GPResult-Befehl: Diagnose der resultierenden Gruppenrichtlinien. Geben Sie eine detaillierte Beschreibung der Richtlinie des Servers bzgl

Wenn Sie Windows installieren, werden die meisten nicht wesentlichen Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, können sich Systemadministratoren darauf konzentrieren, ein System zu entwerfen, das das tut, was es tut, und nichts anderes. Damit Sie die gewünschten Funktionen aktivieren können, fordert Windows Sie auf, eine Serverrolle auszuwählen.

Rollen

Eine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Im Allgemeinen haben alle Rollen die folgenden Eigenschaften.

  • Sie definieren die Hauptfunktion, den Zweck oder den Zweck der Verwendung eines Computers. Sie können einem Computer eine Rolle zuweisen, die im Unternehmen stark genutzt wird, oder mehrere Rollen übernehmen, wobei jede Rolle nur gelegentlich verwendet wird.
  • Rollen geben Benutzern in der gesamten Organisation Zugriff auf Ressourcen, die von anderen Computern verwaltet werden, z. B. Websites, Drucker oder Dateien, die auf verschiedenen Computern gespeichert sind.
  • Sie haben normalerweise ihre eigenen Datenbanken, die Benutzer- oder Computeranforderungen in eine Warteschlange stellen oder Informationen über Netzwerkbenutzer und Computer aufzeichnen, die einer Rolle zugeordnet sind. Beispielsweise enthält Active Directory Domain Services eine Datenbank zum Speichern der Namen und hierarchischen Beziehungen aller Computer in einem Netzwerk.
  • Einmal richtig installiert und konfiguriert, funktionieren Rollen automatisch. Dadurch können die Computer, auf denen sie installiert sind, zugewiesene Aufgaben mit eingeschränkter Benutzerinteraktion ausführen.

Rollendienste

Rollendienste sind Programme, die die Funktionalität einer Rolle bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen zur Verfügung stellt. Einige Rollen, wie z. B. der DNS-Server, führen nur eine Funktion aus, sodass es für sie keine Rollendienste gibt. Andere Rollen, wie z. B. Remotedesktopdienste, verfügen über mehrere Dienste, die Sie basierend auf den Remotezugriffsanforderungen Ihres Unternehmens installieren können. Eine Rolle kann als Sammlung eng verwandter, komplementärer Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Komponenten

Komponenten sind Programme, die nicht direkt Teil von Rollen sind, aber die Funktionalität einer oder mehrerer Rollen oder eines ganzen Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert das Failover-Cluster-Tool die Funktionalität anderer Rollen wie Dateidienste und DHCP-Server, indem es ihnen ermöglicht, Serverclustern beizutreten, was für mehr Redundanz und Leistung sorgt. Die andere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion erweitert die Kommunikationsoptionen für den Server.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverrollen unterstützt:

  • Active Directory-Zertifikatsdienste;
  • Active Directory-Domänendienste;
  • DHCP-Server
  • DNS Server;
  • Dateidienste (einschließlich des Dateiserver-Ressourcenmanagers);
  • Active Directory Lightweight-Verzeichnisdienste;
  • Hyper-V
  • Druck- und Dokumentendienste;
  • Streaming-Mediendienste;
  • Webserver (einschließlich einer Teilmenge von ASP.NET);
  • Windows Server Update-Server;
  • Active Directory-Rechteverwaltungsserver;
  • Routing- und RAS-Server und die folgenden untergeordneten Rollen:
    • Remotedesktop-Verbindungsbroker;
    • Lizenzierung;
    • Virtualisierung.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverfeatures unterstützt:

  • Microsoft.NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • Intelligenter Hintergrundübertragungsdienst (BITS);
  • BitLocker-Laufwerkverschlüsselung;
  • BitLocker-Netzwerkentsperrung;
  • BranchCache
  • Rechenzentrumsbrücke;
  • Erweiterter Speicher;
  • Failover-Clustering;
  • Multipath-E/A;
  • Netzwerklastenausgleich;
  • PNRP-Protokoll;
  • qWelle;
  • Remote-Differentialkomprimierung;
  • einfache TCP/IP-Dienste;
  • RPC über HTTP-Proxy;
  • SMTP-Server;
  • SNMP-Dienst;
  • Telnet-Client;
  • Telnet-Server;
  • TFTP-Client;
  • Windows-interne Datenbank;
  • Windows PowerShell-Webzugriff;
  • Windows-Aktivierungsdienst;
  • standardisierte Windows-Speicherverwaltung;
  • IIS WinRM-Erweiterung;
  • WINS-Server;
  • WoW64-Unterstützung.

Installieren von Serverrollen mit dem Server-Manager

Öffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü Verwalten auf Rollen und Features hinzufügen:

Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Weiter klicken

Installationstyp, wählen Sie rollenbasierte oder funktionsbasierte Installation aus. Nächste:

Serverauswahl - Wählen Sie unseren Server aus. Klicken Sie auf Next Server Roles – Select roles (Rollen auswählen, falls erforderlich), wählen Sie Role Services aus und klicken Sie auf Next (Weiter), um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Features automatisch über Konflikte auf dem Zielserver, die die Installation oder den normalen Betrieb der ausgewählten Rollen oder Features verhindern können. Sie werden auch aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind.

Rollen mit PowerShell installieren

Windows PowerShell öffnen Geben Sie den Befehl Get-WindowsFeature ein, um die Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ausgabe dieses Cmdlets enthält die Befehlsnamen für die Rollen und Features, die installiert und für die Installation verfügbar sind.

Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax und die gültigen Parameter für das Cmdlet Install-WindowsFeature (MAN) anzuzeigen.

Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn die Rolleninstallation einen Neustart erfordert).

Install-WindowsFeature –Name -Neu starten

Beschreibung von Rollen und Rollendiensten

Nachfolgend werden alle Rollen und Rollendienste beschrieben. Sehen wir uns die erweiterten Einstellungen für die gängigsten Webserverrollen und Remotedesktopdienste in unserer Praxis an.

Ausführliche Beschreibung von IIS

  • Allgemeine HTTP-Funktionen - Grundlegende HTTP-Komponenten
    • Standarddokument – ​​ermöglicht Ihnen, die Indexseite für die Site festzulegen.
    • Verzeichnissuche – Ermöglicht Benutzern, den Inhalt eines Verzeichnisses auf einem Webserver anzuzeigen. Verwenden Sie die Verzeichnissuche, um automatisch eine Liste aller Verzeichnisse und Dateien in einem Verzeichnis zu erstellen, wenn Benutzer keine Datei in der URL angeben und die Indexseite deaktiviert oder nicht konfiguriert ist
    • HTTP-Fehler – ermöglicht Ihnen, die Fehlermeldungen anzupassen, die an Clients im Browser zurückgegeben werden.
    • Statischer Inhalt - ermöglicht Ihnen das Posten statischer Inhalte wie Bilder oder HTML-Dateien.
    • HTTP-Umleitung – Bietet Unterstützung für die Umleitung von Benutzeranforderungen.
    • Mit WebDAV Publishing können Sie Dateien von einem Webserver mithilfe des HTTP-Protokolls veröffentlichen.
  • Zustands- und Diagnosefunktionen – Diagnosekomponenten
    • Die HTTP-Protokollierung ermöglicht die Protokollierung der Website-Aktivität für einen bestimmten Server.
    • Die benutzerdefinierte Protokollierung bietet Unterstützung für das Erstellen benutzerdefinierter Protokolle, die sich von „herkömmlichen“ Protokollen unterscheiden.
    • Protokollierungstools bieten ein Framework zum Verwalten von Webserverprotokollen und zum Automatisieren allgemeiner Protokollierungsaufgaben.
    • Die ODBC-Protokollierung stellt ein Framework bereit, das die Protokollierung von Webserveraktivitäten in einer ODBC-kompatiblen Datenbank unterstützt.
    • Request Monitor stellt ein Framework zum Überwachen des Zustands von Webanwendungen bereit, indem Informationen über HTTP-Anforderungen in einem IIS-Arbeitsprozess gesammelt werden.
    • Die Ablaufverfolgung stellt ein Framework für die Diagnose und Fehlerbehebung von Webanwendungen bereit. Durch die Verwendung der Ablaufverfolgung für fehlgeschlagene Anforderungen können Sie schwer zu findende Ereignisse wie schlechte Leistung oder Authentifizierungsfehler nachverfolgen.
  • Leistungskomponenten zur Leistungssteigerung des Webservers.
    • Komprimierung statischer Inhalte bietet ein Framework zum Konfigurieren der HTTP-Komprimierung statischer Inhalte
    • Die dynamische Inhaltskomprimierung bietet ein Framework zum Konfigurieren der HTTP-Komprimierung dynamischer Inhalte.
  • Sicherheitskomponenten
    • Mit der Anforderungsfilterung können Sie alle eingehenden Anforderungen erfassen und sie basierend auf vom Administrator festgelegten Regeln filtern.
    • Mit der Basisauthentifizierung können Sie zusätzliche Autorisierungen festlegen
    • Die Unterstützung zentralisierter SSL-Zertifikate ist eine Funktion, mit der Sie Zertifikate an einem zentralen Ort wie einer Dateifreigabe speichern können.
    • Die Clientzertiverwendet Clientzertifikate, um Benutzer zu authentifizieren.
    • Die Digest-Authentifizierung funktioniert, indem ein Kennwort-Hash an einen Windows-Domänencontroller gesendet wird, um Benutzer zu authentifizieren. Wenn Sie mehr Sicherheit als die einfache Authentifizierung benötigen, sollten Sie die Verwendung der Digest-Authentifizierung in Betracht ziehen
    • Die IIS-Clientzertiverwendet Clientzertifikate zum Authentifizieren von Benutzern. Das Client-Zertifikat ist eine digitale ID, die von einer vertrauenswürdigen Quelle bezogen wird.
    • IP- und Domänenbeschränkungen ermöglichen Ihnen, den Zugriff basierend auf der angeforderten IP-Adresse oder dem Domänennamen zuzulassen/zu verweigern.
    • Mit der URL-Autorisierung können Sie Regeln erstellen, die den Zugriff auf Webinhalte einschränken.
    • Windows-Authentifizierung Dieses Authentifizierungsschema ermöglicht es Windows-Domänenadministratoren, die Domäneninfrastruktur für die Benutzerauthentifizierung zu nutzen.
  • Anwendungsentwicklungsfunktionen
  • FTP-Server
    • FTP-Dienst Ermöglicht die FTP-Veröffentlichung auf einem Webserver.
    • FTP-Erweiterbarkeit Aktiviert die Unterstützung für FTP-Funktionen, die die Funktionalität von erweitern
  • Management-Tools
    • Die IIS-Verwaltungskonsole installiert den IIS-Manager, mit dem Sie den Webserver über eine GUI verwalten können
    • IIS 6.0-Verwaltungskompatibilität bietet Aufwärtskompatibilität für Anwendungen und Skripts, die das Admin Base Object (ABO) und die Active Directory-API von Directory Service Interface (ADSI) verwenden. Dadurch können vorhandene IIS 6.0-Skripts vom IIS 8.0-Webserver verwendet werden
    • IIS-Verwaltungsskripts und -tools stellen die Infrastruktur für die programmgesteuerte Verwaltung des IIS-Webservers bereit, indem Befehle in einem Eingabeaufforderungsfenster verwendet oder Skripts ausgeführt werden.
    • Der Verwaltungsdienst stellt die Infrastruktur zum Anpassen der Benutzeroberfläche IIS-Manager bereit.

Detaillierte Beschreibung von RDS

  • Remotedesktop-Verbindungsbroker – Stellt die Wiederverbindung von Clientgeräten mit Programmen basierend auf Desktop- und virtuellen Desktopsitzungen bereit.
  • Remote Desktop Gateway – Ermöglicht autorisierten Benutzern, sich mit virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops in einem Unternehmensnetzwerk oder über das Internet zu verbinden.
  • Remotedesktoplizenzierung – RDP-Lizenzverwaltungstool
  • Remotedesktop-Sitzungshost – Enthält einen Server zum Hosten von RemoteApp-Programmen oder einer Desktop-basierten Sitzung.
  • Remotedesktop-Virtualisierungshost – ermöglicht Ihnen die Konfiguration von RDP auf virtuellen Maschinen
  • Remote Desktop WebAccess – Ermöglicht Benutzern das Herstellen einer Verbindung mit Desktop-Ressourcen über das Startmenü oder den Webbrowser.

Erwägen Sie die Installation und Konfiguration eines Terminallizenzservers. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir Remotedesktoplizenzierung und Remotedesktop-Sitzungshost auswählen. Nach der Installation erscheint das Terminaldienste-Element in Server Manager-Tools. Es gibt zwei Elemente in Terminal Services RD Licensing Diagnoser, dies ist ein Tool zur Diagnose des Betriebs der Remotedesktoplizenzierung, und Remotedesktoplizenzierungs-Manager, dies ist ein Lizenzverwaltungstool.

Führen Sie den RD-Lizenzierungsdiagnoser aus

Hier können wir sehen, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den RD-Sitzungshostserver nicht festgelegt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien festgelegt. Führen Sie zum Starten des Editors den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Erweitern Sie in der Baumstruktur auf der linken Seite die Registerkarten:

  • Computerkonfiguration
  • Administrative Vorlagen
  • Windows-Komponenten
  • Remotedesktopdienste
  • Remotedesktop-Sitzungshost
  • "Lizenzierung" (Lizenzierung)

Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver

Aktivieren Sie im Fenster zum Bearbeiten der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie einen Lizenzserver für Remotedesktopdienste definieren. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Geben Sie den Netzwerknamen oder die IP-Adresse des Lizenzservers an und klicken Sie auf OK. Wenn sich der Servername des Lizenzservers in Zukunft ändert, müssen Sie ihn im selben Abschnitt ändern.

Danach können Sie im RD Licensing Diagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Führen Sie zum Aktivieren den Remote Desktop Licensing Manager aus

Wählen Sie den Lizenzserver mit dem Status Nicht aktiviert aus. Klicken Sie zum Aktivieren mit der rechten Maustaste darauf und wählen Sie Server aktivieren. Der Server-Aktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als nächstes die Informationen über die Organisation ein, danach wird der Lizenzserver aktiviert.

Active Directory-Zertifikatsdienste

AD CS bietet konfigurierbare Dienste zum Ausstellen und Verwalten digitaler Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die öffentliche Schlüsseltechnologien verwenden. Von AD CS bereitgestellte digitale Zertifikate können verwendet werden, um elektronische Dokumente und Nachrichten zu verschlüsseln und digital zu signieren. Diese digitalen Zertifikate können verwendet werden, um Computer-, Benutzer- und Gerätekonten im Netzwerk zu authentifizieren. Digitale Zertifikate werden verwendet, um Folgendes bereitzustellen:

  • Privatsphäre durch Verschlüsselung;
  • Integrität durch digitale Signaturen;
  • Authentifizierung durch Verknüpfen von Zertifikatschlüsseln mit Computer-, Benutzer- und Gerätekonten im Netzwerk.

AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem die Identität eines Benutzers, Geräts oder Diensts an den entsprechenden privaten Schlüssel gebunden wird. Zu den von AD CS unterstützten Anwendungen gehören sichere Mehrzweck-Internet-Mail-Standarderweiterungen (S/MIME), sichere drahtlose Netzwerke, virtuelle private Netzwerke (VPNs), IPsec, Encrypting File System (EFS), Smartcard-Anmeldung, Sicherheits- und Transportschicht-Sicherheitsprotokoll (SSL/TLS) und digitale Signaturen.

Active Directory-Domänendienste

Mit der Serverrolle Active Directory-Domänendienste (AD DS) können Sie eine skalierbare, sichere und verwaltbare Infrastruktur zum Verwalten von Benutzern und Ressourcen erstellen. Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server bereitstellen. AD DS stellt eine verteilte Datenbank bereit, die Informationen zu Netzwerkressourcen und verzeichnisaktivierten Anwendungsdaten speichert und verwaltet. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen verschachtelten Struktur zu organisieren. Die hierarchische verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen in der Gesamtstruktur und die Organisationseinheiten in jeder Domäne. Sicherheitsfeatures sind in AD DS in Form von Authentifizierung und Zugriffssteuerung auf Ressourcen im Verzeichnis integriert. Mit Single Sign-On können Administratoren Verzeichnisinformationen und Organisation über das Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch die Netzwerk-Einzelanmeldung verwenden, um auf Ressourcen zuzugreifen, die sich irgendwo im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.

  • Ein Regelsatz ist ein Schema, das die Klassen von Objekten und Attributen definiert, die in einem Verzeichnis enthalten sind, die Beschränkungen und Beschränkungen für Instanzen dieser Objekte und das Format ihrer Namen.
  • Ein globaler Katalog, der Informationen zu jedem Objekt im Katalog enthält. Benutzer und Administratoren können den globalen Katalog verwenden, um nach Katalogdaten zu suchen, unabhängig davon, welche Domäne im Katalog die gesuchten Daten tatsächlich enthält.
  • Ein Abfrage- und Indizierungsmechanismus, durch den Objekte und ihre Eigenschaften von Netzwerkbenutzern und -anwendungen veröffentlicht und gefunden werden können.
  • Ein Replikationsdienst, der Verzeichnisdaten über ein Netzwerk verteilt. Alle beschreibbaren Domänencontroller in der Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisdaten für ihre Domäne. Alle Änderungen an Verzeichnisdaten werden in der Domäne auf alle Domänencontroller repliziert.
  • Betriebsmasterrollen (auch bekannt als Flexible Single Master Operations oder FSMOs). Domänencontroller, die als Master of Operations fungieren, sind darauf ausgelegt, spezielle Aufgaben auszuführen, um die Datenkonsistenz sicherzustellen und widersprüchliche Verzeichniseinträge zu vermeiden.

Active Directory-Verbunddienste

AD FS bietet Endbenutzern, die Zugriff auf Anwendungen in einem AD FS-gesicherten Unternehmen, in Verbundpartnerorganisationen oder in der Cloud benötigen, einen vereinfachten und sicheren Identitätsverbund und webbasierte Dienste für einmaliges Anmelden (SSO).Windows Server AD FS enthält einen Rollendienst Verbunddienst, der als Identitätsanbieter (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter fungiert (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen).

Active Directory Lightweight-Verzeichnisdienste

Active Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das Verzeichnisanwendungen ohne die Abhängigkeiten und domänenspezifischen Einschränkungen der Active Directory-Domänendienste flexibel unterstützt. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS mit unabhängig verwalteten Schemas auf demselben Server ausführen. Mit der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne Domänen- und Gesamtstrukturdienstdaten zu verwenden und ohne ein einziges gesamtstrukturweites Schema zu benötigen.

Active Directory-Rechteverwaltungsdienste

Sie können AD RMS verwenden, um die Sicherheitsstrategie Ihrer Organisation zu erweitern, indem Sie Dokumente mithilfe von Information Rights Management (IRM) sichern. AD RMS ermöglicht es Benutzern und Administratoren, mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuzuweisen. Dadurch können Sie vertrauliche Informationen vor dem Drucken, Weiterleiten oder Kopieren durch unbefugte Benutzer schützen. Sobald die Berechtigungen einer Datei mithilfe von IRM eingeschränkt wurden, gelten Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen, da die Berechtigung der Datei in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen Präferenzen bezüglich der Übertragung persönlicher und vertraulicher Informationen anwenden. Sie helfen einer Organisation auch dabei, Unternehmensrichtlinien durchzusetzen, um die Verwendung und Verbreitung sensibler und persönlicher Informationen zu kontrollieren. Die von AD RMS unterstützten IRM-Lösungen werden verwendet, um die folgenden Funktionen bereitzustellen.

  • Persistente Nutzungsrichtlinien, die Informationen enthalten, unabhängig davon, ob sie verschoben, gesendet oder weitergeleitet werden.
  • Eine zusätzliche Datenschutzebene zum Schutz vertraulicher Daten – wie Berichte, Produktspezifikationen, Kundeninformationen und E-Mail-Nachrichten – davor, absichtlich oder versehentlich in die falschen Hände zu geraten.
  • Verhindern Sie unbefugtes Senden, Kopieren, Bearbeiten, Drucken, Faxen oder Einfügen von eingeschränkten Inhalten durch autorisierte Empfänger.
  • Verhindern Sie das Kopieren eingeschränkter Inhalte mit der Funktion BILDSCHIRM DRUCKEN in Microsoft Windows.
  • Unterstützung für den Ablauf von Dateien, wodurch verhindert wird, dass Dokumentinhalte nach einem bestimmten Zeitraum angezeigt werden.
  • Implementieren Sie Unternehmensrichtlinien, die die Nutzung und Verteilung von Inhalten innerhalb der Organisation regeln

Anwendungsserver

Application Server bietet eine integrierte Umgebung zum Bereitstellen und Ausführen benutzerdefinierter serverbasierter Geschäftsanwendungen.

DHCP-Server

DHCP ist eine Client-Server-Technologie, die es DHCP-Servern ermöglicht, Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuzuweisen oder zu leasen.Die Bereitstellung von DHCP-Servern in einem Netzwerk stellt Clientcomputern und anderen Netzwerkgeräten automatisch gültige IP-Adressen und IPv4- und IPv6-basierte IP-Adressen bereit Zusätzliche Konfigurationseinstellungen, die von diesen Clients und Geräten benötigt werden Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Failover.

DNS Server

Der DNS-Dienst ist eine hierarchisch verteilte Datenbank, die Zuordnungen von DNS-Domänennamen zu verschiedenen Datentypen wie IP-Adressen enthält. Mit dem DNS-Dienst können Sie Anzeigenamen wie www.microsoft.com verwenden, um Computer und andere Ressourcen in TCP/IP-basierten Netzwerken zu finden. Der Windows Server-DNS-Dienst bietet weiter verbesserte Unterstützung für DNS-Sicherheitsmodule (DNSSEC), einschließlich Netzwerkregistrierung und automatisierter Einstellungsverwaltung.

FAX-Server

Der Faxserver sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf Ihrem Faxserver.

Datei- und Speicherdienste

Administratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und ihre Speicher einzurichten und diese Server mit dem Server-Manager oder Windows PowerShell zu verwalten. Einige spezifische Anwendungen umfassen die folgenden Merkmale.

  • Arbeitsordner. Verwenden Sie diese Option, um Benutzern das Speichern und Zugreifen auf Arbeitsdateien auf PCs und anderen Geräten als Unternehmens-PCs zu ermöglichen. Benutzer erhalten einen bequemen Ort, um Arbeitsdateien zu speichern und von überall darauf zuzugreifen. Organisationen kontrollieren Unternehmensdaten, indem sie Dateien auf zentral verwalteten Dateiservern speichern und optional Richtlinien für Benutzergeräte (z. B. Verschlüsselung und Kennwörter für die Bildschirmsperre) festlegen.
  • Datendeduplizierung. Wird verwendet, um den Speicherplatzbedarf zum Speichern von Dateien zu reduzieren und Geld für die Speicherung zu sparen.
  • iSCSI-Zielserver. Wird verwendet, um zentralisierte, software- und geräteunabhängige iSCSI-Festplattensubsysteme in Storage Area Networks (SANs) zu erstellen.
  • Speicherplatz. Zur Bereitstellung von hochverfügbarem, fehlertolerantem und skalierbarem Speicher mit kostengünstigen Laufwerken nach Industriestandard.
  • Server Administrator. Zur Fernverwaltung mehrerer Dateiserver von einem einzigen Fenster aus.
  • Windows PowerShell. Wird verwendet, um die Verwaltung der meisten Dateiserver-Verwaltungsaufgaben zu automatisieren.

Hyper-V

Mit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Beim Installieren der Hyper-V-Rolle werden Voraussetzungen und optionale Verwaltungstools installiert. Zu den Voraussetzungen gehören der Windows-Hypervisor, der Hyper-V Virtual Machine Management Service, der WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualization Service Provider (VSP) und Virtual Infrastructure Driver (VID).

Netzwerkrichtlinie und Zugriffsdienste

Network Policy and Access Services bietet die folgenden Netzwerkkonnektivitätslösungen:

  • Network Access Protection ist eine Technologie zum Erstellen, Durchsetzen und Korrigieren von Clientintegritätsrichtlinien. Mit Network Access Protection können Systemadministratoren Integritätsrichtlinien festlegen und automatisch durchsetzen, die Anforderungen für Software, Sicherheitsupdates und andere Einstellungen enthalten. Für Clientcomputer, die die Integritätsrichtlinie nicht einhalten, können Sie den Zugriff auf das Netzwerk einschränken, bis ihre Konfiguration aktualisiert wurde, um den Richtlinienanforderungen zu entsprechen.
  • Wenn 802.1X-fähige drahtlose Zugriffspunkte bereitgestellt werden, können Sie den Netzwerkrichtlinienserver (NPS) verwenden, um zertifikatbasierte Authentifizierungsmethoden bereitzustellen, die sicherer sind als die kennwortbasierte Authentifizierung. Durch die Bereitstellung von 802.1X-fähiger Hardware mit einem NPS-Server können Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung mit dem Netzwerk herstellen oder eine IP-Adresse von einem DHCP-Server abrufen können.
  • Anstatt eine Netzwerkzugriffsrichtlinie auf jedem Netzwerkzugriffsserver zu konfigurieren, können Sie alle Richtlinien zentral erstellen, die alle Aspekte von Netzwerkverbindungsanforderungen definieren (wer eine Verbindung herstellen kann, wann eine Verbindung zulässig ist, die Sicherheitsstufe, die zum Herstellen einer Verbindung verwendet werden muss). Netzwerk).

Druck- und Dokumentenservice

Mit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben hochladen – auf eine Windows SharePoint Services-Site oder per E-Mail.

Fernzugriff

Die Remote Access Server-Rolle ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.

  • Direkter Zugang
  • Routing und Fernzugriff
  • Webanwendungsproxy

Diese Technologien sind Rollendienste RAS-Serverrolle. Wenn Sie die RAS-Serverrolle installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Features ausführen.

Unter Windows Server bietet die Remote Access Server-Rolle die Möglichkeit, DirectAccess und VPN mit RRAS-Remotezugriffsdiensten (Routing and Remote Access Service) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edgeserver bereitgestellt und mithilfe von Windows PowerShell-Befehlen und der Remote Access Management Console (MMC) verwaltet werden.

Remotedesktopdienste

Remote Desktop Services beschleunigt und erweitert die Bereitstellung von Desktops und Anwendungen auf jedem Gerät, macht den Remote-Mitarbeiter effizienter, schützt gleichzeitig wichtiges geistiges Eigentum und vereinfacht die Compliance. Remote Desktop Services umfassen Virtual Desktop Infrastructure (VDI), sitzungsbasierte Desktops und Anwendungen, die es Benutzern ermöglichen, von überall aus zu arbeiten.

Volumenaktivierungsdienste

Volume License Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung und Verwaltung von Volumenlizenzen für Microsoft-Software in verschiedenen Szenarien und Umgebungen automatisiert und vereinfacht. Zusammen mit Volume License Activation Services können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren.

Webserver (IIS)

Die Rolle Webserver (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Die Verwendung eines Webservers bietet Benutzern Zugriff auf Informationen im Internet, Intranet und Extranet. Administratoren können die Rolle Webserver (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites einzurichten und zu verwalten. Zu den Besonderheiten gehören die folgenden.

  • Verwenden Sie den Internet Information Services (IIS) Manager, um IIS-Komponenten zu konfigurieren und Websites zu verwalten.
  • Verwenden des FTP-Protokolls, um Website-Eigentümern das Hoch- und Herunterladen von Dateien zu ermöglichen.
  • Verwenden der Website-Isolierung, um zu verhindern, dass eine Website auf dem Server andere beeinträchtigt.
  • Anpassung von Webanwendungen, die mit verschiedenen Technologien wie Classic ASP, ASP.NET und PHP entwickelt wurden.
  • Verwenden Sie Windows PowerShell, um die meisten Verwaltungsaufgaben für Webserver automatisch zu verwalten.
  • Konsolidieren Sie mehrere Webserver in einer Serverfarm, die mit IIS verwaltet werden kann.

Windows-Bereitstellungsdienste

Mit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen.

Windows Server Essentials-Erfahrung

Mit dieser Rolle können Sie die folgenden Aufgaben ausführen:

  • Server- und Client-Daten schützen, indem der Server und alle Client-Computer im Netzwerk gesichert werden;
  • Verwalten Sie Benutzer und Benutzergruppen über ein vereinfachtes Server-Dashboard. Darüber hinaus bietet die Integration mit Windows Azure Active Directory* Benutzern einfachen Zugriff auf Online-Microsoft Online-Dienste (wie Office 365, Exchange Online und SharePoint Online) mit ihren Domänenanmeldeinformationen;
  • Unternehmensdaten an einem zentralen Ort speichern;
  • Integrieren Sie den Server in Microsoft Online Services (wie Office 365, Exchange Online, SharePoint Online und Windows Intune):
  • Allgegenwärtige Zugriffsfunktionen auf dem Server (wie Remote-Webzugriff und virtuelle private Netzwerke) verwenden, um von hochsicheren Remote-Standorten aus auf den Server, Netzwerkcomputer und Daten zuzugreifen;
  • Zugriff auf Daten von überall und von jedem Gerät über das eigene Webportal der Organisation (über Remote-Webzugriff);
  • Verwalten Sie die mobilen Geräte, die mit Office 365 über das Active Sync-Protokoll vom Dashboard aus auf die E-Mails Ihrer Organisation zugreifen.
  • den Netzwerkzustand überwachen und anpassbare Zustandsberichte erhalten; Berichte können bei Bedarf generiert, angepasst und per E-Mail an bestimmte Empfänger gesendet werden.

Windows Server-Update-Dienste

Der WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Quelle von Updates für andere WSUS-Server in der Organisation sein. Bei der Implementierung von WSUS muss mindestens ein WSUS-Server im Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von der Netzwerksicherheit und Konfiguration kann ein Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind.

GPResult-Dienstprogramm.exe– ist eine Konsolenanwendung zum Analysieren von Einstellungen und Diagnostizieren von Gruppenrichtlinien, die auf einen Computer und/oder Benutzer in einer Active Directory-Domäne angewendet werden. Insbesondere können Sie mit GPResult Daten aus dem resultierenden Richtliniensatz (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), ihre Einstellungen und detaillierte Informationen zu ihren Verarbeitungsfehlern abrufen. Das Dienstprogramm ist seit den Tagen von Windows XP Teil des Windows-Betriebssystems. Mit dem Dienstprogramm GPResult können Sie Fragen beantworten, z. B. ob eine bestimmte Richtlinie für einen Computer gilt, welches GPO eine bestimmte Windows-Einstellung geändert hat, und die Gründe dafür herausfinden.

In diesem Artikel sehen wir uns die Funktionen der Verwendung des GPResult-Befehls zum Diagnostizieren und Debuggen der Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne an.

Um die Anwendung von Gruppenrichtlinien in Windows zu diagnostizieren, wurde zunächst die grafische Konsole RSOP.msc verwendet, die es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + Lokal) auf den Computer und den Benutzer in ähnlicher grafischer Form anzuwenden zur GPO-Editor-Konsole (unten, am Beispiel der RSOP.msc-Konsolenansicht, können Sie sehen, dass die Update-Einstellungen festgelegt sind).

Allerdings ist die RSOP.msc-Konsole in modernen Windows-Versionen nicht praktisch zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen Gruppenrichtlinienerweiterungen (CSE), wie GPP (Group Policy Preferences), angewendet werden, lässt keine Suche zu und bietet wenig Diagnoseinformationen. Daher ist im Moment der GPResult-Befehl das Hauptwerkzeug zur Diagnose der Verwendung von GPO in Windows (in Windows 10 gibt es sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert).

Verwenden des Dienstprogramms GPResult.exe

Der GPResult-Befehl wird auf dem Computer ausgeführt, auf dem Sie die Anwendung von Gruppenrichtlinien testen möchten. Der GPResult-Befehl hat die folgende Syntax:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Führen Sie den folgenden Befehl aus, um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) und andere Einstellungen im Zusammenhang mit der GPO-Infrastruktur gelten (d. h. die resultierenden GPO-Richtlinieneinstellungen - RsoP):

Die Ergebnisse der Befehlsausführung sind in 2 Abschnitte unterteilt:

  • COMPUTER DIE EINSTELLUNGEN (Computerkonfiguration) – der Abschnitt enthält Informationen über GPO-Objekte, die den Computer betreffen (als Active Directory-Objekt);
  • BENUTZER DIE EINSTELLUNGEN – Benutzerabschnitt von Richtlinien (Richtlinien, die für ein Benutzerkonto in AD gelten).

Gehen wir kurz auf die wichtigsten Parameter/Abschnitte ein, die für uns in der GPResult-Ausgabe von Interesse sein könnten:

  • Seite? ˅Name(Site-Name:) - der Name der AD-Site, in der sich der Computer befindet;
  • CN– Vollständiger kanonischer Benutzer/Computer, für den die RSoP-Daten generiert wurden;
  • LetzteZeitGruppePolitikwarangewandt(Zuletzt angewendete Gruppenrichtlinie) – der Zeitpunkt, zu dem Gruppenrichtlinien zuletzt angewendet wurden;
  • GruppePolitikwarangewandtaus(Gruppenrichtlinie wurde angewendet von) – der Domänencontroller, von dem die neueste Version des Gruppenrichtlinienobjekts geladen wurde;
  • DomainNameund DomäneTyp(Domänenname, Domänentyp) – Name und Version des Active Directory-Domänenschemas;
  • AngewandtGruppePolitikObjekte(Angewandte GPOs)– Listen aktiver Gruppenrichtlinienobjekte;
  • DasfolgendeGPOswarnichtangewandtWeilsiewargefiltertaus(Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie gefiltert wurden) - nicht angewendete (gefilterte) GPOs;
  • DasBenutzer/ComputeristaTeilvondasfolgendeSicherheitGruppen(Der Benutzer/Computer ist Mitglied der folgenden Sicherheitsgruppen) – Domänengruppen, denen der Benutzer angehört.

In unserem Beispiel sehen Sie, dass das Benutzerobjekt von 4 Gruppenrichtlinien betroffen ist.

  • Standarddomänenrichtlinie;
  • Windows-Firewall aktivieren;
  • DNS-Suffix-Suchliste

Wenn Sie nicht möchten, dass die Konsole gleichzeitig Informationen zu Benutzerrichtlinien und Computerrichtlinien anzeigt, können Sie die Option /scope verwenden, um nur den Abschnitt anzuzeigen, an dem Sie interessiert sind. Nur resultierende Benutzerrichtlinien:

gpresult /r /scope:Benutzer

oder nur angewendete Maschinenrichtlinien:

gpresult /r /scope:computer

Da Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer bequem ist; seine Ausgabe kann in die Zwischenablage umgeleitet werden:

gpresult /r |clip

oder Textdatei:

gpresult /r > c:\gpresult.txt

Um sehr detaillierte RSOP-Informationen anzuzeigen, fügen Sie den Schalter /z hinzu.

HTML-RSOP-Bericht mit GPResult

Darüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht zu den angewendeten Ergebnisrichtlinien generieren (verfügbar in Windows 7 und höher). Dieser Bericht enthält detaillierte Informationen zu allen Systemeinstellungen, die von Gruppenrichtlinien festgelegt werden, sowie die Namen bestimmter GPOs, die diese festlegen (der resultierende Bericht zur Struktur ähnelt der Registerkarte „Einstellungen“ in der Domänengruppenrichtlinien-Verwaltungskonsole – GPMC). Mit dem folgenden Befehl können Sie einen HTML-GPResult-Bericht generieren:

GPResult /h c:\gp-report\report.html /f

Führen Sie den folgenden Befehl aus, um einen Bericht zu generieren und automatisch in einem Browser zu öffnen:

GPResult /h GPResult.html & GPResult.html

Der HTML-Bericht von gpresult enthält viele nützliche Informationen: GPO-Anwendungsfehler, Verarbeitungszeit (in ms) und Anwendung bestimmter Richtlinien und CSE (im Abschnitt Computerdetails -> Komponentenstatus) sind sichtbar. Im obigen Screenshot können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen 24 Passwörter merken von der Standarddomänenrichtlinie (Spalte Gewinner-GPO) angewendet wird. Wie Sie sehen können, ist ein solcher HTML-Bericht viel bequemer für die Analyse angewendeter Richtlinien als die rsop.msc-Konsole.

Abrufen von GPResult-Daten von einem Remote-Computer

GPResult kann auch Daten von einem Remote-Computer sammeln, sodass sich ein Administrator nicht mehr lokal oder per RDP bei einem Remote-Computer anmelden muss. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remote-Computer lautet wie folgt:

GPResult /s server-ts1 /r

Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien remote erfassen.

Benutzername hat keine RSOP-Daten

Wenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Rechte nur die Einstellungen für den benutzerdefinierten Abschnitt der Gruppenrichtlinie angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn sich die Eingabeaufforderung mit erhöhten Rechten auf einem anderen System als dem aktuellen Benutzer befindet, gibt das Dienstprogramm eine Warnung aus DIE INFO: DasBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ hat keine RSOP-Daten). Dies liegt daran, dass GPResult versucht, Informationen für den Benutzer zu sammeln, der es ausgeführt hat, aber weil Dieser Benutzer hat sich nicht am System angemeldet und es sind keine RSOP-Informationen für diesen Benutzer verfügbar. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben:

gpresult /r /user:tn\edward

Wenn Sie den Namen des Kontos nicht kennen, das auf dem Remote-Computer angemeldet ist, können Sie das Konto wie folgt abrufen:

qwinsta /SERVER:remotePC1

Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen.

Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurden

Beachten Sie bei der Problembehandlung von Gruppenrichtlinien auch den Abschnitt: Die folgenden GPOs wurden nicht angewendet, weil sie herausgefiltert wurden (Die folgenden GPO-Richtlinien wurden nicht angewendet, weil sie herausgefiltert wurden). Dieser Abschnitt zeigt eine Liste von GPOs an, die aus dem einen oder anderen Grund nicht auf dieses Objekt zutreffen. Mögliche Optionen, für die die Richtlinie möglicherweise nicht gilt:


Auf der Registerkarte Effektive Berechtigungen (Erweitert -> Effektiver Zugriff) können Sie auch nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll.

Daher haben wir in diesem Artikel die Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mit dem Dienstprogramm GPResult und typische Szenarien für seine Verwendung überprüft.

Die Funktionalität im Windows Server-Betriebssystem wird berechnet und von Version zu Version verbessert, es gibt immer mehr Rollen und Komponenten, daher werde ich im heutigen Material versuchen, sie kurz zu beschreiben Beschreibung und Zweck jeder Rolle in Windows Server 2016.

Bevor wir mit der Beschreibung der Windows Server-Serverrollen fortfahren, wollen wir herausfinden, was genau " Serverrolle» auf dem Betriebssystem Windows Server.

Was ist eine „Serverrolle“ in Windows Server?

Serverrolle- Dies ist ein Softwarepaket, das die Ausführung einer bestimmten Funktion durch den Server sicherstellt, und diese Funktion ist die Hauptfunktion. Mit anderen Worten, " Serverrolle' ist der Zweck des Servers, d.h. Wofür ist es. Damit der Server seine Hauptfunktion erfüllen kann, d.h. bestimmte Rolle bei Serverrolle» beinhaltet alle dafür notwendige Software ( Programme, Dienste).

Der Server kann eine Rolle haben, wenn er aktiv verwendet wird, oder mehrere, wenn jede von ihnen den Server nicht stark belastet und selten verwendet wird.

Eine Serverrolle kann mehrere Rollendienste enthalten, die die Funktionalität der Rolle bereitstellen. Beispielsweise in der Serverrolle " Webserver (IIS)“ umfasst eine ziemlich große Anzahl von Diensten und die Rolle „ DNS Server» enthält keine Rollendienste, da diese Rolle nur eine Funktion erfüllt.

Role Services können je nach Bedarf alle zusammen oder einzeln installiert werden. Im Wesentlichen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Windows Server hat auch " Komponenten»Server.

Serverkomponenten (Funktion) sind Softwaretools, die keine Serverrolle sind, sondern die Fähigkeiten einer oder mehrerer Rollen erweitern oder eine oder mehrere Rollen verwalten.

Einige Rollen können nicht installiert werden, wenn der Server nicht über erforderliche Dienste oder Funktionen verfügt, die für die Funktion der Rollen erforderlich sind. Daher ist zum Zeitpunkt der Installation solcher Rollen " Assistent zum Hinzufügen von Rollen und Funktionen» selbst, fordert Sie automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren.

Beschreibung der Windows Server 2016-Serverrollen

Viele der Rollen, die es in Windows Server 2016 gibt, sind Ihnen wahrscheinlich bereits bekannt, da es sie schon seit geraumer Zeit gibt, aber wie gesagt, mit jeder neuen Version von Windows Server kommen neue Rollen hinzu, mit denen Sie vielleicht noch nicht gearbeitet haben mit noch, aber wir würden gerne wissen, wofür sie sind, also fangen wir an, sie uns anzusehen.

Notiz! Informationen zu den neuen Funktionen des Betriebssystems Windows Server 2016 finden Sie im Material " Installation von Windows Server 2016 und Überblick über neue Funktionen » .

Denn sehr häufig erfolgt die Installation und Verwaltung von Rollen, Diensten und Komponenten über Windows PowerShell, werde ich für jede Rolle und ihren Dienst einen Namen angeben, der in PowerShell für die Installation bzw. Verwaltung verwendet werden kann.

DHCP-Server

Mit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle hat keine Rollendienste.

Der Name für Windows PowerShell ist DHCP.

DNS Server

Diese Rolle ist für die Namensauflösung in TCP/IP-Netzwerken vorgesehen. Die DNS-Serverrolle stellt DNS bereit und verwaltet es. Um die Verwaltung eines DNS-Servers zu vereinfachen, wird er normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle hat keine Rollendienste.

Der Rollenname für PowerShell ist DNS.

Hyper-V

Mit der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es ist ein Tool zum Erstellen und Verwalten virtueller Maschinen.

Der Rollenname für Windows PowerShell ist Hyper-V.

Gesundheitsbescheinigung des Geräts

Rolle " » ermöglicht es Ihnen, den Zustand des Geräts basierend auf gemessenen Indikatoren für Sicherheitsparameter zu bewerten, z. B. Indikatoren für den Status des sicheren Bootens und Bitlocker auf dem Client.

Für das Funktionieren dieser Rolle werden viele Rollendienste und Komponenten benötigt, zum Beispiel: mehrere Dienste aus der Rolle " Webserver (IIS)", Komponente" ", Komponente" .NET Framework 4.6-Funktionen».

Während der Installation werden alle erforderlichen Rollendienste und Funktionen automatisch ausgewählt. Die Rolle " Gesundheitsbescheinigung des Geräts» Es gibt keine Rollendienste.

Der Name für PowerShell ist DeviceHealthAttestationService.

Webserver (IIS)

Bietet eine zuverlässige, verwaltbare und skalierbare Infrastruktur für Webanwendungen. Besteht aus einer ziemlich großen Anzahl von Diensten (43).

Der Name für Windows PowerShell ist Web-Server.

Enthält die folgenden Rollendienste ( In Klammern gebe ich den Namen für Windows PowerShell an):

Webserver (Web-WebServer)- Eine Gruppe von Rollendiensten, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und den Webserver bereitstellen. Besteht aus folgenden Leistungen:

  • Sicherheit (Web-Sicherheit)- eine Reihe von Diensten, um die Sicherheit des Webservers zu gewährleisten.
    • Anforderungsfilterung (Web-Filtering) – mit diesen Tools können Sie alle an den Server eingehenden Anforderungen verarbeiten und diese Anforderungen basierend auf speziellen Regeln filtern, die vom Webserver-Administrator festgelegt wurden;
    • IP-Adressen- und Domänenbeschränkungen (Web-IP-Security) – diese Tools ermöglichen es Ihnen, den Zugriff auf Inhalte auf einem Webserver basierend auf der IP-Adresse oder dem Domänennamen der Quelle in der Anforderung zuzulassen oder zu verweigern;
    • URL-Autorisierung (Web-Url-Auth) - Mit Tools können Sie Regeln entwerfen, um den Zugriff auf Webinhalte einzuschränken und sie mit Benutzern, Gruppen oder HTTP-Header-Befehlen zu verknüpfen;
    • Digest-Authentifizierung (Web-Digest-Auth) – Diese Authentifizierung bietet ein höheres Maß an Sicherheit als die Standardauthentifizierung. Die Digest-Authentifizierung für die Benutzerauthentifizierung funktioniert wie das Übergeben eines Kennworthashs an einen Windows-Domänencontroller.
    • Basisauthentifizierung (Web-Basic-Auth) – Diese Authentifizierungsmethode bietet starke Webbrowser-Kompatibilität. Es wird empfohlen, in kleinen internen Netzwerken zu verwenden. Der Hauptnachteil dieser Methode besteht darin, dass über das Netzwerk übertragene Passwörter recht einfach abgefangen und entschlüsselt werden können. Verwenden Sie diese Methode daher in Kombination mit SSL.
    • Die Windows-Authentifizierung (Web-Windows-Auth) ist eine Authentifizierung, die auf der Windows-Domänenauthentifizierung basiert. Mit anderen Worten, Sie können Active Directory-Konten verwenden, um Benutzer Ihrer Websites zu authentifizieren;
    • Client Certificate Mapping Authentication (Web-Client-Auth) – Diese Authentifizierungsmethode verwendet ein Client-Zertifikat. Dieser Typ verwendet Active Directory-Dienste, um die Zertifikatzuordnung bereitzustellen;
    • IIS-Clientzerti(Web-Cert-Auth) – Diese Methode verwendet ebenfalls Clientzertifikate zur Authentifizierung, verwendet jedoch IIS zur Bereitstellung der Zertifikatzuordnung. Dieser Typ bietet eine bessere Leistung;
    • Zentralisierte Unterstützung für ein SSL-Zertifikat (Web-CertProvider) – diese Tools ermöglichen Ihnen die zentrale Verwaltung von SSL-Serverzertifikaten, was den Prozess der Verwaltung dieser Zertifikate erheblich vereinfacht;
  • Wartungsfreundlichkeit und Diagnose (Web-Health)– eine Reihe von Diensten zur Überwachung, Verwaltung und Fehlerbehebung von Webservern, Websites und Anwendungen:
    • HTTP-Protokollierung (Web-Http-Logging) - Tools ermöglichen die Protokollierung der Website-Aktivität auf einem bestimmten Server, d.h. Log Eintrag;
    • ODBC-Protokollierung (Web-ODBC-Protokollierung) – Diese Tools bieten auch die Protokollierung von Website-Aktivitäten, unterstützen jedoch die Protokollierung dieser Aktivität in einer ODBC-kompatiblen Datenbank;
    • Request Monitor (Web-Request-Monitor) ist ein Tool, mit dem Sie den Zustand einer Webanwendung überwachen können, indem Sie Informationen zu HTTP-Anforderungen im IIS-Arbeitsprozess abfangen.
    • Benutzerdefinierte Protokollierung (Web-Custom-Logging) – Mit diesen Tools können Sie die Protokollierung von Webserveraktivitäten in einem Format konfigurieren, das sich erheblich vom Standard-IIS-Format unterscheidet. Mit anderen Worten, Sie können Ihr eigenes Protokollierungsmodul erstellen;
    • Logging-Tools (Web-Log-Libraries) sind Tools zur Verwaltung von Webserver-Logs und zur Automatisierung von Logging-Aufgaben;
    • Tracing (Web-Http-Tracing) ist ein Werkzeug zur Diagnose und Behebung von Verstößen in Webanwendungen.
  • Gemeinsame HTTP-Funktionen (Web-Common-Http)– eine Reihe von Diensten, die grundlegende HTTP-Funktionalität bereitstellen:
    • Standarddokument (Web-Default-Doc) – Mit dieser Funktion können Sie den Webserver so konfigurieren, dass er ein Standarddokument zurückgibt, wenn Benutzer kein bestimmtes Dokument in der Anforderungs-URL angeben, wodurch Benutzern beispielsweise der Zugriff auf Websites erleichtert wird Domäne, ohne Angabe einer Datei;
    • Directory Browsing (Web-Dir-Browsing) – Dieses Tool kann verwendet werden, um einen Webserver so zu konfigurieren, dass Benutzer eine Liste aller Verzeichnisse und Dateien auf einer Website anzeigen können. Beispielsweise für Fälle, in denen Benutzer keine Datei in der Anforderungs-URL angeben und Standarddokumente entweder deaktiviert oder nicht konfiguriert sind;
    • HTTP-Fehler (Web-Http-Errors) – Mit dieser Funktion können Sie Fehlermeldungen konfigurieren, die an die Webbrowser der Benutzer zurückgegeben werden, wenn der Webserver einen Fehler erkennt. Dieses Tool wird verwendet, um Benutzern Fehlermeldungen einfacher anzuzeigen;
    • Statische Inhalte (Web-Static-Content) – Dieses Tool ermöglicht Ihnen die Nutzung von Inhalten auf einem Webserver in Form von statischen Dateiformaten wie HTML-Dateien oder Bilddateien;
    • http-Umleitung (Web-Http-Redirect) - Mit dieser Funktion können Sie eine Benutzeranfrage an ein bestimmtes Ziel umleiten, z. dies ist Umleitung;
    • WebDAV-Publishing (Web-DAV-Publishing) – ermöglicht die Verwendung der WebDAV-Technologie auf dem IIS-WEB-Server. WebDAV ( Verteiltes Web-Authoring und Versionierung) ist eine Technologie, die es Benutzern ermöglicht, zusammenzuarbeiten ( lesen, bearbeiten, Eigenschaften lesen, kopieren, verschieben) über Dateien auf entfernten Webservern mithilfe des HTTP-Protokolls.
  • Leistung (Webleistung)- eine Reihe von Diensten, um eine höhere Webserverleistung durch Ausgabe-Caching und gängige Komprimierungsmechanismen wie Gzip und Deflate zu erreichen:
    • Static Content Compression (Web-Stat-Compression) ist ein Tool zum Anpassen der Komprimierung von statischen http-Inhalten, es ermöglicht eine effizientere Nutzung der Bandbreite ohne unnötige CPU-Last;
    • Dynamische Inhaltskomprimierung (Web-Dyn-Compression) ist ein Tool zum Konfigurieren der dynamischen HTTP-Inhaltskomprimierung. Dieses Tool bietet eine effizientere Nutzung der Bandbreite, aber in diesem Fall kann die mit der dynamischen Komprimierung verbundene CPU-Last des Servers die Site verlangsamen, wenn die CPU-Last auch ohne Komprimierung hoch ist.
  • Anwendungsentwicklung (Web-App-Dev)- eine Reihe von Diensten und Tools zum Entwickeln und Hosten von Webanwendungen, mit anderen Worten, Technologien zur Entwicklung von Websites:
    • ASP (Web-ASP) ist eine Umgebung zur Unterstützung und Entwicklung von Websites und Webanwendungen mit ASP-Technologie. Im Moment gibt es eine neuere und fortschrittlichere Website-Entwicklungstechnologie - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) ist eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen mit ASP.NET-Technologie;
    • ASP.NET 4.6 (Web-Asp-Net45) ist ebenfalls eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen mit der neuen Version von ASP.NET;
    • CGI (Web-CGI) ist die Fähigkeit, CGI zu verwenden, um Informationen von einem Webserver an ein externes Programm zu übergeben. CGI ist eine Art Schnittstellenstandard, um ein externes Programm mit einem Webserver zu verbinden. Es gibt einen Nachteil, die Verwendung von CGI beeinträchtigt die Leistung;
    • Server Side Inclusions (SSI) (Web-Includes) ist die Unterstützung für die SSI-Skriptsprache ( serverseitig aktivieren), die zum dynamischen Generieren von HTML-Seiten verwendet wird;
    • Anwendungsinitialisierung (Web-AppInit) – Dieses Tool führt die Aufgaben der Initialisierung von Webanwendungen aus, bevor eine Webseite gesendet wird;
    • WebSocket-Protokoll (Web-WebSockets) – Fügt die Möglichkeit hinzu, Serveranwendungen zu erstellen, die über das WebSocket-Protokoll kommunizieren. WebSocket ist ein Protokoll, das Daten gleichzeitig zwischen einem Browser und einem Webserver über eine TCP-Verbindung senden und empfangen kann, eine Art Erweiterung des HTTP-Protokolls;
    • ISAPI-Erweiterungen (Web-ISAPI-Ext) - Unterstützung für die dynamische Entwicklung von Webinhalten unter Verwendung der ISAPI-Anwendungsprogrammierschnittstelle. ISAPI ist eine API für den IIS-Webserver. ISAPI-Anwendungen sind viel schneller als ASP-Dateien oder Dateien, die COM+-Komponenten aufrufen;
    • .NET 3.5-Erweiterbarkeit (Web-Net-Ext) ist eine .NET 3.5-Erweiterbarkeitsfunktion, mit der Sie die Webserver-Funktionalität in der gesamten Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche ändern, hinzufügen und erweitern können.
    • .NET 4.6-Erweiterbarkeit (Web-Net-Ext45) ist eine .NET 4.6-Erweiterbarkeitsfunktion, mit der Sie auch die Webserver-Funktionalität über die gesamte Anforderungsverarbeitungspipeline, Konfiguration und Benutzeroberfläche hinweg ändern, hinzufügen und erweitern können.
    • ISAPI-Filter (Web-ISAPI-Filter) – Unterstützung für ISAPI-Filter hinzufügen. ISAPI-Filter sind Programme, die aufgerufen werden, wenn der Webserver eine bestimmte HTTP-Anforderung erhält, die von diesem Filter verarbeitet werden soll.

FTP - Server (Web-Ftp-Server)– Dienste, die das FTP-Protokoll unterstützen. Wir haben im Material ausführlicher über den FTP-Server gesprochen - " Installieren und Konfigurieren eines FTP-Servers auf Windows Server 2016". Enthält folgende Dienste:

  • FTP Service (Web-Ftp-Service) - fügt Unterstützung für das FTP-Protokoll auf dem Webserver hinzu;
  • FTP-Erweiterbarkeit (Web-Ftp-Ext) – Erweitert Standard-FTP-Funktionen, z. B. das Hinzufügen von Unterstützung für Features wie benutzerdefinierte Anbieter, ASP.NET-Benutzer oder IIS-Manager-Benutzer.

Verwaltungstools (Web-Mgmt-Tools) sind die Verwaltungstools für den Webserver IIS 10. Dazu gehören: die IIS-Benutzeroberfläche, Befehlszeilentools und Skripts.

  • Die IIS-Verwaltungskonsole (Web-Mgmt-Console) ist die Benutzeroberfläche zum Verwalten von IIS;
  • Zeichensätze und IIS-Verwaltungstools (Web-Scripting-Tools) sind Tools und Skripte zum Verwalten von IIS über die Befehlszeile oder Skripte. Sie können zum Beispiel verwendet werden, um die Steuerung zu automatisieren;
  • Verwaltungsdienst (Web-Mgmt-Service) – Dieser Dienst fügt die Möglichkeit hinzu, einen Webserver mithilfe von IIS Manager remote von einem anderen Computer aus zu verwalten;
  • IIS 6 Compatibility Management (Web-Mgmt-Compat) – Bietet Kompatibilität für Anwendungen und Skripts, die die beiden IIS-APIs verwenden. Die vorhandenen IIS 6-Skripte können zur Verwaltung des IIS 10-Webservers verwendet werden:
    • IIS 6 Compatibility Metabase (Web-Metabase) ist ein Kompatibilitätstool, mit dem Sie Anwendungen und Zeichensätze ausführen können, die von früheren Versionen von IIS migriert wurden;
    • IIS 6-Skripttools (Web-Lgcy-Scripting) – Mit diesen Tools können Sie dieselben IIS 6-Skriptdienste verwenden, die zum Verwalten von IIS 6 in IIS 10 erstellt wurden;
    • Die IIS 6-Verwaltungskonsole (Web-Lgcy-Mgmt-Console) ist ein Tool zum Verwalten von Remote-IIS 6.0-Servern.
    • IIS 6 WMI-Kompatibilität (Web-WMI) sind WMI-Skriptschnittstellen (Windows Management Instrumentation) zum programmgesteuerten Steuern und Automatisieren von IIS 10.0-Webservertasks mithilfe einer Reihe von Skripts, die in einem WMI-Anbieter erstellt wurden.

Active Directory-Domänendienste

Rolle " Active Directory-Domänendienste» (AD DS) stellt eine verteilte Datenbank bereit, die Informationen zu Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen Containment-Struktur zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen innerhalb einer Gesamtstruktur und Organisationseinheiten (OUs) innerhalb jeder Domäne. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.

Der Rollenname für Windows PowerShell lautet AD-Domain-Services.

Windows Server Essentials-Modus

Diese Rolle ist eine Computerinfrastruktur und bietet praktische und effiziente Funktionen, zum Beispiel: Speichern von Kundendaten an einem zentralen Ort und Schützen dieser Daten durch Sichern der Server- und Clientcomputer, Remote-Webzugriff, wodurch Sie von praktisch jedem Gerät aus auf Daten zugreifen können . Diese Rolle erfordert mehrere Rollendienste und -funktionen, zum Beispiel: BranchCache-Funktionen, Windows Server-Sicherung, Gruppenrichtlinienverwaltung, Rollendienst " DFS-Namespaces».

Der Name für PowerShell ist ServerEssentialsRole.

Netzwerk-Controller

Diese in Windows Server 2016 eingeführte Rolle bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs, physische Netzwerkadapter von Hyper-V-Hosts von einem Punkt aus konfigurieren, virtuelle Switches, physische Router, Firewalleinstellungen und VPN-Gateways verwalten.

Der Name für Windows PowerShell ist NetworkController.

Knotenwächterdienst

Dies ist die Serverrolle Hosted Guardian Service (HGS) und stellt Nachweis- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, abgeschirmte virtuelle Maschinen auszuführen. Für das Funktionieren dieser Rolle werden mehrere zusätzliche Rollen und Komponenten benötigt, zum Beispiel: Active Directory Domain Services, Webserver (IIS), der " Failover-Clustering" und andere.

Der Name für PowerShell ist HostGuardianServiceRole.

Active Directory Lightweight-Verzeichnisdienste

Rolle " Active Directory Lightweight-Verzeichnisdienste» (AD LDS) ist eine einfache Version von AD DS, die über weniger Funktionalität verfügt, jedoch keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht über die Abhängigkeiten und Domäneneinschränkungen verfügt, die von AD DS benötigt werden. AD LDS läuft über das LDAP-Protokoll ( Lightweight Directory Access Protocol). Sie können mehrere AD LDS-Instanzen auf demselben Server mit unabhängig verwalteten Schemas bereitstellen.

Der Name für PowerShell ist ADLDS.

MultiPoint-Dienste

Es ist auch eine neue Rolle, die neu in Windows Server 2016 ist. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Suchdienst, XPS-Viewer und andere, die alle automatisch während der MPS-Installation ausgewählt werden.

Der Name der Rolle für PowerShell lautet MultiPointServerRole.

Windows Server-Update-Dienste

Mit dieser Rolle (WSUS) können Systemadministratoren Microsoft-Updates verwalten. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Update-Sets und erhalten Sie Berichte über die Konformität von Computern mit den Anforderungen und Updates, die installiert werden müssen. Zum Funktionieren“ Windows Server-Update-Dienste» Sie benötigen solche Rollendienste und Komponenten wie: Webserver (IIS), Windows Internal Database, Windows Process Activation Service.

Der Name für Windows PowerShell ist UpdateServices.

  • WID-Konnektivität (UpdateServices-WidDB) – auf WID ( Windows-interne Datenbank)-Datenbank, die von WSUS verwendet wird. Mit anderen Worten, WSUS speichert seine Dienstdaten in WID;
  • WSUS-Dienste (UpdateServices-Services) sind die WSUS-Rollendienste wie Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Web Simple Authentication Web Service, Server Synchronization Service und DSS Authentication Web Service;
  • SQL Server Connectivity (UpdateServices-DB) ist eine Komponenteninstallation, die es dem WSUS-Dienst ermöglicht, eine Verbindung mit einer Microsoft SQL Server-Datenbank herzustellen. Diese Option sieht die Speicherung von Dienstdaten in einer Microsoft SQL Server-Datenbank vor. In diesem Fall muss bereits mindestens eine Instanz von SQL Server installiert sein.

Volumenlizenz-Aktivierungsdienste

Diese Serverrolle automatisiert, vereinfacht und verwaltet Volumenlizenzen für Software von Microsoft.

Der Name für PowerShell ist VolumeActivation.

Druck- und Dokumentenservice

Diese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern in einem Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung von Netzwerkdruckern und -scannern. Mit Print and Document Services können Sie auch gescannte Dokumente per E-Mail, an Netzwerkfreigaben oder an Windows SharePoint Services-Sites senden.

Der Name für PowerShell ist Print-Services.

  • Druckserver (Print-Server) - Dieser Rollendienst enthält den " Druckverwaltung“, das zum Verwalten von Druckern oder Druckservern sowie zum Migrieren von Druckern und anderen Druckservern verwendet wird;
  • Drucken über das Internet (Print-Internet) – Um das Drucken über das Internet zu implementieren, wird eine Website erstellt, die es Benutzern ermöglicht, Druckaufträge auf dem Server zu verwalten. Damit dieser Dienst funktioniert, müssen Sie, wie Sie verstehen, " Webserver (IIS)". Alle erforderlichen Komponenten werden automatisch ausgewählt, wenn Sie dieses Kontrollkästchen während des Installationsvorgangs des Rollendienstes aktivieren " Internetdruck»;
  • Der Distributed Scan Server (Print-Scan-Server) ist ein Dienst, mit dem Sie gescannte Dokumente von Netzwerkscannern empfangen und an ein Ziel senden können. Dieser Dienst enthält auch die " Scan-Verwaltung“, das zum Verwalten von Netzwerkscannern und zum Konfigurieren des Scannens verwendet wird;
  • LPD-Service (Print-LPD-Service) - LPD-Service ( Zeilendrucker-Daemon) ermöglicht es UNIX-basierten Computern und anderen Computern, die den LPR-Dienst (Line Printer Remote) verwenden, auf den freigegebenen Druckern des Servers zu drucken.

Netzwerkrichtlinie und Zugriffsdienste

Rolle " » (NPAS) ermöglicht es Network Policy Server (NPS), Netzwerkzugriff, Authentifizierung und Autorisierung sowie Client-Integritätsrichtlinien festzulegen und durchzusetzen, mit anderen Worten, um das Netzwerk zu sichern.

Der Name für Windows PowerShell ist NPAS.

Windows-Bereitstellungsdienste

Mit dieser Rolle können Sie das Windows-Betriebssystem remote über ein Netzwerk installieren.

Der Rollenname für PowerShell ist WDS.

  • Bereitstellungsserver (WDS-Bereitstellung) – Dieser Rollendienst ist für die Remotebereitstellung und -konfiguration von Windows-Betriebssystemen konzipiert. Außerdem können Sie Bilder zur Wiederverwendung erstellen und anpassen.
  • Transportserver (WDS-Transport) - Dieser Dienst enthält die grundlegenden Netzwerkkomponenten, mit denen Sie Daten per Multicasting auf einen eigenständigen Server übertragen können.

Active Directory-Zertifikatsdienste

Diese Rolle soll Zertifizierungsstellen und zugehörige Rollendienste erstellen, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können.

Der Name für Windows PowerShell ist AD-Zertifikat.

Enthält die folgenden Rollendienste:

  • Zertifizierungsstelle (ADCS-Cert-Authority) – Mit diesem Rollendienst können Sie Zertifikate für Benutzer, Computer und Dienste ausstellen sowie die Gültigkeit des Zertifikats verwalten;
  • Zertifikatregistrierungsrichtlinien-Webdienst (ADCS-Enroll-Web-Pol) – Dieser Dienst ermöglicht es Benutzern und Computern, Informationen zur Zevon einem Webbrowser abzurufen, selbst wenn der Computer kein Mitglied einer Domäne ist. Für seine Funktion ist es notwendig Webserver (IIS)»;
  • Certificate Enrollment Web Service (ADCS-Enroll-Web-Svc) – Dieser Dienst ermöglicht es Benutzern und Computern, Zertifikate mit einem Webbrowser über HTTPS zu registrieren und zu erneuern, auch wenn der Computer kein Mitglied einer Domäne ist. Es muss auch funktionieren Webserver (IIS)»;
  • Online-Responder (ADCS-Online-Cert) - Der Dienst soll den Widerruf eines Zertifikats für Clients überprüfen. Mit anderen Worten, es akzeptiert eine Sperrstatusanforderung für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit Informationen über den Status zurück. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
  • Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) – Dieser Dienst stellt eine Webschnittstelle bereit, mit der Benutzer Aufgaben wie das Anfordern und Erneuern von Zertifikaten, das Abrufen von CRLs und das Registrieren von Smartcard-Zertifikaten ausführen können. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)»;
  • Network Device Enrollment Service (ADCS-Device-Enrollment) – Mit diesem Dienst können Sie Zertifikate für Router und andere Netzwerkgeräte ausstellen und verwalten, die keine Netzwerkkonten haben. Damit der Dienst funktioniert, ist es notwendig Webserver (IIS)».

Remotedesktopdienste

Eine Serverrolle, die Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und RemoteApps bietet.

Der Rollenname für Windows PowerShell lautet Remote-Desktop-Services.

Besteht aus folgenden Leistungen:

  • Remote Desktop Web Access (RDS-Web-Access) – Dieser Rollendienst ermöglicht Benutzern den Zugriff auf Remote-Desktops und RemoteApp-Anwendungen über das „ Anfang» oder über einen Webbrowser;
  • Remotedesktoplizenzierung (RDS-Lizenzierung) – Der Dienst wurde entwickelt, um die Lizenzen zu verwalten, die erforderlich sind, um eine Verbindung zu einem Remotedesktop-Sitzungshostserver oder virtuellen Desktop herzustellen. Es kann verwendet werden, um Lizenzen zu installieren, auszustellen und ihre Verfügbarkeit zu verfolgen. Dieser Dienst erfordert " Webserver (IIS)»;
  • Remote Desktop Connection Broker (RDS-Connection-Broker) ist ein Rollendienst, der die folgenden Funktionen bereitstellt: Wiederverbinden eines Benutzers mit einem vorhandenen virtuellen Desktop, einer RemoteApp-Anwendung und einem sitzungsbasierten Desktop sowie Lastenausgleich zwischen Remote-Sitzungshostserver-Desktops oder zwischen gepoolten virtuellen Desktops. Dieser Dienst erfordert die " »;
  • Remotedesktop-Virtualisierungshost (DS-Virtualisierung) – Der Dienst ermöglicht es Benutzern, sich mit virtuellen Desktops über RemoteApp und Desktop Connection zu verbinden. Dieser Dienst arbeitet in Verbindung mit Hyper-V, d.h. diese Rolle muss installiert sein;
  • Remotedesktop-Sitzungshost (RDS-RD-Server) – Dieser Dienst kann RemoteApp-Anwendungen und sitzungsbasierte Desktops auf einem Server hosten. Der Zugriff erfolgt über den Remotedesktopverbindungsclient oder RemoteApps;
  • Remote Desktop Gateway (RDS-Gateway) – Der Dienst ermöglicht autorisierten Remotebenutzern, sich mit virtuellen Desktops, RemoteApps und sitzungsbasierten Desktops in einem Unternehmensnetzwerk oder über das Internet zu verbinden. Dieser Dienst erfordert die folgenden zusätzlichen Dienste und Komponenten: Webserver (IIS)», « Netzwerkrichtlinie und Zugriffsdienste», « RPC über HTTP-Proxy».

AD RMS

Dies ist eine Serverrolle, mit der Sie Informationen vor unbefugter Verwendung schützen können. Es validiert Benutzeridentitäten und gewährt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Diese Rolle erfordert zusätzliche Dienste und Komponenten: Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen».

Der Name für Windows PowerShell ist ADRMS.

  • Active Directory Rights Management Server (ADRMS-Server) – der Hauptrollendienst, der für die Installation erforderlich ist;
  • Identity Federation Support (ADRMS-Identity) ist ein optionaler Rollendienst, der es Verbundidentitäten ermöglicht, geschützte Inhalte mithilfe von Active Directory-Verbunddiensten zu nutzen.

AD FS

Diese Rolle bietet einen vereinfachten und sicheren Identitätsverbund und Funktionen für einmaliges Anmelden (SSO) für Websites, die einen Browser verwenden.

Der Name für PowerShell ist ADFS-Federation.

Fernzugriff

Diese Rolle stellt Konnektivität über DirectAccess, VPN und Webanwendungsproxy bereit. Auch die Rolle Fernzugriff"bietet traditionelle Routing-Funktionen, einschließlich Network Address Translation (NAT) und andere Verbindungsoptionen. Diese Rolle erfordert zusätzliche Dienste und Funktionen: Webserver (IIS)», « Windows-interne Datenbank».

Der Rollenname für Windows PowerShell ist RemoteAccess.

  • DirectAccess und VPN (RAS) (DirectAccess-VPN) - Der Dienst ermöglicht es Benutzern, sich jederzeit mit dem Internetzugang über DirectAccess mit dem Unternehmensnetzwerk zu verbinden sowie VPN-Verbindungen in Kombination mit Tunneling- und Datenverschlüsselungstechnologien zu organisieren;
  • Routing (Routing) - Der Dienst bietet Unterstützung für NAT-Router, LAN-Router mit BGP-Protokollen, RIP und Router mit Multicast-Unterstützung (IGMP-Proxy);
  • Web Application Proxy (Web-Application-Proxy) – Der Dienst ermöglicht es Ihnen, Anwendungen basierend auf den HTTP- und HTTPS-Protokollen aus dem Unternehmensnetzwerk auf Clientgeräten zu veröffentlichen, die sich außerhalb des Unternehmensnetzwerks befinden.

Datei- und Speicherdienste

Dies ist eine Serverrolle, die verwendet werden kann, um Dateien und Ordner freizugeben, Freigaben zu verwalten und zu steuern, Dateien zu replizieren, schnelle Dateisuchen bereitzustellen und Zugriff auf UNIX-Clientcomputer zu gewähren. Fileservices und insbesondere den Fileserver haben wir uns im Material " Installieren eines Dateiservers auf Windows Server 2016 ».

Der Name für Windows PowerShell ist FileAndStorage-Services.

Speicherdienste- Dieser Dienst bietet Speicherverwaltungsfunktionen, die immer installiert sind und nicht entfernt werden können.

Dateidienste und iSCSI-Dienste (Dateidienste)- Dies sind Technologien, die die Verwaltung von Dateiservern und Speichern vereinfachen, Speicherplatz sparen, die Replikation und das Zwischenspeichern von Dateien in Zweigen ermöglichen und auch die gemeinsame Nutzung von Dateien über das NFS-Protokoll ermöglichen. Enthält die folgenden Rollendienste:

  • Dateiserver (FS-FileServer) – ein Rollendienst, der freigegebene Ordner verwaltet und Benutzern den Zugriff auf Dateien auf diesem Computer über das Netzwerk ermöglicht;
  • Datendeduplizierung (FS-Data-Deduplication) – dieser Dienst spart Speicherplatz, indem er nur eine Kopie identischer Daten auf einem Volume speichert;
  • File Server Resource Manager (FS-Resource-Manager) – Mit diesem Dienst können Sie Dateien und Ordner auf einem Dateiserver verwalten, Speicherberichte erstellen, Dateien und Ordner klassifizieren, Ordnerkontingente konfigurieren und Dateiblockierungsrichtlinien definieren;
  • iSCSI-Zielspeicheranbieter (VDS- und VSS-Hardwareanbieter) (iSCSITarget-VSS-VDS) – Der Dienst ermöglicht Anwendungen auf einem Server, der mit einem iSCSI-Ziel verbunden ist, Volumes auf virtuellen iSCSI-Festplatten zu spiegeln;
  • DFS-Namespaces (FS-DFS-Namespace) – Mit diesem Dienst können Sie freigegebene Ordner, die auf verschiedenen Servern gehostet werden, in einem oder mehreren logisch strukturierten Namespaces gruppieren;
  • Arbeitsordner (FS-SyncShareService) - Der Dienst ermöglicht Ihnen die Verwendung von Arbeitsdateien auf verschiedenen Computern, einschließlich geschäftlicher und persönlicher. Sie können Ihre Dateien in Arbeitsordnern speichern, synchronisieren und über Ihr lokales Netzwerk oder das Internet darauf zugreifen. Damit der Dienst funktioniert, muss die Komponente " IIS In-Process-Webkern»;
  • Die DFS-Replikation (FS-DFS-Replikation) ist eine Datenreplikations-Engine für mehrere Server, mit der Sie Ordner über eine LAN- oder WAN-Verbindung synchronisieren können. Diese Technologie verwendet das Remote Differential Compression (RDC)-Protokoll, um nur den Teil der Dateien zu aktualisieren, der sich seit der letzten Replikation geändert hat. Die DFS-Replikation kann mit oder ohne DFS-Namespaces verwendet werden;
  • Server für NFS (FS-NFS-Dienst) – Der Dienst ermöglicht diesem Computer die gemeinsame Nutzung von Dateien mit UNIX-basierten Computern und anderen Computern, die das Network File System (NFS)-Protokoll verwenden;
  • iSCSI-Zielserver (FS-iSCSITarget-Server) – bietet Dienste und Verwaltung für iSCSI-Ziele;
  • BranchCache-Dienst für Netzwerkdateien (FS-BranchCache) – Der Dienst bietet BranchCache-Unterstützung auf diesem Dateiserver;
  • Dateiserver-VSS-Agent-Dienst (FS-VSS-Agent) – Der Dienst aktiviert Volumenschattenkopien für Anwendungen, die Datendateien auf diesem Dateiserver speichern.

Faxserver

Die Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf diesem Computer oder Netzwerk. Für die Arbeit erforderlich Druck Server».

Der Rollenname für Windows PowerShell ist Fax.

Damit ist die Überprüfung der Windows Server 2016-Serverrollen abgeschlossen. Ich hoffe, das Material war vorerst hilfreich für Sie!



Wird geladen...
oben