Comanda GPResult: diagnosticarea politicilor de grup rezultate. Oferiți o descriere detaliată a politicii serverului cu privire la

Când instalați Windows, majoritatea subsistemelor neesențiale nu sunt activate sau instalate. Acest lucru se face din motive de securitate. Deoarece sistemul este sigur în mod implicit, administratorii de sistem se pot concentra pe proiectarea unui sistem care face ceea ce face și nimic mai mult. Pentru a vă ajuta să activați funcțiile dorite, Windows vă solicită să selectați un rol de server.

Roluri

Un rol de server este un set de programe care, atunci când sunt instalate și configurate corect, permit unui computer să îndeplinească o funcție specifică pentru mai mulți utilizatori sau alte computere dintr-o rețea. În general, toate rolurile au următoarele caracteristici.

  • Ele definesc funcția principală, scopul sau scopul utilizării unui computer. Puteți desemna un computer pentru a juca un rol care este foarte utilizat în întreprindere sau pentru a juca mai multe roluri în care fiecare rol este folosit doar ocazional.
  • Rolurile oferă utilizatorilor din întreaga organizație acces la resurse care sunt gestionate de alte computere, cum ar fi site-uri web, imprimante sau fișiere stocate pe diferite computere.
  • De obicei, au propriile baze de date care pun în coadă solicitările utilizatorilor sau computerului sau înregistrează informații despre utilizatorii rețelei și computerele asociate cu un rol. De exemplu, Active Directory Domain Services conține o bază de date pentru stocarea numelor și relațiilor ierarhice ale tuturor computerelor dintr-o rețea.
  • După instalare corectăși setările rolului funcționează automat. Acest lucru permite computerelor pe care sunt instalate să efectueze sarcinile atribuite cu interacțiune limitată a utilizatorului.

Servicii de rol

Serviciile de rol sunt programe care oferă funcționalitatea unui rol. Când instalați un rol, puteți alege ce servicii oferă altor utilizatori și computere din întreprindere. Unele roluri, cum ar fi serverul DNS, îndeplinesc o singură funcție, deci nu există servicii de rol pentru ele. Alte roluri, cum ar fi Serviciile Desktop la distanță, au mai multe servicii pe care le puteți instala în funcție de nevoile de acces de la distanță ale întreprinderii dumneavoastră. Un rol poate fi gândit ca o colecție de servicii de rol strâns legate, complementare. În cele mai multe cazuri, instalarea unui rol înseamnă instalarea unuia sau mai multor servicii ale acestuia.

Componente

Componentele sunt programe care nu fac parte direct din roluri, dar susțin sau extind funcționalitatea unuia sau mai multor roluri sau a întregului server, indiferent de rolurile instalate. De exemplu, Failover Cluster Tool extinde alte roluri, cum ar fi File Services și DHCP Server, permițându-le să se alăture clusterelor de servere, ceea ce oferă redundanță și performanță sporite. Cealaltă componentă, Clientul Telnet, permite comunicarea de la distanță cu serverul Telnet printr-o conexiune de rețea. Această caracteristică îmbunătățește opțiunile de comunicare pentru server.

Când Windows Server rulează în modul Server Core, sunt acceptate următoarele roluri de server:

  • Servicii de certificate Active Directory;
  • Servicii de domeniu Active Directory;
  • Server DHCP
  • server DNS;
  • servicii de fișiere (inclusiv managerul de resurse server de fișiere);
  • Servicii Active Directory Lightweight Directory;
  • Hyper-V
  • servicii de tipărire și documente;
  • Servicii media de streaming;
  • server web (inclusiv un subset de ASP.NET);
  • Server actualizări de Windows Server;
  • Server de gestionare a drepturilor Active Directory;
  • Server de rutare și acces la distanță și următoarele roluri subordonate:
    • Remote Desktop Connection Broker;
    • licențiere;
    • virtualizare.

Când Windows Server rulează în modul Server Core, sunt acceptate următoarele caracteristici de server:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • Serviciu de transfer inteligent de fundal (BITS);
  • Criptare BitLocker Drive;
  • Deblocarea rețelei BitLocker;
  • BranchCache
  • puntea centrului de date;
  • Stocare îmbunătățită;
  • clustering de failover;
  • I/O cu mai multe căi;
  • echilibrarea sarcinii rețelei;
  • protocol PNRP;
  • qWave;
  • compresie diferenţială de la distanţă;
  • servicii simple TCP/IP;
  • RPC peste proxy HTTP;
  • server SMTP;
  • serviciu SNMP;
  • client Telnet;
  • server telnet;
  • client TFTP;
  • baza de date internă Windows;
  • Acces Web Windows PowerShell;
  • Serviciu de activare Windows;
  • management standardizat al stocării Windows;
  • extensia IIS WinRM;
  • server WINS;
  • Suport WoW64.

Instalarea rolurilor de server folosind Server Manager

Pentru a adăuga, deschideți Server Manager și, în meniul Gestionare, faceți clic pe Adăugați roluri și funcții:

Se deschide Expertul Adăugare roluri și caracteristici. Faceți clic pe Următorul

Tip de instalare, selectați Instalare bazată pe rol sau pe funcție. Următorul:

Selectare server - selectați serverul nostru. Faceți clic pe Următorul rol de server - Selectați rolurile dacă este necesar, selectați servicii de rol și faceți clic pe Următorul pentru a selecta componente. În timpul acestei proceduri, Expertul Adăugare roluri și caracteristici vă informează automat despre conflictele de pe serverul de destinație care pot împiedica instalarea sau funcționarea normală a rolurilor sau caracteristicilor selectate. De asemenea, vi se solicită să adăugați rolurile, serviciile de rol și caracteristicile necesare rolurilor sau caracteristicilor selectate.

Instalarea rolurilor cu PowerShell

Deschideți Windows PowerShell Introduceți comanda Get-WindowsFeature pentru a vedea lista rolurilor și funcțiilor disponibile și instalate pe serverul local. Ieșirea acestui cmdlet conține numele comenzilor pentru rolurile și caracteristicile care sunt instalate și disponibile pentru instalare.

Tastați Get-Help Install-WindowsFeature pentru a vedea sintaxa și parametrii validi pentru cmdlet-ul Install-WindowsFeature (MAN).

Introduceți următoarea comandă (-Restart va reporni serverul dacă instalarea rolului necesită o repornire).

Instalare-WindowsFeature –Nume -Repornire

Descrierea rolurilor și a serviciilor de rol

Toate rolurile și serviciile de rol sunt descrise mai jos. Să ne uităm la setările avansate pentru cele mai comune rol de server web și servicii de desktop la distanță din practica noastră.

Descrierea detaliată a IIS

  • Caracteristici HTTP comune - Componente HTTP de bază
    • Document implicit - vă permite să setați pagina de index pentru site.
    • Navigare în director - Permite utilizatorilor să vadă conținutul unui director pe un server web. Utilizați Navigarea în director pentru a genera automat o listă cu toate directoarele și fișierele dintr-un director atunci când utilizatorii nu specifică un fișier în adresa URL și pagina de index este dezactivată sau nu este configurată
    • Erori HTTP - vă permite să personalizați mesajele de eroare returnate clienților în browser.
    • Conținut static - vă permite să postați conținut static, cum ar fi imagini sau fișiere html.
    • Redirecționare HTTP - Oferă suport pentru redirecționarea solicitărilor utilizatorilor.
    • WebDAV Publishing vă permite să publicați fișiere de pe un server web folosind protocolul HTTP.
  • Funcții de sănătate și diagnosticare - Componente de diagnosticare
    • Înregistrarea HTTP oferă înregistrarea activității site-ului web pentru un anumit server.
    • Logging personalizat oferă suport pentru crearea de jurnalele personalizate care sunt diferite de jurnalele „tradiționale”.
    • Logging Tools oferă un cadru pentru gestionarea jurnalelor de server web și automatizarea sarcinilor comune de înregistrare.
    • ODBC Logging oferă un cadru care acceptă înregistrarea activității serverului web într-o bază de date compatibilă cu ODBC.
    • Request Monitor oferă un cadru pentru monitorizarea stării aplicațiilor web prin colectarea de informații despre solicitările HTTP într-un proces de lucru IIS.
    • Urmărirea oferă un cadru pentru diagnosticarea și depanarea aplicațiilor web. Folosind urmărirea cererilor eșuate, puteți urmări evenimente greu de găsit, cum ar fi performanță slabă sau eșecuri de autentificare.
  • Componente de performanță pentru a crește performanța serverului web.
    • Comprimarea conținutului static oferă un cadru pentru configurarea compresiei HTTP a conținutului static
    • Dynamic Content Compression oferă un cadru pentru configurarea compresiei HTTP a conținutului dinamic.
  • Componente de securitate
    • Filtrarea solicitărilor vă permite să capturați toate solicitările primite și să le filtrați pe baza regulilor stabilite de administrator.
    • Autentificarea de bază vă permite să setați autorizare suplimentară
    • Suportul centralizat pentru certificate SSL este o caracteristică care vă permite să stocați certificate într-o locație centrală, cum ar fi o partajare de fișiere.
    • Autentificarea de mapare a certificatelor clientului utilizează certificate de client pentru a autentifica utilizatorii.
    • Digest Authentication funcționează prin trimiterea unui hash de parolă către un controler de domeniu Windows pentru a autentifica utilizatorii. Dacă ai nevoie de mai mult nivel inalt securitate în comparație cu autentificarea de bază, luați în considerare utilizarea autentificării Digest
    • Autentificarea de mapare a certificatelor clientului IIS utilizează certificate de client pentru a autentifica utilizatorii. Certificatul de client este un ID digital obținut dintr-o sursă de încredere.
    • Restricțiile IP și domeniului vă permit să permiteți/interziceți accesul pe baza adresei IP sau a numelui de domeniu solicitat.
    • Autorizarea URL vă permite să creați reguli care restricționează accesul la conținutul web.
    • Autentificare Windows Această schemă de autentificare permite administratorilor de domenii Windows să profite de infrastructura de domeniu pentru autentificarea utilizatorilor.
  • Caracteristici de dezvoltare a aplicațiilor
  • Server FTP
    • Serviciu FTP Permite publicarea FTP pe un server web.
    • Extensibilitate FTP Permite suport pentru funcțiile FTP care extind funcționalitatea
  • Instrumente de management
    • Consola de management IIS instalează Managerul IIS, care vă permite să gestionați serverul web printr-o interfață grafică
    • Compatibilitatea cu managementul IIS 6.0 oferă compatibilitate înainte pentru aplicațiile și scripturile care utilizează obiectul de bază de administrare (ABO) și API-ul Active Directory (ADSI) pentru interfața serviciului de director. Acest lucru permite scripturilor existente IIS 6.0 să fie utilizate de serverul web IIS 8.0
    • Scripturile și instrumentele de gestionare IIS oferă infrastructura pentru a gestiona serverul web IIS în mod programatic, folosind comenzi din Linie de comanda sau rulând scripturi.
    • Serviciul de management oferă infrastructura pentru personalizarea interfeței cu utilizatorul, IIS Manager.

Descrierea detaliată a RDS

  • Remote Desktop Connection Broker - Oferă reconectarea dispozitivului client la programe bazate pe sesiuni desktop și desktop virtual.
  • Remote Desktop Gateway - Permite utilizatorilor autorizați să se conecteze la desktop-uri virtuale, programe RemoteApp și desktop-uri bazate pe sesiune dintr-o rețea corporativă sau prin Internet.
  • Licențiere desktop la distanță - Instrument de gestionare a licențelor RDP
  • Gazdă sesiune Desktop la distanță - Include un server pentru a găzdui programe RemoteApp sau o sesiune bazată pe desktop.
  • Gazdă de virtualizare desktop la distanță - vă permite să configurați RDP pe mașini virtuale
  • Remote Desktop WebAccess - Permite utilizatorilor să se conecteze la resurse desktop folosind meniul Start sau browser web.

Luați în considerare instalarea și configurarea unui server de licență terminal. Cele de mai sus descriu cum se instalează roluri, instalarea RDS nu este diferită de instalarea altor roluri, în Serviciile de rol trebuie să selectăm Licențiere Desktop la distanță și Gazdă sesiune Desktop la distanță. După instalare, elementul Terminal Services va apărea în Server Manager-Tools. Există două elemente în Terminal Services RD Licensing Diagnoser, acesta este un instrument pentru diagnosticarea funcționării licențelor desktop la distanță și Manager de licențe Desktop la distanță, acesta este un instrument de gestionare a licențelor.

Rulați RD Licensing Diagnoser

Aici putem vedea că nu există încă licențe disponibile deoarece modul de licențiere nu este setat pentru serverul RD Session Host. Serverul de licență este specificat în politicile de grup locale. Pentru a lansa editorul, rulați comanda gpedit.msc. Se deschide Editorul de politici de grup local. În arborele din stânga, extindeți filele:

  • Configurarea computerului
  • Șabloane administrative
  • Componente Windows
  • Servicii desktop la distanță
  • Gazdă sesiune desktop la distanță
  • „Licensing” (Licensing)

Deschideți parametrii Utilizați serverele de licență pentru Desktop la distanță specificate

În fereastra de editare a setărilor politicii, activați serverul de licențiere (Activat). Apoi, trebuie să definiți un server de licență pentru Serviciile Desktop la distanță. În exemplul meu, serverul de licențe este situat pe același server fizic. Specificați numele rețelei sau adresa IP a serverului de licență și faceți clic pe OK. Dacă numele serverului, serverul de licență se va schimba în viitor, va trebui să îl schimbați în aceeași secțiune.

După aceea, în RD Licensing Diagnoser, puteți vedea că serverul de licențe terminal este configurat, dar nu este activat. Pentru a activa, rulați Managerul de licențe Desktop la distanță

Selectați serverul de licențiere, cu starea Not Activated . Pentru activare, faceți clic dreapta pe el și selectați Activare server. Va porni asistentul de activare a serverului. În fila Metodă de conectare, selectați Conexiune automată. Apoi, completați informațiile despre organizație, după care serverul de licență este activat.

Servicii de certificate Active Directory

AD CS oferă servicii configurabile pentru emiterea și gestionarea certificatelor digitale care sunt utilizate în sistemele de securitate software care utilizează tehnologii cu cheie publică. Certificatele digitale furnizate de AD CS pot fi utilizate pentru criptare și semnare digitală documente electroniceși mesaje.Aceste certificate digitale pot fi utilizate pentru a autentifica conturile de computer, utilizator și dispozitiv din rețea.Certificatele digitale sunt utilizate pentru a furniza:

  • confidențialitate prin criptare;
  • integritate prin semnături digitale;
  • autentificare prin conectarea cheilor de certificat la conturile de computer, utilizator și dispozitiv din rețea.

AD CS poate fi utilizat pentru a îmbunătăți securitatea legând identitatea unui utilizator, dispozitiv sau serviciu la cheia privată corespunzătoare. Utilizările acceptate de AD CS includ extensii standard securizate pentru Internet Mail (S/MIME) protejate retea fara fir, rețele private virtuale (VPN), Protocolul IPsec, Sistemul de fișiere de criptare (EFS), Conectarea cu cardul inteligent, Securitatea transferului de date și Securitatea stratului de transport (SSL/TLS) și semnăturile digitale.

Servicii de domeniu Active Directory

Folosind rolul de server Active Directory Domain Services (AD DS), puteți crea o infrastructură scalabilă, sigură și gestionabilă pentru gestionarea utilizatorilor și a resurselor; de asemenea, puteți furniza aplicații activate pentru directoare, cum ar fi Microsoft Exchange Server. Serviciile de domeniu Active Directory furnizează o bază de date distribuită care stochează și gestionează informații despre resursele de rețea și datele aplicațiilor activate de director. Serverul care rulează AD DS se numește controler de domeniu. Administratorii pot folosi AD DS pentru a organiza elementele de rețea, cum ar fi utilizatorii, computerele și alte dispozitive, într-o structură imbricată ierarhică. Structura imbricată ierarhică include pădurea Active Directory, domeniile din pădure și unitățile organizaționale din fiecare domeniu. Caracteristicile de securitate sunt integrate în AD DS sub formă de autentificare și control al accesului la resursele din director. Cu conectare unică, administratorii pot gestiona informațiile despre director și organizarea prin rețea. De asemenea, utilizatorii autorizați de rețea pot utiliza conectarea unică la rețea pentru a accesa resursele situate oriunde în rețea. Serviciile de domeniu Active Directory oferă următoarele caracteristici suplimentare.

  • Un set de reguli este o schemă care definește clasele de obiecte și atribute care sunt conținute într-un director, restricțiile și limitele instanțelor respectivelor obiecte și formatul numelor acestora.
  • Un catalog global care conține informații despre fiecare obiect din catalog. Utilizatorii și administratorii pot folosi catalogul global pentru a căuta date de catalog, indiferent de domeniul din catalog care conține de fapt datele căutate.
  • Un mecanism de interogare și indexare prin care obiectele și proprietățile lor pot fi publicate și localizate utilizatorii rețeleiși aplicații.
  • Un serviciu de replicare care distribuie date de director într-o rețea. Toți controlorii de domeniu care pot fi scrise din domeniu participă la replicare și conțin o copie completă a tuturor datelor de director pentru domeniul lor. Orice modificare a datelor din director este replicată în domeniu tuturor controlorilor de domeniu.
  • Roluri de master operațiuni (cunoscute și sub denumirea de operațiuni master unice flexibile sau FSMO). Controloarele de domeniu care acționează ca stăpâni ai operațiunilor sunt proiectate să îndeplinească sarcini speciale pentru a asigura coerența datelor și pentru a evita intrările de director conflictuale.

Servicii de federație Active Directory

AD FS oferă utilizatorilor finali care au nevoie de acces la aplicații într-o întreprindere securizată prin AD FS, în organizații partenere de federație sau în cloud cu servicii web simplificate și sigure de federare a identității și de conectare unică (SSO). Windows Server AD FS include un serviciu de rol Serviciul de federație care acționează ca furnizor de identitate (autentifică utilizatorii pentru a furniza jetoane de securitate aplicațiilor care au încredere în AD FS) sau ca furnizor de federație (aplică jetoane de la alți furnizori de identitate și apoi furnizează jetoane de securitate aplicațiilor care au încredere în AD FS).

Servicii Active Directory Lightweight Directory

Active Directory Lightweight Directory Services (AD LDS) este un protocol LDAP care oferă suport flexibil pentru aplicațiile de directoare fără dependențele și restricțiile specifice domeniului Active Directory Domain Services. AD LDS poate fi rulat pe servere membre sau independente. Puteți rula mai multe instanțe de AD LDS cu scheme gestionate independent pe același server. Cu rolul de serviciu AD LDS, puteți furniza servicii de directoare aplicațiilor activate pentru directoare fără a utiliza date de domeniu și servicii forestiere și fără a necesita o singură schemă la nivelul întregii păduri.

Servicii de gestionare a drepturilor Active Directory

Puteți utiliza AD RMS pentru a extinde strategia de securitate a organizației dvs. prin securizarea documentelor utilizând Information Rights Management (IRM). AD RMS permite utilizatorilor și administratorilor să atribuie permisiuni de acces documentelor, registrelor de lucru și prezentărilor folosind politici IRM. Acest lucru vă permite să protejați informațiile confidențiale împotriva tipăririi, redirecționării sau copierii de către utilizatori neautorizați. Odată ce permisiunile unui fișier sunt restricționate folosind IRM, restricțiile de acces și utilizare se aplică indiferent de locația informațiilor, deoarece permisiunea fișierului este stocată în fișierul document însuși. Cu AD RMS și IRM, utilizatorii individuali își pot aplica propriile preferințe în ceea ce privește transferul de informații personale și confidențiale. Ele vor ajuta, de asemenea, o organizație să aplice politicile corporative pentru a controla utilizarea și distribuirea informațiilor sensibile și personale. Soluțiile IRM acceptate de AD RMS sunt utilizate pentru a oferi următoarele capabilități.

  • Politici de utilizare persistente care rămân cu informații indiferent dacă sunt mutate, trimise sau redirecționate.
  • Un nivel suplimentar de confidențialitate pentru a proteja datele sensibile - cum ar fi rapoartele, specificațiile produselor, informațiile despre clienți și mesajele de e-mail - împotriva căderii intenționate sau accidentale în mâini greșite.
  • Preveniți trimiterea, copierea, editarea, imprimarea, trimiterea prin fax sau lipirea neautorizată a conținutului restricționat de către destinatarii autorizați.
  • Preveniți copierea conținutului restricționat utilizând caracteristica PRINT SCREEN din Microsoft Windows.
  • Suport pentru expirarea fișierului, împiedicând vizualizarea conținutului documentului după o anumită perioadă de timp.
  • Implementați politici corporative care guvernează utilizarea și distribuirea conținutului în cadrul organizației

Server de aplicații

Application Server oferă un mediu integrat pentru implementarea și rularea aplicațiilor de afaceri personalizate bazate pe server.

Server DHCP

DHCP este o tehnologie client-server care permite serverelor DHCP să atribuie sau să închirieze adrese IP computerelor și altor dispozitive care sunt clienți DHCP. Implementarea serverelor DHCP într-o rețea oferă automat computerelor client și altor dispozitive de rețea adrese IP valide IPv4 și IPv6. și setări de configurare suplimentare cerute de acești clienți și dispozitive.Serviciul DHCP Server din Windows Server include suport pentru atribuiri bazate pe politici și failover DHCP.

Server DNS

Serviciul DNS este o bază de date ierarhică distribuită care conține mapări ale numelor de domenii DNS la diferite tipuri de date, cum ar fi adrese IP. Serviciul DNS vă permite să utilizați nume prietenoase, cum ar fi www.microsoft.com, pentru a ajuta la localizarea computerelor și a altor resurse în rețelele bazate pe TCP/IP. Serviciul Windows Server DNS oferă suport îmbunătățit suplimentar pentru modulele de securitate DNS (DNSSEC), inclusiv înregistrarea în rețea și control automatizat parametrii.

Server FAX

Fax Server trimite și primește faxuri și vă permite să gestionați resursele de fax, cum ar fi lucrări, setări, rapoarte și dispozitive de fax pe serverul dvs. de fax.

Servicii de fișiere și stocare

Administratorii pot folosi rolul Servicii de fișiere și stocare pentru a configura mai multe servere de fișiere și stocarea acestora și pentru a gestiona acele servere folosind Server Manager sau Windows PowerShell. Unele aplicații specifice includ următoarele caracteristici.

  • foldere de lucru. Utilizați pentru a permite utilizatorilor să stocheze și să acceseze fișiere de lucru pe computere personale și dispozitive, altele decât computerele corporative. Utilizatorii au un loc convenabil pentru a stoca fișierele de lucru și pentru a le accesa de oriunde. Organizațiile controlează datele corporative prin stocarea fișierelor pe servere de fișiere gestionate central și, opțional, prin stabilirea politicilor dispozitivelor utilizatorului (cum ar fi criptarea și parolele de blocare a ecranului).
  • Deduplicarea datelor. Utilizați pentru a reduce cerințele de spațiu pe disc pentru stocarea fișierelor, economisind bani pe stocare.
  • Server țintă iSCSI. Utilizați pentru a crea subsisteme de disc iSCSI centralizate, independente de software și dispozitiv în rețelele de stocare (SAN).
  • Spații pe disc. Utilizați pentru a implementa stocarea care este foarte disponibilă, rezistentă și scalabilă, cu unități rentabile, standard din industrie.
  • Manager server. Utilizați pentru a gestiona de la distanță mai multe servere de fișiere dintr-o singură fereastră.
  • Windows PowerShell. Utilizați pentru a automatiza gestionarea majorității sarcinilor de administrare a serverului de fișiere.

Hyper-V

Rolul Hyper-V vă permite să creați și să gestionați un mediu de calcul virtualizat folosind tehnologia de virtualizare încorporată în Windows Server. Instalarea rolului Hyper-V instalează cerințe preliminare și instrumente de gestionare opționale. Cerințele prealabile includ hypervisor Windows, serviciu de management mașini virtuale Hyper-V, furnizor de virtualizare WMI și componente de virtualizare, cum ar fi VMbus, Virtualization Service Provider (VSP) și Virtual Infrastructure Driver (VID).

Politică de rețea și servicii de acces

Serviciile de politică de rețea și acces oferă următoarele soluții de conectivitate la rețea:

  • Network Access Protection este o tehnologie pentru crearea, aplicarea și remedierea politicilor de sănătate ale clienților. Cu Network Access Protection, administratorii de sistem pot seta și aplica automat politici de sănătate care includ cerințe pentru software, actualizări de securitate și alte setări. Pentru computerele client care nu respectă politica de sănătate, puteți restricționa accesul la rețea până când configurația lor este actualizată pentru a respecta cerințele politicii.
  • Dacă sunt implementate puncte de acces wireless 802.1X, puteți utiliza Network Policy Server (NPS) pentru a implementa metode de autentificare bazate pe certificate care sunt mai sigure decât autentificarea bazată pe parolă. Implementarea hardware-ului 802.1X activat cu un server NPS permite utilizatorilor de intranet să fie autentificați înainte de a se putea conecta la rețea sau de a obține o adresă IP de la un server DHCP.
  • În loc să configurați o politică de acces la rețea pe fiecare server de acces la rețea, puteți crea la nivel central toate politicile care definesc toate aspectele solicitărilor de conexiune la rețea (cine se poate conecta, atunci când o conexiune este permisă, nivelul de securitate care trebuie utilizat pentru a se conecta la rețea). ).

Servicii de imprimare și documente

Serviciile de imprimare și documente vă permit să centralizați sarcinile serverului de imprimare și ale imprimantei de rețea. Acest rol vă permite, de asemenea, să primiți documente scanate de la scanere de rețea și să încărcați documente în partajări de rețea - pe un site Windows SharePoint Services sau prin e-mail.

acces de la distanță

Rolul Remote Access Server este o grupare logică a următoarelor tehnologii de acces la rețea.

  • Acces direct
  • Rutare și acces la distanță
  • Proxy de aplicație web

Aceste tehnologii sunt servicii de rol rol de server de acces la distanță. Când instalați rolul Server de acces la distanță, puteți instala unul sau mai multe servicii de rol rulând Expertul Adăugare roluri și caracteristici.

Pe Windows Server, rolul Remote Access Server oferă posibilitatea de a administra, configura și monitoriza central DirectAccess și VPN cu servicii de acces la distanță (RRAS) de rutare și acces la distanță. DirectAccess și RRAS pot fi implementate pe același server Edge și gestionate folosind comenzile Windows PowerShell și Remote Access Management Console (MMC).

Servicii desktop la distanță

Remote Desktop Services accelerează și extinde implementarea desktop-urilor și a aplicațiilor pe orice dispozitiv, făcând lucrătorul de la distanță mai eficient, securizând în același timp proprietatea intelectuală critică și simplificând conformitatea. Serviciile desktop la distanță includ infrastructură desktop virtuală (VDI), desktop-uri bazate pe sesiune și aplicații, oferind utilizatorilor posibilitatea de a lucra de oriunde.

Servicii de activare a volumului

Servicii de activare licențe corporative este un rol de server în Windows Server începând cu Windows Server 2012, care automatizează și simplifică emiterea și gestionarea licențelor de volum pentru software-ul Microsoft într-o varietate de scenarii și medii. Împreună cu serviciile de activare a licenței în volum, puteți instala și configura serviciul de gestionare a cheilor (KMS) și activarea Active Directory.

Server Web (IIS)

Rolul Web Server (IIS) în Windows Server oferă o platformă pentru găzduirea de site-uri Web, servicii și aplicații. Utilizarea unui server web oferă acces la informații utilizatorilor de pe Internet, intranet și extranet. Administratorii pot folosi rolul Server Web (IIS) pentru a configura și gestiona mai multe site-uri web, aplicații web și site-uri FTP. Caracteristicile speciale includ următoarele.

  • Utilizați Managerul Internet Information Services (IIS) pentru a configura componentele IIS și pentru a administra site-uri web.
  • Utilizarea protocolului FTP pentru a permite proprietarilor site-urilor web să încarce și să descarce fișiere.
  • Folosirea izolării site-ului web pentru a preveni ca un site de pe server să îi afecteze pe alții.
  • Personalizarea aplicațiilor web dezvoltate folosind diverse tehnologii precum Classic ASP, ASP.NET și PHP.
  • Utilizați Windows PowerShell pentru a gestiona automat majoritatea sarcinilor de administrare a serverului web.
  • Consolidați mai multe servere web într-o fermă de servere care poate fi gestionată folosind IIS.

Servicii de implementare Windows

Serviciile de implementare Windows vă permit să implementați sisteme de operare Windows într-o rețea, ceea ce înseamnă că nu trebuie să instalați fiecare sistem de operare direct de pe un CD sau DVD.

Experiență Windows Server Essentials

Acest rol vă permite să efectuați următoarele sarcini:

  • protejați datele serverului și ale clientului prin realizarea de copii de siguranță a serverului și a tuturor computerelor client din rețea;
  • gestionați utilizatorii și grupurile de utilizatori printr-un tablou de bord simplificat al serverului. În plus, integrarea cu Windows Azure Active Directory* oferă utilizatorilor acces ușor la serviciile online Microsoft Online (cum ar fi Office 365, Exchange Online și SharePoint Online) folosind acreditările de domeniu;
  • stocați datele companiei într-o locație centralizată;
  • integrați serverul cu Microsoft Online Services (cum ar fi Office 365, Exchange Online, SharePoint Online și Windows Intune):
  • utilizați funcții de acces omniprezente pe server (cum ar fi accesul la internet la distanță și rețelele private virtuale) pentru a accesa serverul, computerele din rețea și datele din locații la distanță foarte sigure;
  • accesați datele de oriunde și de pe orice dispozitiv utilizând portalul web propriu al organizației (prin acces web de la distanță);
  • gestionați dispozitivele mobile care accesează e-mailul organizației dvs. cu Office 365 prin protocolul Active Sync din tabloul de bord;
  • monitorizați starea rețelei și primiți rapoarte de sănătate personalizabile; rapoartele pot fi generate la cerere, personalizate și trimise prin e-mail către anumiți destinatari.

Servicii de actualizare Windows Server

Serverul WSUS oferă componentele de care au nevoie administratorii pentru a gestiona și distribui actualizări prin consola de management. În plus, serverul WSUS poate fi sursa de actualizări pentru alte servere WSUS din organizație. La implementarea WSUS, cel puțin un server WSUS din rețea trebuie să fie conectat la Microsoft Update pentru a primi informații despre actualizările disponibile. În funcție de securitatea și configurația rețelei, un administrator poate determina câte alte servere sunt conectate direct la Microsoft Update.

Utilitarul GPResult.exe– este o aplicație consolă concepută pentru a analiza setările și a diagnostica politicile de grup care sunt aplicate unui computer și/sau utilizator dintr-un domeniu Active Directory. În special, GPResult vă permite să obțineți date din setul rezultat de politici (Resultant Set of Policy, RSOP), o listă de politici de domeniu aplicate (GPO), setările acestora și informații detaliate despre erorile lor de procesare. Utilitarul a făcut parte din sistemul de operare Windows încă din zilele Windows XP. Utilitarul GPResult vă permite să răspundeți la întrebări, cum ar fi dacă o anumită politică se aplică unui computer, care GPO a schimbat o anumită setare Windows și să aflați motivele.

În acest articol, vom analiza specificul utilizării comenzii GPResult pentru a diagnostica și a depana aplicarea politicilor de grup într-un domeniu Active Directory.

Inițial, pentru diagnosticarea aplicării politicilor de grup în Windows s-a folosit consola grafică RSOP.msc, care a făcut posibilă obținerea setărilor politicilor rezultate (domeniu + local) aplicate computerului și utilizatorului într-o formă grafică similară cu consola editorului GPO (mai jos, în exemplul vizualizării consolei RSOP.msc, puteți vedea că setările de actualizare sunt setate).

Cu toate acestea, consola RSOP.msc în versiunile moderne de Windows nu este practică de utilizat, deoarece nu reflectă setările aplicate de diverse extensii la nivelul clientului (CSE), cum ar fi GPP (Preferințe de politică de grup), nu permite căutarea, oferă puține informații de diagnosticare. Prin urmare, pe acest moment este comanda GPResult care este instrumentul principal de diagnosticare a utilizării GPO-urilor în Windows (în Windows 10 există chiar un avertisment că RSOP nu dă un raport complet, spre deosebire de GPResult).

Folosind utilitarul GPResult.exe

Comanda GPResult este rulată pe computerul pe care doriți să testați aplicarea politicilor de grup. Comanda GPResult are următoarea sintaxă:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Pentru a obține informații detaliate despre politicile de grup care se aplică unui anumit obiect AD (utilizator și computer) și alte setări legate de infrastructura GPO (adică setările de politică GPO rezultate - RsoP), rulați comanda:

Rezultatele executării comenzii sunt împărțite în 2 secțiuni:

  • CALCULATOR SETĂRI (Configurație computer) – secțiunea conține informații despre obiectele GPO care afectează computerul (ca obiect Active Directory);
  • UTILIZATOR SETĂRI – secțiunea utilizator a politicilor (politici care se aplică unui cont de utilizator în AD).

Să trecem pe scurt peste principalii parametri/secțiuni care ne pot interesa în ieșirea GPResult:

  • SiteNume(Numele site-ului:) - numele site-ului AD în care se află computerul;
  • CN– utilizator/calculator canonic complet pentru care au fost generate datele RSoP;
  • UltimultimpgrupPoliticăa fostaplicat(Ultima politică de grup aplicată) - momentul în care politicile de grup au fost aplicate ultima dată;
  • grupPoliticăa fostaplicatdin(Politica de grup a fost aplicată de la) - controlerul de domeniu de la care a fost încărcată cea mai recentă versiune a GPO;
  • DomeniuNumeși Domeniutip(Nume de domeniu, tip de domeniu) – Numele și versiunea schemei de domeniu Active Directory;
  • AplicatgrupPoliticăObiecte(GPO aplicate)– liste de obiecte active ale politicii de grup;
  • Theca urmare aGPO-uriau fostnuaplicatdeoareceeiau fostfiltratafară(Următoarele politici GPO nu au fost aplicate deoarece au fost filtrate) - GPO neaplicate (filtrate);
  • Theutilizator/calculatoresteApartedecelca urmare aSecuritategrupuri(Utilizatorul/calculatorul este membru al următoarelor grupuri de securitate) – Grupuri de domenii din care este membru utilizatorul.

În exemplul nostru, puteți vedea că obiectul utilizator este afectat de 4 politici de grup.

  • Politica de domeniu implicită;
  • Activați paravanul de protecție Windows;
  • Lista de căutare a sufixelor DNS

Dacă nu doriți ca consola să afișeze informații atât despre politicile utilizatorilor, cât și despre politicile computerului în același timp, puteți utiliza opțiunea /scope pentru a afișa numai secțiunea care vă interesează. Doar politicile de utilizator rezultate:

gpresult /r /scope:user

sau numai politici aplicate pentru computer:

gpresult /r /scope:computer

Deoarece Utilitarul Gpresult își scoate datele direct în consola liniei de comandă, ceea ce nu este întotdeauna convenabil pentru analiza ulterioară; ieșirea sa poate fi redirecționată în clipboard:

gpresult /r |clip

sau fișier text:

gpresult /r > c:\gpresult.txt

Pentru a afișa informații RSOP super-detaliate, adăugați comutatorul /z.

Raport HTML RSOP folosind GPResult

În plus, utilitarul GPResult poate genera un raport HTML privind politicile de rezultat aplicate (disponibil în Windows 7 și versiuni ulterioare). Acest raport va conține informații detaliate despre toate setările de sistem care sunt stabilite de politicile de grup și numele GPO-urilor specifice care le stabilesc (raportul rezultat asupra structurii seamănă cu fila Setări din Consola de gestionare a politicilor de grup de domeniu - GPMC). Puteți genera un raport HTML GPResult folosind comanda:

GPResult /h c:\gp-report\report.html /f

Pentru a genera un raport și a-l deschide automat într-un browser, executați comanda:

GPResult /h GPResult.html și GPResult.html

Raportul HTML gpresult conține destul de multe Informatii utile: erorile aplicației GPO, timpul de procesare (în ms) și aplicarea politicilor specifice și CSE sunt vizibile (sub Detalii computer -> Stare componente). De exemplu, în captura de ecran de mai sus, puteți vedea că politica cu setările 24 de parole reținute este aplicată de Politica de domeniu implicită (coloana GPO câștigătoare). După cum puteți vedea, un astfel de raport HTML este mult mai convenabil pentru analiza politicilor aplicate decât consola rsop.msc.

Obținerea datelor GPResult de la un computer la distanță

GPResult poate colecta și date de pe un computer la distanță, eliminând necesitatea ca un administrator să se conecteze local sau RDP la un computer la distanță. Formatul de comandă pentru colectarea datelor RSOP de la un computer la distanță este următorul:

GPResult /s server-ts1 /r

În mod similar, puteți colecta de la distanță date atât din politicile utilizatorilor, cât și din politicile computerului.

numele de utilizator nu are date RSOP

Cu UAC activat, rularea GPResult fără privilegii ridicate afișează doar setările pentru secțiunea personalizată a Politicii de grup. Dacă trebuie să afișați ambele secțiuni (SETĂRI UTILIZATOR și SETĂRI CALCULATOR) în același timp, comanda trebuie rulată. Dacă promptul de comandă ridicat este pe un alt sistem decât utilizatorul curent, utilitarul va emite un avertisment INFO: Theutilizator"domeniu\utilizator"facenuaveaRSOPdate ( Utilizatorul „domeniu\utilizator” nu are date RSOP). Acest lucru se datorează faptului că GPResult încearcă să colecteze informații pentru utilizatorul care a rulat-o, dar pentru că Acest utilizator nu s-a conectat la sistem și nu sunt disponibile informații RSOP pentru acest utilizator. Pentru a colecta informații RSOP pentru un utilizator cu o sesiune activă, trebuie să specificați contul său:

gpresult /r /user:tn\edward

Dacă nu cunoașteți numele contului care este conectat pe computerul de la distanță, puteți obține contul astfel:

qwinsta /SERVER:remotePC1

Verificați, de asemenea, orele de pe client. Ora trebuie să se potrivească cu ora de pe PDC (controller de domeniu primar).

Următoarele politici GPO nu au fost aplicate deoarece au fost filtrate

Când depanați politicile de grup, ar trebui să acordați atenție secțiunii: Următoarele GPO nu au fost aplicate deoarece au fost filtrate (următoarele politici GPO nu au fost aplicate deoarece au fost filtrate). Această secțiune afișează o listă de GPO care, dintr-un motiv sau altul, nu se aplică acestui obiect. Opțiuni posibile pentru care politica nu se poate aplica:


De asemenea, puteți înțelege dacă politica ar trebui aplicată unui anumit obiect AD din fila Permisiuni efective (Avansat -> Acces efectiv).

Deci, în acest articol, am analizat caracteristicile de diagnosticare a aplicării politicilor de grup folosind utilitarul GPResult și am analizat scenariile tipice pentru utilizarea acestuia.

Funcționalitatea în sistemul de operare Windows Server este calculată și se îmbunătățește de la versiune la versiune, există tot mai multe roluri și componente, așa că în articolul de astăzi voi încerca să descriu pe scurt descrierea și scopul fiecărui rol în Windows Server 2016.

Înainte de a trece la descrierea rolurilor serverului Windows Server, să aflăm ce este exact " Rolul de server» pe sistemul de operare Windows Server.

Ce este un „Rol de server” în Windows Server?

Rol de server este un pachet software care asigură că serverul îndeplinește o anumită funcție și funcţie dată este cea principală. Cu alte cuvinte, " Rolul de server' este scopul serverului, adică pentru ce este. Pentru ca serverul să își poată îndeplini funcția principală, adică anumit rol în Rolul de server» include tot software-ul necesar pentru aceasta ( programe, servicii).

Serverul poate avea un rol dacă este utilizat în mod activ, sau mai multe dacă fiecare dintre ele nu încarcă foarte mult serverul și este rar folosit.

Un rol de server poate include mai multe servicii de rol care oferă funcționalitatea rolului. De exemplu, în rolul de server " Server web (IIS)” include un număr destul de mare de servicii, iar rolul ” server DNS» nu include serviciile de rol, deoarece acest rol îndeplinește o singură funcție.

Role Services pot fi instalate împreună sau individual, în funcție de nevoile dumneavoastră. În esență, instalarea unui rol înseamnă instalarea unuia sau mai multor servicii ale acestuia.

Windows Server are, de asemenea, „ Componente" Server.

Componente server (funcție) sunt instrumente software care nu sunt un rol de server, dar extind capacitățile unuia sau mai multor roluri sau gestionează unul sau mai multe roluri.

Unele roluri nu pot fi instalate dacă serverul nu are servicii sau componente necesare care sunt necesare pentru ca rolurile să funcționeze. Prin urmare, la momentul instalării unor astfel de roluri " Adăugarea de roluri și caracteristici Expert» în sine, vă va solicita automat să instalați serviciile sau componentele suplimentare necesare.

Descrierea rolurilor de server Windows Server 2016

Probabil că sunteți deja familiarizați cu multe dintre rolurile care sunt în Windows Server 2016, deoarece acestea există de ceva timp, dar așa cum am spus, cu fiecare nouă versiune de Windows Server, se adaugă noi roluri pe care este posibil să nu le fi lucrat. cu, dar am dori să știm pentru ce sunt acestea, așa că să începem să ne uităm la ele.

Notă! Despre noile caracteristici ale sistemului de operare Windows Server 2016 puteți citi în materialul " Instalare Windows Server 2016 și prezentare generală a noilor funcții » .

Deoarece de foarte multe ori instalarea și administrarea rolurilor, serviciilor și componentelor are loc folosind Windows PowerShell, voi indica pentru fiecare rol și serviciul acestuia un nume care poate fi folosit în PowerShell, respectiv, pentru instalarea lui sau pentru administrare.

Server DHCP

Acest rol vă permite să configurați la nivel central adresele IP dinamice și setările aferente pentru computere și dispozitive din rețeaua dvs. Rolul Server DHCP nu are servicii de rol.

Numele pentru Windows PowerShell este DHCP.

server DNS

Acest rol este destinat rezolvării numelor în rețelele TCP/IP. Rolul Server DNS oferă și menține DNS. Pentru a simplifica gestionarea unui server DNS, acesta este de obicei instalat pe același server ca Active Directory Domain Services. Rolul Server DNS nu are servicii de rol.

Numele rolului pentru PowerShell este DNS.

Hyper-V

Cu rolul Hyper-V, puteți crea și gestiona un mediu virtualizat. Cu alte cuvinte, este un instrument pentru crearea și gestionarea mașinilor virtuale.

Numele rolului pentru Windows PowerShell este Hyper-V.

Atestarea de sănătate a dispozitivului

Rol " » vă permite să evaluați starea de sănătate a dispozitivului pe baza indicatorilor măsurați ai parametrilor de securitate, cum ar fi indicatorii stării de pornire securizată și Bitlocker pe client.

Pentru funcționarea acestui rol sunt necesare o mulțime de servicii și componente de rol, de exemplu: mai multe servicii din rolul " Server web (IIS)", componenta" ", componenta" Caracteristici .NET Framework 4.6».

În timpul instalării, toate serviciile și funcțiile de rol necesare vor fi selectate automat. Rolul " Atestarea de sănătate a dispozitivului» Nu există servicii de rol.

Numele pentru PowerShell este DeviceHealthAttestationService.

Server web (IIS)

Oferă o infrastructură de aplicații web fiabilă, gestionabilă și scalabilă. Constă dintr-un număr destul de mare de servicii (43).

Numele pentru Windows PowerShell este Web-Server.

Include următoarele servicii de rol ( între paranteze voi indica numele pentru Windows PowerShell):

Server web (Web-WebServer)- Un grup de servicii de rol care oferă suport pentru site-uri web HTML, extensii ASP.NET, ASP și server web. Constă din următoarele servicii:

  • Securitate (Securitate web)- un set de servicii pentru a asigura securitatea serverului web.
    • Filtrarea cererilor (Web-Filtering) - folosind aceste instrumente, puteți procesa toate cererile care vin pe server și puteți filtra aceste solicitări pe baza unor reguli speciale stabilite de administratorul serverului web;
    • Adresa IP și restricții de domeniu (Web-IP-Security) - aceste instrumente vă permit să permiteți sau să interziceți accesul la conținut pe un server web pe baza adresei IP sau a numelui de domeniu al sursei din cerere;
    • Autorizare URL (Web-Url-Auth) - instrumentele vă permit să proiectați reguli pentru a restricționa accesul la conținutul web și să le asociați cu utilizatori, grupuri sau comenzi de antet HTTP;
    • Autentificare Digest (Web-Digest-Auth) - Această autentificare oferă un nivel mai ridicat de securitate decât autentificarea de bază. Autentificarea Digest pentru autentificarea utilizatorilor funcționează ca transmiterea unui hash de parolă către un controler de domeniu Windows;
    • Autentificare de bază (Web-Basic-Auth) - Această metodă de autentificare oferă o compatibilitate puternică cu browser-ul web. Se recomandă utilizarea în rețele interne mici. Principalul dezavantaj al acestei metode este că parolele transmise prin rețea pot fi interceptate și decriptate destul de ușor, așa că utilizați această metodă în combinație cu SSL;
    • Autentificarea Windows (Web-Windows-Auth) este o autentificare bazată pe autentificarea domeniului Windows. Cu alte cuvinte, puteți utiliza conturi Active Directory pentru a autentifica utilizatorii site-urilor dvs. Web;
    • Autentificare de mapare a certificatelor clientului (Web-Client-Auth) - Această metodă de autentificare utilizează un certificat de client. Acest tip utilizează serviciile Active Directory pentru a furniza maparea certificatelor;
    • Autentificare de mapare a certificatelor clientului IIS (Web-Cert-Auth) - Această metodă utilizează și certificate de client pentru autentificare, dar folosește IIS pentru a furniza maparea certificatelor. Acest tip oferă performanțe mai bune;
    • Suport pentru certificate SSL centralizate (Web-CertProvider) - aceste instrumente vă permit să gestionați central certificatele de server SSL, ceea ce simplifică foarte mult procesul de gestionare a acestor certificate;
  • Capacitatea de service și diagnosticare (Web-Health)– un set de servicii pentru monitorizarea, gestionarea și depanarea serverelor web, site-urilor și aplicațiilor:
    • Logging http (Web-Http-Logging) - Instrumentele oferă înregistrarea activității site-ului acest server, adică intrare în jurnal;
    • Înregistrare ODBC (Web-ODBC-Logging) – Aceste instrumente oferă, de asemenea, înregistrarea activității site-ului web, dar acceptă înregistrarea acelei activități într-o bază de date compatibilă cu ODBC;
    • Request Monitor (Web-Request-Monitor) este un instrument care vă permite să monitorizați starea de sănătate a unei aplicații web prin interceptarea informațiilor despre solicitările HTTP în procesul de lucru IIS;
    • Înregistrare personalizată (Web-Custom-Logging) - Folosind aceste instrumente, puteți configura înregistrarea activității serverului web într-un format care diferă semnificativ de formatul standard IIS. Cu alte cuvinte, vă puteți crea propriul modul de înregistrare;
    • Instrumentele de logare (Web-Log-Libraries) sunt instrumente pentru gestionarea jurnalelor de server web și automatizarea sarcinilor de înregistrare;
    • Urmărirea (Web-Http-Tracing) este un instrument pentru diagnosticarea și rezolvarea încălcărilor în aplicațiile web.
  • Funcții comune http (Web-Common-Http)– un set de servicii care oferă funcționalitate HTTP de bază:
    • Document implicit (Web-Default-Doc) - Această caracteristică vă permite să configurați serverul web să returneze un document implicit atunci când utilizatorii nu specifică un anumit document în adresa URL de solicitare, facilitând accesul utilizatorilor pe site-ul web, de exemplu, prin domeniu, fără a specifica un fișier;
    • Navigare în director (Web-Dir-Browsing) - Acest instrument poate fi folosit pentru a configura un server web, astfel încât utilizatorii să poată vizualiza o listă cu toate directoarele și fișierele de pe un site web. De exemplu, pentru cazurile în care utilizatorii nu specifică un fișier în adresa URL de solicitare, iar documentele implicite sunt fie dezactivate, fie nu sunt configurate;
    • Erori http (Web-Http-Errors) – această ocazie vă permite să personalizați mesajele de eroare care vor fi returnate browserelor web ale utilizatorilor atunci când o eroare este detectată de serverul web. Acest instrument este folosit pentru a prezenta mai ușor utilizatorilor mesaje de eroare;
    • Conținut static (Web-Static-Content) - acest instrument vă permite să utilizați conținut pe un server web sub formă de formate de fișiere statice, cum ar fi fișiere HTML sau fișiere imagine;
    • Redirecționare http (Web-Http-Redirect) - folosind această funcție, puteți redirecționa o solicitare de utilizator către o anumită destinație, de exemplu. aceasta este Redirecționare;
    • WebDAV Publishing (Web-DAV-Publishing) - vă permite să utilizați tehnologia WebDAV pe serverul WEB IIS. WebDAV ( Creare și versiuni distribuite web) este o tehnologie care permite utilizatorilor să lucreze împreună ( citiți, editați, citiți proprietățile, copiați, mutați) peste fișiere de pe servere web la distanță folosind protocolul HTTP.
  • Performanță (performanță web)- un set de servicii pentru a obține performanțe mai mari ale serverului web, prin memorarea în cache a ieșirii și mecanisme comune de compresie, cum ar fi Gzip și Deflate:
    • Comprimarea conținutului static (Web-Stat-Compression) este un instrument de personalizare a compresiei conținutului static http, care permite utilizarea mai eficientă a lățimii de bandă, fără încărcare inutilă a procesorului;
    • Dynamic Content Compression (Web-Dyn-Compression) este un instrument pentru configurarea compresiei dinamice a conținutului HTTP. Acest instrument oferă o utilizare mai eficientă lățime de bandă, dar în acest caz, sarcina procesorului serverului asociată cu compresia dinamică poate încetini site-ul dacă sarcina procesorului este mare chiar și fără compresie.
  • Dezvoltare de aplicații (Web-App-Dev)- un set de servicii și instrumente pentru dezvoltarea și găzduirea aplicațiilor web, cu alte cuvinte, tehnologii de dezvoltare a site-urilor web:
    • ASP (Web-ASP) este un mediu pentru susținerea și dezvoltarea site-urilor web și aplicații web folosind tehnologia ASP. În prezent, există o tehnologie de dezvoltare a site-urilor web mai nouă și mai avansată - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) este un mediu de dezvoltare orientat pe obiecte pentru site-uri web și aplicații web care utilizează tehnologia ASP.NET;
    • ASP.NET 4.6 (Web-Asp-Net45) este, de asemenea, un mediu de dezvoltare orientat pe obiecte pentru site-uri web și aplicații web care utilizează noua versiune de ASP.NET;
    • CGI (Web-CGI) este capacitatea de a utiliza CGI pentru a transmite informații de la un server web la un program extern. CGI este un fel de standard de interfață pentru conectarea unui program extern la un server web. Există un dezavantaj, utilizarea CGI afectează performanța;
    • Server Side Inclusions (SSI) (include web) este suport pentru limbajul de scripting SSI ( activare partea serverului), care este folosit pentru a genera dinamic pagini HTML;
    • Inițializarea aplicației (Web-AppInit) - acest instrument realizează sarcinile de inițializare a aplicațiilor web înainte de a trimite o pagină web;
    • WebSocket Protocol (Web-WebSockets) - Adaugă capacitatea de a crea aplicații server care comunică folosind protocolul WebSocket. WebSocket este un protocol care poate trimite și primi date simultan între un browser și un server web printr-o conexiune TCP, un fel de extensie a protocolului HTTP;
    • Extensii ISAPI (Web-ISAPI-Ext) - suport pentru dezvoltarea dinamică a conținutului web folosind interfața de programare a aplicației ISAPI. ISAPI este un API pentru serverul web IIS. Aplicațiile ISAPI sunt mult mai rapide decât fișierele ASP sau fișierele care apelează componente COM+;
    • Extensibilitatea .NET 3.5 (Web-Net-Ext) este o caracteristică de extensibilitate .NET 3.5 care vă permite să modificați, să adăugați și să extindeți funcționalitatea serverului web în întreaga conductă de procesare a cererilor, configurație și interfață cu utilizatorul;
    • Extensibilitatea .NET 4.6 (Web-Net-Ext45) este o caracteristică de extensibilitate .NET 4.6 care vă permite, de asemenea, să modificați, să adăugați și să extindeți funcționalitatea serverului web pe întreaga conductă de procesare a cererilor, configurație și interfață cu utilizatorul;
    • Filtre ISAPI (Web-ISAPI-Filter) - Adăugați suport pentru filtre ISAPI. Filtrele ISAPI sunt programe care sunt apelate atunci când un server web primește o cerere HTTP specifică pentru a fi procesată de acest filtru.

FTP - server (Web-Ftp-Server)– servicii care oferă suport pentru protocolul FTP. Am vorbit mai în detaliu despre serverul FTP în material - " Instalarea și configurarea unui server FTP pe Windows Server 2016". Conține următoarele servicii:

  • Serviciu FTP (Web-Ftp-Service) - adaugă suport pentru protocolul FTP pe serverul web;
  • Extensibilitate FTP (Web-Ftp-Ext) - Extinde capabilitățile FTP standard, cum ar fi adăugarea de suport pentru caracteristici precum furnizorii personalizați, utilizatorii ASP.NET sau utilizatorii managerului IIS.

Instrumente de management (Web-Mgmt-Tools)- Acestea sunt instrumentele de management pentru serverul web IIS 10. Acestea includ: interfața cu utilizatorul IIS, instrumente de linie de comandă și scripturi.

  • Consola de management IIS (Web-Mgmt-Console) este interfața de utilizator pentru gestionarea IIS;
  • Seturile de caractere și instrumentele de gestionare a IIS (Web-Scripting-Tools) sunt instrumente și scripturi pentru gestionarea IIS folosind linia de comandă sau scripturile. Ele pot fi folosite, de exemplu, pentru automatizarea controlului;
  • Serviciu de management (Web-Mgmt-Service) - acest serviciu adaugă posibilitatea de a gestiona un server web de la distanță de pe un alt computer utilizând IIS Manager;
  • Managementul compatibilității IIS 6 (Web-Mgmt-Compat) - Oferă compatibilitate pentru aplicațiile și scripturile care utilizează cele două API-uri IIS. Scripturile existente IIS 6 pot fi utilizate pentru a gestiona serverul web IIS 10:
    • IIS 6 Compatibility Metabase (Web-Metabase) este un instrument de compatibilitate care vă permite să rulați aplicații și seturi de caractere care au fost migrate de la versiuni anterioare ale IIS;
    • Instrumente de scripting IIS 6 (Web-Lgcy-Scripting) - Aceste instrumente vă permit să utilizați aceleași servicii de scripting IIS 6 care au fost create pentru a gestiona IIS 6 în IIS 10;
    • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) este un instrument pentru administrarea serverelor IIS 6.0 la distanță;
    • Compatibilitatea IIS 6 WMI (Web-WMI) sunt interfețe de scripting Windows Management Instrumentation (WMI) pentru controlul programatic și automatizarea sarcinilor serverului Web IIS 10.0 folosind un set de scripturi create într-un furnizor WMI.

Servicii de domeniu Active Directory

Rol " Servicii de domeniu Active Directory» (AD DS) oferă o bază de date distribuită care stochează și procesează informații despre resursele rețelei. Acest rol este utilizat pentru a organiza elementele de rețea, cum ar fi utilizatorii, computerele și alte dispozitive, într-o structură de izolare ierarhică. Structura ierarhică include păduri, domenii dintr-o pădure și unități organizaționale (OU) din fiecare domeniu. Serverul care rulează AD DS se numește controler de domeniu.

Numele rolului pentru Windows PowerShell este AD-Domain-Services.

Modul Windows Server Essentials

Acest rol este o infrastructură informatică și oferă funcții convenabile și eficiente, de exemplu: stocarea datelor clienților într-o locație centralizată și protejarea acestor date prin Rezervă copie computere server și client, acces web la distanță care vă permite să accesați date de pe aproape orice dispozitiv. Acest rol necesită mai multe servicii și caracteristici de rol, de exemplu: Funcții BranchCache, Windows Server Backup, Group Policy Management, Role Service " Spații de nume DFS».

Numele pentru PowerShell este ServerEssentialsRole.

Controlor de rețea

Introdus în Windows Server 2016, acest rol oferă un singur punct de automatizare pentru gestionarea, monitorizarea și diagnosticarea infrastructurii de rețea fizică și virtuală din centrul de date. Folosind acest rol, puteți configura subrețele IP, VLAN-uri, adaptoare fizice de rețea ale gazdelor Hyper-V dintr-un singur punct, puteți gestiona comutatoare virtuale, routere fizice, setări firewall și gateway-uri VPN.

Numele pentru Windows PowerShell este NetworkController.

Serviciul Node Guardian

Acesta este rolul de server Hosted Guardian Service (HGS) și oferă servicii de atestare și protecție a cheilor care permit gazdelor protejate să ruleze mașini virtuale protejate. Pentru funcționarea acestui rol sunt necesare mai multe roluri și componente suplimentare, de exemplu: Active Directory Domain Services, Web Server (IIS), " Clustering de failover" si altii.

Numele pentru PowerShell este HostGuardianServiceRole.

Servicii Active Directory Lightweight Directory

Rol " Servicii Active Directory Lightweight Directory» (AD LDS) este o versiune ușoară a AD DS care are mai puține funcționalități, dar nu necesită implementarea de domenii sau controlere de domeniu și nu are dependențele și restricțiile de domeniu cerute de AD DS. AD LDS rulează peste protocolul LDAP ( Protocol schematic de acces la registru). Puteți implementa mai multe instanțe AD LDS pe același server cu scheme gestionate independent.

Numele pentru PowerShell este ADLDS.

Servicii MultiPoint

Este, de asemenea, un rol nou, care este nou în Windows Server 2016. MultiPoint Services (MPS) oferă funcționalitate de bază desktop la distanță care permite mai multor utilizatori să lucreze simultan și independent pe același computer. Pentru a instala și opera acest rol, trebuie să instalați mai multe servicii și componente suplimentare, de exemplu: Print Server, Windows Search Service, XPS Viewer și altele, toate acestea vor fi selectate automat în timpul instalării MPS.

Numele rolului pentru PowerShell este MultiPointServerRole.

Servicii de actualizare Windows Server

Cu acest rol (WSUS), administratorii de sistem pot gestiona actualizările Microsoft. De exemplu, creați grupuri separate de computere pentru diferite seturi de actualizări, precum și primiți rapoarte privind conformitatea computerelor cu cerințele și actualizările care trebuie instalate. Pentru functionare" Servicii de actualizare Windows Server» Aveți nevoie de servicii de rol și componente precum: Web Server (IIS), Windows Internal Database, Activation Service procesele Windows.

Numele pentru Windows PowerShell este UpdateServices.

  • Conectivitate WID (UpdateServices-WidDB) - setată la WID ( Baza de date internă Windows) baza de date utilizată de WSUS. Cu alte cuvinte, WSUS își va stoca datele de serviciu în WID;
  • Serviciile WSUS (UpdateServices-Services) sunt serviciile de rol WSUS, cum ar fi Serviciul de actualizare, Serviciul web de raportare, Serviciul web de API Remoting, Serviciu web client, Serviciu web de autentificare simplă, Serviciu de sincronizare server și Serviciu web de autentificare DSS;
  • SQL Server Connectivity (UpdateServices-DB) este o instalare de componentă care permite serviciului WSUS să se conecteze la o bază de date Microsoft SQL Server. Această opțiune asigură stocarea datelor de serviciu într-o bază de date Microsoft SQL Server. În acest caz, trebuie să aveți deja cel puțin o instanță de SQL Server instalată.

Servicii de activare a licențelor în volum

Cu acest rol de server, puteți automatiza și simplifica emiterea de licențe de volum pentru software de la Microsoft și vă permite, de asemenea, să gestionați aceste licențe.

Numele pentru PowerShell este VolumeActivation.

Servicii de imprimare și documente

Acest rol de server este conceput pentru a partaja imprimante și scanere într-o rețea setări centralizateși gestionarea serverelor de imprimare și scanare, precum și gestionarea imprimantelor și scanerelor de rețea. Serviciile de imprimare și documente vă permit, de asemenea, să trimiteți documente scanate prin e-mail, către partajări în rețea sau către site-uri Windows SharePoint Services.

Numele pentru PowerShell este Print-Services.

  • Print Server (Print-Server) - Acest serviciu de rol include " Managementul tipăririi”, care este folosit pentru a gestiona imprimante sau servere de imprimare, precum și pentru a migra imprimante și alte servere de imprimare;
  • Imprimarea pe Internet (Print-Internet) - Pentru a implementa imprimarea pe Internet, este creat un site web care permite utilizatorilor să gestioneze lucrările de imprimare pe server. Pentru ca acest serviciu să funcționeze, după cum înțelegeți, trebuie să instalați " Server web (IIS)". Toate componentele necesare vor fi selectate automat când bifați această casetă în timpul procesului de instalare a serviciului de rol " Imprimare pe Internet»;
  • Serverul de scanare distribuit (Print-Scan-Server) este un serviciu care vă permite să primiți documente scanate de la scanere de rețea și să le trimiteți către o destinație. Acest serviciu conține și „ Managementul scanării”, care este folosit pentru a gestiona scanere de rețea și pentru a configura scanarea;
  • Serviciu LPD (Print-LPD-Service) - serviciu LPD ( Line Printer Daemon) permite computerelor bazate pe UNIX și altor computere care utilizează serviciul Line Printer Remote (LPR) să imprime pe imprimantele partajate ale serverului.

Politică de rețea și servicii de acces

Rol " » (NPAS) permite Network Policy Server (NPS) să seteze și să impună accesul la rețea, autentificarea și autorizarea și politicile de sănătate ale clientului, cu alte cuvinte, pentru a securiza rețeaua.

Numele pentru Windows PowerShell este NPAS.

Servicii de implementare Windows

Cu acest rol, puteți instala de la distanță sistemul de operare Windows într-o rețea.

Numele rolului pentru PowerShell este WDS.

  • Server de implementare (WDS-Deployment) - acest serviciu de rol este conceput pentru implementarea și configurarea de la distanță a sistemelor de operare Windows. De asemenea, vă permite să creați și să personalizați imagini pentru reutilizare;
  • Server de transport (WDS-Transport) - Acest serviciu conține componentele de bază ale rețelei cu care puteți transfera date prin multicasting pe un server autonom.

Servicii de certificate Active Directory

Acest rol este destinat să creeze autorități de certificare și servicii de rol aferente care vă permit să emitați și să gestionați certificate pentru diverse aplicații.

Numele pentru Windows PowerShell este AD-Certificate.

Include următoarele servicii de rol:

  • Autoritate de certificare (ADCS-Cert-Authority) - folosind acest serviciu de rol, puteți emite certificate utilizatorilor, computerelor și serviciilor, precum și gestionați valabilitatea certificatului;
  • Serviciul web pentru politica de înregistrare a certificatelor (ADCS-Enroll-Web-Pol) - Acest serviciu permite utilizatorilor și computerelor să obțină informații despre politica de înregistrare a certificatelor de la un browser web, chiar dacă computerul nu este membru al unui domeniu. Pentru funcționarea lui este necesar Server web (IIS)»;
  • Serviciul web de înregistrare a certificatelor (ADCS-Enroll-Web-Svc) - Acest serviciu permite utilizatorilor și computerelor să înregistreze și să reînnoiască certificate folosind un browser web prin HTTPS, chiar dacă computerul nu este membru al unui domeniu. De asemenea, trebuie să funcționeze Server web (IIS)»;
  • Online Responder (ADCS-Online-Cert) - Serviciul este conceput pentru a verifica revocarea unui certificat pentru clienți. Cu alte cuvinte, acceptă o cerere de stare de revocare pentru anumite certificate, evaluează starea acelor certificate și trimite înapoi un răspuns semnat cu informații despre stare. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)»;
  • Serviciul de înregistrare web al autorității de certificare (ADCS-Web-Enrollment) - Acest serviciu oferă utilizatorilor o interfață web pentru a efectua sarcini precum solicitarea și reînnoirea certificatelor, obținerea CRL-urilor și înregistrarea certificatelor de carduri inteligente. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)»;
  • Serviciul de înregistrare a dispozitivelor de rețea (ADCS-Device-Enrollment) — Folosind acest serviciu, puteți emite și gestiona certificate pentru routere și alte dispozitive de rețea care nu au conturi de rețea. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)».

Servicii desktop la distanță

Un rol de server care poate fi utilizat pentru a oferi acces la desktop-uri virtuale, desktop-uri bazate pe sesiune și RemoteApps.

Numele rolului pentru Windows PowerShell este Remote-Desktop-Services.

Constă din următoarele servicii:

  • Remote Desktop Web Access (RDS-Web-Access) - Acest serviciu de rol permite utilizatorilor să acceseze desktop-uri la distanță și aplicații RemoteApp prin intermediul „ start» sau folosind un browser web;
  • Licențiere Desktop la distanță (licențiere RDS) - Serviciul este conceput pentru a gestiona licențele necesare pentru a se conecta la un server gazdă de sesiune Desktop la distanță sau un desktop virtual. Poate fi folosit pentru a instala, a emite licențe și a urmări disponibilitatea acestora. Acest serviciu necesită „ Server web (IIS)»;
  • Remote Desktop Connection Broker (RDS-Connection-Broker) este un serviciu de rol care oferă următoarele capabilități: reconectarea unui utilizator la un desktop virtual existent, aplicație RemoteApp și desktop bazat pe sesiune, precum și echilibrarea încărcării între desktopurile serverelor gazdă de sesiune la distanță sau între desktop-uri virtuale grupate. Acest serviciu necesită „ »;
  • Gazdă de virtualizare desktop la distanță (DS-Virtualization) - Serviciul permite utilizatorilor să se conecteze la desktopuri virtuale folosind RemoteApp și Desktop Connection. Acest serviciu funcționează împreună cu Hyper-V, de ex. acest rol trebuie instalat;
  • Gazdă sesiune Desktop la distanță (RDS-RD-Server) - Acest serviciu poate găzdui aplicații RemoteApp și desktop-uri bazate pe sesiune pe un server. Accesul se face prin clientul Remote Desktop Connection sau RemoteApps;
  • Remote Desktop Gateway (RDS-Gateway) - Serviciul permite utilizatorilor la distanță autorizați să se conecteze la desktop-uri virtuale, RemoteApps și desktop-uri bazate pe sesiune dintr-o rețea corporativă sau prin Internet. Acest serviciu necesită următoarele servicii și componente suplimentare: Server web (IIS)», « Politică de rețea și servicii de acces», « RPC peste proxy HTTP».

AD RMS

Acesta este un rol de server care vă va permite să protejați informațiile împotriva utilizării neautorizate. Validează identitățile utilizatorilor și acordă licențe utilizatorilor autorizați pentru a accesa datele protejate. Acest rol necesită servicii și componente suplimentare: Server web (IIS)», « Serviciul de activare a proceselor Windows», « Caracteristici .NET Framework 4.6».

Numele pentru Windows PowerShell este ADRMS.

  • Active Directory Rights Management Server (ADRMS-Server) - serviciul de rol principal, necesar pentru instalare;
  • Identity Federation Support (ADRMS-Identity) este un serviciu de rol opțional care permite identităților federate să consume conținut protejat folosind Active Directory Federation Services.

AD FS

Acest rol oferă o federație simplificată și sigură a identității și o funcționalitate de conectare unică (SSO) site-urilor web care utilizează un browser.

Numele pentru PowerShell este ADFS-Federation.

Acces de la distanță

Acest rol oferă conectivitate prin DirectAccess, VPN și proxy de aplicație web. De asemenea rolul Acces de la distanță„oferă capabilități tradiționale de rutare, inclusiv traducerea adresei de rețea (NAT) și alte opțiuni de conectare. Acest rol necesită servicii și caracteristici suplimentare: Server web (IIS)», « Baza de date internă Windows».

Numele rolului pentru Windows PowerShell este RemoteAccess.

  • DirectAccess și VPN (RAS) (DirectAccess-VPN) - serviciul permite utilizatorilor să se conecteze oricând la rețeaua corporativă cu acces la Internet prin DirectAccess, precum și să organizeze conexiuni VPN în combinație cu tehnologiile de tunel și criptarea datelor;
  • Routing (Routing) - serviciul oferă suport pentru routere NAT, routere LAN cu protocoale BGP, RIP și routere cu suport multicast (proxy IGMP);
  • Web Application Proxy (Web-Application-Proxy) - Serviciul vă permite să publicați aplicații bazate pe protocoalele HTTP și HTTPS din rețeaua corporativă către dispozitivele client care se află în afara rețelei corporative.

Servicii de fișiere și stocare

Acesta este un rol de server care poate fi folosit pentru a partaja fișiere și foldere, pentru a gestiona și controla partajările, pentru a replica fișiere, pentru a oferi căutări rapide de fișiere și pentru a acorda acces la computerele client UNIX. Am luat în considerare serviciile de fișiere și în special serverul de fișiere mai detaliat în material " Instalarea unui server de fișiere pe Windows Server 2016 ».

Numele pentru Windows PowerShell este FileAndStorage-Services.

Servicii de depozitare- Acest serviciu oferă funcționalitate de gestionare a stocării care este întotdeauna instalată și nu poate fi eliminată.

Servicii de fișiere și servicii iSCSI (servicii de fișiere) sunt tehnologii care simplifică gestionarea serverelor și stocărilor de fișiere, economisește spațiu pe disc, asigură replicarea și stocarea în cache a fișierelor în ramuri și, de asemenea, oferă partajarea fișierelor prin protocolul NFS. Include următoarele servicii de rol:

  • File Server (FS-FileServer) - un serviciu de rol care gestionează folderele partajate și oferă utilizatorilor acces la fișierele de pe acest computer prin rețea;
  • Deduplicarea datelor (FS-Data-Deduplication) - acest serviciu economisește spațiu pe disc prin stocarea unei singure copii a datelor identice pe un volum;
  • File Server Resource Manager (FS-Resource-Manager) - folosind acest serviciu, puteți gestiona fișiere și foldere pe un server de fișiere, puteți crea rapoarte de stocare, clasifica fișiere și foldere, configura cote de foldere și defini politici de blocare a fișierelor;
  • Furnizor de stocare țintă iSCSI (furnizori de hardware VDS și VSS) (iSCSItarget-VSS-VDS) - Serviciul permite executarea aplicațiilor de pe un server conectat la o țintă iSCSI copie umbră volume pe discuri virtuale iSCSI;
  • Spații de nume DFS (FS-DFS-Namespace) - folosind acest serviciu, puteți grupa foldere partajate găzduite pe diferite servere într-unul sau mai multe spații de nume structurate logic;
  • Foldere de lucru (FS-SyncShareService) - serviciul vă permite să utilizați fișiere de lucru pe diferite computere, inclusiv de lucru și personale. Vă puteți stoca fișierele în foldere de lucru, le puteți sincroniza și le puteți accesa din rețeaua locală sau de pe Internet. Pentru ca serviciul să funcționeze, componenta " Core Web IIS în proces»;
  • Replicarea DFS (FS-DFS-Replication) este un motor de replicare a datelor multi-server care vă permite să sincronizați folderele printr-o conexiune LAN sau WAN. Această tehnologie folosește protocolul RDC (Remote Differential Compression) pentru a actualiza doar porțiunea din fișierele care s-au modificat de la ultima replicare. Replicarea DFS poate fi utilizată cu sau fără spații de nume DFS;
  • Server pentru NFS (FS-NFS-Service) - Serviciul permite acestui computer să partajeze fișiere cu computere bazate pe UNIX și alte computere care utilizează protocolul Network File System (NFS);
  • iSCSI Target Server (FS-iSCSITarget-Server) - oferă servicii și management pentru ținte iSCSI;
  • Serviciul BranchCache pentru fișiere de rețea (FS-BranchCache) - Serviciul oferă suport BranchCache pe acest server de fișiere;
  • Serviciu de agent VSS pentru server de fișiere (FS-VSS-Agent) - Serviciul permite copieri umbra de volum pentru aplicațiile care stochează fișiere de date pe acest server de fișiere.

server de fax

Rolul trimite și primește faxuri și vă permite să gestionați resursele de fax, cum ar fi lucrări, setări, rapoarte și dispozitive de fax pe acest computer sau în rețea. Necesar pentru muncă Server de imprimare».

Numele rolului pentru Windows PowerShell este Fax.

Aceasta completează revizuirea rolurilor de server Windows Server 2016, sper că materialul v-a fost de folos, deocamdată!



Se încarcă...
Top