Uveďte podrobný popis politiky servera. Uveďte podrobný popis politiky servera

Ahoj. Nemôžete si zaregistrovať svoj vlastný účet?
napíšte na PM - vk.com/watsonshit
- Registrujeme účty na objednávku.
- Pomáhame s fázami 1 a 2 UCP.
- Rýchle a kvalitné služby.
- Záruky, recenzie. Sme zodpovední za bezpečnosť.
- Úplne odlišné servery s registráciou UCP.
Projekt Pacific Coast – SW projekt atď.

Nenašli ste odpoveď na svoju otázku? Napíšte do komentárov a ja vám odpoviem.

) Na čo slúži OOC chat?
- 1) Toto je chat, ktorý neovplyvňuje hrateľnosť.

2) Čo sa myslí pod pojmom hranie rolí?
- 2) Hra na hranie rolí je typ hry, v ktorej musíte hrať rolu, ktorú som si vybral.

3) Ak nejaká situácia nie je vo váš prospech (vražda / lúpež). Vaše činy?
- 2) Bez ohľadu na to budem hrať ďalej.

2) Dostali ste peniaze od podvodníka, čo urobíte?
- 4) Budem informovať administráciu servera, odhlásim sa v špeciálnej téme a pridám peniaze na /charitu.

3) Máte právo zabiť policajta?
- 1) Samozrejme, zabiť policajta môžem len vtedy, ak mám na to dobrý dôvod.

1) Je dovolené prechádzať z miesta vodiča?
- 4) Nie, takéto akcie sú zakázané pravidlami servera.

4) Sú povolené prezývky celebrít a filmov/seriálov/rozprávkových postavičiek?
- 3) Nie, sú zakázané.

5) Počas prestrelky boli technicky zabité tri postavy, ale po chvíli tie isté postavy už opäť hrali svoje úlohy. O aký druh vraždy ide?
- 2) Zabitie hráča.

7) Strieľajú po tebe, ale ty nechceš zomrieť, a preto...
- 4) Pokúsite sa uniknúť a prežiť hraním rolí.

2) Máte právo používať Bunny-Hop?
- 3) Áno, mám právo ho použiť, ak nebudem nikomu prekážať.

7) Čo urobíte, ak budete mať návrh na vývoj servera?
- 3) Napíšem o tom v príslušnej sekcii na fóre.

3) Je povinné zrušiť odber akcií pri používaní zbraní malých rozmerov?
- 4) Nie.

2) Ste na serveri prvýkrát a vôbec nepoznáte príkazy, čo budete robiť?
- 3) Príkazom /askq položím otázku administrácii, potom počkám na odpoveď.

3) Aký je účel príkazu /coin?
- riešiť všetky sporné situácie

1) Čo je Metagaming?
- 2) Ide o použitie nerolových informácií pri hraní roly.

6) Hráč, ktorého postava bola technicky zabitá počas prestrelky, sa rozhodol pomstiť páchateľom a zabil jedného z protivníkov bez dôvodov súvisiacich s rolou. Aké porušenia sú tu zo strany hráča?
- 3) Pomsta zabiť.

10) Je dovolené doplniť množstvo zdravia počas boja / potýčky?
- 4) Nie.

8) Je dovolené strieľať na zamestnancov LSPD a s čím je to spojené?
- 4) Áno, obyčajná prestrelka končí PC pre obe strany. Ak je to spis alebo razia, policia dostane PK, zlocincom SK.

6) Aká je maximálna suma za lúpež, ktorá si nevyžaduje administratívne kontroly?
- 1) $500

9) Aké jazyky je možné použiť na našom serveri?
- 1) ruský.

7) Po dlhej a starostlivej príprave vrah splnil rozkaz – zabil. Plán bol vypočítaný do najmenších detailov, v dôsledku čoho zákazník veľkoryso zaplatil. Aká je v tomto prípade obeť?
- 1) Zabitie postavy.

9) Je povolená krádež vládnych vozidiel?
- 2) Áno, ale najprv musíte požiadať administrátora, ako aj konať v súlade s odsekom 9 pravidiel hry.

8) Kedy môžete predviesť sexuálne násilie a krutosť?
- 2) Sexuálne násilie a krutosť je možné hrať len so súhlasom všetkých osôb zapojených do RP.

10) Čo by ste mali robiť, ak si myslíte, že hra neprebieha podľa pravidiel?
- 1) Napíšte na / nahláste sa, ak je neprítomný administrátor - napíšte sťažnosť na fórum.

7) Koľko odohraných hodín by mal mať hráč, aby bol okradnutý?
- 3) 8 hodín.

8) Zadajte správne použitie príkazu /coin. po:
- Prestal som dýchať, udrel som loptu a snažil som sa ju hodiť do diery.

8) Uveďte správne použitie/me príkazy:
- široko som sa usmial a pozrel priamo do Lindiných očí. Pristúpil bližšie a potom ju jemne objal.

PREDAJ VIRTUÁLNEJ MENY NA PROJEKTE PACIFIC COAST A SERVEROCH GRINCH ROLE PLAY.
VŠETKY INFO V SKUPINE!
vk.com/virtongarant

Pomôcka GPResult.exe– je konzolová aplikácia určená na analýzu nastavení a diagnostiku skupinových politík, ktoré sú aplikované na počítač a/alebo používateľa v doméne Active Directory. GPResult umožňuje najmä získať údaje z výslednej sady politík (Resultant Set of Policy, RSOP), zoznam aplikovaných doménových politík (GPO), ich nastavenia a podrobné informácie o ich chybách spracovania. Pomôcka je súčasťou operačného systému Windows už od čias Windows XP. Pomôcka GPResult vám umožňuje odpovedať na otázky, ako napríklad, či sa určitá politika vzťahuje na počítač, ktorý objekt GPO zmenil konkrétne nastavenie systému Windows, a zistiť dôvody.

V tomto článku sa pozrieme na špecifiká používania príkazu GPResult na diagnostiku a ladenie aplikácie skupinových politík v doméne Active Directory.

Spočiatku sa na diagnostiku aplikácie skupinových politík vo Windows používala grafická konzola RSOP.msc, ktorá umožňovala získať nastavenia výsledných politík (doména + lokálne) aplikovaných na počítač a používateľa v grafickej podobe podobnej ako napr. konzola editora GPO (nižšie v príklade zobrazenia konzoly RSOP.msc vidíte, že nastavenia aktualizácie sú nastavené).

Konzolu RSOP.msc v moderných verziách systému Windows však nie je praktické používať, pretože neodráža nastavenia aplikované rôznymi rozšíreniami na strane klienta (CSE), ako napríklad GPP (preferencie zásad skupiny), neumožňuje vyhľadávanie, poskytuje málo diagnostických informácií. Preto na tento moment práve príkaz GPResult je hlavným nástrojom na diagnostiku použitia GPO vo Windowse (vo Windows 10 je dokonca varovanie, že RSOP na rozdiel od GPResult nedáva kompletnú správu).

Pomocou pomôcky GPResult.exe

Príkaz GPResult beží na počítači, na ktorom chcete otestovať aplikáciu skupinových politík. Príkaz GPResult má nasledujúcu syntax:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Ak chcete získať podrobné informácie o skupinových politikách, ktoré sa vzťahujú na daný objekt AD (používateľ a počítač) a ďalšie nastavenia súvisiace s infraštruktúrou GPO (t. j. výsledné nastavenia politiky GPO - RsoP), spustite príkaz:

Výsledky vykonania príkazu sú rozdelené do 2 sekcií:

POČÍTAČ NASTAVENIE (Konfigurácia počítača) – sekcia obsahuje informácie o objektoch GPO, ktoré ovplyvňujú počítač (ako objekt Active Directory);
USER NASTAVENIE – užívateľská časť politík (zásady, ktoré sa vzťahujú na užívateľský účet v AD).

Poďme si v krátkosti prejsť hlavné parametre/sekcie, ktoré nás môžu vo výstupe GPResult zaujímať:

stránkynázov(Názov stránky:) - názov stránky AD, na ktorej sa počítač nachádza;
CN– úplný kanonický používateľ/počítač, pre ktorý boli vygenerované údaje RSoP;
Poslednýčasskupinapolitikabolaplikované(Naposledy použitá skupinová politika) – čas, kedy boli naposledy použité skupinové politiky;
skupinapolitikabolaplikovanéod(Politika skupiny bola použitá z) – radič domény, z ktorého bola načítaná najnovšia verzia objektu GPO;
doménanázova Doménatypu(Názov domény, typ domény) – názov a verzia schémy domény Active Directory;
AplikovanéskupinapolitikaObjekty(Použité objekty GPO)– zoznamy objektov aktívnej skupinovej politiky;
ThenasledujúceGPObolinieaplikovanépretožeonibolifiltrovanévon(Nasledujúce zásady GPO neboli použité, pretože boli filtrované) - neaplikované (filtrované) GPO;
Theužívateľ/počítačjeačasťzanasledujúcebezpečnosťskupiny(Používateľ/počítač je členom nasledujúcich bezpečnostných skupín) – Skupiny domén, ktorých je používateľ členom.

V našom príklade môžete vidieť, že objekt používateľa ovplyvňujú 4 skupinové politiky.

Predvolená politika domény;
Povoliť bránu Windows Firewall;
Zoznam vyhľadávania prípon DNS

Ak nechcete, aby konzola súčasne zobrazovala informácie o politikách používateľov aj politikách počítača, môžete použiť možnosť /scope na zobrazenie iba sekcie, ktorá vás zaujíma. Iba výsledné pravidlá pre používateľov:

gpresult /r /scope:user

alebo iba aplikované počítačové pravidlá:

gpresult /r /scope:computer

Pretože Obslužný program Gpresult odosiela svoje údaje priamo do konzoly príkazového riadka, čo nie je vždy vhodné pre následnú analýzu; jeho výstup môže byť presmerovaný do schránky:

gpresult /r |klip

alebo textový súbor:

gpresult /r > c:\gpresult.txt

Ak chcete zobraziť veľmi podrobné informácie RSOP, pridajte prepínač /z.

HTML RSOP report pomocou GPResult

Okrem toho môže pomôcka GPResult vygenerovať HTML správu o použitých politikách výsledkov (dostupné v systéme Windows 7 a novších). Tento prehľad bude obsahovať detailné informácie o všetkých systémových nastaveniach, ktoré sú nastavené skupinovými politikami a názvoch konkrétnych GPO, ktoré ich nastavujú (výsledná zostava o štruktúre pripomína záložku Nastavenia v Konzole na správu zásad skupiny domén - GPMC). Hlásenie HTML GPResult môžete vygenerovať pomocou príkazu:

GPResult /h c:\gp-report\report.html /f

Ak chcete vygenerovať prehľad a automaticky ho otvoriť v prehliadači, spustite príkaz:

GPResult /h GPResult.html & GPResult.html

Správa gpresult HTML ich obsahuje pomerne veľa užitočná informácia: Sú viditeľné chyby aplikácie GPO, čas spracovania (v ms) a aplikácia špecifických politík a VVN (v časti Podrobnosti o počítači -> Stav komponentu). Napríklad na snímke obrazovky vyššie môžete vidieť, že politika s nastaveniami na zapamätanie 24 hesiel je použitá predvolenou politikou domény (stĺpec Víťazný GPO). Ako vidíte, takáto HTML správa je oveľa pohodlnejšia na analýzu použitých politík ako konzola rsop.msc.

Získavanie údajov GPResult zo vzdialeného počítača

GPResult môže tiež zhromažďovať údaje zo vzdialeného počítača, čím sa eliminuje potreba, aby sa správca prihlasoval lokálne alebo RDP na vzdialený počítač. Formát príkazu na zhromažďovanie údajov RSOP zo vzdialeného počítača je nasledujúci:

GPResult /s server-ts1 /r

Podobne môžete vzdialene zhromažďovať údaje z používateľských politík a počítačových politík.

používateľské meno nemá žiadne údaje RSOP

Keď je povolené Spustenie UAC GPResult bez zvýšených oprávnení zobrazí iba nastavenia sekcie politiky skupiny používateľov. Ak potrebujete zobraziť obe sekcie (POUŽÍVATEĽSKÉ NASTAVENIA a NASTAVENIA POČÍTAČA) súčasne, treba príkaz spustiť. Ak je zvýšený príkazový riadok iný ako súčasný užívateľ systém, obslužný program vydá varovanie INFO: Theužívateľ„doména\user“robíniemaťRSOPúdajov ( Používateľ 'doména\používateľ' nemá žiadne údaje RSOP). Je to preto, že GPResult sa snaží zbierať informácie pre používateľa, ktorý ho spustil, ale preto Tento používateľ sa neprihlásil do systému a pre tohto používateľa nie sú dostupné žiadne informácie RSOP. Ak chcete zhromažďovať informácie RSOP pre používateľa s aktívnou reláciou, musíte zadať jeho účet:

gpresult /r /user:tn\edward

Ak nepoznáte názov účtu, do ktorého ste prihlásený vzdialený počítač, môžete získať takýto účet:

qwinsta /SERVER:remotePC1

Tiež skontrolujte čas (y) na klientovi. Čas sa musí zhodovať s časom na PDC (primárnom radiči domény).

Nasledujúce zásady GPO neboli použité, pretože boli odfiltrované

Pri riešení problémov so skupinovými politikami by ste mali venovať pozornosť aj časti: Nasledujúce GPO neboli použité, pretože boli odfiltrované (Nasledujúce GPO politiky neboli použité, pretože boli odfiltrované). Táto sekcia zobrazuje zoznam GPO, ktoré sa z jedného alebo druhého dôvodu nevzťahujú na tento objekt. Možné možnosti, na ktoré sa pravidlá nemusia vzťahovať:

Na karte Efektívne povolenia (Rozšírené -> Efektívny prístup) môžete tiež pochopiť, či sa má politika použiť na konkrétny objekt AD.

V tomto článku sme teda preskúmali funkcie diagnostiky uplatňovania skupinových politík pomocou pomôcky GPResult a preskúmali sme typické scenáre jej použitia.

Prednáška 4 Server sieťovej politiky: Server RADIUS, Proxy RADIUS a Server bezpečnostnej politiky

Prednáška 4

Téma: Server sieťových zásad: Server RADIUS, proxy RADIUS a server zásad ochrany sieťového prístupu

Úvod

Windows Server 2008 a Windows Server 2008 R2 sú pokročilé operačné systémy Windows Server navrhnuté na podporu novej generácie sietí, aplikácií a webových služieb. Pomocou týchto operačných systémov môžete navrhovať, poskytovať a spravovať flexibilné a všadeprítomné používateľské a aplikačné skúsenosti, budovať vysoko bezpečné sieťové infraštruktúry a zvyšovať technologickú efektivitu a organizáciu vo vašej organizácii.

Server sieťovej politiky

Server Network Policy Server vám umožňuje vytvárať a presadzovať politiky prístupu k sieti v celej organizácii, aby ste zaistili zdravie klienta a overili a autorizovali požiadavky na pripojenie. Server NPS môžete použiť aj ako proxy server RADIUS na preposielanie požiadaviek na pripojenie na servery NPS alebo iné servery RADIUS nakonfigurované v skupinách vzdialených serverov RADIUS.

Server sieťových zásad vám umožňuje centrálne konfigurovať a spravovať zásady overovania, autorizácie a stavu klientskej siete prostredníctvom nasledujúcich troch možností:

Server RADIUS. NPS centrálne zabezpečuje autentifikáciu, autorizáciu a účtovanie pre bezdrôtové pripojenia, overené pripojenia prepínačov, telefonické pripojenia a pripojenia k virtuálnej súkromnej sieti (VPN). Keď používate server NPS ako server RADIUS, servery prístupu k sieti, ako sú bezdrôtové prístupové body a servery VPN, sú nakonfigurované ako klienti RADIUS na serveri NPS. Konfiguruje tiež sieťové politiky, ktoré NPS používa na autorizáciu žiadostí o pripojenie. Okrem toho môžete nakonfigurovať účtovanie RADIUS tak, aby NPS zaznamenával informácie do protokolových súborov uložených na lokálnom pevnom disku alebo v databáze spoločnosti Microsoft. SQL Server.

RADIUS proxy. Ak sa server NPS používa ako server proxy RADIUS, musíte nakonfigurovať zásady žiadostí o pripojenie, ktoré určujú, ktoré žiadosti o pripojenie server NPS prepošle iným serverom RADIUS a ktoré konkrétne servery RADIUS budú tieto požiadavky preposielať. NPS možno nakonfigurovať aj na presmerovanie poverení, ktoré sa majú uložiť na jednom alebo viacerých počítačoch vo vzdialenej skupine serverov RADIUS.

Server politiky Network Access Protection (NAP). Keď je server NPS nakonfigurovaný ako server politík NAP, server NPS vyhodnocuje stavy stavu odosielané klientskymi počítačmi s podporou NAP, ktoré sa pokúšajú pripojiť k sieti. Server sieťových zásad nakonfigurovaný s ochranou sieťového prístupu funguje ako server RADIUS, ktorý overuje a autorizuje požiadavky na pripojenie. Server sieťových zásad umožňuje konfigurovať zásady a nastavenia ochrany prístupu k sieti vrátane skupín Kontrola stavu systému, Zásady zdravia a Aktualizačný server, ktoré zabezpečujú aktualizáciu klientskych počítačov v súlade so sieťovou politikou organizácie.

Na serveri Network Policy Server môžete nakonfigurovať ľubovoľnú kombináciu funkcií uvedených vyššie. NPS môže napríklad fungovať ako server politiky NAP pomocou jednej alebo viacerých metód presadzovania, zatiaľ čo funguje ako server RADIUS pre telefonické pripojenia a proxy server RADIUS na posielanie niektorých požiadaviek na pripojenie skupine vzdialených serverov RADIUS, čo umožňuje autentifikáciu a autorizáciu v inej doméne.

Server RADIUS a proxy RADIUS

NPS možno použiť ako server RADIUS, proxy server RADIUS alebo oboje.

Server RADIUS

Microsoft NPS je implementovaný v súlade so štandardom RADIUS popísaným v IETF RFC 2865 a RFC 2866. Ako server RADIUS NPS centrálne vykonáva autentifikáciu, autorizáciu a účtovanie pripojení pre rôzne typy sieťového prístupu, vrátane bezdrôtového prístupu, prepínania s autentifikáciou, vytáčania -up a prístup VPN a pripojenia medzi smerovačmi.

Network Policy Server vám umožňuje používať heterogénnu sadu zariadení na bezdrôtový prístup, vzdialený prístup, siete VPN a prepínanie. Server sieťových zásad možno použiť so službou Smerovanie a vzdialený prístup, ktorá je dostupná v operačných systémoch Microsoft Windows 2000 Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition a Windows Server 2003 Datacenter Edition.

Ak je počítač NPS členom domény Active Directory®, server NPS používa túto adresárovú službu ako databázu používateľských účtov a je súčasťou riešenia jednotného prihlásenia. Rovnaká sada poverení sa používa na riadenie prístupu k sieti (overovanie a autorizáciu prístupu k sieti) a na prihlásenie do domény Active Directory.

Poskytovatelia internetových služieb a organizácie, ktoré poskytujú prístup k sieti, čelia zložitejším výzvam správy všetkých typov sietí z jedného miesta správy, bez ohľadu na použité vybavenie na prístup k sieti. Štandard RADIUS podporuje túto funkčnosť v homogénnych aj heterogénnych prostrediach. Protokol RADIUS je protokol klient/server, ktorý umožňuje zariadeniu s prístupom k sieti (pôsobiace ako klienti RADIUS) odosielať autentifikačné a účtovné požiadavky na server RADIUS.

Server RADIUS má prístup k informáciám o používateľských kontách a môže overiť poverenia pri autentifikácii na udelenie prístupu k sieti. Ak sú poverenia používateľa autentické a pokus o pripojenie je autorizovaný, server RADIUS autorizuje prístup tohto používateľa na základe špecifikovaných podmienok a zaznamená informácie o pripojení. Používanie protokolu RADIUS umožňuje zhromažďovanie a udržiavanie informácií o autentifikácii, autorizácii a účtovaní na jednom mieste namiesto toho, aby sa museli vykonávať na každom prístupovom serveri.

RADIUS proxy

Ako proxy server RADIUS posiela server NPS overovacie a účtovné správy na iné servery RADIUS.

Pomocou NPS môžu organizácie outsourcovať svoju infraštruktúru vzdialeného prístupu poskytovateľovi služieb, pričom si zachovávajú kontrolu nad overovaním používateľov, autorizáciou a účtovaním.

Konfigurácie NPS možno vytvoriť pre nasledujúce scenáre:

Bezdrôtový prístup

Vytáčané alebo virtuálne privátne sieťové pripojenie v organizácii.

Vzdialený prístup alebo bezdrôtový prístup poskytovaný externou organizáciou

Prístup na internet

Overený prístup k externým sieťovým zdrojom pre obchodných partnerov

Príklady konfigurácie servera RADIUS a proxy servera RADIUS

Nasledujúce príklady konfigurácie ukazujú, ako nakonfigurovať server NPS ako server RADIUS a server proxy RADIUS.

NPS ako server RADIUS. V tomto príklade je server NPS nakonfigurovaný ako server RADIUS, jedinou nakonfigurovanou politikou je predvolená politika žiadostí o pripojenie a všetky žiadosti o pripojenie spracováva lokálny server NPS. NPS môže autentifikovať a autorizovať používateľov, ktorých účty sú v doméne servera alebo v dôveryhodných doménach.

NPS ako proxy server RADIUS. V tomto príklade je server NPS nakonfigurovaný ako server proxy RADIUS, ktorý preposiela požiadavky na pripojenie skupinám vzdialených serverov RADIUS v dvoch rôznych nedôveryhodných doménach. Predvolená politika žiadostí o pripojenie je odstránená a nahradená dvoma novými politikami žiadostí o pripojenie, ktoré presmerujú požiadavky na každú z dvoch nedôveryhodných domén. V tomto príklade server NPS nespracováva požiadavky na pripojenie na lokálnom serveri.

NPS ako server RADIUS aj server RADIUS proxy. Okrem predvolenej politiky žiadostí o pripojenie, ktorá spracováva požiadavky lokálne, sa vytvorí nová politika žiadostí o pripojenie na ich presmerovanie na server NPS alebo iný server RADIUS v nedôveryhodnej doméne. Druhá politika sa nazýva Proxy. V tomto príklade sa politika proxy zobrazí ako prvá v zoradenom zozname politík. Ak sa žiadosť o pripojenie zhoduje s politikou „Proxy“, daná žiadosť pri pripojení je presmerované na server RADIUS v skupine vzdialených serverov RADIUS. Ak sa žiadosť o pripojenie nezhoduje s politikou proxy, ale zodpovedá predvolenej politike žiadosti o pripojenie, server NPS spracuje žiadosť o pripojenie na lokálnom serveri. Ak žiadosť o pripojenie nezodpovedá žiadnej z týchto zásad, bude zamietnutá.

NPS ako server RADIUS so vzdialenými účtovnými servermi. V tomto príklade lokálny server NPS nie je nakonfigurovaný na účtovanie a predvolená politika požiadaviek na pripojenie sa zmenila tak, že správy účtovania RADIUS sa posielajú ďalej na server NPS alebo iný server RADIUS v skupine vzdialených serverov RADIUS. Aj keď sa správy o účtovaní preposielajú, správy o autentifikácii a autorizácii sa neposielajú ďalej a príslušnú funkčnosť pre lokálnu doménu a všetky dôveryhodné domény má na starosti lokálny server NPS.

NPS so vzdialeným mapovaním používateľov RADIUS na Windows. V tomto príklade server NPS funguje ako server RADIUS aj ako proxy server RADIUS pre každú požiadavku na pripojenie, pričom presmeruje požiadavku na autentifikáciu na vzdialený server RADIUS, pričom autorizuje pomocou lokálneho používateľského konta systému Windows. Táto konfigurácia sa implementuje nastavením užívateľského atribútu Remote RADIUS Server Mapping to Windows ako podmienky politiky požiadavky na pripojenie. (Okrem toho musíte vytvoriť lokálne používateľské konto na serveri RADIUS s rovnakým názvom ako vzdialené konto, voči ktorému sa bude vzdialený server RADIUS overovať.)

Server zásad ochrany prístupu k sieti

Ochrana prístupu k sieti je súčasťou systémov Windows Vista®, Windows® 7, Windows Server® 2008 a Windows Server® 2008 R2. Pomáha chrániť prístup k súkromným sieťam tým, že zaisťuje, že klientske počítače sú v súlade so zásadami zdravia platnými v sieti organizácie, keď týmto klientom umožňuje prístup k sieťovým zdrojom. Okrem toho súlad klientskeho počítača s politikou zdravia definovanou správcom monitoruje ochrana prístupu k sieti, kým je klientsky počítač pripojený k sieti. Vďaka možnosti automatickej aktualizácie Network Access Protection môžu byť nevyhovujúce počítače automaticky aktualizované podľa zdravotnej politiky, aby im neskôr mohol byť udelený prístup k sieti.

Správcovia systému definujú politiky zdravia siete a vytvárajú tieto politiky pomocou komponentov NAP, ktoré sú dostupné z NPS alebo dodávané inými spoločnosťami (v závislosti od implementácie NAP).

Zásady zdravia môžu mať charakteristiky, ako sú softvérové požiadavky, požiadavky na aktualizácie zabezpečenia a požiadavky na konfiguračné nastavenia. Network Access Protection presadzuje zásady zdravia tým, že kontroluje a hodnotí stav klientskych počítačov, obmedzuje prístup k sieti počítačom, ktoré nespĺňajú tieto požiadavky, a opravuje túto nekonzistentnosť, aby sa zabezpečil neobmedzený prístup k sieti.

Keď inštalujete Windows, väčšina nepodstatných podsystémov nie je aktivovaná ani nainštalovaná. Deje sa tak z bezpečnostných dôvodov. Keďže systém je štandardne zabezpečený, správcov systému sa môže sústrediť na návrh systému, ktorý bude vykonávať iba funkcie, ktoré mu boli pridelené, a nič viac. Pre pomoc pri zapnutí požadované funkcie, Windows vás vyzve, aby ste vybrali rolu servera.

Roly

Rola servera je sada programov, ktoré pri správnej inštalácii a konfigurácii umožňujú počítaču vykonávať špecifickú funkciu pre viacerých používateľov alebo iné počítače v sieti. Vo všeobecnosti majú všetky roly nasledujúce charakteristiky.

Definujú hlavnú funkciu, účel alebo účel používania počítača. Počítač môžete určiť, aby hral jednu rolu, ktorá sa v podniku často používa, alebo aby hral viacero rolí, kde sa každá rola používa len príležitostne.
Roly poskytujú používateľom v celej organizácii prístup k prostriedkom, ktoré spravujú iné počítače, ako sú webové stránky, tlačiarne alebo súbory uložené na rôznych počítačoch.
Zvyčajne majú svoje vlastné databázy, ktoré zaraďujú požiadavky používateľov alebo počítačov do frontu alebo zaznamenávajú informácie o používateľoch siete a počítačoch spojených s rolou. Napríklad Active Directory Domain Services obsahuje databázu na ukladanie mien a hierarchických vzťahov všetkých počítačov v sieti.
Po správnej inštalácii a konfigurácii roly fungujú automaticky. To umožňuje počítačom, na ktorých sú nainštalované, vykonávať priradené úlohy s obmedzenou interakciou používateľa.

Služby rolí

Služby rolí sú programy, ktoré poskytujú funkčnosť rolí. Keď nainštalujete rolu, môžete si vybrať, ktoré služby poskytuje iným používateľom a počítačom v podniku. Niektoré roly, ako napríklad server DNS, vykonávajú iba jednu funkciu, takže pre ne neexistujú žiadne služby rolí. Ďalšie roly, ako napríklad Služby vzdialenej pracovnej plochy, majú niekoľko služieb, ktoré môžete nainštalovať na základe potrieb vzdialeného prístupu vášho podniku. Rolu možno považovať za súbor úzko súvisiacich, doplnkových služieb rolí. Vo väčšine prípadov inštalácia roly znamená inštaláciu jednej alebo viacerých jej služieb.

Komponenty

Komponenty sú programy, ktoré nie sú priamo súčasťou rolí, ale podporujú alebo rozširujú funkčnosť jednej alebo viacerých rolí alebo celého servera bez ohľadu na to, ktoré roly sú nainštalované. Napríklad Failover Cluster Tool rozširuje ďalšie roly, ako sú File Services a DHCP Server, tým, že im umožňuje pripojiť sa k serverovým klastrom, čo poskytuje zvýšenú redundanciu a výkon. Druhý komponent, Telnet klient, umožňuje vzdialenú komunikáciu s Telnet serverom cez sieťové pripojenie. Táto funkcia zlepšuje komunikačné možnosti pre server.

Keď Windows Server beží v režime Server Core, sú podporované nasledujúce roly servera:

Active Directory Certificate Services;
Active Directory Domain Services;
DHCP server
DNS server;
súborové služby (vrátane správcu prostriedkov súborového servera);
Active Directory Lightweight Directory Services;
Hyper-V
Tlačiarenské a dokumentačné služby;
Streamingové mediálne služby;
webový server (vrátane podmnožiny ASP.NET);
Windows Server Update Server;
Server správy práv Active Directory;
Server smerovania a vzdialeného prístupu a nasledujúce podriadené roly:
- Sprostredkovateľ pripojenia vzdialenej pracovnej plochy;
- udeľovanie licencií;
- virtualizácie.

Keď Windows Server beží v režime Server Core, sú podporované nasledujúce funkcie servera:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
Služba inteligentného prenosu na pozadí (BITS);
BitLocker Drive Encryption;
Odomknutie siete BitLocker;
BranchCache
most dátového centra;
Rozšírené úložisko;
klastrovanie pri zlyhaní;
viaccestný I/O;
vyrovnávanie zaťaženia siete;
protokol PNRP;
qWave;
vzdialená diferenciálna kompresia;
jednoduché služby TCP/IP;
RPC cez HTTP proxy;
SMTP server;
služba SNMP;
Telnet klient;
telnet server;
TFTP klient;
interná databáza Windows;
Windows PowerShell Web Access;
Služba aktivácie systému Windows;
štandardizovaná správa úložiska Windows;
rozšírenie IIS WinRM;
server WINS;
podpora WoW64.

Inštalácia rolí servera pomocou správcu servera

Ak chcete pridať, otvorte Správcu servera a v ponuke Spravovať kliknite na položku Pridať roly a funkcie:

Otvorí sa Sprievodca pridaním rolí a funkcií. Kliknite na tlačidlo Ďalej

Typ inštalácie, vyberte inštaláciu na základe rolí alebo funkcií. Ďalšie:

Výber servera - vyberte si náš server. Kliknite na Ďalej Roly servera – V prípade potreby vyberte roly, vyberte služby rolí a kliknite na Ďalej, aby ste vybrali komponenty. Počas tohto postupu vás Sprievodca pridaním rolí a funkcií automaticky informuje o konfliktoch na cieľovom serveri, ktoré môžu brániť inštalácii alebo normálnej prevádzke vybratých rolí alebo funkcií. Zobrazí sa tiež výzva na pridanie rolí, služieb rolí a funkcií požadovaných vybratými rolami alebo funkciami.

Inštalácia rolí pomocou PowerShell

Otvorenie prostredia Windows PowerShell Zadaním príkazu Get-WindowsFeature zobrazíte zoznam dostupných a nainštalovaných rolí a funkcií na lokálnom serveri. Výstup tohto cmdlet obsahuje názvy príkazov pre roly a funkcie, ktoré sú nainštalované a dostupné na inštaláciu.

Zadajte Get-Help Install-WindowsFeature, aby ste videli syntax a povolené parametre Install-WindowsFeature (MAN) cmdlet.

Zadajte nasledujúci príkaz (-Reštart reštartuje server, ak si inštalácia roly vyžaduje reštart).

Install-WindowsFeature-Name -Reštart

Popis rolí a služieb rolí

Všetky roly a služby rolí sú popísané nižšie. Pozrime sa na rozšírené nastavenia najbežnejších rolí webového servera a služieb vzdialenej pracovnej plochy v našej praxi.

Podrobný popis IIS

Spoločné funkcie HTTP – Základné komponenty HTTP
- Predvolený dokument – umožňuje vám nastaviť indexovú stránku lokality.
- Prehľadávanie adresárov – umožňuje používateľom prezerať si obsah adresára na webovom serveri. Použite Prehľadávanie adresárov na automatické generovanie zoznamu všetkých adresárov a súborov v adresári, keď používatelia nešpecifikujú súbor v URL a indexová stránka je zakázaná alebo nie je nakonfigurovaná
- Chyby HTTP – umožňuje vám prispôsobiť chybové hlásenia vracané klientom v prehliadači.
- Statický obsah – umožňuje uverejňovať statický obsah, ako sú obrázky alebo html súbory.
- Presmerovanie HTTP – Poskytuje podporu pre presmerovanie požiadaviek používateľov.
- Publikovanie WebDAV vám umožňuje publikovať súbory z webového servera pomocou protokolu HTTP.
Funkcie zdravia a diagnostiky – diagnostické komponenty
- Protokolovanie HTTP poskytuje protokolovanie aktivity webovej stránky pre daný server.
- Vlastné protokolovanie poskytuje podporu pre vytváranie vlastných protokolov, ktoré sa líšia od „tradičných“ protokolov.
- Protokolovacie nástroje poskytujú rámec pre správu protokolov webového servera a automatizáciu bežných úloh protokolovania.
- ODBC Logging poskytuje rámec, ktorý podporuje protokolovanie aktivity webového servera do databázy kompatibilnej s ODBC.
- Request Monitor poskytuje rámec na monitorovanie stavu webových aplikácií zhromažďovaním informácií o HTTP požiadavkách v pracovnom procese IIS.
- Sledovanie poskytuje rámec na diagnostiku a riešenie problémov webových aplikácií. Pomocou sledovania neúspešných požiadaviek môžete sledovať ťažko dostupné udalosti, ako je napríklad slabý výkon alebo zlyhania autentifikácie.
Výkonové komponenty na zvýšenie výkonu webového servera.
- Statická kompresia obsahu poskytuje rámec na konfiguráciu HTTP kompresie statického obsahu
- Dynamická kompresia obsahu poskytuje rámec pre konfiguráciu HTTP kompresie dynamického obsahu.
Bezpečnostné komponenty
- Filtrovanie požiadaviek vám umožňuje zachytiť všetky prichádzajúce požiadavky a filtrovať ich na základe pravidiel stanovených správcom.
- Basic Authentication umožňuje nastaviť dodatočnú autorizáciu
- Centralizovaná podpora certifikátov SSL je funkcia, ktorá vám umožňuje ukladať certifikáty na centrálne miesto, napríklad zdieľanie súborov.
- Autentifikácia mapovania klientských certifikátov používa klientske certifikáty na autentifikáciu používateľov.
- Digest Authentication funguje tak, že sa do radiča domény Windows odosiela hash hesla na overenie používateľov. Ak potrebujete väčšiu bezpečnosť ako základné overenie, zvážte použitie overenia Digest
- IIS Client Certificate Mapping Authentication používa klientske certifikáty na autentifikáciu používateľov. Klientsky certifikát je digitálny identifikátor získaný z dôveryhodného zdroja.
- Obmedzenia IP a domén vám umožňujú povoliť/zakázať prístup na základe požadovanej adresy IP alebo názvu domény.
- URL Authorization vám umožňuje vytvárať pravidlá, ktoré obmedzujú prístup k webovému obsahu.
- Overovanie systému Windows Táto schéma overovania umožňuje správcom domény systému Windows využívať infraštruktúru domény na overovanie používateľov.
Funkcie vývoja aplikácií
FTP server
- Služba FTP Umožňuje publikovanie cez FTP na webovom serveri.
- Rozšíriteľnosť FTP Umožňuje podporu funkcií FTP, ktoré rozširujú funkčnosť
Nástroje na správu
- IIS Management Console nainštaluje IIS Manager, ktorý vám umožňuje spravovať webový server cez GUI
- Kompatibilita správy IIS 6.0 poskytuje doprednú kompatibilitu pre aplikácie a skripty, ktoré používajú objekt Admin Base Object (ABO) a rozhranie ADSI (Address Directory Service Interface) Active Directory API. To umožňuje, aby webový server IIS 8.0 používal existujúce skripty IIS 6.0
- Skripty a nástroje na správu IIS poskytujú infraštruktúru na riadenie webového servera IIS programovo, pomocou príkazov v okne príkazového riadka alebo spúšťaním skriptov.
- Služba správy poskytuje infraštruktúru na prispôsobenie používateľského rozhrania, IIS Manager.

Podrobný popis RDS

Sprostredkovateľ pripojenia vzdialenej pracovnej plochy – Poskytuje opätovné pripojenie klientskeho zariadenia k programom na základe relácií pracovnej plochy a virtuálnej pracovnej plochy.
Brána vzdialenej pracovnej plochy – umožňuje oprávneným používateľom pripojiť sa k virtuálnym pracovným plochám, programom RemoteApp a pracovným plochám založeným na reláciách v podnikovej sieti alebo cez internet.
Licencovanie vzdialenej plochy – nástroj na správu licencií RDP
Hostiteľ relácie vzdialenej pracovnej plochy – zahŕňa server na hosťovanie programov RemoteApp alebo relácie na pracovnej ploche.
Hostiteľ virtualizácie vzdialenej plochy – umožňuje konfigurovať RDP na virtuálnych počítačoch
Vzdialená plocha WebAccess – umožňuje používateľom pripojiť sa k zdrojom pracovnej plochy pomocou ponuky Štart alebo webového prehliadača.

Zvážte inštaláciu a konfiguráciu terminálového licenčného servera. Vyššie uvedené popisuje, ako nainštalovať roly, inštalácia RDS sa nelíši od inštalácie iných rolí, v Role Services musíme vybrať Remote Desktop Licensing a Remote Desktop Session Host. Po inštalácii sa v Server Manager-Tools zobrazí položka Terminálové služby. V diagnostike licencovania RD pre Terminálové služby sú dve položky, ide o nástroj na diagnostiku fungovania licencovania vzdialenej plochy a Správca licencií vzdialenej plochy, ide o nástroj na správu licencií.

Spustite nástroj Diagnostika licencií RD

Tu vidíme, že zatiaľ nie sú dostupné žiadne licencie, pretože pre server RD Session Host nie je nastavený licenčný režim. Licenčný server je špecifikovaný v politikách miestnej skupiny. Ak chcete spustiť editor, spustite príkaz gpedit.msc. Otvorí sa Editor miestnej politiky skupiny. V strome vľavo rozbaľte karty:

Konfigurácia počítača
Administratívne šablóny
Komponenty systému Windows
Služby vzdialenej pracovnej plochy
Hostiteľ relácie vzdialenej pracovnej plochy
"Licencia" (licencia)

Otvorte parametre Použiť zadané licenčné servery vzdialenej pracovnej plochy

V okne úpravy nastavení politiky povoľte licenčný server (Povolené). Ďalej musíte definovať licenčný server pre Služby vzdialenej pracovnej plochy. V mojom príklade je licenčný server umiestnený na tom istom fyzický server. Zadajte názov siete alebo IP adresu licenčného servera a kliknite na OK. Ak sa názov servera, licenčný server v budúcnosti zmení, budete ho musieť zmeniť v rovnakej sekcii.

Potom v nástroji Diagnostika licencií RD môžete vidieť, že terminálový licenčný server je nakonfigurovaný, ale nie je povolený. Ak chcete povoliť, spustite Správcu licencií vzdialenej pracovnej plochy

Vyberte licenčný server so stavom Neaktivovaný . Ak chcete aktivovať, kliknite naň pravým tlačidlom myši a vyberte položku Aktivovať server. Spustí sa Sprievodca aktiváciou servera. Na karte Spôsob pripojenia vyberte položku Automatické pripojenie. Ďalej vyplňte informácie o organizácii, potom sa aktivuje licenčný server.

Certifikačné služby Active Directory

AD CS poskytuje konfigurovateľné služby na vydávanie a správu digitálnych certifikátov, ktoré sa používajú v systémoch zabezpečenia softvéru, ktoré využívajú technológie verejného kľúča. Digitálne certifikáty poskytované AD CS možno použiť na šifrovanie a digitálne podpisovanie elektronických dokumentov a správ digitálnych certifikátov možno použiť na overenie účtov počítačov, používateľov a zariadení v sieti. Digitálne certifikáty sa používajú na poskytovanie:

súkromie prostredníctvom šifrovania;
integrita prostredníctvom digitálnych podpisov;
autentifikáciu prepojením kľúčov certifikátov s účtami počítača, používateľov a zariadení v sieti.

AD CS je možné použiť na zlepšenie bezpečnosti naviazaním identity používateľa, zariadenia alebo služby na zodpovedajúci súkromný kľúč. Použitia podporované službou AD CS zahŕňajú zabezpečené viacúčelové štandardné rozšírenia Internet Mail (S/MIME) chránené bezdrôtová sieť, virtuálne privátne siete (VPN), IPsec, systém šifrovania súborov (EFS), prihlásenie pomocou čipovej karty, zabezpečenie prenosu dát a zabezpečenie transportnej vrstvy (SSL/TLS) a digitálne podpisy.

Active Directory Domain Services

Pomocou role servera Active Directory Domain Services (AD DS) môžete vytvoriť škálovateľnú, zabezpečenú a spravovateľnú infraštruktúru na správu používateľov a zdrojov; Môžete tiež poskytnúť aplikácie s podporou adresárov, ako napríklad Microsoft Exchange Server. Active Directory Domain Services poskytuje distribuovanú databázu, ktorá ukladá informácie o sieťové zdroje a dáta aplikácií s povoleným adresárom a spravovať tieto informácie. Server, na ktorom je spustená služba AD DS, sa nazýva radič domény. Správcovia môžu použiť službu AD DS na usporiadanie sieťových prvkov, ako sú používatelia, počítače a ďalšie zariadenia, do hierarchickej vnorenej štruktúry. Hierarchická vnorená štruktúra zahŕňa doménu Active Directory, domény v doménovej štruktúre a organizačné jednotky v každej doméne. Bezpečnostné funkcie sú integrované do AD DS vo forme autentifikácie a riadenia prístupu k prostriedkom v adresári. Pomocou jediného prihlásenia môžu správcovia spravovať informácie o adresároch a organizáciu cez sieť. Autorizovaní používatelia siete môžu tiež použiť sieťové jednotné prihlásenie na prístup k zdrojom umiestneným kdekoľvek v sieti. Active Directory Domain Services poskytuje nasledujúce dodatočné funkcie.

Sada pravidiel je schéma, ktorá definuje triedy objektov a atribútov, ktoré sú obsiahnuté v adresári, obmedzenia a limity pre inštancie týchto objektov a formát ich názvov.
Globálny katalóg obsahujúci informácie o každom objekte v katalógu. Používatelia a správcovia môžu použiť globálny katalóg na vyhľadávanie údajov katalógu bez ohľadu na to, ktorá doména v katalógu skutočne obsahuje hľadané údaje.
Mechanizmus dotazov a indexovania, prostredníctvom ktorého možno publikovať a lokalizovať objekty a ich vlastnosti používateľov siete a aplikácie.
Replikačná služba, ktorá distribuuje údaje adresára cez sieť. Všetky radiče domény s možnosťou zápisu v doméne sa zúčastňujú replikácie a obsahujú úplnú kópiu všetkých údajov adresára pre svoju doménu. Akékoľvek zmeny údajov adresára sa replikujú v doméne na všetky radiče domény.
Roly hlavného operačného servera (známe aj ako flexibilné samostatné hlavné operácie alebo FSMO). Radiče domény, ktoré pôsobia ako majstri operácií, sú navrhnuté tak, aby vykonávali špeciálne úlohy, aby zabezpečili konzistentnosť údajov a zabránili konfliktným položkám adresára.

Active Directory Federation Services

Služba AD FS poskytuje koncovým používateľom, ktorí potrebujú prístup k aplikáciám v podnikoch zabezpečených službou AD FS, vo federáciách partnerských organizácií alebo v cloude, pomocou zjednodušenej a bezpečnej federácie identity a webových služieb jednotného prihlásenia (SSO). Windows Server AD FS obsahuje služba role Federation Service pôsobiaca ako poskytovateľ identity (overuje používateľov, aby poskytli bezpečnostné tokeny aplikáciám, ktoré dôverujú AD FS) alebo ako poskytovateľ federácie (aplikuje tokeny od iných poskytovateľov identity a potom poskytuje bezpečnostné tokeny aplikáciám, ktoré dôverujú AD FS).

Odľahčené adresárové služby Active Directory

Active Directory Lightweight Directory Services (AD LDS) je protokol LDAP, ktorý poskytuje flexibilnú podporu pre adresárové aplikácie bez závislostí a obmedzení špecifických pre doménu Active Directory Domain Services. AD LDS možno spustiť na členských alebo samostatných serveroch. Na rovnakom serveri môžete spustiť viacero inštancií služby AD LDS s nezávisle spravovanými schémami. S rolou služby AD LDS môžete poskytovať adresárové služby aplikáciám s povoleným adresárom bez použitia údajov domény a lesných služieb a bez potreby jedinej schémy pre celý les.

Active Directory Rights Management Services

AD RMS môžete použiť na rozšírenie bezpečnostnej stratégie vašej organizácie zabezpečením dokumentov pomocou Information Rights Management (IRM). Služba AD RMS umožňuje používateľom a správcom prideľovať prístupové povolenia dokumentom, zošitom a prezentáciám pomocou zásad IRM. To vám umožňuje chrániť dôverné informácie pred tlačou, preposielaním alebo kopírovaním neoprávnenými používateľmi. Keď sú povolenia súboru obmedzené pomocou IRM, obmedzenia prístupu a používania platia bez ohľadu na umiestnenie informácií, pretože povolenie súboru je uložené v samotnom súbore dokumentu. S AD RMS a IRM môžu jednotliví používatelia uplatniť svoje vlastné preferencie týkajúce sa prenosu osobných a dôverných informácií. Pomôžu tiež organizácii presadzovať podnikové zásady na kontrolu používania a distribúcie citlivých a osobných informácií. Riešenia IRM podporované službou AD RMS sa používajú na poskytovanie nasledujúcich možností.

Trvalé zásady používania, ktoré zostávajú s informáciami bez ohľadu na to, či sú presunuté, odoslané alebo preposielané.
Ďalšia vrstva ochrany osobných údajov na ochranu citlivých údajov – ako sú správy, špecifikácie produktov, informácie o zákazníkoch a e-mailové správy – pred úmyselným alebo náhodným pádom do nesprávnych rúk.
Zabráňte neoprávnenému odosielaniu, kopírovaniu, úpravám, tlači, faxovaniu alebo prilepovaniu obmedzeného obsahu oprávnenými príjemcami.
Zabráňte kopírovaniu obmedzeného obsahu pomocou funkcie PRINT SCREEN v systéme Microsoft Windows.
Podpora uplynutia platnosti súboru, ktorá bráni prezeraniu obsahu dokumentu po určitom čase.
Implementujte podnikové zásady, ktoré riadia používanie a distribúciu obsahu v rámci organizácie

Aplikačný server

Application Server poskytuje integrované prostredie na nasadenie a spustenie vlastných podnikových aplikácií založených na serveri.

DHCP server

DHCP je technológia klient-server, ktorá umožňuje serverom DHCP prideľovať alebo prenajímať adresy IP počítačom a iným zariadeniam, ktoré sú klientmi DHCP. Nasadenie serverov DHCP v sieti automaticky poskytuje klientskym počítačom a iným sieťovým zariadeniam platné adresy IP založené na IPv4 a IPv6 a ďalšie konfiguračné nastavenia vyžadované týmito klientmi a zariadeniami.Služba DHCP Server v systéme Windows Server zahŕňa podporu pre priradenia založené na politike a prepnutie pri zlyhaní DHCP.

DNS server

Služba DNS je hierarchická distribuovaná databáza obsahujúca mapovanie názvov domén DNS na rôzne typy údajov, ako sú adresy IP. Služba DNS vám umožňuje používať priateľské názvy, ako napríklad www.microsoft.com, aby ste pomohli lokalizovať počítače a iné zdroje v sieťach založených na TCP/IP. Služba DNS v systéme Windows Server poskytuje ďalšiu vylepšenú podporu pre moduly zabezpečenia DNS (DNSSEC), vrátane sieťovej registrácie a automatizovanej správy nastavení.

FAX server

Faxový server odosiela a prijíma faxy a umožňuje vám spravovať faxové zdroje, ako sú úlohy, nastavenia, správy a faxové zariadenia na vašom faxovom serveri.

Súborové a úložné služby

Správcovia môžu použiť rolu Súborové a úložné služby na nastavenie viacerých súborových serverov a ich úložísk a na správu týchto serverov pomocou Server Manager alebo Windows PowerShell. Niektoré špecifické aplikácie obsahujú nasledujúce funkcie.

pracovné priečinky. Používa sa na umožnenie používateľom ukladať a pristupovať k pracovným súborom na osobných počítačoch a zariadeniach iných ako firemné počítače. Používatelia získajú pohodlné miesto na ukladanie pracovných súborov a prístup k nim odkiaľkoľvek. Organizácie kontrolujú podnikové údaje ukladaním súborov na centrálne spravované súborové servery a voliteľným nastavením pravidiel pre používateľské zariadenia (ako je šifrovanie a heslá na uzamknutie obrazovky).
Deduplikácia údajov. Používa sa na zníženie požiadaviek na miesto na disku na ukladanie súborov, čím šetríte peniaze na úložisku.
cieľový server iSCSI. Používa sa na vytváranie centralizovaných diskových podsystémov iSCSI nezávislých od softvéru a zariadení v sieťach SAN (Storage Area Network).
Priestory na disku. Používa sa na nasadenie úložiska, ktoré je vysoko dostupné, odolné a škálovateľné s cenovo výhodnými jednotkami štandardu v odvetví.
Správca servera. Použiť pre diaľkové ovládanie viac súborových serverov z jedného okna.
Windows PowerShell. Používa sa na automatizáciu správy väčšiny úloh správy súborového servera.

Hyper-V

Rola Hyper-V vám umožňuje vytvárať a spravovať virtualizované výpočtové prostredie pomocou virtualizačnej technológie zabudovanej do systému Windows Server. Inštalácia roly Hyper-V nainštaluje predpoklady a voliteľné nástroje na správu. Medzi požadované komponenty patrí hypervízor Windows, služba správy virtualizácie, Hyper-V stroje, poskytovateľa virtualizácie WMI a virtualizačné komponenty, ako sú VMbus, Virtualization Service Provider (VSP) a Virtual Infrastructure Driver (VID).

Sieťová politika a prístupové služby

Služby sieťovej politiky a prístupu poskytujú nasledujúce riešenia sieťového pripojenia:

Network Access Protection je technológia na vytváranie, presadzovanie a nápravu politík zdravia klientov. Pomocou Network Access Protection môžu správcovia systému nastaviť a automaticky presadzovať zdravotné politiky, ktoré zahŕňajú požiadavky na softvér, aktualizácie zabezpečenia a ďalšie nastavenia. Pre klientske počítače, ktoré nie sú v súlade s politikou zdravia, môžete obmedziť prístup k sieti, kým sa ich konfigurácia neaktualizuje tak, aby vyhovovala požiadavkám politiky.
Ak sú nasadené bezdrôtové prístupové body s podporou 802.1X, môžete použiť server NPS (Network Policy Server) na nasadenie metód autentifikácie na základe certifikátu, ktoré sú bezpečnejšie ako autentifikácia založená na hesle. Nasadenie hardvéru s podporou 802.1X so serverom NPS umožňuje overenie používateľov intranetu pred pripojením k sieti alebo získaním adresy IP zo servera DHCP.
Namiesto konfigurácie politiky sieťového prístupu na každom serveri sieťového prístupu môžete centrálne vytvoriť všetky politiky, ktoré definujú všetky aspekty požiadaviek na sieťové pripojenie (kto sa môže pripojiť, keď je pripojenie povolené, úroveň zabezpečenia, ktorá sa musí použiť na pripojenie k sieti ).

Tlačové a dokumentové služby

Služby tlače a dokumentov vám umožňujú centralizovať úlohy tlačového servera a sieťovej tlačiarne. Táto rola vám tiež umožňuje prijímať naskenované dokumenty zo sieťových skenerov a odosielať dokumenty do sieťových zdieľaných priečinkov – lokality Windows SharePoint Services alebo e-mail.

vzdialený prístup

Rola Server vzdialeného prístupu je logickým zoskupením nasledujúcich technológií sieťového prístupu.

Priamy prístup
Smerovanie a vzdialený prístup
Proxy webovej aplikácie

Tieto technológie sú služby rolí rola servera vzdialeného prístupu. Keď nainštalujete rolu Server vzdialeného prístupu, môžete nainštalovať jednu alebo viacero služieb rolí spustením Sprievodcu pridaním rolí a funkcií.

V systéme Windows Server poskytuje rola Remote Access Server možnosť centrálne spravovať, konfigurovať a monitorovať DirectAccess a VPN so službami vzdialeného prístupu Routing and Remote Access Service (RRAS). DirectAccess a RRAS môžu byť nasadené na rovnakom serveri Edge a spravované prostredníctvom Príkazy systému Windows PowerShell a konzola na správu vzdialeného prístupu (MMC).

Služby vzdialenej pracovnej plochy

Služby vzdialenej plochy urýchľujú a rozširujú nasadenie desktopov a aplikácií na akomkoľvek zariadení, vďaka čomu je vzdialený pracovník efektívnejší a zároveň zabezpečuje kritické duševné vlastníctvo a zjednodušuje dodržiavanie predpisov. Služby vzdialenej pracovnej plochy zahŕňajú infraštruktúru virtuálnej pracovnej plochy (VDI), pracovné plochy založené na reláciách a aplikácie, ktoré používateľom umožňujú pracovať odkiaľkoľvek.

Služby aktivácie objemu

Volume License Activation Services je rola servera v systéme Windows Server počnúc systémom Windows Server 2012, ktorá automatizuje a zjednodušuje vydávanie a správu multilicencií pre softvér spoločnosti Microsoft v rôznych scenároch a prostrediach. Spolu so službami aktivácie hromadných licencií môžete nainštalovať a nakonfigurovať službu správy kľúčov (KMS) a aktiváciu služby Active Directory.

webový server (IIS)

Rola webového servera (IIS) v systéme Windows Server poskytuje platformu na hosťovanie webových lokalít, služieb a aplikácií. Používanie webového servera poskytuje používateľom prístup k informáciám na internete, intranete a extranete. Správcovia môžu použiť rolu webového servera (IIS) na nastavenie a správu viacerých webových lokalít, webových aplikácií a lokalít FTP. Medzi špeciálne funkcie patria nasledujúce.

Na konfiguráciu súčastí IIS a správu webových lokalít použite nástroj Internet Information Services (IIS) Manager.
Používanie protokolu FTP na umožnenie vlastníkom webových stránok nahrávať a sťahovať súbory.
Použitie izolácie webových stránok na zabránenie tomu, aby jedna webová stránka na serveri ovplyvňovala ostatné.
Prispôsobenie webových aplikácií vyvinutých pomocou rôznych technológií ako Classic ASP, ASP.NET a PHP.
Pomocou prostredia Windows PowerShell automaticky spravujte väčšinu úloh správy webového servera.
Konsolidujte viacero webových serverov do serverovej farmy, ktorú možno spravovať pomocou IIS.

Služby nasadenia systému Windows

Windows Deployment Services vám umožňuje nasadiť operačné systémy Windows cez sieť, čo znamená, že nemusíte inštalovať každý operačný systém priamo z disku CD alebo DVD.

Windows Server Essentials Experience

Táto rola vám umožňuje vykonávať nasledujúce úlohy:

chrániť údaje servera a klienta zálohovaním servera a všetkých klientskych počítačov v sieti;
spravovať používateľov a skupiny používateľov prostredníctvom zjednodušeného serverového dashboardu. Okrem toho integrácia s Windows Azure Active Directory* poskytuje používateľom jednoduchý prístup k online službám Microsoft Online Services (ako sú Office 365, Exchange Online a SharePoint Online) pomocou ich doménových poverení;
uchovávať firemné údaje na centralizovanom mieste;
integrovať server so službami Microsoft Online Services (ako sú Office 365, Exchange Online, SharePoint Online a Windows Intune):
používať funkcie všadeprítomného prístupu na serveri (napríklad vzdialený webový prístup a virtuálne súkromné siete) na prístup k serveru, počítačom v sieti a údajom z vysoko bezpečných vzdialených miest;
pristupovať k údajom odkiaľkoľvek a z akéhokoľvek zariadenia pomocou vlastného webového portálu organizácie (prostredníctvom vzdialeného webového prístupu);
spravovať mobilné zariadenia Tie, ktoré pristupujú k e-mailu vašej organizácie s Office 365 pomocou protokolu Active Sync z hlavného panela.
monitorovať stav siete a prijímať prispôsobiteľné správy o stave; správy môžu byť generované na požiadanie, prispôsobené a odoslané e-mailom konkrétnym príjemcom.

Windows Server Update Services

Server WSUS poskytuje súčasti, ktoré správcovia potrebujú na správu a distribúciu aktualizácií prostredníctvom riadiacej konzoly. Server WSUS môže byť navyše zdrojom aktualizácií pre iné servery WSUS v organizácii. Pri implementácii WSUS musí byť aspoň jeden server WSUS v sieti pripojený k službe Microsoft Update, aby ste mohli dostávať informácie o dostupných aktualizáciách. V závislosti od zabezpečenia a konfigurácie siete môže správca určiť, koľko ďalších serverov je priamo pripojených k službe Microsoft Update.

Keď inštalujete Windows, väčšina nepodstatných podsystémov nie je aktivovaná ani nainštalovaná. Deje sa tak z bezpečnostných dôvodov. Keďže systém je v predvolenom nastavení zabezpečený, správcovia systému sa môžu sústrediť na navrhovanie systému, ktorý robí to, čo robí, a nič viac. Aby vám pomohol aktivovať požadované funkcie, systém Windows vás vyzve, aby ste vybrali rolu servera.

Roly

Definujú hlavnú funkciu, účel alebo účel používania počítača. Počítač môžete určiť, aby hral jednu rolu, ktorá sa v podniku často používa, alebo aby hral viacero rolí, kde sa každá rola používa len príležitostne.
Roly poskytujú používateľom v celej organizácii prístup k prostriedkom, ktoré spravujú iné počítače, ako sú webové stránky, tlačiarne alebo súbory uložené na rôznych počítačoch.
Zvyčajne majú svoje vlastné databázy, ktoré zaraďujú požiadavky používateľov alebo počítačov do frontu alebo zaznamenávajú informácie o používateľoch siete a počítačoch spojených s rolou. Napríklad Active Directory Domain Services obsahuje databázu na ukladanie mien a hierarchických vzťahov všetkých počítačov v sieti.
Po správnej inštalácii a konfigurácii roly fungujú automaticky. To umožňuje počítačom, na ktorých sú nainštalované, vykonávať priradené úlohy s obmedzenou interakciou používateľa.

Služby rolí

Služby rolí sú programy, ktoré poskytujú funkčnosť role. Keď nainštalujete rolu, môžete si vybrať, ktoré služby poskytuje iným používateľom a počítačom v podniku. Niektoré roly, ako napríklad server DNS, vykonávajú iba jednu funkciu, takže pre ne neexistujú žiadne služby rolí. Ďalšie roly, ako napríklad Služby vzdialenej pracovnej plochy, majú niekoľko služieb, ktoré môžete nainštalovať na základe potrieb vzdialeného prístupu vášho podniku. Rolu možno považovať za súbor úzko súvisiacich, doplnkových služieb rolí. Vo väčšine prípadov inštalácia roly znamená inštaláciu jednej alebo viacerých jej služieb.

Komponenty

Keď Windows Server beží v režime Server Core, sú podporované nasledujúce roly servera:

Active Directory Certificate Services;
Active Directory Domain Services;
DHCP server
DNS server;
súborové služby (vrátane správcu prostriedkov súborového servera);
Active Directory Lightweight Directory Services;
Hyper-V
Tlačiarenské a dokumentačné služby;
Streamingové mediálne služby;
webový server (vrátane podmnožiny ASP.NET);
Windows Server Update Server;
Server správy práv Active Directory;
Server smerovania a vzdialeného prístupu a nasledujúce podriadené roly:
- Sprostredkovateľ pripojenia vzdialenej pracovnej plochy;
- udeľovanie licencií;
- virtualizácie.

Keď Windows Server beží v režime Server Core, sú podporované nasledujúce funkcie servera:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
Služba inteligentného prenosu na pozadí (BITS);
BitLocker Drive Encryption;
Odomknutie siete BitLocker;
BranchCache
most dátového centra;
Rozšírené úložisko;
klastrovanie pri zlyhaní;
viaccestný I/O;
vyrovnávanie zaťaženia siete;
protokol PNRP;
qWave;
vzdialená diferenciálna kompresia;
jednoduché služby TCP/IP;
RPC cez HTTP proxy;
SMTP server;
služba SNMP;
Telnet klient;
telnet server;
TFTP klient;
interná databáza Windows;
Windows PowerShell Web Access;
Služba aktivácie systému Windows;
štandardizovaná správa úložiska Windows;
rozšírenie IIS WinRM;
server WINS;
podpora WoW64.

Inštalácia rolí servera pomocou správcu servera

Ak chcete pridať, otvorte Správcu servera a v ponuke Spravovať kliknite na položku Pridať roly a funkcie:

Otvorí sa Sprievodca pridaním rolí a funkcií. Kliknite na tlačidlo Ďalej

Typ inštalácie, vyberte inštaláciu na základe rolí alebo funkcií. Ďalšie:

Inštalácia rolí pomocou PowerShell

Ak chcete zobraziť syntax a platné parametre cmdlet Install-WindowsFeature (MAN), zadajte príkaz Get-Help Install-WindowsFeature.

Zadajte nasledujúci príkaz (-Reštart reštartuje server, ak si inštalácia roly vyžaduje reštart).

Install-WindowsFeature-Name-Restart

Popis rolí a služieb rolí

Všetky roly a služby rolí sú popísané nižšie. Pozrime sa na rozšírené nastavenia najbežnejších rolí webového servera a služieb vzdialenej pracovnej plochy v našej praxi.

Podrobný popis IIS

Spoločné funkcie HTTP – Základné komponenty HTTP
- Predvolený dokument – umožňuje vám nastaviť indexovú stránku lokality.
- Prehľadávanie adresárov – umožňuje používateľom prezerať si obsah adresára na webovom serveri. Použite Prehľadávanie adresárov na automatické generovanie zoznamu všetkých adresárov a súborov v adresári, keď používatelia nešpecifikujú súbor v URL a indexová stránka je zakázaná alebo nie je nakonfigurovaná
- Chyby HTTP – umožňuje vám prispôsobiť chybové hlásenia vracané klientom v prehliadači.
- Statický obsah – umožňuje uverejňovať statický obsah, ako sú obrázky alebo html súbory.
- Presmerovanie HTTP – Poskytuje podporu pre presmerovanie požiadaviek používateľov.
- Publikovanie WebDAV vám umožňuje publikovať súbory z webového servera pomocou protokolu HTTP.
Funkcie zdravia a diagnostiky – diagnostické komponenty
- Protokolovanie HTTP poskytuje protokolovanie aktivity webovej stránky pre daný server.
- Vlastné protokolovanie poskytuje podporu pre vytváranie vlastných protokolov, ktoré sa líšia od „tradičných“ protokolov.
- Protokolovacie nástroje poskytujú rámec pre správu protokolov webového servera a automatizáciu bežných úloh protokolovania.
- ODBC Logging poskytuje rámec, ktorý podporuje protokolovanie aktivity webového servera do databázy kompatibilnej s ODBC.
- Request Monitor poskytuje rámec na monitorovanie stavu webových aplikácií zhromažďovaním informácií o HTTP požiadavkách v pracovnom procese IIS.
- Sledovanie poskytuje rámec na diagnostiku a riešenie problémov webových aplikácií. Pomocou sledovania neúspešných požiadaviek môžete sledovať ťažko dostupné udalosti, ako je napríklad slabý výkon alebo zlyhania autentifikácie.
Výkonové komponenty na zvýšenie výkonu webového servera.
- Statická kompresia obsahu poskytuje rámec na konfiguráciu HTTP kompresie statického obsahu
- Dynamická kompresia obsahu poskytuje rámec pre konfiguráciu HTTP kompresie dynamického obsahu.
Bezpečnostné komponenty
- Filtrovanie požiadaviek vám umožňuje zachytiť všetky prichádzajúce požiadavky a filtrovať ich na základe pravidiel stanovených správcom.
- Basic Authentication umožňuje nastaviť dodatočnú autorizáciu
- Centralizovaná podpora certifikátov SSL je funkcia, ktorá vám umožňuje ukladať certifikáty na centrálne miesto, napríklad zdieľanie súborov.
- Autentifikácia mapovania klientských certifikátov používa klientske certifikáty na autentifikáciu používateľov.
- Digest Authentication funguje tak, že sa do radiča domény Windows odosiela hash hesla na overenie používateľov. Ak potrebujete väčšiu bezpečnosť ako základné overenie, zvážte použitie overenia Digest
- IIS Client Certificate Mapping Authentication používa klientske certifikáty na autentifikáciu používateľov. Klientsky certifikát je digitálny identifikátor získaný z dôveryhodného zdroja.
- Obmedzenia IP a domén vám umožňujú povoliť/zakázať prístup na základe požadovanej adresy IP alebo názvu domény.
- URL Authorization vám umožňuje vytvárať pravidlá, ktoré obmedzujú prístup k webovému obsahu.
- Overovanie systému Windows Táto schéma overovania umožňuje správcom domény systému Windows využívať infraštruktúru domény na overovanie používateľov.
Funkcie vývoja aplikácií
FTP server
- Služba FTP Umožňuje publikovanie cez FTP na webovom serveri.
- Rozšíriteľnosť FTP Umožňuje podporu funkcií FTP, ktoré rozširujú funkčnosť
Nástroje na správu
- IIS Management Console nainštaluje IIS Manager, ktorý vám umožňuje spravovať webový server cez GUI
- Kompatibilita správy IIS 6.0 poskytuje doprednú kompatibilitu pre aplikácie a skripty, ktoré používajú objekt Admin Base Object (ABO) a rozhranie ADSI (Address Directory Service Interface) Active Directory API. To umožňuje, aby webový server IIS 8.0 používal existujúce skripty IIS 6.0
- Skripty a nástroje na správu IIS poskytujú infraštruktúru na riadenie webového servera IIS programovo, pomocou príkazov v okne príkazového riadka alebo spúšťaním skriptov.
- Služba správy poskytuje infraštruktúru na prispôsobenie používateľského rozhrania, IIS Manager.

Podrobný popis RDS

Sprostredkovateľ pripojenia vzdialenej pracovnej plochy – Poskytuje opätovné pripojenie klientskeho zariadenia k programom na základe relácií pracovnej plochy a virtuálnej pracovnej plochy.
Brána vzdialenej pracovnej plochy – umožňuje oprávneným používateľom pripojiť sa k virtuálnym pracovným plochám, programom RemoteApp a pracovným plochám založeným na reláciách v podnikovej sieti alebo cez internet.
Licencovanie vzdialenej plochy – nástroj na správu licencií RDP
Hostiteľ relácie vzdialenej pracovnej plochy – zahŕňa server na hosťovanie programov RemoteApp alebo relácie na pracovnej ploche.
Hostiteľ virtualizácie vzdialenej plochy – umožňuje konfigurovať RDP na virtuálnych počítačoch
Vzdialená plocha WebAccess – umožňuje používateľom pripojiť sa k zdrojom pracovnej plochy pomocou ponuky Štart alebo webového prehliadača.

Spustite nástroj Diagnostika licencií RD

Konfigurácia počítača
Administratívne šablóny
Komponenty systému Windows
Služby vzdialenej pracovnej plochy
Hostiteľ relácie vzdialenej pracovnej plochy
"Licencia" (licencia)

Otvorte parametre Použiť zadané licenčné servery vzdialenej pracovnej plochy

V okne úpravy nastavení politiky povoľte licenčný server (Povolené). Ďalej musíte definovať licenčný server pre Služby vzdialenej pracovnej plochy. V mojom príklade je licenčný server umiestnený na rovnakom fyzickom serveri. Zadajte názov siete alebo IP adresu licenčného servera a kliknite na OK. Ak sa názov servera, licenčný server v budúcnosti zmení, budete ho musieť zmeniť v rovnakej sekcii.