweight-Verzeichnisdienste» (AD LDS) ist eine einfache Version von AD DS, die über weniger Funktionalität verfügt, jedoch keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht die Abhängigkeiten und Domäneneinschränkungen aufweist, die für AD DS erforderlich sind. AD LDS läuft über das LDAP-Protokoll ( Lightweight Directory Access Protocol). Sie können mehrere AD LDS-Instanzen auf demselben Server mit unabhängig verwalteten Schemas bereitstellen.

Der Name für PowerShell ist ADLDS.

MultiPoint-Dienste

Es ist auch eine neue Rolle, die neu in Windows Server 2016 ist. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Suchdienst, XPS-Viewer und andere, die alle automatisch während der MPS-Installation ausgewählt werden.

Der Name der Rolle für PowerShell lautet MultiPointServerRole.

Windows Server-Update-Dienste

Mit dieser Rolle (WSUS) können Systemadministratoren Microsoft-Updates verwalten. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Update-Sets und erhalten Sie Berichte über die Konformität von Computern mit den Anforderungen und Updates, die installiert werden müssen. Zum Funktionieren“ Windows Server-Update-Dienste» Sie benötigen Rollendienste und Komponenten wie: Webserver (IIS), Windows-interne Datenbank, Aktivierungsdienst Windows-Prozesse.

Der Name für Windows PowerShell ist UpdateServices.

• WID-Konnektivität (UpdateServices-WidDB) – auf WID ( Windows-interne Datenbank)-Datenbank, die von WSUS verwendet wird. Mit anderen Worten, WSUS speichert seine Dienstdaten in WID;
• WSUS-Dienste (UpdateServices-Services) sind die WSUS-Rollendienste wie Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Web Simple Authentication Web Service, Server Synchronization Service und DSS Authentication Web Service;
• SQL Server Konnektivität (UpdateServices-DB) ist die Installation einer Komponente, die es dem WSUS-Dienst ermöglicht, eine Verbindung zur Datenbank herzustellen Microsoft-Daten SQL Server. Diese Option sieht die Speicherung von Servicedaten in einer Microsoft SQL Server-Datenbank vor. In diesem Fall muss bereits mindestens eine Instanz von SQL Server installiert sein.

Volumenlizenz-Aktivierungsdienste

Mit dieser Serverrolle können Sie die Vergabe von Volumenlizenzen für Software von Microsoft automatisieren und vereinfachen und diese Lizenzen auch verwalten.

Der Name für PowerShell ist VolumeActivation.

Druck- und Dokumentenservice

Diese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern in einem Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung von Netzwerkdruckern und -scannern. Mit Print and Document Services können Sie auch gescannte Dokumente per E-Mail öffentlich versenden Netzwerkordner oder auf Websites von Windows SharePoint Services.

Der Name für PowerShell ist Print-Services.

• Druckserver (Print-Server) - Dieser Rollendienst enthält den " Druckverwaltung“, das zum Verwalten von Druckern oder Druckservern sowie zum Migrieren von Druckern und anderen Druckservern verwendet wird;
• Drucken über das Internet (Print-Internet) – Um das Drucken über das Internet zu implementieren, wird eine Website erstellt, über die Benutzer Druckaufträge auf dem Server verwalten können. Damit dieser Dienst funktioniert, müssen Sie, wie Sie verstehen, " Webserver (IIS)". Alle erforderlichen Komponenten werden automatisch ausgewählt, wenn Sie dieses Kontrollkästchen während des Installationsvorgangs des Rollendienstes aktivieren " Internetdruck»;
• Der Distributed Scan Server (Print-Scan-Server) ist ein Dienst, mit dem Sie gescannte Dokumente von Netzwerkscannern empfangen und an ein Ziel senden können. Dieser Dienst enthält auch die " Scan-Verwaltung“, das zum Verwalten von Netzwerkscannern und zum Konfigurieren des Scannens verwendet wird;
• LPD-Service (Print-LPD-Service) - LPD-Service ( Zeilendrucker-Daemon) ermöglicht UNIX-basierten Computern und anderen Computern, die den LPR-Dienst (Line Printer Remote) verwenden, zu drucken freigegebene Drucker Server.

Netzwerkrichtlinie und Zugriffsdienste

Rolle " » (NPAS) ermöglicht Network Policy Server (NPS) das Festlegen und Durchsetzen von Netzwerkzugriffs-, Authentifizierungs- und Autorisierungs- und Clientintegritätsrichtlinien, mit anderen Worten, das Netzwerk zu sichern.

Der Name für Windows PowerShell ist NPAS.

Windows-Bereitstellungsdienste

Mit dieser Rolle können Sie das Windows-Betriebssystem remote über ein Netzwerk installieren.

Der Rollenname für PowerShell ist WDS.

• Bereitstellungsserver (WDS-Bereitstellung) – Dieser Rollendienst ist für die Remotebereitstellung und -konfiguration von Windows-Betriebssystemen konzipiert. Außerdem können Sie Bilder zur Wiederverwendung erstellen und anpassen.
• Transportserver (WDS-Transport) - Dieser Dienst enthält die grundlegenden Netzwerkkomponenten, mit denen Sie Daten per Multicasting auf einen eigenständigen Server übertragen können.

Active Directory-Zertifikatsdienste

Diese Rolle soll Zertifizierungsstellen und zugehörige Rollendienste erstellen, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können.

Der Name für Windows PowerShell ist AD-Zertifikat.

Enthält die folgenden Rollendienste:

• Zertifizierungsstelle (ADCS-Cert-Authority) – Mit diesem Rollendienst können Sie Zertifikate für Benutzer, Computer und Dienste ausstellen sowie die Gültigkeit des Zertifikats verwalten;
• Zertifikatregistrierungsrichtlinien-Webdienst (ADCS-Enroll-Web-Pol) – Dieser Dienst ermöglicht es Benutzern und Computern, Zertifikatregistvon einem Webbrowser abzurufen, selbst wenn der Computer kein Mitglied einer Domäne ist. Für seine Funktion ist es notwendig Webserver (IIS)»;
• Certificate Enrollment Web Service (ADCS-Enroll-Web-Svc) – Dieser Dienst ermöglicht es Benutzern und Computern, Zertifikate mit einem Webbrowser über HTTPS zu registrieren und zu erneuern, auch wenn der Computer kein Mitglied einer Domäne ist. Es muss auch funktionieren Webserver (IIS)»;
• Online-Responder (ADCS-Online-Cert) - Der Dienst soll den Widerruf eines Zertifikats für Clients überprüfen. Mit anderen Worten, es akzeptiert eine Sperrstatusanforderung für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit Informationen über den Status zurück. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
• Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) – Dieser Dienst stellt eine Webschnittstelle bereit, mit der Benutzer Aufgaben wie das Anfordern und Erneuern von Zertifikaten, das Abrufen von CRLs und das Registrieren von Smartcard-Zertifikaten ausführen können. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
• Network Device Enrollment Service (ADCS-Device-Enrollment) – Mit diesem Dienst können Sie Zertifikate für Router und andere Netzwerkgeräte ausstellen und verwalten, die keine Netzwerkkonten haben. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)».

Remotedesktopdienste

Eine Serverrolle, die Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und Remote-Anwendungen Remoteapp.

Der Rollenname für Windows PowerShell lautet Remote-Desktop-Services.

Besteht aus folgenden Leistungen:

• Remote Desktop Web Access (RDS-Web-Access) – Dieser Rollendienst ermöglicht Benutzern den Zugriff auf Remote-Desktops und RemoteApp-Anwendungen über das „ Start» oder über einen Webbrowser;
• Remotedesktoplizenzierung (RDS-Lizenzierung) – Der Dienst wurde entwickelt, um die Lizenzen zu verwalten, die für die Verbindung mit dem Remotedesktop-Sitzungshostserver oder dem virtuellen Desktop erforderlich sind. Es kann verwendet werden, um Lizenzen zu installieren, auszustellen und ihre Verfügbarkeit zu verfolgen. Dieser Dienst erfordert " Webserver (IIS)»;
• Remotedesktop-Verbindungsbroker (RDS-Connection-Broker) ist ein Rollendienst, der die folgenden Funktionen bereitstellt: Wiederverbinden eines Benutzers mit einem vorhandenen virtuellen Desktop, einer RemoteApp-Anwendung und einem sitzungsbasierten Desktop sowie Lastenausgleich zwischen Remote-Sitzungshostserver-Desktops oder zwischen gepoolten virtuellen Desktops. Dieser Dienst erfordert die " »;
• Remotedesktop-Virtualisierungshost (DS-Virtualisierung) – Der Dienst ermöglicht es Benutzern, sich mit virtuellen Desktops über RemoteApp und Desktop Connection zu verbinden. Dieser Dienst arbeitet in Verbindung mit Hyper-V, d.h. diese Rolle muss installiert sein;
• Remotedesktop-Sitzungshost (RDS-RD-Server) – Dieser Dienst kann RemoteApp-Anwendungen und sitzungsbasierte Desktops auf einem Server hosten. Der Zugriff erfolgt über den Remotedesktopverbindungsclient oder RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) – Der Dienst ermöglicht autorisierten Remotebenutzern, sich mit virtuellen Desktops, RemoteApps und sitzungsbasierten Desktops in einem Unternehmensnetzwerk oder über das Internet zu verbinden. Dieser Dienst erfordert die folgenden zusätzlichen Dienste und Komponenten: Webserver (IIS)», « Netzwerkrichtlinie und Zugriffsdienste», « RPC über HTTP-Proxy».

AD RMS

Dies ist eine Serverrolle, mit der Sie Informationen vor unbefugter Verwendung schützen können. Es validiert Benutzeridentitäten und gewährt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Diese Rolle erfordert zusätzliche Dienste und Komponenten: Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen».

Der Name für Windows PowerShell ist ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – der Hauptrollendienst, der für die Installation erforderlich ist;
• Identity Federation Support (ADRMS-Identity) ist ein optionaler Rollendienst, der es Verbundidentitäten ermöglicht, geschützte Inhalte mithilfe von Active Directory-Verbunddiensten zu nutzen.

AD FS

Diese Rolle bietet einen vereinfachten und sicheren Identitätsverbund und Funktionen für einmaliges Anmelden (SSO) für Websites, die einen Browser verwenden.

Der Name für PowerShell ist ADFS-Federation.

Fernzugriff

Diese Rolle stellt Konnektivität über DirectAccess, VPN und Webanwendungsproxy bereit. Auch die Rolle Fernzugriff "bietet traditionelle Routing-Funktionen, einschließlich Network Address Translation (NAT) und andere Verbindungsoptionen. Diese Rolle erfordert zusätzliche Dienste und Funktionen: Webserver (IIS)», « Windows-interne Datenbank».

Der Rollenname für Windows PowerShell ist RemoteAccess.

• DirectAccess und VPN (RAS) (DirectAccess-VPN) - Der Dienst ermöglicht es Benutzern, sich jederzeit mit dem Unternehmensnetzwerk zu verbinden, wenn sie über DirectAccess Zugriff auf das Internet haben, sowie zu organisieren VPN-Verbindungen in Kombination mit Tunneling- und Datenverschlüsselungstechnologien;
• Routing - Der Dienst bietet Unterstützung für NAT-Router, Router lokales Netzwerk mit BGP-, RIP- und Multicast-fähigen Routern (IGMP-Proxies);
• Web Application Proxy (Web-Application-Proxy) – Der Dienst ermöglicht es Ihnen, Anwendungen basierend auf den HTTP- und HTTPS-Protokollen aus dem Unternehmensnetzwerk auf Clientgeräten zu veröffentlichen, die sich außerhalb des Unternehmensnetzwerks befinden.

Datei- und Speicherdienste

Dies ist eine Serverrolle, die verwendet werden kann, um Dateien und Ordner freizugeben, Freigaben zu verwalten und zu steuern, Dateien zu replizieren, schnelle Dateisuchen bereitzustellen und Zugriff auf UNIX-Clientcomputer zu gewähren. Auf Dateidienste und insbesondere den Dateiserver haben wir im Material „Dateiserver (Fileserver) auf Windows Server 2016 installieren“ näher eingegangen.

Der Name für Windows PowerShell ist FileAndStorage-Services.

Speicherdienste- Dieser Dienst bietet Speicherverwaltungsfunktionen, die immer installiert sind und nicht entfernt werden können.

Dateidienste und iSCSI-Dienste (Dateidienste) sind Technologien, die die Verwaltung von Dateiservern und Speichern vereinfachen, Speicherplatz sparen, die Replikation und das Zwischenspeichern von Dateien in Zweigen bereitstellen und auch die gemeinsame Nutzung von Dateien über das NFS-Protokoll ermöglichen. Enthält die folgenden Rollendienste:

• Dateiserver (FS-FileServer) – ein Rollendienst, der freigegebene Ordner verwaltet und Benutzern den Zugriff auf Dateien auf diesem Computer über das Netzwerk ermöglicht;
• Datendeduplizierung (FS-Data-Deduplication) – dieser Dienst spart Speicherplatz, indem er nur eine Kopie identischer Daten auf einem Volume speichert;
• File Server Resource Manager (FS-Resource-Manager) – Mit diesem Dienst können Sie Dateien und Ordner auf einem Dateiserver verwalten, Speicherberichte erstellen, Dateien und Ordner klassifizieren, Ordnerkontingente konfigurieren und Dateiblockierungsrichtlinien definieren;
• iSCSI-Zielspeicheranbieter (VDS- und VSS-Hardwareanbieter) (iSCSITarget-VSS-VDS) – Der Dienst ermöglicht die Ausführung von Anwendungen auf einem Server, der mit einem iSCSI-Ziel verbunden ist Schattenkopie Volumes auf virtuellen iSCSI-Laufwerken;
• DFS-Namespaces (FS-DFS-Namespace) - mit diesem Dienst können Sie gruppieren geteilte Ordner auf verschiedenen Servern in einem oder mehreren logisch strukturierten Namespaces gehostet;
• Arbeitsordner (FS-SyncShareService) - Der Dienst ermöglicht Ihnen die Verwendung von Arbeitsdateien verschiedene Computer einschließlich Arbeit und Privat. Sie können Ihre Dateien in Arbeitsordnern speichern, synchronisieren und über Ihr lokales Netzwerk oder das Internet darauf zugreifen. Damit der Dienst funktioniert, muss die Komponente " IIS In-Process-Webkern»;
• Die DFS-Replikation (FS-DFS-Replikation) ist ein Datenreplikationsmodul zwischen mehreren Servern, mit dem Sie Ordner über eine Verbindung zu einem lokalen oder globales Netzwerk. Diese Technologie verwendet das RDC-Protokoll (Remote Differential Compression), um nur den Teil der Dateien zu aktualisieren, der sich seit der letzten Replikation geändert hat. Die DFS-Replikation kann mit oder ohne DFS-Namespaces verwendet werden;
• Server für NFS (FS-NFS-Dienst) - Der Dienst ermöglicht diesem Computer, Dateien mit UNIX-basierten Computern und anderen Computern zu teilen, die das Netzwerkprotokoll verwenden. Dateisystem(NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) – bietet Dienste und Verwaltung für iSCSI-Targets;
• BranchCache-Dienst für Netzwerkdateien (FS-BranchCache) – Der Dienst bietet BranchCache-Unterstützung auf diesem Dateiserver;
• Dateiserver-VSS-Agent-Dienst (FS-VSS-Agent) – Der Dienst ermöglicht Volumenschattenkopien für Anwendungen, die Datendateien auf diesem Dateiserver speichern.

Faxserver

Die Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf diesem Computer oder im Netzwerk. Für die Arbeit erforderlich Druck Server».

Der Rollenname für Windows PowerShell ist Fax.

Damit ist die Überprüfung der Windows Server 2016-Serverrollen abgeschlossen. Ich hoffe, das Material war vorerst hilfreich für Sie!

Bevor Sie einen Socket-Server entwickeln, müssen Sie einen Policy-Server erstellen, der Silverlight mitteilt, welche Clients sich mit dem Socket-Server verbinden dürfen.

Wie oben gezeigt, erlaubt Silverlight nicht das Laden von Inhalten oder das Aufrufen eines Webdienstes, wenn die Domäne keine clientaccesspolicy .xml- oder domänenübergreifende Datei hat. xml, wo diese Operationen ausdrücklich erlaubt sind. Eine ähnliche Einschränkung gilt für den Socket-Server. Wenn Sie dem Clientgerät nicht erlauben, die XML-Datei clientaccesspolicy herunterzuladen, die den Remotezugriff ermöglicht, verweigert Silverlight den Verbindungsaufbau.

Leider Bereitstellung einer clientaccesspolicy. cml in eine Socket-Anwendung ist eine größere Herausforderung als die Bereitstellung über eine Website. Wenn Sie eine Website verwenden, stellt die Webserver-Software möglicherweise eine XML-Datei für die Clientzugriffsrichtlinie bereit. Denken Sie nur daran, sie hinzuzufügen. Gleichzeitig müssen Sie bei Verwendung einer Socket-Anwendung einen Socket öffnen, auf den Client-Anwendungen mit Richtlinienanforderungen zugreifen können. Außerdem müssen Sie den Code, der den Socket bedient, manuell erstellen. Um diese Aufgaben auszuführen, müssen Sie einen Richtlinienserver erstellen.

Im Folgenden werden wir zeigen, dass der Richtlinienserver genauso funktioniert wie der Nachrichtenserver, er handhabt nur etwas einfachere Interaktionen. Nachrichtenserver und Richtlinien können separat erstellt oder in einer Anwendung kombiniert werden. Im zweiten Fall müssen sie auf Anfragen in verschiedenen Threads lauschen. In diesem Beispiel erstellen wir einen Richtlinienserver und kombinieren ihn dann mit einem Nachrichtenserver.

Um einen Richtlinienserver zu erstellen, müssen Sie zunächst eine .NET-Anwendung erstellen. Jede Art von .NET-Anwendung kann als Richtlinienserver dienen. Der einfachste Weg ist die Verwendung einer Konsolenanwendung. Nachdem Sie Ihre Konsolenanwendung debuggt haben, können Sie Ihren Code in einen Windows-Dienst verschieben, sodass er ständig im Hintergrund ausgeführt wird.

Richtliniendatei

Es folgt die Richtliniendatei, die vom Richtlinienserver bereitgestellt wird.

Die Richtliniendatei definiert drei Regeln.

Ermöglicht den Zugriff auf alle Ports von 4502 bis 4532 (dies ist die gesamte Bandbreite an Ports, die vom Silverlight-Add-on unterstützt werden). Um den Bereich der verfügbaren Ports zu ändern, ändern Sie den Wert des Port-Attributs des Elements.

Ermöglicht den TCP-Zugriff (die Berechtigung ist im Protokollattribut des Elements definiert).

Ermöglicht einen Anruf von jeder Domäne. Daher kann eine Silverlight-Anwendung, die eine Verbindung herstellt, von jeder Website gehostet werden. Um diese Regel zu ändern, müssen Sie das uri-Attribut des Elements bearbeiten.

Zur Vereinfachung werden die Richtlinienregeln in der Datei clientaccess-ploi.cy.xml abgelegt, die dem Projekt hinzugefügt wird. IN visuelles Studio Die Einstellung In Ausgabeverzeichnis kopieren der Richtliniendatei muss auf Immer kopieren eingestellt sein. sollte nur die Datei auf der Festplatte finden, öffnen und den Inhalt an das Clientgerät zurückgeben.

PolicyServer-Klasse

Die Policy-Server-Funktionalität basiert auf zwei Schlüsselklassen: PolicyServer und PolicyConnection. Die PolicyServer-Klasse behandelt das Warten auf Verbindungen. Wenn es eine Verbindung erhält, übergibt es die Steuerung an eine neue Instanz der PoicyConnection-Klasse, die die Richtliniendatei an den Client weitergibt. Dieses zweiteilige Verfahren ist in der Netzwerkprogrammierung üblich. Sie werden es mehr als einmal sehen, wenn Sie mit Nachrichtenservern arbeiten.

Die PolicyServer-Klasse lädt die Richtliniendatei aus Festplatte und speichert es im Feld als ein Array von Bytes.

öffentliche Klasse PolicyServer

private Byte-Richtlinie;

öffentlicher PolicyServer(string policyFile) (

Um mit dem Abhören zu beginnen, muss die Serveranwendung den PolicyServer aufrufen. Start(). Es erstellt ein TcpListener-Objekt, das auf Anfragen wartet. Das TcpListener-Objekt ist so konfiguriert, dass es Port 943 überwacht. In Silverlight ist dieser Port für Richtlinienserver reserviert. Wenn Richtliniendateien angefordert werden, leitet die Silverlight-Anwendung diese automatisch an Port 943 weiter.

privater TcpListener-Listener;

öffentlich void Start()

// Listener erstellen

listener = new TcpListener (IPAddress.Any, 943);

// Beginne zuzuhören; die Start()-Methode gibt II unmittelbar nach dem Aufruf von listener.Start() zurück;

// Warten auf eine Verbindung; die Methode kehrt sofort zurück;

II Warten wird in einem separaten Thread durchgeführt

Um die angebotene Verbindung anzunehmen, ruft der Richtlinienserver die Methode BeginAcceptTcpClient() auf. Wie alle Beginxxx()-Methoden des .NET-Frameworks kehrt sie unmittelbar nach dem Aufruf zurück und führt die erforderlichen Operationen in einem separaten Thread aus. Für Netzwerkanwendungen ist dies ein sehr wichtiger Faktor, da viele Anforderungen für Richtliniendateien gleichzeitig verarbeitet werden können.

Notiz. Neulinge in der Netzwerkprogrammierung fragen sich oft, wie mehr als eine Anfrage gleichzeitig verarbeitet werden kann, und denken, dass dafür mehrere Server erforderlich sind. Dies ist jedoch nicht der Fall. Bei diesem Ansatz würden Client-Anwendungen schnell die verfügbaren Ports ausgehen. In der Praxis verarbeiten Serveranwendungen viele Anfragen über einen einzigen Port. Dieser Prozess ist für Anwendungen unsichtbar, da das integrierte TCP-Subsystem in Windows Nachrichten automatisch identifiziert und sie an die entsprechenden Objekte im Anwendungscode weiterleitet. Jede Verbindung wird anhand von vier Parametern eindeutig identifiziert: Client-IP-Adresse, Client-Portnummer, Server-IP-Adresse und Server-Portnummer.

Bei jeder Anfrage wird die Callback-Methode OnAcceptTcpClient() ausgelöst. Sie ruft die BeginAcceptTcpClient O-Methode erneut auf, um mit dem Warten auf die nächste Anforderung in einem anderen Thread zu beginnen, und beginnt dann mit der Verarbeitung der aktuellen Anforderung.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Richtlinienanfrage erhalten."); // Warten auf die nächste Verbindung.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Umgang mit der aktuellen Verbindung.

TcpClient client = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = new PolicyConnection(client, policy); PolicyConnection.HandleRequest() ;

catch (Ausnahmefehler) (

Jedes Mal, wenn eine neue Verbindung empfangen wird, wird ein neues PolicyConnection-Objekt erstellt, um sie zu handhaben. Darüber hinaus verwaltet das PolicyConnection-Objekt eine Richtliniendatei.

Die letzte Komponente der PolicyServer-Klasse ist die Stop()-Methode, die das Warten auf Anforderungen beendet. Die Anwendung ruft es auf, wenn sie beendet wird.

private bool isStopped;

öffentliche Leere StopO(

isStopped = true;

Hörer. stoppen();

catch (Ausnahmefehler) (

Console.WriteLine (err.Message);

Der folgende Code wird in der Main()-Methode des Anwendungsservers verwendet, um den Richtlinienserver zu starten.

static void Main(String-Argumente) (

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Richtlinienserver gestartet."); Console.WriteLine("Zum Beenden die Eingabetaste drücken.");

// Warten auf einen Tastendruck; Mit der Methode // Console.ReadKey() können Sie sie so einstellen, dass sie auf eine bestimmte // Zeile wartet (z. B. beenden) oder eine beliebige Taste drückt. Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Richtlinienserver beenden.");

PolicyConnection-Klasse

Die PolicyConnection-Klasse führt eine einfachere Aufgabe aus. Das PolicyConnection-Objekt speichert einen Verweis auf Richtliniendateidaten. Nachdem die HandleRequest()-Methode aufgerufen wurde, ruft das PolicyConnection-Objekt eine neue Verbindung aus dem Netzwerkstream ab und versucht, sie zu lesen. Das Client-Gerät muss eine Zeichenfolge mit Text senden. Nach dem Lesen dieses Textes schreibt das Client-Gerät die Richtliniendaten in den Stream und schließt die Verbindung. Es folgt der Code der PolicyConnection-Klasse.

öffentliche Klasse PolicyConnection(

privater TcpClient-Client; private Byte-Richtlinie;

public PolicyConnection(TcpClient-Client, Byte-Richtlinie) (

this.client = Kunde; this.policy = Richtlinie;

// Client-Anforderung erstellen private statische Zeichenfolge policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Richtlinienabfragezeichenfolge lesen

Bytepuffer = neues Byte;

// Nur 5 Sekunden warten client.ReceiveTimeout = 5000;'

s.Read (buffer, 0, buffer.Length);

// Übergeben Sie die Richtlinie (Sie können auch überprüfen, ob die Richtlinienanforderung // den erforderlichen Inhalt hat) s.Write(policy, 0, policy.Length);

// Verbindung schließen client.Close();

Console.WriteLine("Richtliniendatei bereitgestellt.");

Wir haben also einen voll funktionsfähigen Richtlinienserver. Leider kann es noch nicht getestet werden, da das Silverlight-Add-In das explizite Anfordern von Richtliniendateien nicht zulässt. Stattdessen werden sie automatisch angefordert, wenn versucht wird, eine Socket-Anwendung zu verwenden. Bevor Sie eine Client-Anwendung für diese Socket-Anwendung erstellen können, müssen Sie einen Server erstellen.

Fortsetzung des Themas:

Neue Artikel

/

Wenn Sie Windows installieren, werden die meisten nicht wesentlichen Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, können sich Systemadministratoren darauf konzentrieren, ein System zu entwerfen, das das tut, was es tut, und nicht mehr. Damit Sie die gewünschten Funktionen aktivieren können, fordert Windows Sie auf, eine Serverrolle auszuwählen.

Rollen

Eine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Im Allgemeinen haben alle Rollen die folgenden Eigenschaften.

• Sie definieren die Hauptfunktion, den Zweck oder den Zweck der Verwendung eines Computers. Sie können einem Computer eine Rolle zuweisen, die im Unternehmen stark genutzt wird, oder mehrere Rollen übernehmen, wobei jede Rolle nur gelegentlich verwendet wird.
• Rollen geben Benutzern in der gesamten Organisation Zugriff auf Ressourcen, die von anderen Computern verwaltet werden, z. B. Websites, Drucker oder Dateien, die auf verschiedenen Computern gespeichert sind.
• Sie haben normalerweise ihre eigenen Datenbanken, die Benutzer- oder Computeranforderungen in eine Warteschlange stellen oder Informationen über Netzwerkbenutzer und Computer aufzeichnen, die einer Rolle zugeordnet sind. Beispielsweise enthält Active Directory Domain Services eine Datenbank zum Speichern der Namen und hierarchischen Beziehungen aller Computer in einem Netzwerk.
• Einmal richtig installiert und konfiguriert, funktionieren Rollen automatisch. Dadurch können die Computer, auf denen sie installiert sind, zugewiesene Aufgaben mit eingeschränkter Benutzerinteraktion ausführen.

Rollendienste

Rollendienste sind Programme, die die Funktionalität einer Rolle bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen zur Verfügung stellt. Einige Rollen, wie z. B. der DNS-Server, führen nur eine Funktion aus, sodass es für sie keine Rollendienste gibt. Andere Rollen, wie z. B. Remotedesktopdienste, verfügen über mehrere Dienste, die Sie basierend auf den Remotezugriffsanforderungen Ihres Unternehmens installieren können. Eine Rolle kann als Sammlung eng verwandter, komplementärer Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Komponenten

Komponenten sind Programme, die nicht direkt Teil von Rollen sind, aber die Funktionalität einer oder mehrerer Rollen oder des gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert das Failover-Cluster-Tool andere Rollen wie Dateidienste und DHCP-Server, indem es ihnen ermöglicht wird, Serverclustern beizutreten, was für mehr Redundanz und Leistung sorgt. Die andere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion erweitert die Kommunikationsoptionen für den Server.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverrollen unterstützt:

• Active Directory-Zertifikatsdienste;
• Active Directory-Domänendienste;
• DHCP-Server
• DNS Server;
• Dateidienste (einschließlich des Dateiserver-Ressourcenmanagers);
• Active Directory Lightweight-Verzeichnisdienste;
• Hyper-V
• Druck- und Dokumentendienste;
• Streaming-Mediendienste;
• Webserver (einschließlich einer Teilmenge von ASP.NET);
• Windows Server Update-Server;
• Active Directory-Rechteverwaltungsserver;
• Routing- und RAS-Server und die folgenden untergeordneten Rollen:
  • Remotedesktop-Verbindungsbroker;
  • Lizenzierung;
  • Virtualisierung.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverfeatures unterstützt:

• Microsoft.NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Intelligenter Hintergrundübertragungsdienst (BITS);
• BitLocker-Laufwerkverschlüsselung;
• BitLocker-Netzwerkentsperrung;
• BranchCache
• Rechenzentrumsbrücke;
• Erweiterter Speicher;
• Failover-Clustering;
• Multipath-E/A;
• Netzwerklastenausgleich;
• PNRP-Protokoll;
• qWelle;
• Remote-Differentialkomprimierung;
• einfache TCP/IP-Dienste;
• RPC über HTTP-Proxy;
• SMTP-Server;
• SNMP-Dienst;
• Telnet-Client;
• Telnet-Server;
• TFTP-Client;
• Windows-interne Datenbank;
• Windows PowerShell-Webzugriff;
• Windows-Aktivierungsdienst;
• standardisierte Windows-Speicherverwaltung;
• IIS WinRM-Erweiterung;
• WINS-Server;
• WoW64-Unterstützung.

Installieren von Serverrollen mit dem Server-Manager

Öffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü Verwalten auf Rollen und Features hinzufügen:

Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Weiter klicken

Installationstyp, wählen Sie rollenbasierte oder funktionsbasierte Installation aus. Nächste:

Serverauswahl - Wählen Sie unseren Server aus. Klicken Sie auf Next Server Roles – Select roles (Rollen auswählen, falls erforderlich), wählen Sie Role Services aus und klicken Sie auf Next (Weiter), um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Features automatisch über Konflikte auf dem Zielserver, die die Installation oder den normalen Betrieb der ausgewählten Rollen oder Features verhindern können. Sie werden auch aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind.

Rollen mit PowerShell installieren

Windows PowerShell öffnen Geben Sie den Befehl Get-WindowsFeature ein, um die Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ausgabe dieses Cmdlets enthält die Befehlsnamen für die Rollen und Features, die installiert und für die Installation verfügbar sind.

Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax und die gültigen Parameter für das Cmdlet Install-WindowsFeature (MAN) anzuzeigen.

Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn die Rolleninstallation einen Neustart erfordert).

Install-WindowsFeature –Name -Neu starten

Beschreibung von Rollen und Rollendiensten

Nachfolgend werden alle Rollen und Rollendienste beschrieben. Sehen wir uns die erweiterten Einstellungen für die gängigsten Webserverrollen und Remotedesktopdienste in unserer Praxis an.

Ausführliche Beschreibung von IIS

• Allgemeine HTTP-Funktionen - Grundlegende HTTP-Komponenten
  • Standarddokument – ​​ermöglicht Ihnen, die Indexseite für die Site festzulegen.
  • Verzeichnissuche – Ermöglicht Benutzern, den Inhalt eines Verzeichnisses auf einem Webserver anzuzeigen. Verwenden Sie die Verzeichnissuche, um automatisch eine Liste aller Verzeichnisse und Dateien in einem Verzeichnis zu erstellen, wenn Benutzer keine Datei in der URL angeben und die Indexseite deaktiviert oder nicht konfiguriert ist
  • HTTP-Fehler – ermöglicht Ihnen, die Fehlermeldungen anzupassen, die an Clients im Browser zurückgegeben werden.
  • Statischer Inhalt - ermöglicht Ihnen das Posten statischer Inhalte wie Bilder oder HTML-Dateien.
  • HTTP-Umleitung – Bietet Unterstützung für die Umleitung von Benutzeranforderungen.
  • Mit WebDAV Publishing können Sie Dateien von einem Webserver mithilfe des HTTP-Protokolls veröffentlichen.
• Zustands- und Diagnosefunktionen – Diagnosekomponenten
  • Die HTTP-Protokollierung ermöglicht die Protokollierung der Website-Aktivität für einen bestimmten Server.
  • Die benutzerdefinierte Protokollierung bietet Unterstützung für das Erstellen benutzerdefinierter Protokolle, die sich von „herkömmlichen“ Protokollen unterscheiden.
  • Protokollierungstools bieten ein Framework zum Verwalten von Webserverprotokollen und zum Automatisieren allgemeiner Protokollierungsaufgaben.
  • Die ODBC-Protokollierung stellt ein Framework bereit, das die Protokollierung von Webserveraktivitäten in einer ODBC-kompatiblen Datenbank unterstützt.
  • Request Monitor stellt ein Framework zum Überwachen des Zustands von Webanwendungen bereit, indem Informationen über HTTP-Anforderungen in einem IIS-Arbeitsprozess gesammelt werden.
  • Die Ablaufverfolgung stellt ein Framework für die Diagnose und Fehlerbehebung von Webanwendungen bereit. Durch die Verwendung der Ablaufverfolgung für fehlgeschlagene Anforderungen können Sie schwer zu findende Ereignisse wie schlechte Leistung oder Authentifizierungsfehler nachverfolgen.
• Leistungskomponenten zur Leistungssteigerung des Webservers.
  • Komprimierung statischer Inhalte bietet ein Framework zum Konfigurieren der HTTP-Komprimierung statischer Inhalte
  • Die dynamische Inhaltskomprimierung bietet ein Framework zum Konfigurieren der HTTP-Komprimierung dynamischer Inhalte.
• Sicherheitskomponenten
  • Mit der Anforderungsfilterung können Sie alle eingehenden Anforderungen erfassen und sie basierend auf vom Administrator festgelegten Regeln filtern.
  • Mit der Basisauthentifizierung können Sie zusätzliche Autorisierungen festlegen
  • Die Unterstützung zentralisierter SSL-Zertifikate ist eine Funktion, mit der Sie Zertifikate an einem zentralen Ort wie einer Dateifreigabe speichern können.
  • Die Clientzertiverwendet Clientzertifikate, um Benutzer zu authentifizieren.
  • Die Digest-Authentifizierung funktioniert, indem ein Kennwort-Hash an einen Windows-Domänencontroller gesendet wird, um Benutzer zu authentifizieren. Wenn Sie mehr Sicherheit als die einfache Authentifizierung benötigen, sollten Sie die Verwendung der Digest-Authentifizierung in Betracht ziehen
  • Die IIS-Clientzertiverwendet Clientzertifikate zum Authentifizieren von Benutzern. Das Client-Zertifikat ist eine digitale ID, die von einer vertrauenswürdigen Quelle bezogen wird.
  • IP- und Domänenbeschränkungen ermöglichen Ihnen, den Zugriff basierend auf der angeforderten IP-Adresse oder dem Domänennamen zuzulassen/zu verweigern.
  • Mit der URL-Autorisierung können Sie Regeln erstellen, die den Zugriff auf Webinhalte einschränken.
  • Windows-Authentifizierung Dieses Authentifizierungsschema ermöglicht es Windows-Domänenadministratoren, die Domäneninfrastruktur für die Benutzerauthentifizierung zu nutzen.
• Anwendungsentwicklungsfunktionen
• FTP-Server
  • FTP-Dienst Ermöglicht die FTP-Veröffentlichung auf einem Webserver.
  • FTP-Erweiterbarkeit Aktiviert die Unterstützung für FTP-Funktionen, die die Funktionalität von erweitern
• Management-Tools
  • Die IIS-Verwaltungskonsole installiert den IIS-Manager, mit dem Sie den Webserver über eine GUI verwalten können
  • IIS 6.0-Verwaltungskompatibilität bietet Aufwärtskompatibilität für Anwendungen und Skripts, die das Admin Base Object (ABO) und die Active Directory-API von Directory Service Interface (ADSI) verwenden. Dadurch können vorhandene IIS 6.0-Skripts vom IIS 8.0-Webserver verwendet werden
  • IIS-Verwaltungsskripts und -tools stellen die Infrastruktur für die programmgesteuerte Verwaltung des IIS-Webservers bereit, indem Befehle in einem Eingabeaufforderungsfenster verwendet oder Skripts ausgeführt werden.
  • Der Verwaltungsdienst stellt die Infrastruktur zum Anpassen der Benutzeroberfläche IIS-Manager bereit.

Detaillierte Beschreibung von RDS

• Remotedesktop-Verbindungsbroker – Stellt die Wiederverbindung von Clientgeräten mit Programmen basierend auf Desktop- und virtuellen Desktopsitzungen bereit.
• Remote Desktop Gateway – Ermöglicht autorisierten Benutzern, sich mit virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops in einem Unternehmensnetzwerk oder über das Internet zu verbinden.
• Remotedesktoplizenzierung – RDP-Lizenzverwaltungstool
• Remotedesktop-Sitzungshost – Enthält einen Server zum Hosten von RemoteApp-Programmen oder einer Desktop-basierten Sitzung.
• Remotedesktop-Virtualisierungshost – ermöglicht Ihnen die Konfiguration von RDP auf virtuellen Maschinen
• Remote Desktop WebAccess – Ermöglicht Benutzern das Herstellen einer Verbindung mit Desktop-Ressourcen über das Startmenü oder den Webbrowser.

Erwägen Sie die Installation und Konfiguration eines Terminallizenzservers. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir Remotedesktoplizenzierung und Remotedesktop-Sitzungshost auswählen. Nach der Installation erscheint das Terminaldienste-Element in Server Manager-Tools. Es gibt zwei Elemente in Terminal Services RD Licensing Diagnoser, dies ist ein Tool zur Diagnose des Betriebs der Remotedesktoplizenzierung, und Remotedesktoplizenzierungs-Manager, dies ist ein Lizenzverwaltungstool.

Führen Sie den RD-Lizenzierungsdiagnoser aus

Hier können wir sehen, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den RD-Sitzungshostserver nicht festgelegt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien festgelegt. Führen Sie zum Starten des Editors den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Erweitern Sie in der Baumstruktur auf der linken Seite die Registerkarten:

• Computerkonfiguration
• Administrative Vorlagen
• Windows-Komponenten
• Remotedesktopdienste
• Remotedesktop-Sitzungshost
• "Lizenzierung" (Lizenzierung)

Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver

Aktivieren Sie im Fenster zum Bearbeiten der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie einen Lizenzserver für Remotedesktopdienste definieren. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Geben Sie den Netzwerknamen oder die IP-Adresse des Lizenzservers an und klicken Sie auf OK. Wenn sich der Servername des Lizenzservers in Zukunft ändert, müssen Sie ihn im selben Abschnitt ändern.

Danach können Sie im RD Licensing Diagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Führen Sie zum Aktivieren den Remote Desktop Licensing Manager aus

Wählen Sie den Lizenzserver mit dem Status Nicht aktiviert aus. Klicken Sie zum Aktivieren mit der rechten Maustaste darauf und wählen Sie Server aktivieren. Der Server-Aktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als nächstes die Informationen über die Organisation ein, danach wird der Lizenzserver aktiviert.

Active Directory-Zertifikatsdienste

AD CS bietet konfigurierbare Dienste zum Ausstellen und Verwalten digitaler Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die öffentliche Schlüsseltechnologien verwenden. Von AD CS bereitgestellte digitale Zertifikate können verwendet werden, um elektronische Dokumente und Nachrichten zu verschlüsseln und digital zu signieren. Diese digitalen Zertifikate können verwendet werden, um Computer-, Benutzer- und Gerätekonten im Netzwerk zu authentifizieren. Digitale Zertifikate werden verwendet, um Folgendes bereitzustellen:

• Privatsphäre durch Verschlüsselung;
• Integrität durch digitale Signaturen;
• Authentifizierung durch Verknüpfen von Zertifikatschlüsseln mit Computer-, Benutzer- und Gerätekonten im Netzwerk.

AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem die Identität eines Benutzers, Geräts oder Diensts an den entsprechenden privaten Schlüssel gebunden wird. Zu den von AD CS unterstützten Anwendungen gehören sichere Mehrzweck-Internet-Mail-Standarderweiterungen (S/MIME), sichere Drahtlosnetzwerke, virtuelle private Netzwerke (VPNs), IPsec, Encrypting File System (EFS), Smartcard-Anmeldung, Sicherheits- und Transportschicht-Sicherheitsprotokoll (SSL/TLS) und digitale Signaturen.

Active Directory-Domänendienste

Mit der Serverrolle Active Directory-Domänendienste (AD DS) können Sie eine skalierbare, sichere und verwaltbare Infrastruktur zum Verwalten von Benutzern und Ressourcen erstellen. Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server bereitstellen. Active Directory-Domänendienste stellen eine verteilte Datenbank bereit, die Informationen zu Netzwerkressourcen und verzeichnisaktivierten Anwendungsdaten speichert und verwaltet. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen verschachtelten Struktur zu organisieren. Die hierarchische verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen in der Gesamtstruktur und die Organisationseinheiten in jeder Domäne. Sicherheitsfeatures sind in AD DS in Form von Authentifizierung und Zugriffssteuerung auf Ressourcen im Verzeichnis integriert. Mit Single Sign-On können Administratoren Verzeichnisinformationen und Organisation über das Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch die Netzwerk-Einzelanmeldung verwenden, um auf Ressourcen zuzugreifen, die sich irgendwo im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.

• Ein Regelsatz ist ein Schema, das die Klassen von Objekten und Attributen definiert, die in einem Verzeichnis enthalten sind, die Beschränkungen und Beschränkungen für Instanzen dieser Objekte und das Format ihrer Namen.
• Ein globaler Katalog, der Informationen zu jedem Objekt im Katalog enthält. Benutzer und Administratoren können den globalen Katalog verwenden, um nach Katalogdaten zu suchen, unabhängig davon, welche Domäne im Katalog die gesuchten Daten tatsächlich enthält.
• Ein Abfrage- und Indizierungsmechanismus, durch den Objekte und ihre Eigenschaften von Netzwerkbenutzern und -anwendungen veröffentlicht und gefunden werden können.
• Ein Replikationsdienst, der Verzeichnisdaten über ein Netzwerk verteilt. Alle beschreibbaren Domänencontroller in der Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisdaten für ihre Domäne. Alle Änderungen an Verzeichnisdaten werden in der Domäne auf alle Domänencontroller repliziert.
• Betriebsmasterrollen (auch bekannt als Flexible Single Master Operations oder FSMOs). Domänencontroller, die als Master of Operations fungieren, sind darauf ausgelegt, spezielle Aufgaben auszuführen, um die Datenkonsistenz sicherzustellen und widersprüchliche Verzeichniseinträge zu vermeiden.

Active Directory-Verbunddienste

AD FS bietet Endbenutzern, die Zugriff auf Anwendungen in einem AD FS-gesicherten Unternehmen, in Verbundpartnerorganisationen oder in der Cloud benötigen, einen vereinfachten und sicheren Identitätsverbund und SSO-Webdienste (Single Sign-On).Windows Server AD FS umfasst a Rollendienst Verbunddienst, der als Identitätsanbieter fungiert (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen).

Active Directory Lightweight-Verzeichnisdienste

Active Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das Verzeichnisanwendungen ohne die Abhängigkeiten und domänenspezifischen Einschränkungen der Active Directory-Domänendienste flexibel unterstützt. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS mit unabhängig verwalteten Schemas auf demselben Server ausführen. Mit der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne Domänen- und Gesamtstrukturdienstdaten zu verwenden und ohne ein einziges gesamtstrukturweites Schema zu benötigen.

Active Directory-Rechteverwaltungsdienste

Sie können AD RMS verwenden, um die Sicherheitsstrategie Ihrer Organisation zu erweitern, indem Sie Dokumente mithilfe von Information Rights Management (IRM) sichern. AD RMS ermöglicht es Benutzern und Administratoren, mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuzuweisen. Dadurch können Sie vertrauliche Informationen vor dem Drucken, Weiterleiten oder Kopieren durch unbefugte Benutzer schützen. Sobald die Berechtigungen einer Datei mithilfe von IRM eingeschränkt wurden, gelten Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen, da die Berechtigung der Datei in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen Präferenzen bezüglich der Übertragung persönlicher und vertraulicher Informationen anwenden. Sie helfen einer Organisation auch dabei, Unternehmensrichtlinien durchzusetzen, um die Verwendung und Verbreitung sensibler und persönlicher Informationen zu kontrollieren. Die von AD RMS unterstützten IRM-Lösungen werden verwendet, um die folgenden Funktionen bereitzustellen.

• Persistente Nutzungsrichtlinien, die Informationen enthalten, unabhängig davon, ob sie verschoben, gesendet oder weitergeleitet werden.
• Eine zusätzliche Datenschutzebene zum Schutz vertraulicher Daten – wie Berichte, Produktspezifikationen, Kundeninformationen und E-Mail-Nachrichten – davor, absichtlich oder versehentlich in die falschen Hände zu geraten.
• Verhindern Sie unbefugtes Senden, Kopieren, Bearbeiten, Drucken, Faxen oder Einfügen von eingeschränkten Inhalten durch autorisierte Empfänger.
• Verhindern Sie das Kopieren eingeschränkter Inhalte mit der Funktion BILDSCHIRM DRUCKEN in Microsoft Windows.
• Unterstützung für den Ablauf von Dateien, wodurch verhindert wird, dass Dokumentinhalte nach einem bestimmten Zeitraum angezeigt werden.
• Implementieren Sie Unternehmensrichtlinien, die die Nutzung und Verteilung von Inhalten innerhalb der Organisation regeln

Anwendungsserver

Application Server bietet eine integrierte Umgebung zum Bereitstellen und Ausführen benutzerdefinierter serverbasierter Geschäftsanwendungen.

DHCP-Server

DHCP ist eine Client-Server-Technologie, die es DHCP-Servern ermöglicht, Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuzuweisen oder zu leasen.Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden Clientcomputern und anderen Netzwerkgeräten automatisch basierend auf IPv4 und IPv6 gültige IP-Adressen bereitgestellt und zusätzliche Konfigurationseinstellungen, die von diesen Clients und Geräten benötigt werden.Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Failover.

DNS Server

Der DNS-Dienst ist eine hierarchisch verteilte Datenbank, die Zuordnungen von DNS-Domänennamen zu verschiedenen Datentypen wie IP-Adressen enthält. Mit dem DNS-Dienst können Sie Anzeigenamen wie www.microsoft.com verwenden, um Computer und andere Ressourcen in TCP/IP-basierten Netzwerken zu finden. Der DNS-Dienst in Windows Server bietet weiter verbesserte Unterstützung für DNS-Sicherheitsmodule (DNSSEC), einschließlich Netzwerkregistrierung und automatisierter Einstellungsverwaltung.

FAX-Server

Der Faxserver sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf Ihrem Faxserver.

Datei- und Speicherdienste

Administratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und ihre Speicher einzurichten und diese Server mit dem Server-Manager oder Windows PowerShell zu verwalten. Einige spezifische Anwendungen umfassen die folgenden Merkmale.

• Arbeitsordner. Verwenden Sie diese Option, um Benutzern das Speichern und Zugreifen auf Arbeitsdateien auf PCs und anderen Geräten als Unternehmens-PCs zu ermöglichen. Benutzer erhalten einen bequemen Ort, um Arbeitsdateien zu speichern und von überall darauf zuzugreifen. Organisationen kontrollieren Unternehmensdaten, indem sie Dateien auf zentral verwalteten Dateiservern speichern und optional Richtlinien für Benutzergeräte festlegen (z. B. Verschlüsselung und Kennwörter für die Bildschirmsperre).
• Datendeduplizierung. Wird verwendet, um den Speicherplatzbedarf zum Speichern von Dateien zu reduzieren und Geld für die Speicherung zu sparen.
• iSCSI-Zielserver. Wird verwendet, um zentralisierte, software- und geräteunabhängige iSCSI-Festplattensubsysteme in Storage Area Networks (SANs) zu erstellen.
• Speicherplatz. Zur Bereitstellung von hochverfügbarem, robustem und skalierbarem Speicher mit kostengünstigen Laufwerken nach Industriestandard.
• Server Administrator. Zur Fernverwaltung mehrerer Dateiserver von einem einzigen Fenster aus.
• Windows PowerShell. Wird verwendet, um die Verwaltung der meisten Dateiserver-Verwaltungsaufgaben zu automatisieren.

Hyper-V

Mit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Beim Installieren der Hyper-V-Rolle werden Voraussetzungen und optionale Verwaltungstools installiert. Zu den Voraussetzungen gehören der Windows-Hypervisor, der Hyper-V Virtual Machine Management Service, der WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualization Service Provider (VSP) und Virtual Infrastructure Driver (VID).

Netzwerkrichtlinie und Zugriffsdienste

Network Policy and Access Services bietet die folgenden Netzwerkkonnektivitätslösungen:

• Network Access Protection ist eine Technologie zum Erstellen, Durchsetzen und Korrigieren von Clientintegritätsrichtlinien. Mit Network Access Protection können Systemadministratoren Integritätsrichtlinien festlegen und automatisch durchsetzen, die Anforderungen für Software, Sicherheitsupdates und andere Einstellungen enthalten. Für Clientcomputer, die die Integritätsrichtlinie nicht einhalten, können Sie den Zugriff auf das Netzwerk einschränken, bis ihre Konfiguration aktualisiert wurde, um den Anforderungen der Richtlinie zu entsprechen.
• Wenn 802.1X-fähige drahtlose Zugriffspunkte bereitgestellt werden, können Sie den Netzwerkrichtlinienserver (NPS) verwenden, um zertifikatbasierte Authentifizierungsmethoden bereitzustellen, die sicherer sind als die kennwortbasierte Authentifizierung. Durch die Bereitstellung von 802.1X-fähiger Hardware mit einem NPS-Server können Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung mit dem Netzwerk herstellen oder eine IP-Adresse von einem DHCP-Server abrufen können.
• Anstatt eine Netzwerkzugriffsrichtlinie auf jedem Netzwerkzugriffsserver zu konfigurieren, können Sie alle Richtlinien zentral erstellen, die alle Aspekte von Netzwerkverbindungsanforderungen definieren (wer eine Verbindung herstellen kann, wann eine Verbindung zulässig ist, die Sicherheitsstufe, die zum Herstellen einer Verbindung mit dem Netzwerk verwendet werden muss ).

Druck- und Dokumentenservice

Mit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben hochladen – auf eine Windows SharePoint Services-Site oder per E-Mail.

Fernzugriff

Die Remote Access Server-Rolle ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.

• Direkter Zugang
• Routing und Fernzugriff
• Webanwendungsproxy

Diese Technologien sind Rollendienste RAS-Serverrolle. Wenn Sie die RAS-Serverrolle installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Features ausführen.

Unter Windows Server bietet die Remote Access Server-Rolle die Möglichkeit, DirectAccess und VPN mit RRAS-Remotezugriffsdiensten (Routing and Remote Access Service) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edgeserver bereitgestellt und mithilfe von Windows PowerShell-Befehlen und der Remote Access Management Console (MMC) verwaltet werden.

Remotedesktopdienste

Remote Desktop Services beschleunigt und erweitert die Bereitstellung von Desktops und Anwendungen auf jedem Gerät, macht den Remote-Mitarbeiter effizienter, schützt gleichzeitig wichtiges geistiges Eigentum und vereinfacht die Compliance. Remote Desktop Services umfassen Virtual Desktop Infrastructure (VDI), sitzungsbasierte Desktops und Anwendungen, die es Benutzern ermöglichen, von überall aus zu arbeiten.

Volumenaktivierungsdienste

Volume License Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung und Verwaltung von Volumenlizenzen für Microsoft-Software in verschiedenen Szenarien und Umgebungen automatisiert und vereinfacht. Zusammen mit Volume License Activation Services können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren.

Webserver (IIS)

Die Rolle Webserver (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Die Verwendung eines Webservers bietet Benutzern Zugriff auf Informationen im Internet, Intranet und Extranet. Administratoren können die Rolle Webserver (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites einzurichten und zu verwalten. Zu den Besonderheiten gehören die folgenden.

• Verwenden Sie den Internet Information Services (IIS) Manager, um IIS-Komponenten zu konfigurieren und Websites zu verwalten.
• Verwenden des FTP-Protokolls, um Website-Eigentümern das Hoch- und Herunterladen von Dateien zu ermöglichen.
• Verwenden der Website-Isolierung, um zu verhindern, dass eine Website auf dem Server andere beeinträchtigt.
• Anpassung von Webanwendungen, die mit verschiedenen Technologien wie Classic ASP, ASP.NET und PHP entwickelt wurden.
• Verwenden Sie Windows PowerShell, um die meisten Verwaltungsaufgaben für Webserver automatisch zu verwalten.
• Konsolidieren Sie mehrere Webserver in einer Serverfarm, die mit IIS verwaltet werden kann.

Windows-Bereitstellungsdienste

Mit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen.

Windows Server Essentials-Erfahrung

Mit dieser Rolle können Sie die folgenden Aufgaben ausführen:

• Server- und Client-Daten schützen, indem der Server und alle Client-Computer im Netzwerk gesichert werden;
• Verwalten Sie Benutzer und Benutzergruppen über ein vereinfachtes Server-Dashboard. Darüber hinaus bietet die Integration mit Windows Azure Active Directory* Benutzern einfachen Zugriff auf Online-Microsoft Online-Dienste (wie Office 365, Exchange Online und SharePoint Online) mit ihren Domänenanmeldeinformationen;
• Unternehmensdaten an einem zentralen Ort speichern;
• Integrieren Sie den Server in Microsoft Online Services (wie Office 365, Exchange Online, SharePoint Online und Windows Intune):
• Allgegenwärtige Zugriffsfunktionen auf dem Server (wie Remote-Webzugriff und virtuelle private Netzwerke) verwenden, um von hochsicheren Remote-Standorten aus auf den Server, Netzwerkcomputer und Daten zuzugreifen;
• Zugriff auf Daten von überall und von jedem Gerät über das eigene Webportal der Organisation (über Remote-Webzugriff);
• Verwalten Sie die mobilen Geräte, die mit Office 365 über das Active Sync-Protokoll vom Dashboard aus auf die E-Mails Ihrer Organisation zugreifen;
• den Netzwerkzustand überwachen und anpassbare Zustandsberichte erhalten; Berichte können bei Bedarf generiert, angepasst und per E-Mail an bestimmte Empfänger gesendet werden.

Windows Server-Update-Dienste

Der WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Quelle von Updates für andere WSUS-Server in der Organisation sein. Bei der Implementierung von WSUS muss mindestens ein WSUS-Server im Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von der Sicherheit und Konfiguration des Netzwerks kann ein Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind.

GPResult-Dienstprogramm.exe– ist eine Konsolenanwendung zum Analysieren von Einstellungen und Diagnostizieren von Gruppenrichtlinien, die auf einen Computer und/oder Benutzer in einer Active Directory-Domäne angewendet werden. Insbesondere können Sie mit GPResult Daten aus dem resultierenden Richtliniensatz (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), ihre Einstellungen und detaillierte Informationen zu ihren Verarbeitungsfehlern abrufen. Das Dienstprogramm ist seit den Tagen von Windows XP Teil des Windows-Betriebssystems. Mit dem Dienstprogramm GPResult können Sie Fragen beantworten, z. B. ob eine bestimmte Richtlinie für einen Computer gilt, welches GPO eine bestimmte Windows-Einstellung geändert hat, und die Gründe dafür herausfinden.

In diesem Artikel sehen wir uns die Besonderheiten der Verwendung des GPResult-Befehls an, um die Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne zu diagnostizieren und zu debuggen.

Um die Anwendung von Gruppenrichtlinien in Windows zu diagnostizieren, wurde zunächst die grafische Konsole RSOP.msc verwendet, die es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in ähnlicher grafischer Form zu erhalten die GPO-Editor-Konsole (unten sehen Sie im Beispiel der RSOP.msc-Konsolenansicht, dass die Update-Einstellungen festgelegt sind).

Allerdings ist die RSOP.msc-Konsole in modernen Windows-Versionen nicht praktisch zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSE) wie GPP (Gruppenrichtlinieneinstellungen) angewendet werden, lässt keine Suche zu und bietet wenig Diagnoseinformationen. Daher ist derzeit der GPResult-Befehl das Hauptwerkzeug zur Diagnose der Verwendung von GPO in Windows (in Windows 10 gibt es sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert).

Verwenden des Dienstprogramms GPResult.exe

Der GPResult-Befehl wird auf dem Computer ausgeführt, auf dem Sie die Anwendung von Gruppenrichtlinien testen möchten. Der GPResult-Befehl hat die folgende Syntax:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Führen Sie den folgenden Befehl aus, um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) und andere Einstellungen im Zusammenhang mit der GPO-Infrastruktur gelten (d. h. die resultierenden GPO-Richtlinieneinstellungen - RsoP):

Die Ergebnisse der Befehlsausführung sind in 2 Abschnitte unterteilt:

• COMPUTER EINSTELLUNGEN (Computerkonfiguration) – der Abschnitt enthält Informationen über GPO-Objekte, die den Computer betreffen (als Active Directory-Objekt);
• BENUTZER EINSTELLUNGEN – Benutzerabschnitt von Richtlinien (Richtlinien, die für ein Benutzerkonto in AD gelten).

Gehen wir kurz auf die wichtigsten Parameter/Abschnitte ein, die für uns in der GPResult-Ausgabe von Interesse sein könnten:

• GrundstückName(Site-Name:) - der Name der AD-Site, in der sich der Computer befindet;
• CN– Vollständiger kanonischer Benutzer/Computer, für den die RSoP-Daten generiert wurden;
• ZuletztZeitGruppePolitikWarangewandt(Zuletzt angewendete Gruppenrichtlinie) – der Zeitpunkt, zu dem Gruppenrichtlinien zuletzt angewendet wurden;
• GruppePolitikWarangewandtaus(Gruppenrichtlinie wurde angewendet von) – der Domänencontroller, von dem die neueste Version des Gruppenrichtlinienobjekts geladen wurde;
• DomainNameund DomäneTyp(Domänenname, Domänentyp) – Name und Version des Active Directory-Domänenschemas;
• AngewandtGruppePolitikObjekte(Angewandte GPOs)– Listen aktiver Gruppenrichtlinienobjekte;
• DerfolgendeGPOswarnichtangewandtWeilSiewargefiltertaus(Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie gefiltert wurden) - nicht angewendete (gefilterte) GPOs;
• DerBenutzer/ComputerIstATeilvonDiefolgendeSicherheitGruppen(Der Benutzer/Computer ist Mitglied der folgenden Sicherheitsgruppen) – Domänengruppen, denen der Benutzer angehört.

In unserem Beispiel sehen Sie, dass das Benutzerobjekt von 4 Gruppenrichtlinien betroffen ist.

• Standarddomänenrichtlinie;
• Windows-Firewall aktivieren;
• DNS-Suffix-Suchliste

Wenn Sie nicht möchten, dass die Konsole gleichzeitig Informationen zu Benutzerrichtlinien und Computerrichtlinien anzeigt, können Sie die Option /scope verwenden, um nur den Abschnitt anzuzeigen, an dem Sie interessiert sind. Nur resultierende Benutzerrichtlinien:

gpresult /r /scope:Benutzer

oder nur angewendete Computerrichtlinien:

gpresult /r /scope:computer

Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer bequem ist; seine Ausgabe kann in die Zwischenablage umgeleitet werden:

gpresult /r |clip

oder Textdatei:

gpresult /r > c:\gpresult.txt

Um sehr detaillierte RSOP-Informationen anzuzeigen, fügen Sie den Schalter /z hinzu.

HTML-RSOP-Bericht mit GPResult

Darüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht zu den angewendeten Ergebnisrichtlinien generieren (verfügbar in Windows 7 und höher). Dieser Bericht enthält detaillierte Informationen zu allen Systemeinstellungen, die von Gruppenrichtlinien festgelegt werden, sowie die Namen bestimmter GPOs, die diese festlegen (der resultierende Bericht zur Struktur ähnelt der Registerkarte „Einstellungen“ in der Domänengruppenrichtlinien-Verwaltungskonsole – GPMC). Mit dem folgenden Befehl können Sie einen HTML-GPResult-Bericht generieren:

GPResult /h c:\gp-report\report.html /f

Führen Sie den folgenden Befehl aus, um einen Bericht zu generieren und automatisch in einem Browser zu öffnen:

GPResult /h GPResult.html & GPResult.html

Der HTML-Bericht von gpresult enthält viele nützliche Informationen: GPO-Anwendungsfehler, Verarbeitungszeit (in ms) und Anwendung bestimmter Richtlinien und CSE (im Abschnitt Computerdetails -> Komponentenstatus) sind sichtbar. Im obigen Screenshot können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen 24 Passwörter merken von der Standarddomänenrichtlinie (Spalte Gewinner-GPO) angewendet wird. Wie Sie sehen können, ist ein solcher HTML-Bericht viel bequemer für die Analyse angewendeter Richtlinien als die rsop.msc-Konsole.

Abrufen von GPResult-Daten von einem Remote-Computer

GPResult kann auch Daten von einem entfernten Computer sammeln, sodass sich ein Administrator nicht mehr lokal oder per RDP bei einem entfernten Computer anmelden muss. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remote-Computer lautet wie folgt:

GPResult /s server-ts1 /r

Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien remote erfassen.

Benutzername hat keine RSOP-Daten

Wenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Rechte nur die Einstellungen für den benutzerdefinierten Abschnitt der Gruppenrichtlinie angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn sich die Eingabeaufforderung mit erhöhten Rechten auf einem anderen System als dem aktuellen Benutzer befindet, gibt das Dienstprogramm eine Warnung aus DIE INFO: DerBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ hat keine RSOP-Daten). Dies liegt daran, dass GPResult versucht, Informationen für den Benutzer zu sammeln, der es ausgeführt hat, aber weil Dieser Benutzer hat sich nicht am System angemeldet und es sind keine RSOP-Informationen für diesen Benutzer verfügbar. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben:

gpresult /r /user:tn\edward

Wenn Sie den Namen des Kontos nicht kennen, das auf dem Remote-Computer angemeldet ist, können Sie das Konto wie folgt abrufen:

qwinsta /SERVER:remotePC1

Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen.

Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurden

Beachten Sie bei der Problembehandlung von Gruppenrichtlinien auch den Abschnitt: Die folgenden GPOs wurden nicht angewendet, weil sie herausgefiltert wurden (Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie herausgefiltert wurden). Dieser Abschnitt zeigt eine Liste von GPOs an, die aus dem einen oder anderen Grund nicht auf dieses Objekt zutreffen. Mögliche Optionen, für die die Richtlinie möglicherweise nicht gilt:

Auf der Registerkarte Effektive Berechtigungen (Erweitert -> Effektiver Zugriff) können Sie auch nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll.

Daher haben wir in diesem Artikel die Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mit dem Dienstprogramm GPResult und typische Szenarien für seine Verwendung überprüft.

Vorlesung 4 Netzwerkrichtlinienserver: RADIUS-Server, RADIUS-Proxy und Sicherheitsrichtlinienserver

Vortrag 4

Thema: Netzwerkrichtlinienserver: RADIUS-Server, RADIUS-Proxy und Netzwerkzugriffsschutz-Richtlinienserver

Einführung

Windows Server 2008 und Windows Server 2008 R2 sind fortschrittliche Windows Server-Betriebssysteme, die entwickelt wurden, um eine neue Generation von Netzwerken, Anwendungen und Webdiensten zu unterstützen. Mit diesen Betriebssystemen können Sie flexible und allgegenwärtige Benutzer- und Anwendungserfahrungen entwerfen, bereitstellen und verwalten, hochsichere Netzwerkinfrastrukturen aufbauen und die technologische Effizienz und Organisation in Ihrem Unternehmen verbessern.

Netzwerkrichtlinienserver

Mit Network Policy Server können Sie unternehmensweite Netzwerkzugriffsrichtlinien erstellen und durchsetzen, um die Clientintegrität sicherzustellen und Verbindungsanforderungen zu authentifizieren und zu autorisieren. Sie können NPS auch als RADIUS-Proxy verwenden, um Verbindungsanforderungen an NPS oder andere RADIUS-Server weiterzuleiten, die in Remote-RADIUS-Servergruppen konfiguriert sind.

Mit dem Netzwerkrichtlinienserver können Sie über die folgenden drei Optionen die Authentifizierung, Autorisierung und Integritätsrichtlinien für den Client-Netzwerkzugriff zentral konfigurieren und verwalten:

Radius-Server. NPS verarbeitet zentral die Authentifizierung, Autorisierung und Abrechnung für drahtlose Verbindungen, authentifizierte Switch-Verbindungen, DFÜ-Verbindungen und VPN-Verbindungen (Virtual Private Network). Bei Verwendung von NPS als RADIUS-Server werden Netzwerkzugriffsserver wie drahtlose Zugriffspunkte und VPN-Server als RADIUS-Clients auf NPS konfiguriert. Es konfiguriert auch die Netzwerkrichtlinien, die NPS verwendet, um Verbindungsanforderungen zu autorisieren. Darüber hinaus können Sie die RADIUS-Kontoführung so konfigurieren, dass die Informationen von NPS protokolliert werden, um Dateien zu protokollieren, die auf einer lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank gespeichert sind.

RADIUS-Proxy. Wenn NPS als RADIUS-Proxy verwendet wird, müssen Sie Vekonfigurieren, die bestimmen, welche Verbindungsanforderungen NPS an andere RADIUS-Server weiterleitet und welche spezifischen RADIUS-Server diese Anforderungen weiterleiten. NPS kann auch so konfiguriert werden, dass Anmeldeinformationen umgeleitet werden, die auf einem oder mehreren Computern in einer Remote-RADIUS-Servergruppe gespeichert werden sollen.

Richtlinienserver für den Netzwerkzugriffsschutz (NAP). Wenn NPS als NAP-Richtlinienserver konfiguriert ist, wertet NPS die Integritätszustände aus, die von NAP-fähigen Clientcomputern gesendet werden, die versuchen, eine Verbindung mit dem Netzwerk herzustellen. Ein mit Netzwerkzugriffsschutz konfigurierter Netzwerkrichtlinienserver fungiert als RADIUS-Server, der Verbindungsanforderungen authentifiziert und autorisiert. Mit dem Netzwerkrichtlinienserver können Sie Richtlinien und Einstellungen für den Netzwerkzugriffsschutz konfigurieren, einschließlich Systemintegritätsprüfungen, Integritätsrichtlinien und Aktualisierungsservergruppen, die sicherstellen, dass Clientcomputer gemäß der Netzwerkrichtlinie der Organisation aktualisiert werden.

Sie können eine beliebige Kombination der oben aufgeführten Funktionen auf dem Netzwerkrichtlinienserver konfigurieren. Beispielsweise kann NPS mit einer oder mehreren Erzwingungsmethoden als NAP-Richtlinienserver fungieren, während er als RADIUS-Server für DFÜ-Verbindungen und als RADIUS-Proxy fungiert, um einige Verbindungsanforderungen an eine Gruppe von Remote-RADIUS-Servern weiterzuleiten, was Authentifizierung und Autorisierung in einer anderen Domäne.

RADIUS-Server und RADIUS-Proxy

NPS kann als RADIUS-Server, RADIUS-Proxy oder beides verwendet werden.

Radius-Server

Microsoft NPS ist gemäß dem RADIUS-Standard implementiert, der in IETF RFC 2865 und RFC 2866 beschrieben ist. Als RADIUS-Server führt NPS zentral die Authentifizierung, Autorisierung und Verbindungsabrechnung für verschiedene Arten des Netzwerkzugriffs durch, einschließlich drahtloser Zugriff, Switching mit Authentifizierung, Einwahl -up- und VPN-Zugriff sowie Verbindungen zwischen Routern.

Mit Network Policy Server können Sie eine heterogene Gruppe von Geräten für drahtlosen Zugriff, Fernzugriff, VPN-Netzwerke und Schalten. Network Policy Server kann mit dem Routing- und RAS-Dienst verwendet werden, der auf den Betriebssystemen Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition und Windows Server 2003, Datacenter Edition verfügbar ist.

Wenn der NPS-Computer Mitglied einer Active Directory®-Domäne ist, verwendet NPS diesen Verzeichnisdienst als seine Benutzerkontendatenbank und ist Teil der Single-Sign-On-Lösung. Derselbe Satz von Anmeldeinformationen wird verwendet, um den Netzwerkzugriff zu steuern (Netzwerkzugriff zu authentifizieren und zu autorisieren) und um sich bei einer Active Directory-Domäne anzumelden.

ISPs und Organisationen, die Netzwerkzugang bereitstellen, stehen vor den komplexeren Herausforderungen der Verwaltung aller Arten von Netzwerken von einem einzigen Administrationspunkt aus, unabhängig von der verwendeten Netzwerkzugangsausrüstung. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch in heterogenen Umgebungen. Das RADIUS-Protokoll ist ein Client/Server-Protokoll, das es Netzwerkzugangsgeräten (die als RADIUS-Clients fungieren) ermöglicht, Authentifizierungs- und Abrechnungsanforderungen an einen RADIUS-Server zu senden.

Der RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann Anmeldeinformationen validieren, wenn er sich authentifiziert, um Netzwerkzugriff zu gewähren. Wenn die Anmeldeinformationen des Benutzers authentisch und der Verbindungsversuch autorisiert ist, autorisiert der RADIUS-Server den Zugriff dieses Benutzers basierend auf den angegebenen Bedingungen und protokolliert die Verbindungsinformationen. Die Verwendung des RADIUS-Protokolls ermöglicht das Sammeln und Verwalten von Authentifizierungs-, Autorisierungs- und Abrechnungsinformationen an einem einzigen Ort, anstatt auf jedem Zugriffsserver durchgeführt zu werden.

RADIUS-Proxy

Als RADIUS-Proxy leitet NPS Authentifizierungs- und Abrechnungsnachrichten an andere RADIUS-Server weiter.

Mit NPS können Unternehmen ihre Fernzugriffsinfrastruktur an einen Dienstanbieter auslagern und gleichzeitig die Kontrolle über die Benutzerauthentifizierung, -autorisierung und -abrechnung behalten.

NPS-Konfigurationen können für die folgenden Szenarien erstellt werden:

Kabelloser Zugang

Eine DFÜ- oder virtuelle private Netzwerkverbindung in einer Organisation.

Fernzugriff oder drahtloser Zugriff, der von einer externen Organisation bereitgestellt wird

Internet Zugang

Authentifizierter Zugriff auf externe Netzwerkressourcen für Geschäftspartner

Konfigurationsbeispiele für RADIUS-Server und RADIUS-Proxy

Die folgenden Konfigurationsbeispiele zeigen, wie NPS als RADIUS-Server und RADIUS-Proxy konfiguriert wird.

NPS als RADIUS-Server. In diesem Beispiel ist NPS als RADIUS-Server konfiguriert, die einzige konfigurierte Richtlinie ist die Standardrichtlinie für Verbindungsanforderungen, und alle Verbindungsanforderungen werden vom lokalen NPS verarbeitet. NPS kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des Servers oder in vertrauenswürdigen Domänen befinden.

NPS als RADIUS-Proxy. In diesem Beispiel ist NPS als RADIUS-Proxy konfiguriert, der Verbindungsanforderungen an Gruppen von Remote-RADIUS-Servern in zwei verschiedenen nicht vertrauenswürdigen Domänen weiterleitet. Die standardmäßige Vwird entfernt und durch zwei neue Veersetzt, die Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen umleiten. In diesem Beispiel verarbeitet NPS keine Verbindungsanforderungen auf dem lokalen Server.

NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy. Zusätzlich zur standardmäßigen Verbindungsanforderungsrichtlinie, die Anforderungen lokal verarbeitet, wird eine neue Verstellt, um sie an NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne umzuleiten. Die zweite Richtlinie heißt Proxy. In diesem Beispiel wird die Proxy-Richtlinie zuerst in der geordneten Liste der Richtlinien angezeigt. Wenn die Verbindungsanforderung mit der „Proxy“-Richtlinie übereinstimmt, gestellte Anfrage auf der Verbindung wird an den RADIUS-Server in der Remote-RADIUS-Servergruppe umgeleitet. Wenn eine Verbindungsanforderung nicht mit der Proxyrichtlinie, aber mit der Standardrichtlinie für Verbindungsanforderungen übereinstimmt, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server. Wenn eine Verbindungsanforderung keiner dieser Richtlinien entspricht, wird sie abgelehnt.

NPS als RADIUS-Server mit Remote-Accounting-Servern. In diesem Beispiel ist der lokale NPS nicht für die Kontoführung konfiguriert, und die standardmäßige Vwird so geändert, dass RADIUS-Kontoführungsnachrichten an NPS oder einen anderen RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet werden. Obwohl Abrechnungsnachrichten weitergeleitet werden, werden Authentifizierungs- und Autorisierungsnachrichten nicht weitergeleitet, und die entsprechende Funktionalität für die lokale Domäne und alle vertrauenswürdigen Domänen wird vom lokalen NPS verarbeitet.

NPS mit Remote-RADIUS-zu-Windows-Benutzerzuordnung. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung und leitet die Authentifizierungsanforderung an einen Remote-RADIUS-Server um, während die Autorisierung über ein lokales Windows-Benutzerkonto erfolgt. Diese Konfiguration wird implementiert, indem das Remote-RADIUS-Server-Mapping zum Windows-Benutzerattribut als Bedingung der Vfestgelegt wird. (Außerdem müssen Sie auf dem RADIUS-Server ein lokales Benutzerkonto mit demselben Namen wie das Remote-Konto erstellen, gegen das sich der Remote-RADIUS-Server authentifiziert.)

Richtlinienserver für den Netzwerkzugriffsschutz

Die Komponente Netzwerkzugriffsschutz ist enthalten in Windows Vista®, Windows® 7, Windows Server® 2008 und Windows Server® 2008 R2. Es trägt zum Schutz des Zugriffs auf private Netzwerke bei, indem sichergestellt wird, dass Clientcomputer die im Netzwerk der Organisation geltenden Integritätsrichtlinien einhalten, wenn diesen Clients der Zugriff auf Netzwerkressourcen gewährt wird. Darüber hinaus wird die Einhaltung einer vom Administrator definierten Integritätsrichtlinie durch den Netzwerkzugriffsschutz überwacht, während der Clientcomputer mit dem Netzwerk verbunden ist. Mit der Möglichkeit, den Netzwerkzugriffsschutz automatisch zu aktualisieren, können nicht konforme Computer gemäß der Integritätsrichtlinie automatisch aktualisiert werden, sodass ihnen später Zugriff auf das Netzwerk gewährt werden kann.

Systemadministratoren definieren Netzwerkintegritätsrichtlinien und erstellen diese Richtlinien mithilfe von NAP-Komponenten, die von NPS erhältlich sind oder von anderen Unternehmen bereitgestellt werden (je nach NAP-Implementierung).

Integritätsrichtlinien können Eigenschaften wie Softwareanforderungen, Sicherheitsupdateanforderungen und Anforderungen an Konfigurationseinstellungen aufweisen. Der Netzwerkzugriffsschutz erzwingt Integritätsrichtlinien, indem er den Zustand von Clientcomputern überprüft und auswertet, den Netzwerkzugriff auf Computer beschränkt, die diese Anforderungen nicht erfüllen, und diese Inkonsistenz korrigiert, um uneingeschränkten Netzwerkzugriff bereitzustellen.

Bevor Sie einen Socket-Server entwickeln, müssen Sie einen Policy-Server erstellen, der Silverlight mitteilt, welche Clients sich mit dem Socket-Server verbinden dürfen.

Wie oben gezeigt, erlaubt Silverlight nicht das Laden von Inhalten oder das Aufrufen eines Webdienstes, wenn die Domäne keine clientaccesspolicy .xml- oder domänenübergreifende Datei hat. xml, wo diese Operationen ausdrücklich erlaubt sind. Eine ähnliche Einschränkung gilt für den Socket-Server. Wenn Sie dem Clientgerät nicht erlauben, die XML-Datei clientaccesspolicy herunterzuladen, die den Remotezugriff ermöglicht, verweigert Silverlight den Verbindungsaufbau.

Leider Bereitstellung einer clientaccesspolicy. cml in eine Socket-Anwendung ist eine größere Herausforderung als die Bereitstellung über eine Website. Wenn Sie eine Website verwenden, stellt die Webserver-Software möglicherweise eine XML-Datei für die Clientzugriffsrichtlinie bereit. Denken Sie nur daran, sie hinzuzufügen. Gleichzeitig müssen Sie bei Verwendung einer Socket-Anwendung einen Socket öffnen, auf den Client-Anwendungen mit Richtlinienanforderungen zugreifen können. Außerdem müssen Sie den Code, der den Socket bedient, manuell erstellen. Um diese Aufgaben auszuführen, müssen Sie einen Richtlinienserver erstellen.

Im Folgenden werden wir zeigen, dass der Richtlinienserver genauso funktioniert wie der Nachrichtenserver, er handhabt nur etwas einfachere Interaktionen. Nachrichtenserver und Richtlinien können separat erstellt oder in einer Anwendung kombiniert werden. Im zweiten Fall müssen sie auf Anfragen in verschiedenen Threads lauschen. In diesem Beispiel erstellen wir einen Richtlinienserver und kombinieren ihn dann mit einem Nachrichtenserver.

Um einen Richtlinienserver zu erstellen, müssen Sie zunächst eine .NET-Anwendung erstellen. Jede Art von .NET-Anwendung kann als Richtlinienserver dienen. Der einfachste Weg ist die Verwendung einer Konsolenanwendung. Nachdem Sie Ihre Konsolenanwendung debuggt haben, können Sie Ihren Code in einen Windows-Dienst verschieben, sodass er ständig im Hintergrund ausgeführt wird.

Richtliniendatei

Es folgt die Richtliniendatei, die vom Richtlinienserver bereitgestellt wird.

Die Richtliniendatei definiert drei Regeln.

Ermöglicht den Zugriff auf alle Ports von 4502 bis 4532 (dies ist die gesamte Bandbreite an Ports, die vom Silverlight-Add-on unterstützt werden). Um den Bereich der verfügbaren Ports zu ändern, ändern Sie den Wert des Port-Attributs des Elements.

Ermöglicht den TCP-Zugriff (die Berechtigung ist im Protokollattribut des Elements definiert).

Ermöglicht einen Anruf von jeder Domäne. Daher kann eine Silverlight-Anwendung, die eine Verbindung herstellt, von jeder Website gehostet werden. Um diese Regel zu ändern, müssen Sie das uri-Attribut des Elements bearbeiten.

Zur Vereinfachung werden die Richtlinienregeln in der Datei clientaccess-ploi.cy.xml abgelegt, die dem Projekt hinzugefügt wird. In Visual Studio muss der Parameter Copy to Output Directory der Richtliniendatei auf Cop Always festgelegt sein. sollte nur die Datei auf der Festplatte finden, öffnen und den Inhalt an das Clientgerät zurückgeben.

PolicyServer-Klasse

Die Policy-Server-Funktionalität basiert auf zwei Schlüsselklassen: PolicyServer und PolicyConnection. Die PolicyServer-Klasse behandelt das Warten auf Verbindungen. Wenn es eine Verbindung erhält, übergibt es die Steuerung an eine neue Instanz der PoicyConnection-Klasse, die die Richtliniendatei an den Client weitergibt. Dieses zweiteilige Verfahren ist in der Netzwerkprogrammierung üblich. Sie werden es mehr als einmal sehen, wenn Sie mit Nachrichtenservern arbeiten.

Die PolicyServer-Klasse lädt die Richtliniendatei von der Festplatte und speichert sie im Feld als Byte-Array.

öffentliche Klasse PolicyServer

private Byte-Richtlinie;

öffentlicher PolicyServer(string policyFile) (

Um mit dem Abhören zu beginnen, muss die Serveranwendung den PolicyServer aufrufen. Start(). Es erstellt ein TcpListener-Objekt, das auf Anfragen wartet. Das TcpListener-Objekt ist so konfiguriert, dass es Port 943 überwacht. In Silverlight ist dieser Port für Richtlinienserver reserviert. Wenn Richtliniendateien angefordert werden, leitet die Silverlight-Anwendung diese automatisch an Port 943 weiter.

privater TcpListener-Listener;

öffentlich void Start()

// Listener erstellen

listener = new TcpListener (IPAddress.Any, 943);

// Beginne zuzuhören; die Start()-Methode gibt II unmittelbar nach dem Aufruf von listener.Start() zurück;

// Warten auf eine Verbindung; die Methode kehrt sofort zurück;

II Warten wird in einem separaten Thread durchgeführt

Um die angebotene Verbindung anzunehmen, ruft der Richtlinienserver die Methode BeginAcceptTcpClient() auf. Wie alle Beginxxx()-Methoden des .NET-Frameworks kehrt sie unmittelbar nach dem Aufruf zurück und führt die erforderlichen Operationen in einem separaten Thread aus. Für Netzwerkanwendungen ist dies ein sehr wichtiger Faktor, da viele Anforderungen für Richtliniendateien gleichzeitig verarbeitet werden können.

Notiz. Neulinge in der Netzwerkprogrammierung fragen sich oft, wie mehr als eine Anfrage gleichzeitig verarbeitet werden kann, und denken, dass dafür mehrere Server erforderlich sind. Dies ist jedoch nicht der Fall. Bei diesem Ansatz würden Client-Anwendungen schnell die verfügbaren Ports ausgehen. In der Praxis verarbeiten Serveranwendungen viele Anfragen über einen einzigen Port. Dieser Prozess ist für Anwendungen unsichtbar, da das integrierte TCP-Subsystem in Windows Nachrichten automatisch identifiziert und sie an die entsprechenden Objekte im Anwendungscode weiterleitet. Jede Verbindung wird anhand von vier Parametern eindeutig identifiziert: Client-IP-Adresse, Client-Portnummer, Server-IP-Adresse und Server-Portnummer.

Bei jeder Anfrage wird die Callback-Methode OnAcceptTcpClient() ausgelöst. Sie ruft die BeginAcceptTcpClient O-Methode erneut auf, um mit dem Warten auf die nächste Anforderung in einem anderen Thread zu beginnen, und beginnt dann mit der Verarbeitung der aktuellen Anforderung.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Richtlinienanfrage erhalten."); // Warten auf die nächste Verbindung.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Umgang mit der aktuellen Verbindung.

TcpClient client = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = new PolicyConnection(client, policy); PolicyConnection.HandleRequest() ;

catch (Ausnahmefehler) (

Jedes Mal, wenn eine neue Verbindung empfangen wird, wird ein neues PolicyConnection-Objekt erstellt, um sie zu handhaben. Darüber hinaus verwaltet das PolicyConnection-Objekt eine Richtliniendatei.

Die letzte Komponente der PolicyServer-Klasse ist die Stop()-Methode, die das Warten auf Anforderungen beendet. Die Anwendung ruft es auf, wenn sie beendet wird.

private bool isStopped;

öffentliche Leere StopO(

isStopped = true;

Hörer. stoppen();

catch (Ausnahmefehler) (

Console.WriteLine (err.Message);

Der folgende Code wird in der Main()-Methode des Anwendungsservers verwendet, um den Richtlinienserver zu starten.

static void Main(String-Argumente) (

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Richtlinienserver gestartet."); Console.WriteLine("Zum Beenden die Eingabetaste drücken.");

// Warten auf einen Tastendruck; Mit der Methode // Console.ReadKey() können Sie sie so einstellen, dass sie auf eine bestimmte // Zeile wartet (z. B. beenden) oder eine beliebige Taste drückt. Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Richtlinienserver beenden.");

PolicyConnection-Klasse

Die PolicyConnection-Klasse führt eine einfachere Aufgabe aus. Das PolicyConnection-Objekt speichert einen Verweis auf Richtliniendateidaten. Nachdem die HandleRequest()-Methode aufgerufen wurde, ruft das PolicyConnection-Objekt eine neue Verbindung aus dem Netzwerkstream ab und versucht, sie zu lesen. Das Client-Gerät muss eine Zeichenfolge mit Text senden. Nach dem Lesen dieses Textes schreibt das Client-Gerät die Richtliniendaten in den Stream und schließt die Verbindung. Es folgt der Code der PolicyConnection-Klasse.

öffentliche Klasse PolicyConnection(

privater TcpClient-Client; private Byte-Richtlinie;

public PolicyConnection(TcpClient-Client, Byte-Richtlinie) (

this.client = Kunde; this.policy = Richtlinie;

// Client-Anforderung erstellen private statische Zeichenfolge policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Richtlinienabfragezeichenfolge lesen

Bytepuffer = neues Byte;

// Nur 5 Sekunden warten client.ReceiveTimeout = 5000;'

s.Read (buffer, 0, buffer.Length);

// Übergeben Sie die Richtlinie (Sie können auch überprüfen, ob die Richtlinienanforderung // den erforderlichen Inhalt hat) s.Write(policy, 0, policy.Length);

// Verbindung schließen client.Close();

Console.WriteLine("Richtliniendatei bereitgestellt.");

Wir haben also einen voll funktionsfähigen Richtlinienserver. Leider kann es noch nicht getestet werden, da das Silverlight-Add-In das explizite Anfordern von Richtliniendateien nicht zulässt. Stattdessen werden sie automatisch angefordert, wenn versucht wird, eine Socket-Anwendung zu verwenden. Bevor Sie eine Client-Anwendung für diese Socket-Anwendung erstellen können, müssen Sie einen Server erstellen.

In früheren Artikeln diesen Zyklus Sie haben gelernt, wie Sie die Funktionalität lokaler Sicherheitsrichtlinien effektiv nutzen können, wodurch Sie die Infrastruktur Ihrer Organisation so weit wie möglich vor Angriffen durch Missetäter von außen sowie vor den meisten Aktionen inkompetenter Mitarbeiter schützen können. Sie wissen bereits, wie Sie effektiv Kontorichtlinien einrichten können, mit denen Sie die Komplexität der Passwörter Ihrer Benutzer verwalten können, und Überwachungsrichtlinien einrichten, um die Authentifizierung Ihrer Benutzer im Sicherheitsprotokoll weiter zu analysieren. Außerdem haben Sie gelernt, wie Sie Ihren Benutzern Rechte zuweisen, um Schäden an Ihrem System und sogar Computern in Ihrem Intranet zu vermeiden, und wie Sie Ereignisprotokolle, eingeschränkte Gruppen, Systemdienste, die Registrierung und das Dateisystem effektiv konfigurieren können. In diesem Artikel setzen wir unser Studium der lokalen Sicherheitsrichtlinien fort, und Sie erfahren mehr über die Sicherheitseinstellungen für kabelgebundene Netzwerke für Ihr Unternehmen.

Die Serverbetriebssysteme von Microsoft, beginnend mit Windows Server 2008, haben die Komponente Wired Network Policies (IEEE 802.3) eingeführt, die eine automatische Konfiguration für die Bereitstellung von kabelgebundenen Zugriffsdiensten mit IEEE 802.1X-Authentifizierung für Ethernet 802.3-Netzwerkclients bereitstellt. Um Sicherheitseinstellungen für kabelgebundene Netzwerke mithilfe von Gruppenrichtlinien zu implementieren, verwenden Betriebssysteme den Wired AutoConfig-Dienst (Wired AutoConfig - DOT3SVC). Der aktuelle Dienst ist für die IEEE 802.1X-Authentifizierung verantwortlich, wenn eine Verbindung zu Ethernet-Netzwerken über kompatible 802.1X-Switches hergestellt wird, und verwaltet auch das Profil, das zum Konfigurieren eines Netzwerkclients für den authentifizierten Zugriff verwendet wird. Es ist auch erwähnenswert, dass es wünschenswert ist, Benutzer in Ihrer Domäne daran zu hindern, den Startmodus dieses Dienstes zu ändern, wenn Sie diese Richtlinien verwenden.

Konfigurieren einer Richtlinie für kabelgebundene Netzwerke

Sie können die Richtlinieneinstellungen für verkabelte Netzwerke direkt über das Snap-In festlegen. Gehen Sie folgendermaßen vor, um diese Einstellungen zu konfigurieren:

1. Öffnen Sie das Snap-In und wählen Sie den Knoten in der Konsolenstruktur aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie den Befehl aus dem Kontextmenü "Erstellen einer neuen Richtlinie für kabelgebundene Netzwerke für Windows Vista und höher" wie in der folgenden Abbildung gezeigt:

   Reis. 1. Erstellen Sie eine Richtlinie für kabelgebundene Netzwerke

2. Im geöffneten Dialogfeld „Neue Richtlinie für Eigenschaften von kabelgebundenen Netzwerken“, auf der Registerkarte "Sind üblich", können Sie angeben, dass der Wired AutoConfig-Dienst verwendet werden soll, um LAN-Adapter für die Verbindung mit einem kabelgebundenen Netzwerk zu konfigurieren. Zusätzlich zu den Richtlinieneinstellungen, die für Windows Vista und neuere Betriebssysteme gelten, gibt es einige Richtlinieneinstellungen, die nur für die Betriebssysteme Windows 7 und Windows Server 2008 R2 gelten. Auf dieser Registerkarte können Sie Folgendes tun:
   • Versicherungsname. In diesem Textfeld können Sie Ihrer Richtlinie für kabelgebundene Netzwerke einen Namen geben. Sie können den Namen der Richtlinie im Detailbereich des Knotens sehen "Richtlinien für kabelgebundene Netzwerke (IEEE 802.3)" schnappen Gruppenrichtlinienverwaltungs-Editor;
   • Beschreibung. Dieses Textfeld dient zum Ausfüllen einer detaillierten Beschreibung des Zwecks der Richtlinie für kabelgebundene Netzwerke.
   • Verwenden Sie den Windows Wired AutoConfig-Dienst für Clients. Diese Option führt die eigentliche Konfiguration durch und verbindet Clients mit einem kabelgebundenen 802.3-Netzwerk. Wenn Sie diese Option deaktivieren, steuert das Windows-Betriebssystem die kabelgebundene Netzwerkverbindung nicht und die Richtlinieneinstellungen werden nicht wirksam;
   • Verhindern Sie die Verwendung gemeinsamer Benutzeranmeldeinformationen für die Netzwerkauthentifizierung. Diese Einstellung legt fest, ob der Benutzer daran gehindert werden soll, gemeinsame Benutzeranmeldeinformationen für die Netzwerkauthentifizierung zu speichern. Sie können diese Einstellung lokal mit dem Befehl ändern netsh lan set allowexplicitcreds;
   • Sperrfrist aktivieren. Diese Einstellung legt fest, ob verhindert werden soll, dass der Computer für die von Ihnen festgelegte Anzahl von Minuten automatisch eine Verbindung zu einem kabelgebundenen Netzwerk herstellt. Der Standardwert ist 20 Minuten. Die Sperrzeit ist von 1 bis 60 Minuten einstellbar.

"Sind üblich" Richtlinien für kabelgebundene Netzwerke:

Reis. 2. Registerkarte „Allgemein“ des Dialogfelds „Richtlinieneinstellungen für kabelgebundene Netzwerke“.

3. Auf der Registerkarte "Sicherheit" bietet Konfigurationsoptionen für die Authentifizierungsmethode und den kabelgebundenen Verbindungsmodus. Sie können anpassen folgenden Optionen Sicherheit:
   • Aktivieren Sie die IEEE 802.1X-Authentifizierung für den Netzwerkzugriff. Diese Option wird direkt verwendet, um die 802.1X-Nzu aktivieren oder zu deaktivieren. Diese Option ist standardmäßig aktiviert;
   • Wählen Sie eine Naus. Mithilfe dieser Dropdown-Liste können Sie eine der Netzwerk-Client-Authentifizierungsmethoden angeben, die auf Ihre Richtlinie für kabelgebundene Netzwerke angewendet wird. Folgende zwei Optionen stehen zur Auswahl:
     • Microsoft: Geschützte EAPs (PEAP). Für diese Authentifizierungsmethode ist das Fenster "Eigenschaften" enthält Konfigurationseinstellungen für die zu verwendende Authentifizierungsmethode;
     • Microsoft: Smartcards oder andere Zertifikate. Für diese Authentifizierungsmethode im Fenster "Eigenschaften" bietet Konfigurationsoptionen, mit denen Sie eine Smartcard oder ein Zertifikat angeben können, mit dem eine Verbindung hergestellt werden soll, sowie eine Liste vertrauenswürdiger Stammzertifizierungsstellen.

   Standardmäßig ausgewählte Methode Microsoft: Geschützte EAPs (PEAP);

4. Authentifizierungsmodus. Diese Dropdown-Liste wird verwendet, um die Netzwerkauthentifizierung durchzuführen. Folgende vier Optionen stehen zur Auswahl:
   • Benutzer- oder Computerauthentifizierung. Wenn diese Option ausgewählt ist, werden Sicherheitsanmeldeinformationen basierend auf dem aktuellen Zustand des Computers verwendet. Auch wenn kein Benutzer angemeldet ist, wird die Authentifizierung mit den Anmeldeinformationen des Computers durchgeführt. Wenn sich ein Benutzer anmeldet, werden die Anmeldeinformationen des angemeldeten Benutzers verwendet. Microsoft empfiehlt in den meisten Fällen die Verwendung dieser Einstellung für den Authentifizierungsmodus.
   • Nur für Computer. In diesem Fall werden nur die Anmeldeinformationen des Computers authentifiziert;
   • Benutzerauthentifizierung. Bei der Wahl angegebenen Parameter Aktiviert die erzwungene Benutzerauthentifizierung nur beim Verbinden mit einem neuen 802.1X-Gerät. In allen anderen Fällen wird die Authentifizierung nur für den Computer durchgeführt;
   • Gastauthentifizierung. Mit dieser Einstellung können Sie sich basierend auf einem Gastkonto mit dem Netzwerk verbinden.
5. Maximale Anzahl von Authentifizierungsfehlern. Mit dieser Einstellung können Sie die maximale Anzahl von Authentifizierungsfehlern festlegen. Der Standardwert ist 1;
6. Zwischenspeichern von Benutzerdaten für nachfolgende Verbindungen zu diesem Netzwerk. Wenn diese Einstellung aktiviert ist, werden Benutzeranmeldeinformationen in der Systemregistrierung gespeichert, und es werden keine Anmeldeinformationen angefordert, wenn sich der Benutzer abmeldet und wieder anmeldet.

Die folgende Abbildung zeigt die Registerkarte "Sicherheit" dieses Dialogfeld:

Reis. 3. Registerkarte „Sicherheit“ des Dialogfelds „Richtlinieneinstellungen für kabelgebundene Netzwerke“.

Eigenschaften von Authentifizierungsmodi

Wie im vorherigen Abschnitt besprochen, haben beide Authentifizierungsmethoden zusätzliche Einstellungen die aufgerufen werden, wenn auf die Schaltfläche geklickt wird. "Eigenschaften". In diesem Abschnitt sehen wir uns alle an mögliche Einstellungen für Authentifizierungsmethoden.

Einstellungen der Authentifizierungsmethode "Microsoft: Secure EAP (PEAP)".

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) ist eine erweiterbare Authentifizierungsinfrastruktur, die das Format des Pakets definiert. Zur Konfiguration dieser Authentifizierungsmethode stehen folgende Optionen zur Verfügung:

Schnelle Wiederverbindung aktivieren. Diese Option ermöglicht Benutzern mit drahtlose Computer schnell zwischen Access Points wechseln, ohne sich erneut bei einem neuen Netzwerk zu authentifizieren. Diese Umschaltung kann nur für Access Points funktionieren, die als RADIUS-Clients konfiguriert sind. Diese Option ist standardmäßig aktiviert;

Aktivieren Sie den Netzwerkzugriffsschutz. Wenn diese Option ausgewählt ist, werden, bevor EAP-Antragstellern erlaubt wird, sich mit dem Netzwerk zu verbinden, geeignete Überprüfungen durchgeführt, um die Überprüfung der Gesundheitsanforderungen zu bestimmen;

Trennen Sie die Verbindung, wenn der Server keine verschlüsselte Bindung über den TLV-Mechanismus unterstützt. Diese Option ist dafür verantwortlich, dass verbindende Clients den Authentifizierungsprozess unterbrechen, wenn der RADIUS-Server keinen kryptografischen TLV-Bindungswert bereitstellt, der die Sicherheit des TLS-Tunnels in PEAP erhöht, indem interne und externe Authentifizierungsmethoden kombiniert werden, sodass Angreifer keine Manipulationsangriffe durchführen können. ein Dritter;

Datenschutzidentität aktivieren. Diese Einstellung verhindert, dass Clients ihre Identität übermitteln, bevor der Client den RADIUS-Server authentifiziert hat, und bietet optional einen Ort zum Eingeben eines anonymen Identitätswerts.

Das Dialogfeld Secure EAP Properties ist in der folgenden Abbildung dargestellt:

Reis. 5. Dialogfeld Eigenschaften von Secure EAP

Einstellungen der Authentifizierungsmethode „Smartcard oder anderes Zertifikat – EAP-TLS-Einstellungen“

Die folgenden Optionen sind verfügbar, um diese Authentifizierungsmethode zu konfigurieren:

• Verwenden Sie beim Verbinden meine Smartcard. Wenn Sie das Optionsfeld auf diese Position setzen, präsentieren Clients, die Authentifizierungsanfragen stellen, ein Smartcard-Zertifikat für die Netzwerkauthentifizierung;
• Verwenden Sie beim Verbinden das Zertifikat auf diesem Computer. Wenn diese Option ausgewählt ist, verwendet die Überprüfung der Clientverbindung das Zertifikat, das sich im Speicher des aktuellen Benutzers oder des lokalen Computers befindet;
• Verwenden Sie die einfache Zertifikatsauswahl. Mit dieser Option kann das Windows-Betriebssystem Zertifikate herausfiltern, die die Authentifizierungsanforderungen nicht erfüllen;
• Serverzertifikat prüfen. Mit dieser Option können Sie die Überprüfung des Serverzertifikats, das Clientcomputern bereitgestellt wird, auf eine gültige, nicht abgelaufene Signatur sowie das Vorhandensein einer vertrauenswürdigen Stammzertifizierungsstelle festlegen, die das Zertifikat für diesen Server ausgestellt hat
• Verbinden Sie sich mit Servern. Diese Option ist identisch mit der gleichnamigen Option, die im vorherigen Abschnitt beschrieben wurde;
• Vertrauenswürdige Wurzelzentren Zertifizierung. Genau wie im Dialogfeld Eigenschaften von Secure EAP finden Sie in dieser Liste alle vertrauenswürdigen Stammzertifizierungsstellen, die in den Benutzer- und Computerzertifikatspeichern installiert sind;
• Fordern Sie den Benutzer nicht auf, neue Server oder vertrauenswürdige Zertifizierungsstellen zu autorisieren. Wenn Sie diese Option aktivieren und ein falsch konfiguriertes Serverzertifikat vorhanden ist oder in der Liste für den Benutzer vorhanden ist, wird kein Dialogfeld angezeigt, in dem Sie aufgefordert werden, ein solches Zertifikat zu autorisieren. Diese Option ist standardmäßig deaktiviert;
• Verwenden Sie einen anderen Benutzernamen, um eine Verbindung herzustellen. Diese Einstellung legt fest, ob für die Authentifizierung ein anderer Benutzername als der Benutzername im Zertifikat verwendet werden soll. Wenn die Option zur Verwendung eines anderen Benutzernamens aktiviert ist, müssen Sie mindestens ein Zertifikat aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen auswählen.

Das Dialogfeld zum Einstellen von Smartcards oder anderen Zertifikaten wird in der folgenden Abbildung angezeigt:

Reis. 6. Dialogfenster zum Einstellen von Smartcards oder anderen Zertifikaten

Wenn Sie sich bei dem von Ihnen gewählten Zertifikat nicht sicher sind, klicken Sie auf die Schaltfläche "Zertifikat ansehen" können alle Details des ausgewählten Zertifikats wie unten gezeigt anzeigen:

Reis. 7. Zeigen Sie ein Zertifikat aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen an

Erweiterte Sicherheitsoptionen für kabelgebundene Richtlinien

Das ist Ihnen wahrscheinlich auf der Registerkarte aufgefallen "Sicherheit" Im Dialogfeld Richtlinieneinstellungen für kabelgebundene Netzwerke gibt es zusätzliche Sicherheitsoptionen, um das Verhalten von Netzwerkclients zu ändern, die Zugriff mit 802.1X-Authentifizierung anfordern. Erweiterte kabelgebundene Richtlinieneinstellungen können in zwei Gruppen unterteilt werden – IEEE 802.1X-Einstellungen und Single-Sign-On-Einstellungen. Schauen wir uns jede dieser Gruppen an:

In der Gruppe IEEE 802.1X-Einstellungen können Sie die Eigenschaften von kabelgebundenen Netzwerkanfragen mit 802.1X-Authentifizierung festlegen. Für die Bearbeitung stehen folgende Optionen zur Verfügung:

• Wenden Sie erweiterte 802.1X-Einstellungen an. Mit dieser Option können Sie die folgenden vier Einstellungen aktivieren;
• max. EAPOL-Meldungen. EAPOL ist ein EAP-Protokoll, das verwendet wird, bevor der Computer Zeit hat, sich zu authentifizieren, und erst nach einer erfolgreichen „Anmeldung“ kann der gesamte andere Datenverkehr den Switch-Port passieren, mit dem dieser Computer verbunden ist. Diese Einstellung ist verantwortlich für Höchstbetrag gesendete EAPOL-Start-Nachrichten;
• Verzögerungszeit (Sek.). Diese Einstellung steuert die Verzögerung in Sekunden, bevor die nächste 802.1X-Authentifizierungsanforderung gestellt wird, nachdem eine Benachrichtigung über einen Authentifizierungsfehler empfangen wurde.
• Startzeitraum (Startzeitraum). Dieser Parameter steuert die Wartezeit, bevor aufeinanderfolgende EAPOL-Start-Nachrichten erneut gesendet werden;
• Überprüfungszeitraum (Sek.). Dieser Parameter gibt die Anzahl von Sekunden zwischen der erneuten Übertragung aufeinanderfolgender anfänglicher EAPOL-Nachrichten nach dem Einleiten der 802.1X-Pass-Through-Zugriffsprüfung an;
• EAPOL-Startmeldung. Mit diesem Parameter können Sie folgende Übertragungseigenschaften initialer EAPOL-Nachrichten festlegen:
  • Nicht übertragen. Wenn diese Option ausgewählt ist, werden keine EAPOL-Meldungen übertragen;
  • Übertragen. Wenn diese Option ausgewählt ist, muss der Client anfängliche EAPOL-Nachrichten manuell senden;
  • IEEE 802.1X-Übertragung. Wenn diese Option ausgewählt ist (sie ist standardmäßig definiert), werden EAPOL-Nachrichten an gesendet automatischer Modus, warten auf den Start der 802.1X-Authentifizierung.

Bei Verwendung von Single Sign-On muss die Authentifizierung basierend auf der Netzwerksicherheitskonfiguration während des Benutzeranmeldevorgangs beim Betriebssystem durchgeführt werden. Für vollständige Anpassung Single-Sign-On-Profile sind die folgenden Optionen verfügbar:

• Aktivieren Sie Single Sign-On für das Netzwerk. Durch Aktivieren dieser Option werden die Single-Sign-On-Einstellungen aktiviert;
• Kurz vor der Benutzeranmeldung aktivieren. Wenn Sie diese Option aktivieren, wird die 802.1X-Authentifizierung durchgeführt, bevor der Benutzer die Anmeldung abschließt;
• Sofort nach Benutzeranmeldung aktivieren. Wenn Sie diese Option aktivieren, wird die 802.1X-Authentifizierung durchgeführt, nachdem sich der Benutzer angemeldet hat;
• max. Verbindungsverzögerung. Dieser Parameter gibt die maximale Zeit an, für die die Authentifizierung abgeschlossen sein muss, und wie lange der Benutzer entsprechend warten wird, bevor das Benutzeranmeldefenster angezeigt wird.
• Zulassen, dass zusätzliche Dialogfelder bei Single Sign-On angezeigt werden. Diese Einstellung ist für die Anzeige des Anmeldedialogfelds des Benutzers verantwortlich;
• Dieses Netzwerk verwendet verschiedene VLANs für die Authentifizierung von Computern und Benutzeranmeldeinformationen. Wenn Sie diese Einstellung festlegen, werden beim Start alle Computer in dasselbe virtuelle Netzwerk gestellt und nach erfolgreicher Benutzeranmeldung je nach Berechtigungen auf andere übertragen virtuelle Netzwerke. Die Aktivierung dieser Option ist nur dann sinnvoll, wenn Sie mehrere VLANs in Ihrem Unternehmen haben.

Das Dialogfeld „Erweiterte Sicherheitseinstellungen der Richtlinie für kabelgebundene Netzwerke“ wird in der folgenden Abbildung dargestellt:

Reis. Abbildung 8. Dialogfeld „Erweiterte Sicherheitseinstellungen der Richtlinie für kabelgebundene Netzwerke“.

Abschluss

In diesem Artikel haben Sie alle Richtlinieneinstellungen für verkabelte IEEE 802.1X-Netzwerke kennengelernt. Sie haben gelernt, wie Sie eine solche Richtlinie erstellen können, und Sie haben EAP-Authentifizierungsmethoden und die Authentifizierung mit Smartcards oder anderen Zertifikaten kennengelernt. Im nächsten Artikel erfahren Sie mehr über die lokalen Sicherheitsrichtlinien des Network List Managers.

Richtlinien in Exchange Server 2003 wurden entwickelt, um die Verwaltungsflexibilität zu erhöhen und gleichzeitig die Belastung der Administratoren zu verringern. Eine Richtlinie ist ein Satz von Konfigurationseinstellungen, die für ein oder mehrere Objekte derselben Klasse in Exchange gelten. Beispielsweise können Sie eine Richtlinie erstellen, die sich auf bestimmte Einstellungen auf einigen oder allen Exchange-Servern auswirkt. Wenn Sie diese Einstellungen ändern müssen, müssen Sie nur diese Richtlinie ändern und sie wird auf die entsprechende Serverorganisation angewendet.

Es gibt zwei Arten von Richtlinien: Systemrichtlinie und Empfängerrichtlinie. Empfängerrichtlinien gelten für E-Mail-Zugriffsobjekte und geben an, wie E-Mail-Adressen generiert werden. Empfängerrichtlinien werden unter „Erstellen und Verwalten von Empfängern“ erläutert. Systemrichtlinien gelten für Server, Speicher Postfächer und Informationsspeicher für öffentliche Ordner. Diese Richtlinien werden im Container Richtlinien innerhalb der Gruppe angezeigt, für die sie zuständig sind Verwaltung diese Richtlinie (Abbildung 12.10).

Reis. 12.10. Systemrichtlinienobjekt

Notiz. Bei der Installation von Exchange Server 2003 wird kein Standardcontainer für Systemrichtlinien erstellt. Es muss erstellt werden, bevor Systemrichtlinien erstellt werden. Klicken Sie mit der rechten Maustaste auf die Administrationsgruppe, in der Sie einen Richtlinienordner erstellen möchten, bewegen Sie den Mauszeiger über Neu und wählen Sie Systemrichtliniencontainer aus.

Erstellen Sie eine Systemrichtlinie

Wechseln Sie zum Erstellen einer Systemrichtlinie zum entsprechenden Systemrichtliniencontainer, klicken Sie mit der rechten Maustaste auf den Container, und wählen Sie dann den zu erstellenden Richtlinientyp aus: Serverrichtlinie, Postfachspeicherrichtlinie oder Richtlinie für den Informationsspeicher für öffentliche Ordner.

Achten Sie beim Arbeiten mit Systemrichtlinien darauf, ein Richtlinienobjekt in der Gruppe zu erstellen, die für die Verwaltung dieser Richtlinie verantwortlich ist. Andernfalls kann bei der Auswahl der Personen, die die administrative Kontrolle über kritische Richtlinien ausüben, ein Fehler auftreten. Sehen wir uns an, wie jeder der drei Richtlinientypen erstellt wird, beginnend mit Serverrichtlinien.

Erstellen Sie eine Serverrichtlinie

Die Serverrichtlinie definiert Einstellungen für die Nachrichtenverfolgung und die Verwaltung von Protokolldateien. Sie gilt nicht für Sicherheitseinstellungen oder andere Einstellungen von Servern in dieser Administrationsgruppe. Klicken Sie zum Erstellen einer Serverrichtlinie mit der rechten Maustaste auf den Container Systemrichtlinien, zeigen Sie auf Neu, und wählen Sie dann aus Serveroption Richtlinie (Serverrichtlinie). Das in Abbildung 1 dargestellte Dialogfeld „Neue Richtlinie“ wird angezeigt. 12.11 , das die Registerkarten angibt, die auf der Eigenschaftenseite der Richtlinie angezeigt werden. Es gibt nur eine Option für die Serverrichtlinie: die Registerkarte Allgemein. Aktivieren Sie die Option für diese Registerkarte und klicken Sie dann auf OK. Es wird ein Konfigurationsfenster angezeigt, in dem die Richtlinie erstellt wird.

Reis. 12.11.

Danach müssen Sie einen Namen für die Richtlinie im Registerkartenfenster Allgemein der Eigenschaftsseite der Richtlinie eingeben. Wie in Abbildung 12.12 gezeigt, gibt es tatsächlich zwei allgemeine Registerkarten. Auf der ersten Registerkarte wird der Name der Richtlinie eingegeben. Wählen Sie einen Namen aus, um die Aufgabe zu beschreiben, die diese Richtlinie ausführen soll, z. B. Richtlinie zur Nachrichtenverfolgung oder Richtlinie zum Aktivieren der Betreffprotokollierung. Ein geeigneter Name, der in diesem Stadium gewählt wird, spart Zeit, da es nicht erforderlich ist, die Eigenschaftsseite der Richtlinie zu öffnen, um ihren Zweck zu bestimmen.

Die Registerkarte „Allgemein (Richtlinie)“ in Abb. 12.13 enthält die tatsächlichen Richtlinieneinstellungen, die auf die Exchange-Server der betreffenden Organisation angewendet werden. Die Registerkarte heißt „Allgemein (Richtlinie)“, da sie möglicherweise die Registerkarte „Allgemein“ der Eigenschaftenseiten für alle verfügbaren Server konfiguriert. (Später in diesem Kapitel werden wir sehen, wie diese Richtlinie auf alle Server in einer Organisation angewendet wird.) Wenn Sie diese Registerkarte mit der Registerkarte „Allgemein“ auf der Eigenschaftenseite eines Servers vergleichen, werden Sie feststellen, dass die Registerkarten bis auf identisch sind die identifizierenden Informationen oben auf der Registerkarte.

Die Registerkarte „Allgemein (Richtlinie)“ aktiviert die Protokollierung und aktiviert die Betreffprotokollierung und -anzeige für alle vorhandenen Server von Exchange 2003. Diese Einstellung funktioniert in Verbindung mit der Option „Nachrichtenverfolgung aktivieren“, mit der Sie in der Organisation gesendete Nachrichten verfolgen können. Diese Optionen sind nützlich, um die Ursache von Problemen zu beheben, die auftreten, wenn einige Benutzer keine Nachrichten von anderen Benutzern erhalten. Es ist möglich, den Durchgang einer Nachricht durch eine Organisation zu verfolgen, um festzustellen, wo es Probleme bei der Datenübertragung gibt. Weitere Informationen zur Nachrichtenverfolgung und Protokollierung des Nachrichtenbetreffs finden Sie in Kapitel 6, Funktionalität, Sicherheit und Support von Exchange Server 2003.

Reis. 12.12.

Reis. 12.13.

Sobald eine Richtlinie in Kraft getreten ist, kann sie auf der Ebene nicht mehr geändert werden lokale Server. Die von uns als Beispiel verwendete Nachrichtenverfolgungsrichtlinie wurde auf dem Server EX-SRV1 in der Administratorgruppe von Arizona generiert. An

Die Funktionalität im Windows Server-Betriebssystem wird berechnet und von Version zu Version verbessert, es gibt immer mehr Rollen und Komponenten, daher werde ich im heutigen Artikel versuchen, sie kurz zu beschreiben Beschreibung und Zweck jeder Rolle in Windows Server 2016.

Bevor wir mit der Beschreibung der Windows Server-Serverrollen fortfahren, wollen wir herausfinden, was genau " Serverrolle» auf dem Betriebssystem Windows Server.

Was ist eine „Serverrolle“ in Windows Server?

Serverrolle- Dies ist ein Softwarepaket, das die Ausführung einer bestimmten Funktion durch den Server sicherstellt, und diese Funktion ist die Hauptfunktion. Mit anderen Worten, " Serverrolle' ist das Ziel des Servers, d.h. Wofür ist es. Damit der Server seine Hauptfunktion erfüllen kann, d.h. bestimmte Rolle bei Serverrolle» beinhaltet alle dafür notwendige Software ( Programme, Dienste).

Der Server kann eine Rolle haben, wenn er aktiv verwendet wird, oder mehrere, wenn jede von ihnen den Server nicht stark belastet und selten verwendet wird.

Eine Serverrolle kann mehrere Rollendienste enthalten, die die Funktionalität der Rolle bereitstellen. Beispielsweise in der Serverrolle " Webserver (IIS)“ umfasst eine ziemlich große Anzahl von Diensten und die Rolle „ DNS Server» enthält keine Rollendienste, da diese Rolle nur eine Funktion erfüllt.

Role Services können je nach Bedarf alle zusammen oder einzeln installiert werden. Im Wesentlichen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Windows Server hat auch " Komponenten»Server.

Serverkomponenten (Funktion) sind Softwaretools, die keine Serverrolle sind, sondern die Fähigkeiten einer oder mehrerer Rollen erweitern oder eine oder mehrere Rollen verwalten.

Einige Rollen können nicht installiert werden, wenn der Server nicht über erforderliche Dienste oder Komponenten verfügt, die für das Funktionieren der Rollen erforderlich sind. Daher ist zum Zeitpunkt der Installation solcher Rollen " Assistent zum Hinzufügen von Rollen und Features» selbst, fordert Sie automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren.

Beschreibung der Windows Server 2016-Serverrollen

Viele der Rollen, die es in Windows Server 2016 gibt, kennen Sie wahrscheinlich schon, da es sie schon seit geraumer Zeit gibt, aber wie gesagt, mit jeder neuen Version von Windows Server kommen neue Rollen hinzu, mit denen Sie vielleicht noch nicht gearbeitet haben mit, aber wir würden gerne wissen, wofür sie sind, also fangen wir an, sie uns anzusehen.

Notiz! Informationen zu den neuen Funktionen des Betriebssystems Windows Server 2016 finden Sie im Material „Installieren von Windows Server 2016 und eine Übersicht über neue Funktionen“.

Da die Installation und Verwaltung von Rollen, Diensten und Komponenten sehr häufig über Windows PowerShell erfolgt, werde ich für jede Rolle und ihren Dienst einen Namen angeben, der in PowerShell jeweils für ihre Installation oder Verwaltung verwendet werden kann.

DHCP-Server

Mit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle hat keine Rollendienste.

Der Name für Windows PowerShell ist DHCP.

DNS Server

Diese Rolle ist für die Namensauflösung in TCP/IP-Netzwerken vorgesehen. Die DNS-Serverrolle stellt DNS bereit und verwaltet es. Um die Verwaltung eines DNS-Servers zu vereinfachen, wird er normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle hat keine Rollendienste.

Der Rollenname für PowerShell ist DNS.

Hyper-V

Mit der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es ist ein Tool zum Erstellen und Verwalten virtueller Maschinen.

Der Rollenname für Windows PowerShell ist Hyper-V.

Gesundheitsbescheinigung des Geräts

Rolle " » ermöglicht es Ihnen, den Zustand des Geräts basierend auf gemessenen Indikatoren für Sicherheitsparameter zu bewerten, wie z. B. Indikatoren für den Status des sicheren Bootens und Bitlocker auf dem Client.

Für das Funktionieren dieser Rolle werden viele Rollendienste und Komponenten benötigt, zum Beispiel: mehrere Dienste aus der Rolle " Webserver (IIS)", Komponente" ", Komponente" .NET Framework 4.6-Funktionen».

Während der Installation werden alle erforderlichen Rollendienste und Funktionen automatisch ausgewählt. Die Rolle " Gesundheitsbescheinigung des Geräts» Es gibt keine Rollendienste.

Der Name für PowerShell ist DeviceHealthAttestationService.

Webserver (IIS)

Bietet eine zuverlässige, verwaltbare und skalierbare Infrastruktur für Webanwendungen. Besteht aus einer ziemlich großen Anzahl von Diensten (43).

Der Name für Windows PowerShell ist Web-Server.

Enthält die folgenden Rollendienste ( In Klammern gebe ich den Namen für Windows PowerShell an):

Webserver (Web-WebServer)- Eine Gruppe von Rollendiensten, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und den Webserver bereitstellen. Besteht aus folgenden Leistungen:

• Sicherheit (Web-Sicherheit)- eine Reihe von Diensten, um die Sicherheit des Webservers zu gewährleisten.
  • Anforderungsfilterung (Web-Filtering) – Mit diesen Tools können Sie alle an den Server eingehenden Anforderungen verarbeiten und diese Anforderungen basierend auf speziellen Regeln filtern, die vom Webserver-Administrator festgelegt wurden;
  • IP-Adressen- und Domänenbeschränkungen (Web-IP-Security) – diese Tools ermöglichen es Ihnen, den Zugriff auf Inhalte auf einem Webserver basierend auf der IP-Adresse oder dem Domänennamen der Quelle in der Anforderung zuzulassen oder zu verweigern;
  • URL-Autorisierung (Web-Url-Auth) - Mit Tools können Sie Regeln entwickeln, um den Zugriff auf Webinhalte einzuschränken und sie mit Benutzern, Gruppen oder HTTP-Header-Befehlen zu verknüpfen;
  • Digest-Authentifizierung (Web-Digest-Auth) – Diese Authentifizierung bietet ein höheres Maß an Sicherheit als die Standardauthentifizierung. Die Digest-Authentifizierung für die Benutzerauthentifizierung funktioniert wie das Übergeben eines Kennworthashs an einen Windows-Domänencontroller.
  • Basisauthentifizierung (Web-Basic-Auth) – Diese Authentifizierungsmethode bietet starke Webbrowser-Kompatibilität. Es wird empfohlen, in kleinen internen Netzwerken zu verwenden. Der Hauptnachteil dieser Methode besteht darin, dass über das Netzwerk übertragene Passwörter recht einfach abgefangen und entschlüsselt werden können. Verwenden Sie diese Methode daher in Kombination mit SSL.
  • Die Windows-Authentifizierung (Web-Windows-Auth) ist eine Authentifizierung, die auf der Windows-Domänenauthentifizierung basiert. Mit anderen Worten, Sie können Active Directory-Konten verwenden, um Benutzer Ihrer Websites zu authentifizieren;
  • Client Certificate Mapping Authentication (Web-Client-Auth) – Diese Authentifizierungsmethode verwendet ein Client-Zertifikat. Dieser Typ verwendet Active Directory-Dienste, um die Zertifikatzuordnung bereitzustellen;
  • IIS-Clientzerti(Web-Cert-Auth) – Diese Methode verwendet ebenfalls Clientzertifikate zur Authentifizierung, verwendet jedoch IIS zur Bereitstellung der Zertifikatzuordnung. Dieser Typ bietet eine bessere Leistung;
  • Unterstützung zentralisierter SSL-Zertifikate (Web-CertProvider) – diese Tools ermöglichen Ihnen die zentrale Verwaltung von SSL-Serverzertifikaten, was den Prozess der Verwaltung dieser Zertifikate erheblich vereinfacht;
• Wartungsfreundlichkeit und Diagnose (Web-Health)– eine Reihe von Diensten zur Überwachung, Verwaltung und Fehlerbehebung von Webservern, Websites und Anwendungen:
  • HTTP-Protokollierung (Web-Http-Logging) - Tools ermöglichen die Protokollierung der Website-Aktivität auf einem bestimmten Server, d.h. Log Eintrag;
  • ODBC-Protokollierung (Web-ODBC-Protokollierung) – Diese Tools bieten auch die Protokollierung von Website-Aktivitäten, unterstützen jedoch die Protokollierung dieser Aktivität in einer ODBC-kompatiblen Datenbank;
  • Request Monitor (Web-Request-Monitor) ist ein Tool, mit dem Sie den Zustand einer Webanwendung überwachen können, indem Sie Informationen zu HTTP-Anforderungen im IIS-Arbeitsprozess abfangen.
  • Benutzerdefinierte Protokollierung (Web-Custom-Logging) – Mit diesen Tools können Sie die Protokollierung von Webserveraktivitäten in einem Format konfigurieren, das sich erheblich vom Standard-IIS-Format unterscheidet. Mit anderen Worten, Sie können Ihr eigenes Protokollierungsmodul erstellen;
  • Logging-Tools (Web-Log-Libraries) sind Tools zur Verwaltung von Webserver-Logs und zur Automatisierung von Logging-Aufgaben;
  • Tracing (Web-Http-Tracing) ist ein Werkzeug zur Diagnose und Behebung von Verstößen in Webanwendungen.
• Gemeinsame HTTP-Funktionen (Web-Common-Http)– eine Reihe von Diensten, die grundlegende HTTP-Funktionalität bereitstellen:
  • Standarddokument (Web-Default-Doc) – Mit dieser Funktion können Sie den Webserver so konfigurieren, dass er ein Standarddokument zurückgibt, wenn Benutzer kein bestimmtes Dokument in der Anforderungs-URL angeben, wodurch Benutzern beispielsweise der Zugriff auf Websites erleichtert wird Domäne, ohne Angabe einer Datei;
  • Directory Browsing (Web-Dir-Browsing) – Dieses Tool kann verwendet werden, um einen Webserver so zu konfigurieren, dass Benutzer eine Liste aller Verzeichnisse und Dateien auf einer Website anzeigen können. Beispielsweise für Fälle, in denen Benutzer keine Datei in der Anforderungs-URL angeben und Standarddokumente entweder deaktiviert oder nicht konfiguriert sind;
  • HTTP-Fehler (Web-Http-Errors) – Mit dieser Funktion können Sie Fehlermeldungen konfigurieren, die an die Webbrowser der Benutzer zurückgegeben werden, wenn der Webserver einen Fehler erkennt. Dieses Tool wird verwendet, um Benutzern Fehlermeldungen einfacher anzuzeigen;
  • Statische Inhalte (Web-Static-Content) – Dieses Tool ermöglicht Ihnen die Nutzung von Inhalten auf einem Webserver in Form von statischen Dateiformaten wie HTML-Dateien oder Bilddateien;
  • http-Umleitung (Web-Http-Redirect) - Mit dieser Funktion können Sie eine Benutzeranfrage an ein bestimmtes Ziel umleiten, z. dies ist Umleitung;
  • WebDAV-Publishing (Web-DAV-Publishing) – ermöglicht die Verwendung der WebDAV-Technologie auf dem IIS-WEB-Server. WebDAV ( Verteiltes Web-Authoring und Versionierung) ist eine Technologie, die es Benutzern ermöglicht, zusammenzuarbeiten ( lesen, bearbeiten, Eigenschaften lesen, kopieren, verschieben) über Dateien auf entfernten Webservern mithilfe des HTTP-Protokolls.
• Leistung (Webleistung)- eine Reihe von Diensten, um eine höhere Webserverleistung durch Ausgabe-Caching und gängige Komprimierungsmechanismen wie Gzip und Deflate zu erreichen:
  • Static Content Compression (Web-Stat-Compression) ist ein Tool zum Anpassen der Komprimierung von statischen http-Inhalten, es ermöglicht eine effizientere Nutzung der Bandbreite ohne unnötige CPU-Last;
  • Dynamische Inhaltskomprimierung (Web-Dyn-Compression) ist ein Tool zum Konfigurieren der dynamischen HTTP-Inhaltskomprimierung. Dieses Tool bietet eine effizientere Nutzung der Bandbreite, aber in diesem Fall kann die mit dynamischer Komprimierung verbundene Server-CPU-Last die Site verlangsamen, wenn die CPU-Last auch ohne Komprimierung hoch ist.
• Anwendungsentwicklung (Web-App-Dev)- eine Reihe von Diensten und Tools zum Entwickeln und Hosten von Webanwendungen, mit anderen Worten, Technologien zur Entwicklung von Websites:
  • ASP (Web-ASP) ist eine Umgebung zur Unterstützung und Entwicklung von Websites und Webanwendungen mit ASP-Technologie. Im Moment gibt es eine neuere und fortschrittlichere Website-Entwicklungstechnologie - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) ist eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen mit ASP.NET-Technologie;
  • ASP.NET 4.6 (Web-Asp-Net45) ist ebenfalls eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen mit der neuen Version von ASP.NET;
  • CGI (Web-CGI) ist die Fähigkeit, CGI zu verwenden, um Informationen von einem Webserver an ein externes Programm zu übergeben. CGI ist eine Art Schnittstellenstandard, um ein externes Programm mit einem Webserver zu verbinden. Es gibt einen Nachteil, die Verwendung von CGI beeinträchtigt die Leistung;
  • Server Side Inclusions (SSI) (Web-Includes) ist die Unterstützung für die SSI-Skriptsprache ( serverseitig aktivieren), die zum dynamischen Generieren von HTML-Seiten verwendet wird;
  • Anwendungsinitialisierung (Web-AppInit) – Dieses Tool führt die Aufgaben der Initialisierung von Webanwendungen aus, bevor eine Webseite gesendet wird;
  • WebSocket-Protokoll (Web-WebSockets) – Hinzufügen der Möglichkeit, Serveranwendungen zu erstellen, die über das WebSocket-Protokoll kommunizieren. WebSocket ist ein Protokoll, das Daten gleichzeitig zwischen einem Browser und einem Webserver über eine TCP-Verbindung senden und empfangen kann, eine Art Erweiterung des HTTP-Protokolls;
  • ISAPI-Erweiterungen (Web-ISAPI-Ext) - Unterstützung für die dynamische Entwicklung von Webinhalten unter Verwendung der ISAPI-Anwendungsprogrammierschnittstelle. ISAPI ist eine API für den IIS-Webserver. ISAPI-Anwendungen sind viel schneller als ASP-Dateien oder Dateien, die COM+-Komponenten aufrufen;
  • .NET 3.5-Erweiterbarkeit (Web-Net-Ext) ist eine .NET 3.5-Erweiterbarkeitsfunktion, mit der Sie die Webserver-Funktionalität in der gesamten Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche ändern, hinzufügen und erweitern können.
  • .NET 4.6-Erweiterbarkeit (Web-Net-Ext45) ist eine .NET 4.6-Erweiterbarkeitsfunktion, mit der Sie auch die Webserverfunktionalität über die gesamte Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche hinweg ändern, hinzufügen und erweitern können.
  • ISAPI-Filter (Web-ISAPI-Filter) – Unterstützung für ISAPI-Filter hinzufügen. ISAPI-Filter sind Programme, die aufgerufen werden, wenn ein Webserver eine bestimmte HTTP-Anforderung erhält, die von diesem Filter verarbeitet werden soll.

FTP - Server (Web-Ftp-Server)– Dienste, die das FTP-Protokoll unterstützen. Wir haben ausführlicher über den FTP-Server im Material gesprochen – „Installieren und Konfigurieren eines FTP-Servers auf Windows Server 2016“. Enthält folgende Dienste:

• FTP Service (Web-Ftp-Service) - fügt Unterstützung für das FTP-Protokoll auf dem Webserver hinzu;
• FTP-Erweiterbarkeit (Web-Ftp-Ext) – Erweitert Standard-FTP-Funktionen, z. B. Hinzufügen von Unterstützung für Features wie benutzerdefinierte Anbieter, ASP.NET-Benutzer oder IIS-Manager-Benutzer.

Verwaltungstools (Web-Mgmt-Tools) sind die Verwaltungstools für den Webserver IIS 10. Dazu gehören: die IIS-Benutzeroberfläche, Befehlszeilentools und Skripts.

• Die IIS-Verwaltungskonsole (Web-Mgmt-Console) ist die Benutzeroberfläche zum Verwalten von IIS;
• Zeichensätze und IIS-Verwaltungstools (Web-Scripting-Tools) sind Tools und Skripte zum Verwalten von IIS über die Befehlszeile oder Skripte. Sie können zum Beispiel verwendet werden, um die Steuerung zu automatisieren;
• Verwaltungsdienst (Web-Mgmt-Service) – Dieser Dienst fügt die Möglichkeit hinzu, einen Webserver mithilfe von IIS Manager remote von einem anderen Computer aus zu verwalten;
• IIS 6 Compatibility Management (Web-Mgmt-Compat) – Bietet Kompatibilität für Anwendungen und Skripts, die die beiden IIS-APIs verwenden. Die vorhandenen IIS 6-Skripte können verwendet werden, um den IIS 10-Webserver zu verwalten:
  • IIS 6 Compatibility Metabase (Web-Metabase) ist ein Kompatibilitätstool, mit dem Sie Anwendungen und Zeichensätze ausführen können, die von früheren Versionen von IIS migriert wurden;
  • IIS 6-Skripttools (Web-Lgcy-Scripting) – Mit diesen Tools können Sie dieselben IIS 6-Skriptdienste verwenden, die zum Verwalten von IIS 6 in IIS 10 erstellt wurden;
  • Die IIS 6-Verwaltungskonsole (Web-Lgcy-Mgmt-Console) ist ein Tool zum Verwalten von Remote-IIS 6.0-Servern.
  • IIS 6 WMI-Kompatibilität (Web-WMI) sind WMI-Skriptschnittstellen (Windows Management Instrumentation) zum programmgesteuerten Steuern und Automatisieren von IIS 10.0-Webserveraufgaben mithilfe einer Reihe von Skripts, die in einem WMI-Anbieter erstellt wurden.

Active Directory-Domänendienste

Rolle " Active Directory-Domänendienste» (AD DS) stellt eine verteilte Datenbank bereit, die Informationen zu Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen Containment-Struktur zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen innerhalb einer Gesamtstruktur und Organisationseinheiten (OUs) innerhalb jeder Domäne. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.

Der Rollenname für Windows PowerShell lautet AD-Domain-Services.

Windows Server Essentials-Modus

Diese Rolle ist eine Computerinfrastruktur und bietet praktische und effiziente Funktionen, zum Beispiel: Speichern von Kundendaten an einem zentralen Ort und Schützen dieser Daten durch Sichern der Server- und Clientcomputer, Remote-Webzugriff, wodurch Sie von praktisch jedem Gerät aus auf Daten zugreifen können . Diese Rolle erfordert mehrere Rollendienste und -funktionen, zum Beispiel: BranchCache-Funktionen, Windows Server-Sicherung, Gruppenrichtlinienverwaltung, Rollendienst " DFS-Namespaces».

Der Name für PowerShell ist ServerEssentialsRole.

Netzwerk-Controller

Diese in Windows Server 2016 eingeführte Rolle bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs, physische Netzwerkadapter von Hyper-V-Hosts von einem Punkt aus konfigurieren, virtuelle Switches, physische Router, Firewall-Einstellungen und VPN-Gateways verwalten.

Der Name für Windows PowerShell ist NetworkController.

Knotenwächterdienst

Dies ist die Serverrolle Hosted Guardian Service (HGS) und stellt Nachweis- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, abgeschirmte virtuelle Maschinen auszuführen. Für das Funktionieren dieser Rolle werden mehrere zusätzliche Rollen und Komponenten benötigt, zum Beispiel: Active Directory Domain Services, Web Server (IIS), der " Failover-Clustering" und andere.

Der Name für PowerShell ist HostGuardianServiceRole.

Active Directory Lightweight-Verzeichnisdienste

Rolle " Active Directory Lightweight-Verzeichnisdienste» (AD LDS) ist eine einfache Version von AD DS, die über weniger Funktionalität verfügt, jedoch keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht die Abhängigkeiten und Domäneneinschränkungen aufweist, die für AD DS erforderlich sind. AD LDS läuft über das LDAP-Protokoll ( Lightweight Directory Access Protocol). Sie können mehrere AD LDS-Instanzen auf demselben Server mit unabhängig verwalteten Schemas bereitstellen.

Der Name für PowerShell ist ADLDS.

MultiPoint-Dienste

Es ist auch eine neue Rolle, die neu in Windows Server 2016 ist. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Suchdienst, XPS-Viewer und andere, die alle automatisch während der MPS-Installation ausgewählt werden.

Der Name der Rolle für PowerShell lautet MultiPointServerRole.

Windows Server-Update-Dienste

Mit dieser Rolle (WSUS) können Systemadministratoren Microsoft-Updates verwalten. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Update-Sets und erhalten Sie Berichte über die Konformität von Computern mit den Anforderungen und Updates, die installiert werden müssen. Zum Funktionieren“ Windows Server-Update-Dienste» Sie benötigen solche Rollendienste und Komponenten wie: Webserver (IIS), Windows Internal Database, Windows Process Activation Service.

Der Name für Windows PowerShell ist UpdateServices.

• WID-Konnektivität (UpdateServices-WidDB) – auf WID ( Windows-interne Datenbank)-Datenbank, die von WSUS verwendet wird. Mit anderen Worten, WSUS speichert seine Dienstdaten in WID;
• WSUS-Dienste (UpdateServices-Services) sind die WSUS-Rollendienste wie Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Web Simple Authentication Web Service, Server Synchronization Service und DSS Authentication Web Service;
• SQL Server Connectivity (UpdateServices-DB) ist eine Komponenteninstallation, die es dem WSUS-Dienst ermöglicht, eine Verbindung mit einer Microsoft SQL Server-Datenbank herzustellen. Diese Option sieht die Speicherung von Servicedaten in einer Microsoft SQL Server-Datenbank vor. In diesem Fall muss bereits mindestens eine Instanz von SQL Server installiert sein.

Volumenlizenz-Aktivierungsdienste

Mit dieser Serverrolle können Sie die Vergabe von Volumenlizenzen für Software von Microsoft automatisieren und vereinfachen und diese Lizenzen auch verwalten.

Der Name für PowerShell ist VolumeActivation.

Druck- und Dokumentenservice

Diese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern in einem Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung von Netzwerkdruckern und -scannern. Mit Print and Document Services können Sie auch gescannte Dokumente per E-Mail, an Netzwerkfreigaben oder an Windows SharePoint Services-Sites senden.

Der Name für PowerShell ist Print-Services.

• Druckserver (Print-Server) - Dieser Rollendienst enthält den " Druckverwaltung“, das zum Verwalten von Druckern oder Druckservern sowie zum Migrieren von Druckern und anderen Druckservern verwendet wird;
• Drucken über das Internet (Print-Internet) – Um das Drucken über das Internet zu implementieren, wird eine Website erstellt, über die Benutzer Druckaufträge auf dem Server verwalten können. Damit dieser Dienst funktioniert, müssen Sie, wie Sie verstehen, " Webserver (IIS)". Alle erforderlichen Komponenten werden automatisch ausgewählt, wenn Sie dieses Kontrollkästchen während des Installationsvorgangs des Rollendienstes aktivieren " Internetdruck»;
• Der Distributed Scan Server (Print-Scan-Server) ist ein Dienst, mit dem Sie gescannte Dokumente von Netzwerkscannern empfangen und an ein Ziel senden können. Dieser Dienst enthält auch die " Scan-Verwaltung“, das zum Verwalten von Netzwerkscannern und zum Konfigurieren des Scannens verwendet wird;
• LPD-Service (Print-LPD-Service) - LPD-Service ( Zeilendrucker-Daemon) ermöglicht es UNIX-basierten Computern und anderen Computern, die den LPR-Dienst (Line Printer Remote) verwenden, auf den freigegebenen Druckern des Servers zu drucken.

Netzwerkrichtlinie und Zugriffsdienste

Rolle " » (NPAS) ermöglicht Network Policy Server (NPS) das Festlegen und Durchsetzen von Netzwerkzugriffs-, Authentifizierungs- und Autorisierungs- und Clientintegritätsrichtlinien, mit anderen Worten, das Netzwerk zu sichern.

Der Name für Windows PowerShell ist NPAS.

Windows-Bereitstellungsdienste

Mit dieser Rolle können Sie das Windows-Betriebssystem remote über ein Netzwerk installieren.

Der Rollenname für PowerShell ist WDS.

• Bereitstellungsserver (WDS-Bereitstellung) – Dieser Rollendienst ist für die Remotebereitstellung und -konfiguration von Windows-Betriebssystemen konzipiert. Außerdem können Sie Bilder zur Wiederverwendung erstellen und anpassen.
• Transportserver (WDS-Transport) - Dieser Dienst enthält die grundlegenden Netzwerkkomponenten, mit denen Sie Daten per Multicasting auf einen eigenständigen Server übertragen können.

Active Directory-Zertifikatsdienste

Diese Rolle soll Zertifizierungsstellen und zugehörige Rollendienste erstellen, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können.

Der Name für Windows PowerShell ist AD-Zertifikat.

Enthält die folgenden Rollendienste:

• Zertifizierungsstelle (ADCS-Cert-Authority) – Mit diesem Rollendienst können Sie Zertifikate für Benutzer, Computer und Dienste ausstellen sowie die Gültigkeit des Zertifikats verwalten;
• Zertifikatregistrierungsrichtlinien-Webdienst (ADCS-Enroll-Web-Pol) – Dieser Dienst ermöglicht es Benutzern und Computern, Zertifikatregistvon einem Webbrowser abzurufen, selbst wenn der Computer kein Mitglied einer Domäne ist. Für seine Funktion ist es notwendig Webserver (IIS)»;
• Certificate Enrollment Web Service (ADCS-Enroll-Web-Svc) – Dieser Dienst ermöglicht es Benutzern und Computern, Zertifikate mit einem Webbrowser über HTTPS zu registrieren und zu erneuern, auch wenn der Computer kein Mitglied einer Domäne ist. Es muss auch funktionieren Webserver (IIS)»;
• Online-Responder (ADCS-Online-Cert) - Der Dienst soll den Widerruf eines Zertifikats für Clients überprüfen. Mit anderen Worten, es akzeptiert eine Sperrstatusanforderung für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit Informationen über den Status zurück. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
• Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) – Dieser Dienst stellt eine Webschnittstelle bereit, mit der Benutzer Aufgaben wie das Anfordern und Erneuern von Zertifikaten, das Abrufen von CRLs und das Registrieren von Smartcard-Zertifikaten ausführen können. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
• Network Device Enrollment Service (ADCS-Device-Enrollment) – Mit diesem Dienst können Sie Zertifikate für Router und andere Netzwerkgeräte ausstellen und verwalten, die keine Netzwerkkonten haben. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)».

Remotedesktopdienste

Eine Serverrolle, die verwendet werden kann, um Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und RemoteApps bereitzustellen.

Der Rollenname für Windows PowerShell lautet Remote-Desktop-Services.

Besteht aus folgenden Leistungen:

• Remote Desktop Web Access (RDS-Web-Access) – Dieser Rollendienst ermöglicht Benutzern den Zugriff auf Remote-Desktops und RemoteApp-Anwendungen über das „ Start» oder über einen Webbrowser;
• Remotedesktoplizenzierung (RDS-Lizenzierung) – Der Dienst wurde entwickelt, um die Lizenzen zu verwalten, die für die Verbindung mit dem Remotedesktop-Sitzungshostserver oder dem virtuellen Desktop erforderlich sind. Es kann verwendet werden, um Lizenzen zu installieren, auszustellen und ihre Verfügbarkeit zu verfolgen. Dieser Dienst erfordert " Webserver (IIS)»;
• Remotedesktop-Verbindungsbroker (RDS-Connection-Broker) ist ein Rollendienst, der die folgenden Funktionen bereitstellt: Wiederverbinden eines Benutzers mit einem vorhandenen virtuellen Desktop, einer RemoteApp-Anwendung und einem sitzungsbasierten Desktop sowie Lastenausgleich zwischen Remote-Sitzungshostserver-Desktops oder zwischen gepoolten virtuellen Desktops. Dieser Dienst erfordert die " »;
• Remotedesktop-Virtualisierungshost (DS-Virtualisierung) – Der Dienst ermöglicht es Benutzern, sich mit virtuellen Desktops über RemoteApp und Desktop Connection zu verbinden. Dieser Dienst arbeitet in Verbindung mit Hyper-V, d.h. diese Rolle muss installiert sein;
• Remotedesktop-Sitzungshost (RDS-RD-Server) – Dieser Dienst kann RemoteApp-Anwendungen und sitzungsbasierte Desktops auf einem Server hosten. Der Zugriff erfolgt über den Remotedesktopverbindungsclient oder RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) – Der Dienst ermöglicht autorisierten Remotebenutzern, sich mit virtuellen Desktops, RemoteApps und sitzungsbasierten Desktops in einem Unternehmensnetzwerk oder über das Internet zu verbinden. Dieser Dienst erfordert die folgenden zusätzlichen Dienste und Komponenten: Webserver (IIS)», « Netzwerkrichtlinie und Zugriffsdienste», « RPC über HTTP-Proxy».

AD RMS

Dies ist eine Serverrolle, mit der Sie Informationen vor unbefugter Verwendung schützen können. Es validiert Benutzeridentitäten und gewährt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Diese Rolle erfordert zusätzliche Dienste und Komponenten: Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen».

Der Name für Windows PowerShell ist ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – der Hauptrollendienst, der für die Installation erforderlich ist;
• Identity Federation Support (ADRMS-Identity) ist ein optionaler Rollendienst, der es Verbundidentitäten ermöglicht, geschützte Inhalte mithilfe von Active Directory-Verbunddiensten zu nutzen.

AD FS

Diese Rolle bietet einen vereinfachten und sicheren Identitätsverbund und Funktionen für einmaliges Anmelden (SSO) für Websites, die einen Browser verwenden.

Der Name für PowerShell ist ADFS-Federation.

Fernzugriff

Diese Rolle stellt Konnektivität über DirectAccess, VPN und Webanwendungsproxy bereit. Auch die Rolle Fernzugriff"bietet traditionelle Routing-Funktionen, einschließlich Network Address Translation (NAT) und andere Verbindungsoptionen. Diese Rolle erfordert zusätzliche Dienste und Funktionen: Webserver (IIS)», « Windows-interne Datenbank».

Der Rollenname für Windows PowerShell ist RemoteAccess.

• DirectAccess und VPN (RAS) (DirectAccess-VPN) - Der Dienst ermöglicht es Benutzern, sich jederzeit mit dem Internetzugang über DirectAccess mit dem Unternehmensnetzwerk zu verbinden sowie VPN-Verbindungen in Kombination mit Tunneling- und Datenverschlüsselungstechnologien zu organisieren;
• Routing (Routing) - der Dienst bietet Unterstützung für NAT-Router, LAN-Router mit BGP-Protokollen, RIP-Protokollen und Routern mit Multicast-Unterstützung (IGMP-Proxy);
• Web Application Proxy (Web-Application-Proxy) – Der Dienst ermöglicht es Ihnen, Anwendungen basierend auf den HTTP- und HTTPS-Protokollen aus dem Unternehmensnetzwerk auf Clientgeräten zu veröffentlichen, die sich außerhalb des Unternehmensnetzwerks befinden.

Datei- und Speicherdienste

Dies ist eine Serverrolle, die verwendet werden kann, um Dateien und Ordner freizugeben, Freigaben zu verwalten und zu steuern, Dateien zu replizieren, schnelle Dateisuchen bereitzustellen und Zugriff auf UNIX-Clientcomputer zu gewähren. Auf Dateidienste und insbesondere den Dateiserver haben wir im Material „Dateiserver (Fileserver) auf Windows Server 2016 installieren“ näher eingegangen.

Der Name für Windows PowerShell ist FileAndStorage-Services.

Speicherdienste- Dieser Dienst bietet Speicherverwaltungsfunktionen, die immer installiert sind und nicht entfernt werden können.

Dateidienste und iSCSI-Dienste (Dateidienste) sind Technologien, die die Verwaltung von Dateiservern und Speichern vereinfachen, Speicherplatz sparen, die Replikation und das Zwischenspeichern von Dateien in Zweigen bereitstellen und auch die gemeinsame Nutzung von Dateien über das NFS-Protokoll ermöglichen. Enthält die folgenden Rollendienste:

• Dateiserver (FS-FileServer) – ein Rollendienst, der freigegebene Ordner verwaltet und Benutzern den Zugriff auf Dateien auf diesem Computer über das Netzwerk ermöglicht;
• Datendeduplizierung (FS-Data-Deduplication) – dieser Dienst spart Speicherplatz, indem er nur eine Kopie identischer Daten auf einem Volume speichert;
• File Server Resource Manager (FS-Resource-Manager) – Mit diesem Dienst können Sie Dateien und Ordner auf einem Dateiserver verwalten, Speicherberichte erstellen, Dateien und Ordner klassifizieren, Ordnerkontingente konfigurieren und Dateiblockierungsrichtlinien definieren;
• iSCSI-Zielspeicheranbieter (VDS- und VSS-Hardwareanbieter) (iSCSITarget-VSS-VDS) – Der Dienst ermöglicht Anwendungen auf einem Server, der mit einem iSCSI-Ziel verbunden ist, Volumes auf virtuellen iSCSI-Festplatten zu spiegeln;
• DFS-Namespaces (FS-DFS-Namespace) – Mit diesem Dienst können Sie freigegebene Ordner, die auf verschiedenen Servern gehostet werden, in einem oder mehreren logisch strukturierten Namespaces gruppieren;
• Arbeitsordner (FS-SyncShareService) - Der Dienst ermöglicht Ihnen die Verwendung von Arbeitsdateien auf verschiedenen Computern, einschließlich geschäftlicher und persönlicher. Sie können Ihre Dateien in Arbeitsordnern speichern, synchronisieren und über Ihr lokales Netzwerk oder das Internet darauf zugreifen. Damit der Dienst funktioniert, muss die Komponente " IIS In-Process-Webkern»;
• Die DFS-Replikation (FS-DFS-Replikation) ist eine Datenreplikations-Engine für mehrere Server, mit der Sie Ordner über eine LAN- oder WAN-Verbindung synchronisieren können. Diese Technologie verwendet das Remote Differential Compression (RDC)-Protokoll, um nur den Teil der Dateien zu aktualisieren, der sich seit der letzten Replikation geändert hat. Die DFS-Replikation kann mit oder ohne DFS-Namespaces verwendet werden;
• Server für NFS (FS-NFS-Dienst) – Der Dienst ermöglicht diesem Computer die gemeinsame Nutzung von Dateien mit UNIX-basierten Computern und anderen Computern, die das Network File System (NFS)-Protokoll verwenden;
• iSCSI Target Server (FS-iSCSITarget-Server) – bietet Dienste und Verwaltung für iSCSI-Targets;
• BranchCache-Dienst für Netzwerkdateien (FS-BranchCache) – Der Dienst bietet BranchCache-Unterstützung auf diesem Dateiserver;
• Dateiserver-VSS-Agent-Dienst (FS-VSS-Agent) – Der Dienst ermöglicht Volumenschattenkopien für Anwendungen, die Datendateien auf diesem Dateiserver speichern.

Faxserver

Die Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf diesem Computer oder im Netzwerk. Für die Arbeit erforderlich Druck Server».

Der Rollenname für Windows PowerShell ist Fax.

Damit ist die Überprüfung der Windows Server 2016-Serverrollen abgeschlossen. Ich hoffe, das Material war vorerst hilfreich für Sie!

Anwenden von Gruppenrichtlinien (Teil 3)

In der Regel werden GPOs einem Container (Domäne, Site oder Organisationseinheit) zugewiesen und gelten für alle Objekte in diesem Container. Bei einer gut organisierten Domänenstruktur ist dies völlig ausreichend, aber manchmal ist es notwendig, die Anwendung von Richtlinien weiter auf eine bestimmte Gruppe von Objekten zu beschränken. Hierfür können zwei Arten von Filtern verwendet werden.

Sicherheitsfilter

Mit Sicherheitsfiltern können Sie die Anwendung von Richtlinien auf eine bestimmte Sicherheitsgruppe beschränken. Nehmen wir zum Beispiel GPO2, das gewohnt ist zentralisierte Konfiguration Startmenü auf Arbeitsstationen mit Windows 8.1\Windows 10. GPO2 ist der Organisationseinheit „Employees“ zugewiesen und gilt ausnahmslos für alle Benutzer.

Gehen wir nun zur Registerkarte „Geltungsbereich“, wo im Abschnitt „Sicherheitsfilterung“ die Gruppen angezeigt werden, auf die dieses Gruppenrichtlinienobjekt angewendet werden kann. Standardmäßig ist hier die Gruppe Authentifizierte Benutzer angegeben. Dies bedeutet, dass die Richtlinie angewendet werden kann jeder ein Benutzer oder Computer, der sich erfolgreich bei der Domäne authentifiziert hat.

Tatsächlich hat jedes Gruppenrichtlinienobjekt seine eigene Zugriffsliste, die auf der Registerkarte Delegation angezeigt wird.

Um die Richtlinie anzuwenden, muss das Objekt über die Rechte zum Lesen (Lesen) und Anwenden (Gruppenrichtlinie anwenden) verfügen, über die die Gruppe Authentifizierte Benutzer verfügt. Damit die Richtlinie nicht auf alle, sondern nur auf eine bestimmte Gruppe angewendet wird, ist es dementsprechend erforderlich, authentifizierte Benutzer aus der Liste zu entfernen und dann hinzuzufügen gewünschte Gruppe und geben Sie ihm die entsprechenden Berechtigungen.

In unserem Beispiel kann die Richtlinie also nur auf die Buchhaltungsgruppe angewendet werden.

WMI-Filter

Windows Management Instrumentation (WMI) ist eines der leistungsstärksten Tools für die Betriebssystemverwaltung. Windows-System. WMI enthält eine Vielzahl von Klassen, mit denen Sie nahezu beliebige Benutzer- und Computereinstellungen beschreiben können. Sie können alle verfügbaren WMI-Klassen mit PowerShell als Liste anzeigen, indem Sie den folgenden Befehl ausführen:

Get-WmiObject-List

Nehmen Sie zum Beispiel die Klasse Win32_Betriebssystem, die für die Betriebssystemeigenschaften zuständig ist. Angenommen, Sie möchten alle Betriebssysteme außer Windows 10 filtern. Wir gehen zu einem Computer, auf dem Windows 10 installiert ist, öffnen die PowerShell-Konsole und zeigen den Namen, die Version und den Typ des Betriebssystems mit dem Befehl an:

Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, Produkttyp

Für den Filter verwenden wir die Version und den Typ des Betriebssystems. Die Version ist für Client- und Server-OS gleich und wie folgt definiert:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Der Produkttyp ist für den Zweck des Computers verantwortlich und kann 3 Werte haben:

1 - Arbeitsplatz;
2 - Domänencontroller;
3 - Server.

Lassen Sie uns nun mit der Erstellung eines Filters fortfahren. Öffnen Sie dazu das Snap-In Gruppenrichtlinienverwaltung und gehen Sie zum Abschnitt WMI-Filter. Klicken Sie mit der rechten Maustaste darauf und wählen Sie im Kontextmenü Neu.

Geben Sie in dem sich öffnenden Fenster dem Filter einen Namen und eine Beschreibung. Dann drücken wir die Schaltfläche "Hinzufügen" und tragen im Feld "Abfrage" die WQL-Abfrage ein, die die Grundlage des WMI-Filters ist. Wir müssen OS-Version 10.0 mit Typ 1 auswählen, damit die Anfrage wie folgt aussieht:

SELECT * FROM Win32_OperatingSystem WO Version LIKE ″10.0%″ UND ProductType = ″1″

Notiz. Windows Query Language (WQL) – WMI-Abfragesprache. Sie können mehr darüber auf MSDN erfahren.

Speichern Sie den resultierenden Filter.

Jetzt müssen Sie den WMI-Filter nur noch einem GPO, z. B. GPO3, zuweisen. Gehen Sie in die Eigenschaften des GPOs, öffnen Sie den Reiter „Geltungsbereich“ und wählen Sie im Feld „WMI-Filterung“ den gewünschten Filter aus der Liste aus.

Analyse der Anwendung von Gruppenrichtlinien

Bei so vielen GPO-Filtermethoden ist es notwendig, ihre Anwendung diagnostizieren und analysieren zu können. Die einfachste Möglichkeit, die Auswirkungen von Gruppenrichtlinien auf einem Computer zu überprüfen, ist die Verwendung des Befehlszeilenprogramms gpresult.

Gehen wir zum Beispiel zum wks2-Computer, auf dem Windows 7 installiert ist, und prüfen, ob der WMI-Filter funktioniert hat. Öffnen Sie dazu die cmd-Konsole mit Administratorrechten und führen Sie den Befehl aus gpresult /r, das zusammenfassende Informationen zu Gruppenrichtlinien anzeigt, die auf den Benutzer und Computer angewendet werden.

Notiz. Das Dienstprogramm gpresult hat viele Einstellungen, die mit dem Befehl angezeigt werden können gpresult /?.

Wie Sie den empfangenen Daten entnehmen können, wurde die GPO3-Richtlinie nicht auf den Computer angewendet, da sie durch den WMI-Filter gefiltert wurde.

Sie können die GPO-Aktion auch über das Gruppenrichtlinienverwaltungs-Snap-In mit einem speziellen Assistenten überprüfen. Um den Assistenten zu starten, klicken Sie mit der rechten Maustaste auf den Abschnitt „Gruppenrichtlinien-Ergebnisse“ und wählen Sie im sich öffnenden Menü den Eintrag „Gruppenrichtlinien-Ergebnis-Assistent“.

Geben Sie den Namen des Computers an, für den der Bericht generiert wird. Wenn Sie nur benutzerspezifische Gruppenrichtlinieneinstellungen anzeigen möchten, können Sie festlegen, dass keine Einstellungen für den Computer erfasst werden. Aktivieren Sie dazu das Kontrollkästchen unten (nur Benutzerrichtlinieneinstellungen anzeigen).

Dann wählen wir den Benutzernamen aus, für den Daten gesammelt werden, oder Sie können angeben, dass die Gruppenrichtlinieneinstellungen für den Benutzer nicht in den Bericht aufgenommen werden sollen (nur Computerrichtlinieneinstellungen anzeigen).

Wir überprüfen die gewählten Einstellungen, klicken auf "Weiter" und warten, während die Daten gesammelt und der Bericht generiert werden.

Der Bericht enthält umfassende Daten über die auf den Benutzer und Computer angewendeten (oder nicht angewendeten) GPOs sowie die verwendeten Filter.

Lassen Sie uns beispielsweise Berichte für zwei verschiedene Benutzer erstellen und diese vergleichen. Lassen Sie uns zuerst den Bericht für den Benutzer Kirill öffnen und zum Abschnitt Benutzereinstellungen gehen. Wie Sie sehen können, wurde die GPO2-Richtlinie nicht auf diesen Benutzer angewendet, da er keine Rechte zum Anwenden hat (Grund verweigert - nicht erreichbar).

Und jetzt öffnen wir den Bericht für den Benutzer Oleg. Dieser Benutzer ist Mitglied der Accounting-Gruppe, daher wurde die Richtlinie erfolgreich auf ihn angewendet. Dies bedeutet, dass der Sicherheitsfilter erfolgreich abgeschlossen wurde.

Damit möchte ich vielleicht die ″faszinierende″ Geschichte über die Anwendung von Gruppenrichtlinien beenden. Ich hoffe, diese Informationen sind nützlich und helfen Ihnen bei der schwierigen Aufgabe der Systemadministration 🙂