คำสั่ง GPResult: การวินิจฉัยนโยบายกลุ่มที่เป็นผลลัพธ์ ให้คำอธิบายโดยละเอียดเกี่ยวกับนโยบายของเซิร์ฟเวอร์เกี่ยวกับ

เมื่อคุณติดตั้ง Windows ระบบย่อยที่ไม่จำเป็นส่วนใหญ่จะไม่เปิดใช้งานหรือติดตั้ง สิ่งนี้ทำด้วยเหตุผลด้านความปลอดภัย เนื่องจากระบบมีความปลอดภัยโดยค่าเริ่มต้น ผู้ดูแลระบบจึงสามารถมุ่งเน้นที่การออกแบบระบบที่ทำในสิ่งที่ตนทำ และไม่มีอะไรมากไปกว่านั้น เพื่อช่วยคุณเปิดใช้งานคุณลักษณะที่คุณต้องการ Windows จะแจ้งให้คุณเลือกบทบาทของเซิร์ฟเวอร์

บทบาท

บทบาทของเซิร์ฟเวอร์คือชุดของโปรแกรมที่เมื่อติดตั้งและกำหนดค่าอย่างถูกต้องแล้ว จะทำให้คอมพิวเตอร์สามารถทำหน้าที่เฉพาะสำหรับผู้ใช้หลายคนหรือคอมพิวเตอร์เครื่องอื่นบนเครือข่ายได้ โดยทั่วไปแล้ว บทบาททั้งหมดจะมีลักษณะดังต่อไปนี้

  • ทำหน้าที่กำหนดหน้าที่หลัก วัตถุประสงค์ หรือจุดประสงค์ของการใช้คอมพิวเตอร์ คุณสามารถกำหนดให้คอมพิวเตอร์มีบทบาทเดียวที่ใช้งานหนักในองค์กร หรือให้เล่นหลายบทบาทโดยแต่ละบทบาทจะใช้เป็นครั้งคราวเท่านั้น
  • บทบาทช่วยให้ผู้ใช้ทั่วทั้งองค์กรเข้าถึงทรัพยากรที่จัดการโดยคอมพิวเตอร์เครื่องอื่น เช่น เว็บไซต์ เครื่องพิมพ์ หรือไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์เครื่องอื่น
  • พวกเขามักจะมีฐานข้อมูลของตัวเองที่จัดคิวคำขอของผู้ใช้หรือคอมพิวเตอร์หรือบันทึกข้อมูลเกี่ยวกับผู้ใช้เครือข่ายและคอมพิวเตอร์ที่เกี่ยวข้องกับบทบาท ตัวอย่างเช่น Active Directory Domain Services มีฐานข้อมูลสำหรับจัดเก็บชื่อและความสัมพันธ์ตามลำดับชั้นของคอมพิวเตอร์ทุกเครื่องบนเครือข่าย
  • หลังจาก การติดตั้งที่ถูกต้องและการตั้งค่าบทบาทจะทำงานโดยอัตโนมัติ สิ่งนี้ทำให้คอมพิวเตอร์ที่ติดตั้งสามารถทำงานที่ได้รับมอบหมายโดยมีการโต้ตอบกับผู้ใช้อย่างจำกัด

บริการบทบาท

บริการบทบาทคือโปรแกรมที่มีฟังก์ชันการทำงานของบทบาท เมื่อคุณติดตั้งบทบาท คุณสามารถเลือกได้ว่าจะให้บริการใดแก่ผู้ใช้รายอื่นและคอมพิวเตอร์ในองค์กร บางบทบาท เช่น เซิร์ฟเวอร์ DNS ทำหน้าที่เพียงฟังก์ชันเดียว ดังนั้นจึงไม่มีบริการตามบทบาทสำหรับบทบาทเหล่านั้น บทบาทอื่นๆ เช่น บริการเดสก์ท็อประยะไกล มีบริการหลายอย่างที่คุณสามารถติดตั้งได้ตามความต้องการการเข้าถึงระยะไกลขององค์กรของคุณ บทบาทสามารถคิดได้ว่าเป็นชุดของบริการบทบาทเสริมที่เกี่ยวข้องอย่างใกล้ชิด ในกรณีส่วนใหญ่ การติดตั้งบทบาทหมายถึงการติดตั้งบริการอย่างน้อยหนึ่งอย่าง

ส่วนประกอบ

คอมโพเนนต์คือโปรแกรมที่ไม่ได้เป็นส่วนหนึ่งของบทบาทโดยตรง แต่สนับสนุนหรือขยายฟังก์ชันการทำงานของหนึ่งบทบาทขึ้นไปหรือทั้งเซิร์ฟเวอร์ โดยไม่คำนึงว่าบทบาทใดจะถูกติดตั้ง ตัวอย่างเช่น Failover Cluster Tool ขยายบทบาทอื่นๆ เช่น File Services และ DHCP Server โดยอนุญาตให้เข้าร่วมคลัสเตอร์เซิร์ฟเวอร์ ซึ่งให้ความซ้ำซ้อนและประสิทธิภาพที่เพิ่มขึ้น ส่วนประกอบอื่นๆ คือ Telnet Client ช่วยให้สามารถสื่อสารระยะไกลกับเซิร์ฟเวอร์ Telnet ผ่านการเชื่อมต่อเครือข่ายได้ คุณลักษณะนี้ช่วยเพิ่มตัวเลือกการสื่อสารสำหรับเซิร์ฟเวอร์

เมื่อ Windows Server ทำงานในโหมด Server Core จะรองรับบทบาทเซิร์ฟเวอร์ต่อไปนี้:

  • บริการใบรับรอง Active Directory;
  • บริการโดเมน Active Directory;
  • เซิร์ฟเวอร์ DHCP
  • เซิร์ฟเวอร์ DNS;
  • บริการไฟล์ (รวมถึงตัวจัดการทรัพยากรเซิร์ฟเวอร์ไฟล์);
  • บริการไดเร็กทอรีน้ำหนักเบาของ Active Directory;
  • ไฮเปอร์-วี
  • บริการพิมพ์และเอกสาร
  • บริการสื่อสตรีมมิ่ง
  • เว็บเซิร์ฟเวอร์ (รวมถึงชุดย่อยของ ASP.NET)
  • เซิร์ฟเวอร์ การปรับปรุงหน้าต่างเซิร์ฟเวอร์;
  • เซิร์ฟเวอร์การจัดการสิทธิ์ Active Directory;
  • Routing and Remote Access Server และบทบาทย่อยต่อไปนี้:
    • นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล
    • การออกใบอนุญาต;
    • การจำลองเสมือน

เมื่อ Windows Server ทำงานในโหมด Server Core คุณลักษณะเซิร์ฟเวอร์ต่อไปนี้ได้รับการสนับสนุน:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • บริการถ่ายโอนอัจฉริยะเบื้องหลัง (BITS);
  • การเข้ารหัสไดรฟ์ด้วย BitLocker;
  • ปลดล็อกเครือข่าย BitLocker;
  • แคชสาขา
  • สะพานศูนย์ข้อมูล
  • พื้นที่เก็บข้อมูลที่เพิ่มขึ้น;
  • การทำคลัสเตอร์ล้มเหลว
  • มัลติพาธ I/O;
  • โหลดบาลานซ์ของเครือข่าย
  • โปรโตคอล PNRP;
  • คิวเวฟ;
  • การบีบอัดส่วนต่างระยะไกล
  • บริการ TCP/IP อย่างง่าย;
  • RPC ผ่านพร็อกซี HTTP;
  • เซิร์ฟเวอร์ SMTP;
  • บริการ SNMP;
  • ลูกค้า Telnet;
  • เซิร์ฟเวอร์เทลเน็ต
  • ลูกค้า TFTP;
  • ฐานข้อมูลภายในของ Windows;
  • การเข้าถึงเว็บ Windows PowerShell;
  • บริการเปิดใช้งาน Windows;
  • การจัดการที่เก็บข้อมูล Windows ที่ได้มาตรฐาน
  • ส่วนขยาย IIS WinRM;
  • เซิร์ฟเวอร์ WINS;
  • รองรับ WoW64

การติดตั้งบทบาทเซิร์ฟเวอร์โดยใช้ Server Manager

หากต้องการเพิ่ม ให้เปิด Server Manager และในเมนู Manage ให้คลิก Add Roles and features:

ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะจะเปิดขึ้น คลิกถัดไป

ประเภทการติดตั้ง เลือกการติดตั้งตามบทบาทหรือตามคุณลักษณะ ต่อไป:

การเลือกเซิร์ฟเวอร์ - เลือกเซิร์ฟเวอร์ของเรา คลิก Next Server Roles - Select roles ถ้าจำเป็น เลือก Role Services และคลิก Next เพื่อเลือกส่วนประกอบ ในระหว่างขั้นตอนนี้ ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะจะแจ้งให้คุณทราบโดยอัตโนมัติเกี่ยวกับข้อขัดแย้งบนเซิร์ฟเวอร์ปลายทาง ซึ่งอาจขัดขวางการติดตั้งหรือการทำงานปกติของบทบาทหรือคุณลักษณะที่เลือก คุณยังได้รับพร้อมท์ให้เพิ่มบทบาท บริการบทบาท และคุณสมบัติที่จำเป็นสำหรับบทบาทหรือคุณสมบัติที่เลือก

การติดตั้งบทบาทด้วย PowerShell

เปิด Windows PowerShell ป้อนคำสั่ง Get-WindowsFeature เพื่อดูรายการบทบาทและคุณสมบัติที่พร้อมใช้งานและติดตั้งบนเซิร์ฟเวอร์ภายในเครื่อง ผลลัพธ์ของ cmdlet นี้มีชื่อคำสั่งสำหรับบทบาทและคุณสมบัติที่ติดตั้งและพร้อมสำหรับการติดตั้ง

พิมพ์ Get-Help Install-WindowsFeature เพื่อดูไวยากรณ์และพารามิเตอร์ที่ถูกต้องสำหรับ cmdlet Install-WindowsFeature (MAN)

ป้อนคำสั่งต่อไปนี้ (-Restart จะรีสตาร์ทเซิร์ฟเวอร์ หากการติดตั้งบทบาทจำเป็นต้องรีสตาร์ท)

ติดตั้ง-WindowsFeature –Name -เริ่มต้นใหม่

คำอธิบายของบทบาทและบริการของบทบาท

บทบาทและบริการตามบทบาททั้งหมดมีคำอธิบายด้านล่าง มาดูการตั้งค่าขั้นสูงสำหรับบทบาทเว็บเซิร์ฟเวอร์และบริการเดสก์ท็อประยะไกลที่พบบ่อยที่สุดในทางปฏิบัติของเรา

คำอธิบายโดยละเอียดของ IIS

  • คุณสมบัติ HTTP ทั่วไป - ส่วนประกอบ HTTP พื้นฐาน
    • เอกสารเริ่มต้น - ให้คุณตั้งค่าหน้าดัชนีสำหรับไซต์
    • การเรียกดูไดเร็กทอรี - อนุญาตให้ผู้ใช้ดูเนื้อหาของไดเร็กทอรีบนเว็บเซิร์ฟเวอร์ ใช้ Directory Browsing เพื่อสร้างรายการไดเร็กทอรีและไฟล์ทั้งหมดในไดเร็กทอรีโดยอัตโนมัติ เมื่อผู้ใช้ไม่ได้ระบุไฟล์ใน URL และหน้าดัชนีถูกปิดใช้งานหรือไม่ได้กำหนดค่า
    • ข้อผิดพลาด HTTP - อนุญาตให้คุณปรับแต่งข้อความแสดงข้อผิดพลาดที่ส่งคืนไปยังไคลเอนต์ในเบราว์เซอร์
    • เนื้อหาคงที่ - อนุญาตให้คุณโพสต์เนื้อหาคงที่ เช่น รูปภาพหรือไฟล์ html
    • HTTP Redirection - รองรับการเปลี่ยนเส้นทางคำขอของผู้ใช้
    • WebDAV Publishing อนุญาตให้คุณเผยแพร่ไฟล์จากเว็บเซิร์ฟเวอร์โดยใช้โปรโตคอล HTTP
  • คุณลักษณะด้านสุขภาพและการวินิจฉัย - ส่วนประกอบการวินิจฉัย
    • HTTP Logging ให้การบันทึกกิจกรรมเว็บไซต์สำหรับเซิร์ฟเวอร์ที่กำหนด
    • การบันทึกแบบกำหนดเองให้การสนับสนุนสำหรับการสร้างบันทึกแบบกำหนดเองที่แตกต่างจากบันทึก "ดั้งเดิม"
    • เครื่องมือบันทึกมีเฟรมเวิร์กสำหรับจัดการบันทึกของเว็บเซิร์ฟเวอร์และทำให้งานบันทึกทั่วไปเป็นแบบอัตโนมัติ
    • การบันทึก ODBC มีเฟรมเวิร์กที่สนับสนุนการบันทึกกิจกรรมของเว็บเซิร์ฟเวอร์ไปยังฐานข้อมูลที่สอดคล้องกับ ODBC
    • การตรวจสอบคำขอให้เฟรมเวิร์กสำหรับการตรวจสอบสถานะของเว็บแอปพลิเคชันโดยการรวบรวมข้อมูลเกี่ยวกับคำขอ HTTP ในกระบวนการของผู้ปฏิบัติงาน IIS
    • Tracing จัดเตรียมเฟรมเวิร์กสำหรับการวินิจฉัยและแก้ไขปัญหาเว็บแอปพลิเคชัน เมื่อใช้การติดตามคำขอที่ล้มเหลว คุณสามารถติดตามเหตุการณ์ที่ค้นหาได้ยาก เช่น ประสิทธิภาพต่ำหรือการตรวจสอบสิทธิ์ล้มเหลว
  • องค์ประกอบประสิทธิภาพเพื่อเพิ่มประสิทธิภาพการทำงานของเว็บเซิร์ฟเวอร์
    • การบีบอัดเนื้อหาแบบคงที่จัดเตรียมเฟรมเวิร์กสำหรับการกำหนดค่าการบีบอัด HTTP ของเนื้อหาแบบคงที่
    • การบีบอัดเนื้อหาแบบไดนามิกจัดเตรียมเฟรมเวิร์กสำหรับการกำหนดค่าการบีบอัด HTTP ของเนื้อหาแบบไดนามิก
  • ส่วนประกอบความปลอดภัย
    • การกรองคำขอช่วยให้คุณสามารถบันทึกคำขอที่เข้ามาทั้งหมดและกรองตามกฎที่ผู้ดูแลระบบกำหนด
    • Basic Authentication ให้คุณตั้งค่าการอนุญาตเพิ่มเติมได้
    • การรองรับใบรับรอง SSL แบบรวมศูนย์เป็นคุณสมบัติที่ช่วยให้คุณจัดเก็บใบรับรองในตำแหน่งศูนย์กลาง เช่น การแชร์ไฟล์
    • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ใช้ใบรับรองไคลเอ็นต์เพื่อตรวจสอบสิทธิ์ผู้ใช้
    • Digest Authentication ทำงานโดยส่งแฮชรหัสผ่านไปยังตัวควบคุมโดเมน Windows เพื่อรับรองความถูกต้องของผู้ใช้ หากคุณต้องการเพิ่มเติม ระดับสูงความปลอดภัยเมื่อเทียบกับการรับรองความถูกต้องพื้นฐาน ให้พิจารณาใช้การรับรองความถูกต้องแบบแยกย่อย
    • IIS Client Certificate Mapping Authentication ใช้ใบรับรองไคลเอ็นต์ในการตรวจสอบสิทธิ์ผู้ใช้ ใบรับรองไคลเอนต์คือรหัสดิจิทัลที่ได้รับจากแหล่งที่เชื่อถือได้
    • ข้อ จำกัด IP และโดเมน อนุญาตให้คุณอนุญาต / ปฏิเสธการเข้าถึงตามที่อยู่ IP หรือชื่อโดเมนที่ร้องขอ
    • การอนุญาต URL ช่วยให้คุณสร้างกฎที่จำกัดการเข้าถึงเนื้อหาเว็บ
    • การรับรองความถูกต้องของ Windows รูปแบบการตรวจสอบความถูกต้องนี้ช่วยให้ผู้ดูแลระบบโดเมน Windows สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของโดเมนสำหรับการรับรองความถูกต้องของผู้ใช้
  • คุณสมบัติการพัฒนาแอพพลิเคชั่น
  • เซิร์ฟเวอร์ FTP
    • บริการ FTP เปิดใช้งานการเผยแพร่ FTP ไปยังเว็บเซิร์ฟเวอร์
    • ความสามารถในการขยาย FTP เปิดใช้งานการรองรับคุณสมบัติ FTP ที่ขยายการทำงานของ
  • เครื่องมือการจัดการ
    • IIS Management Console จะติดตั้ง IIS Manager ซึ่งช่วยให้คุณจัดการเว็บเซิร์ฟเวอร์ผ่าน GUI
    • IIS 6.0 Management Compatibility ให้ความเข้ากันได้แบบส่งต่อสำหรับแอปพลิเคชันและสคริปต์ที่ใช้ Admin Base Object (ABO) และ Directory Service Interface (ADSI) Active Directory API ซึ่งอนุญาตให้ใช้สคริปต์ IIS 6.0 ที่มีอยู่โดยเว็บเซิร์ฟเวอร์ IIS 8.0
    • สคริปต์และเครื่องมือการจัดการ IIS จัดเตรียมโครงสร้างพื้นฐานในการจัดการเว็บเซิร์ฟเวอร์ IIS โดยทางโปรแกรมโดยใช้คำสั่งใน บรรทัดคำสั่งหรือโดยการเรียกใช้สคริปต์
    • บริการการจัดการจัดเตรียมโครงสร้างพื้นฐานสำหรับการปรับแต่งส่วนติดต่อผู้ใช้ IIS Manager

คำอธิบายโดยละเอียดของ RDS

  • นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล - ให้การเชื่อมต่ออุปกรณ์ไคลเอนต์กับโปรแกรมตามเซสชันเดสก์ท็อปและเดสก์ท็อปเสมือนอีกครั้ง
  • เกตเวย์เดสก์ท็อประยะไกล - อนุญาตให้ผู้ใช้ที่ได้รับอนุญาตเชื่อมต่อกับเดสก์ท็อปเสมือน โปรแกรม RemoteApp และเดสก์ท็อปแบบเซสชันบนเครือข่ายองค์กรหรือผ่านอินเทอร์เน็ต
  • สิทธิ์ใช้งานเดสก์ท็อประยะไกล - เครื่องมือจัดการสิทธิ์การใช้งาน RDP
  • โฮสต์เซสชันเดสก์ท็อประยะไกล - รวมเซิร์ฟเวอร์เพื่อโฮสต์โปรแกรม RemoteApp หรือเซสชันบนเดสก์ท็อป
  • โฮสต์การจำลองเสมือนเดสก์ท็อประยะไกล - อนุญาตให้คุณกำหนดค่า RDP บนเครื่องเสมือน
  • Remote Desktop WebAccess - อนุญาตให้ผู้ใช้เชื่อมต่อกับทรัพยากรเดสก์ท็อปโดยใช้เมนู Start หรือเว็บเบราว์เซอร์

พิจารณาการติดตั้งและกำหนดค่าเซิร์ฟเวอร์ใบอนุญาตเทอร์มินัล ข้างต้นอธิบายวิธีการติดตั้งบทบาท การติดตั้ง RDS ไม่แตกต่างจากการติดตั้งบทบาทอื่นๆ ใน Role Services เราจำเป็นต้องเลือก Remote Desktop Licensing และ Remote Desktop Session Host หลังการติดตั้ง รายการ Terminal Services จะปรากฏใน Server Manager-Tools มีสองรายการใน Terminal Services RD Licensing Diagnoser ซึ่งเป็นเครื่องมือสำหรับวินิจฉัยการดำเนินการให้สิทธิ์ใช้งานเดสก์ท็อประยะไกล และ Remote Desktop Licensing Manager ซึ่งเป็นเครื่องมือจัดการสิทธิ์การใช้งาน

เรียกใช้ตัววิเคราะห์การให้สิทธิ์การใช้งาน RD

ที่นี่เราจะเห็นว่ายังไม่มีสิทธิ์ใช้งานเนื่องจากไม่ได้ตั้งค่าโหมดสิทธิ์ใช้งานสำหรับเซิร์ฟเวอร์โฮสต์เซสชัน RD เซิร์ฟเวอร์สิทธิ์การใช้งานระบุไว้ในนโยบายกลุ่มภายในเครื่อง ในการเรียกใช้โปรแกรมแก้ไข ให้รันคำสั่ง gpedit.msc ตัวแก้ไขนโยบายกลุ่มภายในเปิดขึ้น ในแผนภูมิทางด้านซ้าย ให้ขยายแท็บ:

  • การกำหนดค่าคอมพิวเตอร์
  • เทมเพลตการดูแลระบบ
  • ส่วนประกอบของ Windows
  • บริการเดสก์ท็อประยะไกล
  • โฮสต์เซสชันเดสก์ท็อประยะไกล
  • “การออกใบอนุญาต” (การออกใบอนุญาต)

เปิดพารามิเตอร์ ใช้เซิร์ฟเวอร์ใบอนุญาตเดสก์ท็อประยะไกลที่ระบุ

ในหน้าต่างแก้ไขการตั้งค่านโยบาย เปิดใช้งานเซิร์ฟเวอร์สิทธิ์ใช้งาน (เปิดใช้งาน) ถัดไป คุณต้องกำหนดเซิร์ฟเวอร์ใบอนุญาตสำหรับบริการเดสก์ท็อประยะไกล ในตัวอย่างของฉัน เซิร์ฟเวอร์ใบอนุญาตอยู่บนที่เดียวกัน เซิร์ฟเวอร์จริง. ระบุชื่อเครือข่ายหรือที่อยู่ IP ของเซิร์ฟเวอร์ใบอนุญาตและคลิกตกลง หากชื่อเซิร์ฟเวอร์ เซิร์ฟเวอร์ใบอนุญาตมีการเปลี่ยนแปลงในอนาคต คุณจะต้องเปลี่ยนในส่วนเดียวกัน

หลังจากนั้น ใน RD Licensing Diagnoser คุณจะเห็นว่าเซิร์ฟเวอร์สิทธิ์การใช้งานเทอร์มินัลได้รับการกำหนดค่า แต่ไม่ได้เปิดใช้งาน ในการเปิดใช้งาน ให้รัน Remote Desktop Licensing Manager

เลือกเซิร์ฟเวอร์สิทธิ์ใช้งานโดยมีสถานะไม่เปิดใช้งาน หากต้องการเปิดใช้งาน ให้คลิกขวาที่มันแล้วเลือก เปิดใช้งานเซิร์ฟเวอร์ ตัวช่วยสร้างการเปิดใช้งานเซิร์ฟเวอร์จะเริ่มต้นขึ้น บนแท็บ วิธีการเชื่อมต่อ เลือก การเชื่อมต่ออัตโนมัติ ถัดไป กรอกข้อมูลเกี่ยวกับองค์กร หลังจากนั้นเซิร์ฟเวอร์ใบอนุญาตจะเปิดใช้งาน

บริการใบรับรอง Active Directory

AD CS ให้บริการที่กำหนดค่าได้สำหรับการออกและจัดการใบรับรองดิจิทัลที่ใช้ในระบบความปลอดภัยของซอฟต์แวร์ที่ใช้เทคโนโลยีคีย์สาธารณะ ใบรับรองดิจิทัลที่จัดทำโดย AD CS สามารถใช้สำหรับการเข้ารหัสและการเซ็นชื่อดิจิทัล เอกสารอิเล็กทรอนิกส์และข้อความใบรับรองดิจิทัลเหล่านี้สามารถใช้เพื่อรับรองความถูกต้องของบัญชีคอมพิวเตอร์ ผู้ใช้ และอุปกรณ์บนเครือข่ายได้ ใบรับรองดิจิทัลใช้เพื่อระบุ:

  • ความเป็นส่วนตัวผ่านการเข้ารหัส
  • ความสมบูรณ์ผ่านลายเซ็นดิจิทัล
  • การรับรองความถูกต้องโดยการเชื่อมโยงคีย์ใบรับรองกับบัญชีคอมพิวเตอร์ ผู้ใช้ และอุปกรณ์บนเครือข่าย

สามารถใช้ AD CS เพื่อปรับปรุงความปลอดภัยได้โดยการผูกข้อมูลประจำตัวของผู้ใช้ อุปกรณ์ หรือบริการเข้ากับคีย์ส่วนตัวที่เกี่ยวข้อง การใช้งานที่สนับสนุนโดย AD CS รวมถึงการป้องกันส่วนขยายมาตรฐานอินเทอร์เน็ตเมล (S/MIME) อเนกประสงค์ที่ปลอดภัย เครือข่ายไร้สาย, เครือข่ายส่วนตัวเสมือน (VPN), โปรโตคอล IPsec, Encrypting File System (EFS), Smart Card Login, Data Transfer Security and Transport Layer Security (SSL/TLS) และลายเซ็นดิจิทัล

บริการโดเมน Active Directory

การใช้บทบาทเซิร์ฟเวอร์ Active Directory Domain Services (AD DS) คุณสามารถสร้างโครงสร้างพื้นฐานที่ปรับขนาดได้ ปลอดภัย และจัดการได้สำหรับการจัดการผู้ใช้และทรัพยากร คุณยังสามารถจัดเตรียมแอปพลิเคชันที่เปิดใช้งานไดเร็กทอรี เช่น Microsoft Exchange Server Active Directory Domain Services จัดเตรียมฐานข้อมูลแบบกระจายที่เก็บและจัดการข้อมูลเกี่ยวกับทรัพยากรเครือข่ายและข้อมูลแอปพลิเคชันที่เปิดใช้งานไดเรกทอรี เซิร์ฟเวอร์ที่กำลังเรียกใช้ AD DS เรียกว่าตัวควบคุมโดเมน ผู้ดูแลระบบสามารถใช้ AD DS เพื่อจัดระเบียบองค์ประกอบเครือข่าย เช่น ผู้ใช้ คอมพิวเตอร์ และอุปกรณ์อื่นๆ ให้เป็นโครงสร้างที่ซ้อนกันแบบลำดับชั้น โครงสร้างที่ซ้อนกันแบบลำดับชั้นประกอบด้วยฟอเรสต์ Active Directory โดเมนในฟอเรสต์ และหน่วยขององค์กรในแต่ละโดเมน คุณลักษณะด้านความปลอดภัยถูกรวมเข้ากับ AD DS ในรูปแบบของการรับรองความถูกต้องและการควบคุมการเข้าถึงทรัพยากรในไดเร็กทอรี ด้วยการลงชื่อเข้าใช้เพียงครั้งเดียว ผู้ดูแลระบบสามารถจัดการข้อมูลไดเร็กทอรีและองค์กรผ่านเครือข่ายได้ ผู้ใช้เครือข่ายที่ได้รับอนุญาตยังสามารถใช้การลงชื่อเพียงครั้งเดียวของเครือข่ายเพื่อเข้าถึงทรัพยากรที่อยู่ที่ใดก็ได้บนเครือข่าย Active Directory Domain Services มีคุณสมบัติเพิ่มเติมดังต่อไปนี้

  • ชุดของกฎเป็นสคีมาที่กำหนดคลาสของอ็อบเจ็กต์และคุณลักษณะที่มีอยู่ในไดเร็กทอรี ข้อจำกัดและขีดจำกัดบนอินสแตนซ์ของอ็อบเจ็กต์เหล่านั้น และรูปแบบของชื่อ
  • แค็ตตาล็อกส่วนกลางที่มีข้อมูลเกี่ยวกับแต่ละออบเจกต์ในแค็ตตาล็อก ผู้ใช้และผู้ดูแลระบบสามารถใช้แค็ตตาล็อกส่วนกลางเพื่อค้นหาข้อมูลแคตตาล็อก โดยไม่คำนึงว่าโดเมนใดในแค็ตตาล็อกมีข้อมูลที่ค้นหาอยู่จริง
  • กลไกการสืบค้นและการจัดทำดัชนีซึ่งวัตถุและคุณสมบัติสามารถเผยแพร่และระบุตำแหน่งได้ ผู้ใช้เครือข่ายและแอพพลิเคชั่น
  • บริการจำลองที่กระจายข้อมูลไดเร็กทอรีทั่วทั้งเครือข่าย ตัวควบคุมโดเมนแบบเขียนได้ทั้งหมดในโดเมนมีส่วนร่วมในการจำลองแบบและมีสำเนาที่สมบูรณ์ของข้อมูลไดเร็กทอรีทั้งหมดสำหรับโดเมนของตน การเปลี่ยนแปลงใด ๆ กับข้อมูลไดเร็กทอรีจะถูกจำลองแบบในโดเมนไปยังตัวควบคุมโดเมนทั้งหมด
  • บทบาทหลักของการดำเนินงาน (หรือที่เรียกว่าการดำเนินการหลักเดี่ยวแบบยืดหยุ่นหรือ FSMO) ตัวควบคุมโดเมนที่ทำหน้าที่เป็นผู้เชี่ยวชาญในการดำเนินงานได้รับการออกแบบให้ทำงานพิเศษเพื่อให้แน่ใจว่าข้อมูลมีความสอดคล้องกันและหลีกเลี่ยงรายการไดเร็กทอรีที่ขัดแย้งกัน

บริการสหพันธรัฐ Active Directory

AD FS ช่วยให้ผู้ใช้ปลายทางที่ต้องการเข้าถึงแอปพลิเคชันในองค์กรที่มีการรักษาความปลอดภัยของ AD FS ในองค์กรพันธมิตรแบบสหพันธรัฐหรือในระบบคลาวด์ด้วยการรวมข้อมูลประจำตัวที่เรียบง่ายและปลอดภัยและบริการบนเว็บแบบลงชื่อเพียงครั้งเดียว (SSO) Windows Server AD FS ประกอบด้วย บริการตามบทบาท Federation Service ทำหน้าที่เป็นผู้ให้บริการข้อมูลประจำตัว (ตรวจสอบผู้ใช้เพื่อจัดหาโทเค็นความปลอดภัยให้กับแอปพลิเคชันที่เชื่อถือ AD FS) หรือเป็นผู้ให้บริการสหพันธรัฐ (ใช้โทเค็นจากผู้ให้บริการข้อมูลประจำตัวอื่นๆ

Active Directory บริการไดเรกทอรีน้ำหนักเบา

Active Directory Lightweight Directory Services (AD LDS) เป็นโปรโตคอล LDAP ที่ให้การสนับสนุนที่ยืดหยุ่นสำหรับแอปพลิเคชันไดเรกทอรี โดยไม่มีการขึ้นต่อกันและข้อจำกัดเฉพาะโดเมนของ Active Directory Domain Services AD LDS สามารถทำงานบนเซิร์ฟเวอร์สมาชิกหรือเซิร์ฟเวอร์แบบสแตนด์อโลน คุณสามารถเรียกใช้ AD LDS ได้หลายอินสแตนซ์ด้วยสกีมาที่มีการจัดการโดยอิสระบนเซิร์ฟเวอร์เดียวกัน ด้วยบทบาทบริการ AD LDS คุณสามารถให้บริการไดเร็กทอรีแก่แอปพลิเคชันที่เปิดใช้งานไดเร็กทอรีโดยไม่ต้องใช้โดเมนและข้อมูลบริการฟอเรสต์ และไม่ต้องใช้สคีมาทั่วทั้งฟอเรสต์เดียว

บริการจัดการสิทธิ์ของ Active Directory

คุณสามารถใช้ AD RMS เพื่อขยายกลยุทธ์การรักษาความปลอดภัยขององค์กรของคุณโดยการรักษาความปลอดภัยเอกสารโดยใช้การจัดการสิทธิ์ในข้อมูล (IRM) AD RMS ช่วยให้ผู้ใช้และผู้ดูแลระบบกำหนดสิทธิ์การเข้าถึงเอกสาร สมุดงาน และงานนำเสนอโดยใช้นโยบาย IRM สิ่งนี้ทำให้คุณสามารถปกป้องข้อมูลที่เป็นความลับจากการถูกพิมพ์ ส่งต่อ หรือคัดลอกโดยผู้ใช้ที่ไม่ได้รับอนุญาต เมื่อสิทธิ์ของไฟล์ถูกจำกัดโดยใช้ IRM ข้อจำกัดการเข้าถึงและการใช้งานจะถูกนำไปใช้โดยไม่คำนึงถึงตำแหน่งที่ตั้งของข้อมูล เนื่องจากการอนุญาตของไฟล์จะถูกจัดเก็บไว้ในตัวไฟล์เอกสารเอง ด้วย AD RMS และ IRM ผู้ใช้แต่ละคนสามารถใช้การตั้งค่าของตนเองเกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลและข้อมูลลับ นอกจากนี้ยังช่วยให้องค์กรบังคับใช้นโยบายองค์กรเพื่อควบคุมการใช้และการแจกจ่ายข้อมูลส่วนบุคคลที่ละเอียดอ่อน โซลูชัน IRM ที่สนับสนุนโดย AD RMS ใช้เพื่อมอบความสามารถดังต่อไปนี้

  • นโยบายการใช้งานแบบต่อเนื่องที่คงอยู่กับข้อมูลไม่ว่าจะถูกย้าย ส่ง หรือส่งต่อ
  • ความเป็นส่วนตัวเพิ่มเติมอีกชั้นเพื่อปกป้องข้อมูลที่ละเอียดอ่อน - เช่น รายงาน ข้อมูลจำเพาะของผลิตภัณฑ์ ข้อมูลลูกค้า และข้อความอีเมล - จากการตกไปอยู่ในมือผู้ไม่หวังดีโดยตั้งใจหรือไม่ตั้งใจ
  • ป้องกันการส่ง คัดลอก แก้ไข พิมพ์ แฟกซ์ หรือวางเนื้อหาที่ถูกจำกัดโดยไม่ได้รับอนุญาตโดยผู้รับที่ได้รับอนุญาต
  • ป้องกันการคัดลอกเนื้อหาที่ถูกจำกัดโดยใช้คุณสมบัติ PRINT SCREEN ใน Microsoft Windows
  • รองรับการหมดอายุของไฟล์ ป้องกันการดูเนื้อหาเอกสารหลังจากระยะเวลาที่กำหนด
  • ใช้นโยบายองค์กรที่ควบคุมการใช้และการแจกจ่ายเนื้อหาภายในองค์กร

เซิร์ฟเวอร์แอปพลิเคชัน

Application Server จัดเตรียมสภาพแวดล้อมแบบบูรณาการสำหรับการปรับใช้และรันแอปพลิเคชันธุรกิจบนเซิร์ฟเวอร์แบบกำหนดเอง

เซิร์ฟเวอร์ DHCP

DHCP เป็นเทคโนโลยีไคลเอนต์เซิร์ฟเวอร์ที่อนุญาตให้เซิร์ฟเวอร์ DHCP กำหนดหรือเช่าที่อยู่ IP ให้กับคอมพิวเตอร์และอุปกรณ์อื่น ๆ ที่เป็นไคลเอ็นต์ DHCP การปรับใช้เซิร์ฟเวอร์ DHCP บนเครือข่ายจะให้คอมพิวเตอร์ไคลเอนต์และอุปกรณ์เครือข่ายอื่น ๆ โดยอัตโนมัติตามที่อยู่ IP ที่ถูกต้องของ IPv4 และ IPv6 และการตั้งค่าการกำหนดค่าเพิ่มเติมที่จำเป็นโดยไคลเอนต์และอุปกรณ์เหล่านี้ บริการ DHCP Server ใน Windows Server รวมถึงการสนับสนุนการกำหนดตามนโยบายและ DHCP ล้มเหลว

เซิร์ฟเวอร์ DNS

บริการ DNS เป็นฐานข้อมูลแบบกระจายลำดับชั้นที่มีการแมปชื่อโดเมน DNS กับข้อมูลประเภทต่างๆ เช่น ที่อยู่ IP บริการ DNS อนุญาตให้คุณใช้ชื่อที่จำง่าย เช่น www.microsoft.com เพื่อช่วยระบุตำแหน่งคอมพิวเตอร์และทรัพยากรอื่นๆ บนเครือข่ายที่ใช้ TCP/IP บริการ Windows Server DNS ให้การสนับสนุนเพิ่มเติมสำหรับ DNS Security Modules (DNSSEC) รวมถึงการลงทะเบียนเครือข่ายและ การควบคุมอัตโนมัติพารามิเตอร์

แฟกซ์เซิร์ฟเวอร์

Fax Server ส่งและรับแฟกซ์ และอนุญาตให้คุณจัดการทรัพยากรแฟกซ์ เช่น งาน การตั้งค่า รายงาน และอุปกรณ์แฟกซ์บนเซิร์ฟเวอร์แฟกซ์ของคุณ

บริการไฟล์และที่เก็บข้อมูล

ผู้ดูแลระบบสามารถใช้บทบาท File and Storage Services เพื่อตั้งค่าเซิร์ฟเวอร์ไฟล์หลายตัวและพื้นที่เก็บข้อมูล และจัดการเซิร์ฟเวอร์เหล่านั้นโดยใช้ Server Manager หรือ Windows PowerShell แอปพลิเคชั่นเฉพาะบางอย่างมีคุณสมบัติดังต่อไปนี้

  • โฟลเดอร์ทำงาน ใช้เพื่อให้ผู้ใช้สามารถจัดเก็บและเข้าถึงไฟล์งานบนคอมพิวเตอร์ส่วนบุคคลและอุปกรณ์อื่นๆ นอกเหนือจากพีซีของบริษัท ผู้ใช้จะได้รับความสะดวกในการจัดเก็บไฟล์งานและเข้าถึงได้จากทุกที่ องค์กรควบคุมข้อมูลองค์กรโดยการจัดเก็บไฟล์บนเซิร์ฟเวอร์ไฟล์ที่มีการจัดการจากส่วนกลาง และเลือกตั้งค่านโยบายอุปกรณ์ของผู้ใช้ (เช่น รหัสผ่านการเข้ารหัสและล็อคหน้าจอ)
  • การขจัดข้อมูลซ้ำซ้อน ใช้เพื่อลดความต้องการพื้นที่ดิสก์ในการจัดเก็บไฟล์ ประหยัดเงินในการจัดเก็บ
  • เซิร์ฟเวอร์เป้าหมาย iSCSI ใช้เพื่อสร้างระบบย่อยดิสก์ iSCSI แบบรวมศูนย์ ซอฟต์แวร์ และอุปกรณ์อิสระในเครือข่ายพื้นที่เก็บข้อมูล (SANs)
  • พื้นที่ดิสก์ ใช้เพื่อปรับใช้พื้นที่จัดเก็บข้อมูลที่พร้อมใช้งานสูง ยืดหยุ่น และปรับขนาดได้ด้วยไดรฟ์มาตรฐานอุตสาหกรรมที่คุ้มค่า
  • ผู้จัดการเซิร์ฟเวอร์ ใช้จัดการเซิร์ฟเวอร์ไฟล์หลายตัวจากระยะไกลจากหน้าต่างเดียว
  • Windows PowerShell ใช้เพื่อทำให้การจัดการงานการดูแลเซิร์ฟเวอร์ไฟล์ส่วนใหญ่เป็นแบบอัตโนมัติ

ไฮเปอร์-วี

บทบาท Hyper-V ช่วยให้คุณสร้างและจัดการสภาพแวดล้อมการประมวลผลเสมือนจริงโดยใช้เทคโนโลยีการจำลองเสมือนที่มีอยู่ใน Windows Server การติดตั้งบทบาท Hyper-V จะติดตั้งข้อกำหนดเบื้องต้นและเครื่องมือการจัดการเพิ่มเติม ข้อกำหนดเบื้องต้น ได้แก่ ไฮเปอร์ไวเซอร์ของ Windows บริการการจัดการ เครื่องเสมือน Hyper-V, ผู้ให้บริการการจำลองเสมือน WMI และส่วนประกอบการจำลองเสมือน เช่น VMbus, ผู้ให้บริการการจำลองเสมือน (VSP) และไดรเวอร์โครงสร้างพื้นฐานเสมือน (VID)

นโยบายเครือข่ายและบริการการเข้าถึง

Network Policy and Access Services ให้บริการโซลูชั่นการเชื่อมต่อเครือข่ายดังต่อไปนี้:

  • การป้องกันการเข้าถึงเครือข่ายเป็นเทคโนโลยีสำหรับการสร้าง บังคับใช้ และแก้ไขนโยบายสถานภาพของไคลเอ็นต์ ด้วยการป้องกันการเข้าถึงเครือข่าย ผู้ดูแลระบบสามารถตั้งค่าและบังคับใช้นโยบายด้านสุขภาพโดยอัตโนมัติ ซึ่งรวมถึงข้อกำหนดสำหรับซอฟต์แวร์ การอัปเดตความปลอดภัย และการตั้งค่าอื่นๆ สำหรับคอมพิวเตอร์ไคลเอ็นต์ที่ไม่เป็นไปตามนโยบายด้านสุขภาพ คุณสามารถจำกัดการเข้าถึงเครือข่ายได้จนกว่าการกำหนดค่าของคอมพิวเตอร์จะได้รับการอัปเดตให้สอดคล้องกับข้อกำหนดของนโยบาย
  • หากมีการปรับใช้จุดเชื่อมต่อไร้สายที่เปิดใช้งาน 802.1X คุณสามารถใช้ Network Policy Server (NPS) เพื่อปรับใช้วิธีการรับรองความถูกต้องตามใบรับรองที่มีความปลอดภัยมากกว่าการรับรองความถูกต้องด้วยรหัสผ่าน การใช้ฮาร์ดแวร์ที่เปิดใช้งาน 802.1X กับเซิร์ฟเวอร์ NPS ช่วยให้ผู้ใช้อินทราเน็ตได้รับการพิสูจน์ตัวตนก่อนที่จะสามารถเชื่อมต่อกับเครือข่ายหรือรับที่อยู่ IP จากเซิร์ฟเวอร์ DHCP
  • แทนที่จะกำหนดค่านโยบายการเข้าถึงเครือข่ายในแต่ละเซิร์ฟเวอร์การเข้าถึงเครือข่าย คุณสามารถสร้างนโยบายทั้งหมดจากส่วนกลางที่กำหนดทุกแง่มุมของคำขอเชื่อมต่อเครือข่าย (ใครสามารถเชื่อมต่อ เมื่ออนุญาตการเชื่อมต่อ ระดับความปลอดภัยที่ต้องใช้เพื่อเชื่อมต่อกับเครือข่าย ).

บริการสิ่งพิมพ์และเอกสาร

บริการพิมพ์และเอกสารช่วยให้คุณสามารถรวมศูนย์งานเซิร์ฟเวอร์การพิมพ์และเครื่องพิมพ์เครือข่าย บทบาทนี้ยังช่วยให้คุณรับเอกสารที่สแกนจากเครื่องสแกนเครือข่ายและอัปโหลดเอกสารไปยังเครือข่ายที่ใช้ร่วมกัน - ไปยังไซต์ Windows SharePoint Services หรือทางอีเมล

การเข้าถึงระยะไกล

บทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลคือการจัดกลุ่มทางตรรกะของเทคโนโลยีการเข้าถึงเครือข่ายต่อไปนี้

  • การเข้าถึงโดยตรง
  • การกำหนดเส้นทางและการเข้าถึงระยะไกล
  • พร็อกซีแอปพลิเคชันเว็บ

เทคโนโลยีเหล่านี้คือ บริการตามบทบาทบทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกล เมื่อคุณติดตั้งบทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกล คุณสามารถติดตั้งหนึ่งบริการหรือมากกว่าหนึ่งบทบาทได้โดยการเรียกใช้ตัวช่วยสร้างการเพิ่มบทบาทและคุณลักษณะ

บน Windows Server บทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลมีความสามารถในการจัดการจากส่วนกลาง กำหนดค่า และตรวจสอบ DirectAccess และ VPN ด้วยบริการการเข้าถึงระยะไกล Routing and Remote Access Service (RRAS) สามารถใช้ DirectAccess และ RRAS บน Edge Server เดียวกันและจัดการโดยใช้คำสั่ง Windows PowerShell และ Remote Access Management Console (MMC)

บริการเดสก์ท็อประยะไกล

บริการเดสก์ท็อประยะไกลช่วยเร่งและขยายการปรับใช้เดสก์ท็อปและแอปพลิเคชันบนอุปกรณ์ใดๆ ทำให้ผู้ปฏิบัติงานระยะไกลมีประสิทธิภาพมากขึ้นในขณะเดียวกันก็รักษาความปลอดภัยทรัพย์สินทางปัญญาที่สำคัญและทำให้การปฏิบัติตามข้อกำหนดง่ายขึ้น บริการเดสก์ท็อประยะไกลประกอบด้วยโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) เดสก์ท็อปแบบเซสชัน และแอปพลิเคชัน ทำให้ผู้ใช้สามารถทำงานได้จากทุกที่

บริการเปิดใช้งานปริมาณ

บริการเปิดใช้งาน ใบอนุญาตขององค์กรเป็นบทบาทเซิร์ฟเวอร์ใน Windows Server ที่เริ่มต้นด้วย Windows Server 2012 ที่ทำให้การออกและการจัดการ Volume License สำหรับซอฟต์แวร์ Microsoft เป็นไปโดยอัตโนมัติและง่ายขึ้นในสถานการณ์และสภาพแวดล้อมที่หลากหลาย คุณสามารถติดตั้งและกำหนดค่า Key Management Service (KMS) และการเปิดใช้งาน Active Directory ร่วมกับ Volume License Activation Services ได้

เว็บเซิร์ฟเวอร์ (IIS)

บทบาทเว็บเซิร์ฟเวอร์ (IIS) ใน Windows Server จัดเตรียมแพลตฟอร์มสำหรับการโฮสต์เว็บไซต์ บริการ และแอปพลิเคชัน การใช้เว็บเซิร์ฟเวอร์ทำให้ผู้ใช้สามารถเข้าถึงข้อมูลบนอินเทอร์เน็ต อินทราเน็ต และเอกซ์ทราเน็ต ผู้ดูแลระบบสามารถใช้บทบาทเว็บเซิร์ฟเวอร์ (IIS) เพื่อตั้งค่าและจัดการเว็บไซต์ เว็บแอปพลิเคชัน และไซต์ FTP หลายรายการ คุณสมบัติพิเศษมีดังต่อไปนี้

  • ใช้ Internet Information Services (IIS) Manager เพื่อกำหนดค่าส่วนประกอบ IIS และจัดการเว็บไซต์
  • การใช้โปรโตคอล FTP เพื่อให้เจ้าของเว็บไซต์สามารถอัพโหลดและดาวน์โหลดไฟล์ได้
  • การใช้การแยกเว็บไซต์เพื่อป้องกันไม่ให้เว็บไซต์หนึ่งบนเซิร์ฟเวอร์ส่งผลกระทบต่อเว็บไซต์อื่น
  • การปรับแต่งเว็บแอปพลิเคชันที่พัฒนาโดยใช้เทคโนโลยีต่างๆ เช่น Classic ASP, ASP.NET และ PHP
  • ใช้ Windows PowerShell เพื่อจัดการงานการดูแลระบบเว็บเซิร์ฟเวอร์ส่วนใหญ่โดยอัตโนมัติ
  • รวมเซิร์ฟเวอร์เว็บหลายตัวไว้ในฟาร์มเซิร์ฟเวอร์ที่สามารถจัดการได้โดยใช้ IIS

บริการการปรับใช้ Windows

Windows Deployment Services ช่วยให้คุณสามารถปรับใช้ระบบปฏิบัติการ Windows ผ่านเครือข่าย ซึ่งหมายความว่าคุณไม่จำเป็นต้องติดตั้งระบบปฏิบัติการแต่ละระบบโดยตรงจากซีดีหรือดีวีดี

ประสบการณ์ Windows Server Essentials

บทบาทนี้ช่วยให้คุณทำงานต่อไปนี้:

  • ปกป้องข้อมูลเซิร์ฟเวอร์และไคลเอ็นต์โดยสำรองข้อมูลเซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอนต์ทั้งหมดบนเครือข่าย
  • จัดการผู้ใช้และกลุ่มผู้ใช้ผ่านแดชบอร์ดเซิร์ฟเวอร์ที่เรียบง่าย นอกจากนี้ การรวมเข้ากับ Windows Azure Active Directory* ช่วยให้ผู้ใช้เข้าถึงบริการออนไลน์ของ Microsoft ทางออนไลน์ (เช่น Office 365, Exchange Online และ SharePoint Online) ได้อย่างง่ายดายโดยใช้ข้อมูลประจำตัวของโดเมน
  • จัดเก็บข้อมูลบริษัทไว้ในที่ส่วนกลาง
  • รวมเซิร์ฟเวอร์เข้ากับ Microsoft Online Services (เช่น Office 365, Exchange Online, SharePoint Online และ Windows Intune):
  • ใช้คุณสมบัติการเข้าถึงที่แพร่หลายบนเซิร์ฟเวอร์ (เช่น การเข้าถึงเว็บระยะไกลและเครือข่ายส่วนตัวเสมือน) เพื่อเข้าถึงเซิร์ฟเวอร์ คอมพิวเตอร์เครือข่าย และข้อมูลจากตำแหน่งระยะไกลที่มีความปลอดภัยสูง
  • เข้าถึงข้อมูลจากทุกที่และจากอุปกรณ์ใด ๆ โดยใช้เว็บพอร์ทัลขององค์กร (ผ่านการเข้าถึงเว็บระยะไกล)
  • จัดการอุปกรณ์เคลื่อนที่ที่เข้าถึงอีเมลขององค์กรของคุณด้วย Office 365 ผ่านโปรโตคอล Active Sync จากแดชบอร์ด
  • ตรวจสอบสถานะของเครือข่ายและรับรายงานสถานะที่ปรับแต่งได้ สามารถสร้างรายงานตามความต้องการ ปรับแต่ง และส่งอีเมลไปยังผู้รับเฉพาะราย

บริการอัพเดต Windows Server

เซิร์ฟเวอร์ WSUS มีส่วนประกอบที่ผู้ดูแลระบบต้องการเพื่อจัดการและเผยแพร่การอัปเดตผ่านคอนโซลการจัดการ นอกจากนี้ เซิร์ฟเวอร์ WSUS ยังสามารถเป็นแหล่งที่มาของการอัปเดตสำหรับเซิร์ฟเวอร์ WSUS อื่นๆ ในองค์กร เมื่อใช้งาน WSUS เซิร์ฟเวอร์ WSUS อย่างน้อยหนึ่งเครื่องบนเครือข่ายต้องเชื่อมต่อกับ Microsoft Update เพื่อรับข้อมูลเกี่ยวกับการอัปเดตที่มี ขึ้นอยู่กับความปลอดภัยและการกำหนดค่าของเครือข่าย ผู้ดูแลระบบสามารถกำหนดจำนวนเซิร์ฟเวอร์อื่นที่เชื่อมต่อโดยตรงกับ Microsoft Update

ยูทิลิตี้ GPRResult.exe– เป็นแอปพลิเคชันคอนโซลที่ออกแบบมาเพื่อวิเคราะห์การตั้งค่าและวิเคราะห์นโยบายกลุ่มที่ใช้กับคอมพิวเตอร์และ/หรือผู้ใช้ในโดเมน Active Directory โดยเฉพาะอย่างยิ่ง GPResult ช่วยให้คุณได้รับข้อมูลจากชุดผลลัพธ์ของนโยบาย (ชุดผลลัพธ์ของนโยบาย, RSOP) รายการนโยบายโดเมนที่ใช้ (GPO) การตั้งค่า และข้อมูลโดยละเอียดเกี่ยวกับข้อผิดพลาดในการประมวลผล ยูทิลิตีนี้เป็นส่วนหนึ่งของระบบปฏิบัติการ Windows ตั้งแต่สมัย Windows XP ยูทิลิตี GPResult ช่วยให้คุณตอบคำถามต่างๆ เช่น นโยบายเฉพาะมีผลกับคอมพิวเตอร์หรือไม่ ซึ่ง GPO เปลี่ยนการตั้งค่า Windows เฉพาะ และเพื่อหาสาเหตุ

ในบทความนี้ เราจะพิจารณาเฉพาะของการใช้คำสั่ง GPResult เพื่อวินิจฉัยและดีบักแอปพลิเคชันของนโยบายกลุ่มในโดเมน Active Directory

ในขั้นต้น เพื่อวินิจฉัยการใช้นโยบายกลุ่มใน Windows จะใช้คอนโซลกราฟิก RSOP.msc ซึ่งทำให้สามารถรับการตั้งค่าของนโยบายที่เป็นผลลัพธ์ (โดเมน + โลคัล) ที่ใช้กับคอมพิวเตอร์และผู้ใช้ในรูปแบบกราฟิกที่คล้ายกับ คอนโซลตัวแก้ไข GPO (ด้านล่าง ในตัวอย่างมุมมองคอนโซล RSOP.msc คุณจะเห็นว่ามีการตั้งค่าการอัปเดต)

อย่างไรก็ตาม คอนโซล RSOP.msc ใน Windows รุ่นใหม่ๆ ไม่สามารถใช้งานได้จริง เนื่องจาก ไม่สะท้อนถึงการตั้งค่าที่ใช้โดยส่วนขยายฝั่งไคลเอ็นต์ (CSE) ต่างๆ เช่น GPP (การตั้งค่านโยบายกลุ่ม) ไม่อนุญาตให้ค้นหา ให้ข้อมูลการวินิจฉัยเพียงเล็กน้อย ดังนั้นเมื่อ ช่วงเวลานี้เป็นคำสั่ง GPResult ที่เป็นเครื่องมือหลักในการวินิจฉัยการใช้ GPO ใน Windows (ใน Windows 10 มีแม้กระทั่งคำเตือนว่า RSOP ไม่ได้ให้รายงานที่สมบูรณ์ ซึ่งแตกต่างจาก GPResult)

การใช้ยูทิลิตี GPResult.exe

คำสั่ง GPResult ถูกเรียกใช้บนคอมพิวเตอร์ที่คุณต้องการทดสอบแอปพลิเคชันของนโยบายกลุ่ม คำสั่ง GPResult มีไวยากรณ์ดังต่อไปนี้:

GPRESULT ]] [(/X | /H)<имя_файла> ]

หากต้องการรับข้อมูลโดยละเอียดเกี่ยวกับนโยบายกลุ่มที่ใช้กับวัตถุ AD ที่กำหนด (ผู้ใช้และคอมพิวเตอร์) และการตั้งค่าอื่นๆ ที่เกี่ยวข้องกับโครงสร้างพื้นฐาน GPO (เช่น การตั้งค่านโยบาย GPO ที่เป็นผลลัพธ์ - RsoP) ให้เรียกใช้คำสั่ง:

ผลลัพธ์ของการดำเนินการคำสั่งแบ่งออกเป็น 2 ส่วน:

  • คอมพิวเตอร์ การตั้งค่า (การกำหนดค่าคอมพิวเตอร์) – ส่วนนี้มีข้อมูลเกี่ยวกับวัตถุ GPO ที่ส่งผลกระทบต่อคอมพิวเตอร์ (เป็นวัตถุ Active Directory)
  • ผู้ใช้ การตั้งค่า – ส่วนผู้ใช้ของนโยบาย (นโยบายที่ใช้กับบัญชีผู้ใช้ใน AD)

มาดูพารามิเตอร์/ส่วนหลักที่เราอาจสนใจในเอาต์พุต GPResult โดยสังเขป:

  • เว็บไซต์ชื่อ(ชื่อไซต์:) - ชื่อของไซต์ AD ซึ่งเป็นที่ตั้งของคอมพิวเตอร์
  • ซี.เอ็น– ผู้ใช้/คอมพิวเตอร์ตามรูปแบบมาตรฐานเต็มรูปแบบซึ่งข้อมูล RSoP ถูกสร้างขึ้น
  • ล่าสุดเวลากลุ่มนโยบายเคยเป็นสมัครแล้ว(นโยบายกลุ่มที่ใช้ล่าสุด) - เวลาที่ใช้นโยบายกลุ่มครั้งล่าสุด
  • กลุ่มนโยบายเคยเป็นสมัครแล้วจาก(ใช้นโยบายกลุ่มจาก) - ตัวควบคุมโดเมนที่โหลด GPO เวอร์ชันล่าสุด
  • โดเมนชื่อและโดเมนพิมพ์(ชื่อโดเมน, ประเภทโดเมน) – ชื่อและเวอร์ชันของโดเมน Active Directory;
  • สมัครแล้วกลุ่มนโยบายวัตถุ(ประยุกต์ใช้ GPO)– รายการของวัตถุนโยบายกลุ่มที่ใช้งานอยู่;
  • เดอะกำลังติดตามGPOคือไม่สมัครแล้วเพราะพวกเขาคือกรองออก(ไม่ได้ใช้นโยบาย GPO ต่อไปนี้เนื่องจากถูกกรอง) - ไม่ได้ใช้ (กรองแล้ว) GPOs;
  • เดอะผู้ใช้/คอมพิวเตอร์เป็นส่วนหนึ่งของเดอะกำลังติดตามความปลอดภัยกลุ่ม(ผู้ใช้/คอมพิวเตอร์เป็นสมาชิกของกลุ่มความปลอดภัยต่อไปนี้) – กลุ่มโดเมนที่ผู้ใช้เป็นสมาชิก

ในตัวอย่างของเรา คุณจะเห็นว่าวัตถุผู้ใช้ได้รับผลกระทบจากนโยบายกลุ่ม 4 ข้อ

  • นโยบายโดเมนเริ่มต้น
  • เปิดใช้งานไฟร์วอลล์ Windows;
  • รายการค้นหาส่วนต่อท้าย DNS

หากคุณไม่ต้องการให้คอนโซลแสดงข้อมูลเกี่ยวกับทั้งนโยบายผู้ใช้และนโยบายคอมพิวเตอร์พร้อมกัน คุณสามารถใช้ตัวเลือก /scope เพื่อแสดงเฉพาะส่วนที่คุณสนใจ ผลลัพธ์เฉพาะนโยบายผู้ใช้:

gpresult /r /scope:user

หรือใช้เฉพาะนโยบายคอมพิวเตอร์:

gpresult /r /scope:คอมพิวเตอร์

เพราะ ยูทิลิตี Gpresult ส่งออกข้อมูลโดยตรงไปยังคอนโซลบรรทัดคำสั่ง ซึ่งไม่สะดวกสำหรับการวิเคราะห์ในภายหลังเสมอไป เอาต์พุตสามารถเปลี่ยนเส้นทางไปยังคลิปบอร์ดได้:

gpresult /r |คลิป

หรือไฟล์ข้อความ:

gpresult /r > c:\gpresult.txt

หากต้องการแสดงข้อมูล RSOP ที่มีรายละเอียดสูง ให้เพิ่มสวิตช์ /z

รายงาน HTML RSOP โดยใช้ GPResult

นอกจากนี้ ยูทิลิตี GPResult ยังสามารถสร้างรายงาน HTML เกี่ยวกับนโยบายผลลัพธ์ที่ใช้ (มีให้ใช้งานใน Windows 7 และสูงกว่า) รายงานนี้จะประกอบด้วยข้อมูลโดยละเอียดเกี่ยวกับการตั้งค่าระบบทั้งหมดที่กำหนดโดยนโยบายกลุ่มและชื่อของ GPO เฉพาะที่ตั้งค่าไว้ (รายงานผลลัพธ์ในโครงสร้างจะคล้ายกับแท็บการตั้งค่าในคอนโซลการจัดการนโยบายกลุ่มโดเมน - GPMC) คุณสามารถสร้างรายงาน HTML GPResult โดยใช้คำสั่ง:

GPResult /h c:\gp-report\report.html /f

หากต้องการสร้างรายงานและเปิดโดยอัตโนมัติในเบราว์เซอร์ ให้รันคำสั่ง:

GPResult /h GPResult.html & GPResult.html

รายงาน gpresult HTML มีค่อนข้างน้อย ข้อมูลที่เป็นประโยชน์: ข้อผิดพลาดของแอปพลิเคชัน GPO เวลาในการประมวลผล (เป็น ms) และแอปพลิเคชันของนโยบายเฉพาะและ CSE สามารถมองเห็นได้ (ภายใต้ รายละเอียดคอมพิวเตอร์ -> สถานะส่วนประกอบ) ตัวอย่างเช่น ในภาพหน้าจอด้านบน คุณจะเห็นว่านโยบายที่มีการตั้งค่า 24 รหัสผ่านที่จำไว้ถูกนำไปใช้โดยนโยบายโดเมนเริ่มต้น (คอลัมน์ Winning GPO) อย่างที่คุณเห็น รายงาน HTML นั้นสะดวกสำหรับการวิเคราะห์นโยบายที่ใช้มากกว่าคอนโซล rsop.msc

รับข้อมูล GPResult จากคอมพิวเตอร์ระยะไกล

นอกจากนี้ GPResult ยังสามารถรวบรวมข้อมูลจากคอมพิวเตอร์ระยะไกล ทำให้ผู้ดูแลระบบไม่จำเป็นต้องเข้าสู่ระบบภายในเครื่องหรือ RDP ไปยังคอมพิวเตอร์ระยะไกล รูปแบบคำสั่งสำหรับการรวบรวมข้อมูล RSOP จากคอมพิวเตอร์ระยะไกลมีดังนี้:

GPResult /s เซิร์ฟเวอร์-ts1 /r

ในทำนองเดียวกัน คุณสามารถรวบรวมข้อมูลจากทั้งนโยบายผู้ใช้และนโยบายคอมพิวเตอร์จากระยะไกล

ชื่อผู้ใช้ไม่มีข้อมูล RSOP

เมื่อเปิดใช้งาน UAC การเรียกใช้ GPResult โดยไม่มีสิทธิ์ยกระดับจะแสดงเฉพาะการตั้งค่าสำหรับส่วนที่กำหนดเองของ Group Policy หากคุณต้องการแสดงทั้งสองส่วน (การตั้งค่าผู้ใช้และการตั้งค่าคอมพิวเตอร์) พร้อมกัน ต้องเรียกใช้คำสั่ง หากพรอมต์คำสั่งที่ยกระดับอยู่ในระบบอื่นที่ไม่ใช่ผู้ใช้ปัจจุบัน ยูทิลิตีจะออกคำเตือน ข้อมูล: เดอะผู้ใช้"โดเมน\ผู้ใช้"ทำไม่มีร.ส.พข้อมูล (ผู้ใช้ 'โดเมน\ผู้ใช้' ไม่มีข้อมูล RSOP) นี่เป็นเพราะ GPResult พยายามรวบรวมข้อมูลสำหรับผู้ใช้ที่เรียกใช้ แต่เนื่องจาก ผู้ใช้รายนี้ไม่ได้เข้าสู่ระบบและไม่มีข้อมูล RSOP สำหรับผู้ใช้รายนี้ ในการรวบรวมข้อมูล RSOP สำหรับผู้ใช้ที่มีเซสชันที่ใช้งาน คุณต้องระบุบัญชีของเขา:

gpresult /r /user:tn\edward

หากคุณไม่ทราบชื่อบัญชีที่ล็อกอินบนคอมพิวเตอร์ระยะไกล คุณจะได้รับบัญชีดังต่อไปนี้:

qwinsta /SERVER:remotePC1

ตรวจสอบเวลาของลูกค้าด้วย เวลาต้องตรงกับเวลาบน PDC (Primary Domain Controller)

นโยบาย GPO ต่อไปนี้ไม่ถูกนำไปใช้ เนื่องจากถูกกรองออก

เมื่อแก้ไขปัญหานโยบายกลุ่ม คุณควรใส่ใจกับส่วนนี้ด้วย: GPOs ต่อไปนี้ไม่ถูกนำไปใช้เนื่องจากถูกกรองออก (นโยบาย GPO ต่อไปนี้ไม่ถูกนำไปใช้เนื่องจากถูกกรองออก) ส่วนนี้แสดงรายการของ GPO ที่ไม่นำไปใช้กับวัตถุนี้ด้วยเหตุผลใดก็ตาม ตัวเลือกที่เป็นไปได้ที่นโยบายอาจไม่มีผลใช้บังคับ:


คุณยังสามารถทำความเข้าใจว่าควรใช้นโยบายกับวัตถุโฆษณาเฉพาะบนแท็บสิทธิ์ใช้งานจริง (ขั้นสูง -> การเข้าถึงที่มีประสิทธิภาพ)

ดังนั้น ในบทความนี้ เราได้ตรวจสอบคุณลักษณะของการวินิจฉัยการใช้นโยบายกลุ่มโดยใช้ยูทิลิตี้ GPResult และตรวจสอบสถานการณ์ทั่วไปสำหรับการใช้งาน

ฟังก์ชันการทำงานในระบบปฏิบัติการ Windows Server ได้รับการคำนวณและปรับปรุงจากเวอร์ชันหนึ่งไปอีกเวอร์ชัน มีบทบาทและส่วนประกอบมากขึ้นเรื่อยๆ ดังนั้นในบทความวันนี้ฉันจะพยายามอธิบายสั้นๆ คำอธิบายและวัตถุประสงค์ของแต่ละบทบาทใน Windows Server 2016.

ก่อนที่จะดำเนินการตามคำอธิบายของบทบาทเซิร์ฟเวอร์ Windows Server มาดูกันว่าอะไรคือ " บทบาทของเซิร์ฟเวอร์» บนระบบปฏิบัติการ Windows Server

"บทบาทเซิร์ฟเวอร์" ใน Windows Server คืออะไร

บทบาทของเซิร์ฟเวอร์เป็นชุดซอฟต์แวร์ที่รับรองว่าเซิร์ฟเวอร์จะทำหน้าที่บางอย่าง และ ฟังก์ชันที่กำหนดเป็นตัวหลัก กล่าวอีกนัยหนึ่ง " บทบาทของเซิร์ฟเวอร์' คือจุดประสงค์ของเซิร์ฟเวอร์ เช่น มันมีไว้เพื่ออะไร เพื่อให้เซิร์ฟเวอร์สามารถทำหน้าที่หลักได้นั่นคือ บทบาทบางอย่างใน บทบาทของเซิร์ฟเวอร์» รวมซอฟต์แวร์ที่จำเป็นทั้งหมดสำหรับสิ่งนี้ ( โปรแกรม บริการ).

เซิร์ฟเวอร์สามารถมีหนึ่งบทบาทหากใช้งานอยู่ หรือหลายบทบาทหากแต่ละบทบาทไม่โหลดเซิร์ฟเวอร์อย่างหนักและไม่ค่อยได้ใช้

บทบาทเซิร์ฟเวอร์สามารถรวมบริการหลายบทบาทที่มีฟังก์ชันการทำงานของบทบาทนั้น ตัวอย่างเช่น ในบทบาทเซิร์ฟเวอร์ " เว็บเซิร์ฟเวอร์ (IIS)” รวมถึงบริการจำนวนมากพอสมควร และบทบาท “ เซิร์ฟเวอร์ DNS» ไม่รวมบริการบทบาท เนื่องจากบทบาทนี้ทำหน้าที่เดียวเท่านั้น

Role Services สามารถติดตั้งพร้อมกันทั้งหมดหรือทีละรายการก็ได้ ขึ้นอยู่กับความต้องการของคุณ โดยพื้นฐานแล้ว การติดตั้งบทบาทหมายถึงการติดตั้งบริการอย่างน้อยหนึ่งบริการ

Windows Server ยังมี " ส่วนประกอบ» เซิร์ฟเวอร์

ส่วนประกอบเซิร์ฟเวอร์ (คุณสมบัติ)เป็นเครื่องมือซอฟต์แวร์ที่ไม่ใช่บทบาทของเซิร์ฟเวอร์ แต่ขยายขีดความสามารถของหนึ่งบทบาทขึ้นไป หรือจัดการหนึ่งบทบาทขึ้นไป

ไม่สามารถติดตั้งบางบทบาทได้หากเซิร์ฟเวอร์ไม่มีบริการหรือส่วนประกอบที่จำเป็นสำหรับบทบาทในการทำงาน ดังนั้นในขณะที่ติดตั้งบทบาทดังกล่าว " ตัวช่วยสร้างการเพิ่มบทบาทและคุณสมบัติ» เอง จะแจ้งให้คุณติดตั้งบริการหรือส่วนประกอบเพิ่มเติมที่จำเป็นโดยอัตโนมัติ

คำอธิบายของบทบาทเซิร์ฟเวอร์ Windows Server 2016

คุณอาจคุ้นเคยกับบทบาทต่างๆ ที่อยู่ใน Windows Server 2016 อยู่แล้ว เนื่องจากมีมานานแล้ว แต่อย่างที่ฉันได้กล่าวไปแล้ว ใน Windows Server เวอร์ชันใหม่แต่ละเวอร์ชัน จะมีการเพิ่มบทบาทใหม่ที่คุณอาจไม่เคยทำงาน ด้วย แต่เราอยากรู้ว่ามันมีไว้เพื่ออะไร ดังนั้น เรามาเริ่มดูกันเลย

บันทึก! คุณสามารถอ่านเกี่ยวกับคุณสมบัติใหม่ของระบบปฏิบัติการ Windows Server 2016 ได้ในเนื้อหา " การติดตั้ง Windows Server 2016 และภาพรวมของคุณสมบัติใหม่ » .

เนื่องจากการติดตั้งและการจัดการบทบาท บริการ และส่วนประกอบมักเกิดขึ้นโดยใช้ Windows PowerShellฉันจะระบุชื่อสำหรับแต่ละบทบาทและบริการที่สามารถใช้ใน PowerShell ตามลำดับสำหรับการติดตั้งหรือสำหรับการจัดการ

เซิร์ฟเวอร์ DHCP

บทบาทนี้ช่วยให้คุณกำหนดค่าที่อยู่ IP แบบไดนามิกและการตั้งค่าที่เกี่ยวข้องจากส่วนกลางสำหรับคอมพิวเตอร์และอุปกรณ์บนเครือข่ายของคุณ บทบาทเซิร์ฟเวอร์ DHCP ไม่มีบริการบทบาท

ชื่อสำหรับ Windows PowerShell คือ DHCP

เซิร์ฟเวอร์ DNS

บทบาทนี้มีไว้สำหรับการจำแนกชื่อในเครือข่าย TCP/IP บทบาทเซิร์ฟเวอร์ DNS จัดเตรียมและดูแล DNS เพื่อให้การจัดการเซิร์ฟเวอร์ DNS ง่ายขึ้น โดยปกติแล้วจะติดตั้งบนเซิร์ฟเวอร์เดียวกันกับ Active Directory Domain Services บทบาทเซิร์ฟเวอร์ DNS ไม่มีบริการตามบทบาท

ชื่อบทบาทสำหรับ PowerShell คือ DNS

ไฮเปอร์-วี

ด้วยบทบาท Hyper-V คุณสามารถสร้างและจัดการสภาพแวดล้อมเสมือนจริงได้ เป็นเครื่องมือสำหรับสร้างและจัดการเครื่องเสมือน

ชื่อบทบาทสำหรับ Windows PowerShell คือ Hyper-V

การรับรองความสมบูรณ์ของอุปกรณ์

บทบาท " » ช่วยให้คุณสามารถประเมินความสมบูรณ์ของอุปกรณ์ตามตัวบ่งชี้ที่วัดได้ของพารามิเตอร์ความปลอดภัย เช่น ตัวบ่งชี้สถานะของการบูตแบบปลอดภัยและ Bitlocker บนไคลเอนต์

สำหรับการทำงานของบทบาทนี้ จำเป็นต้องมีบริการและส่วนประกอบของบทบาทจำนวนมาก ตัวอย่างเช่น: บริการหลายอย่างจากบทบาท " เว็บเซิร์ฟเวอร์ (IIS)", ส่วนประกอบ " ", ส่วนประกอบ " คุณสมบัติ .NET Framework 4.6».

ระหว่างการติดตั้ง บริการและคุณลักษณะที่จำเป็นทั้งหมดจะถูกเลือกโดยอัตโนมัติ บทบาท " การรับรองความสมบูรณ์ของอุปกรณ์» ไม่มีบริการตามบทบาท

ชื่อสำหรับ PowerShell คือ DeviceHealthAttestationService

เว็บเซิร์ฟเวอร์ (IIS)

จัดเตรียมโครงสร้างพื้นฐานเว็บแอปพลิเคชันที่เชื่อถือได้ จัดการได้ และปรับขนาดได้ ประกอบด้วยบริการจำนวนมากพอสมควร (43)

ชื่อสำหรับ Windows PowerShell คือเว็บเซิร์ฟเวอร์

รวมบริการบทบาทต่อไปนี้ ( ในวงเล็บ ฉันจะระบุชื่อสำหรับ Windows PowerShell):

เว็บเซิร์ฟเวอร์ (Web-Web Server)- กลุ่มบริการบทบาทที่ให้การสนับสนุนเว็บไซต์ HTML, ส่วนขยาย ASP.NET, ASP และเว็บเซิร์ฟเวอร์ ประกอบด้วยบริการดังต่อไปนี้:

  • ความปลอดภัย (ความปลอดภัยของเว็บ)- ชุดบริการเพื่อความปลอดภัยของเว็บเซิร์ฟเวอร์
    • การกรองคำขอ (การกรองเว็บ) - โดยใช้เครื่องมือเหล่านี้ คุณสามารถประมวลผลคำขอทั้งหมดที่มาถึงเซิร์ฟเวอร์และกรองคำขอเหล่านี้ตามกฎพิเศษที่กำหนดโดยผู้ดูแลเว็บเซิร์ฟเวอร์
    • ข้อจำกัดที่อยู่ IP และโดเมน (Web-IP-Security) - เครื่องมือเหล่านี้อนุญาตให้คุณอนุญาตหรือปฏิเสธการเข้าถึงเนื้อหาบนเว็บเซิร์ฟเวอร์ตามที่อยู่ IP หรือชื่อโดเมนของแหล่งที่มาในคำขอ
    • การอนุญาต URL (Web-Url-Auth) - เครื่องมือช่วยให้คุณออกแบบกฎเพื่อจำกัดการเข้าถึงเนื้อหาเว็บและเชื่อมโยงกับผู้ใช้ กลุ่ม หรือคำสั่งส่วนหัว HTTP
    • Digest Authentication (Web-Digest-Auth) - การรับรองความถูกต้องนี้มีความปลอดภัยในระดับที่สูงกว่าการรับรองความถูกต้องพื้นฐาน การรับรองความถูกต้องแยกย่อยสำหรับการรับรองความถูกต้องของผู้ใช้ทำงานเหมือนกับการส่งผ่านแฮชรหัสผ่านไปยังตัวควบคุมโดเมนของ Windows;
    • การรับรองความถูกต้องพื้นฐาน (Web-Basic-Auth) - วิธีการรับรองความถูกต้องนี้ให้ความเข้ากันได้ของเว็บเบราว์เซอร์ที่แข็งแกร่ง ขอแนะนำให้ใช้ในเครือข่ายภายในขนาดเล็ก ข้อเสียเปรียบหลักของวิธีนี้คือรหัสผ่านที่ส่งผ่านเครือข่ายสามารถถูกสกัดกั้นและถอดรหัสได้ค่อนข้างง่าย ดังนั้นให้ใช้วิธีนี้ร่วมกับ SSL
    • Windows Authentication (Web-Windows-Auth) เป็นการรับรองความถูกต้องตามการรับรองความถูกต้องของโดเมน Windows คุณสามารถใช้บัญชี Active Directory เพื่อรับรองความถูกต้องของผู้ใช้เว็บไซต์ของคุณ
    • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ (เว็บไคลเอ็นต์-Auth) - วิธีการตรวจสอบความถูกต้องนี้ใช้ใบรับรองไคลเอ็นต์ ประเภทนี้ใช้บริการ Active Directory เพื่อให้การแมปใบรับรอง
    • การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ IIS (Web-Cert-Auth) - วิธีนี้ยังใช้ใบรับรองไคลเอ็นต์สำหรับการตรวจสอบสิทธิ์ แต่ใช้ IIS เพื่อให้การแมปใบรับรอง ประเภทนี้ให้ประสิทธิภาพที่ดีกว่า
    • รองรับใบรับรอง SSL แบบรวมศูนย์ (Web-CertProvider) - เครื่องมือเหล่านี้ช่วยให้คุณจัดการใบรับรองเซิร์ฟเวอร์ SSL จากส่วนกลาง ซึ่งช่วยลดความยุ่งยากในกระบวนการจัดการใบรับรองเหล่านี้
  • ความสามารถในการให้บริการและการวินิจฉัย (สถานภาพบนเว็บ)– ชุดบริการสำหรับตรวจสอบ จัดการ และแก้ไขปัญหาเว็บเซิร์ฟเวอร์ เว็บไซต์ และแอปพลิเคชัน:
    • การบันทึก http (การบันทึกเว็บ HTTP) - เครื่องมือจัดเตรียมการบันทึกกิจกรรมบนเว็บไซต์ เซิร์ฟเวอร์นี้, เช่น. รายการบันทึก;
    • การบันทึก ODBC (การบันทึกเว็บ ODBC) – เครื่องมือเหล่านี้ยังมีการบันทึกกิจกรรมบนเว็บไซต์ แต่สนับสนุนการบันทึกกิจกรรมนั้นไปยังฐานข้อมูลที่สอดคล้องกับ ODBC
    • การตรวจสอบคำขอ (Web-Request-Monitor) เป็นเครื่องมือที่ช่วยให้คุณตรวจสอบความสมบูรณ์ของเว็บแอปพลิเคชันโดยการสกัดกั้นข้อมูลเกี่ยวกับคำขอ HTTP ในกระบวนการของผู้ปฏิบัติงาน IIS
    • การบันทึกแบบกำหนดเอง (การบันทึกเว็บแบบกำหนดเอง) - การใช้เครื่องมือเหล่านี้ คุณสามารถกำหนดค่าการบันทึกกิจกรรมเว็บเซิร์ฟเวอร์ในรูปแบบที่แตกต่างจากรูปแบบ IIS มาตรฐานอย่างมาก คุณสามารถสร้างโมดูลการบันทึกของคุณเองได้
    • เครื่องมือบันทึก (Web-Log-Libraries) เป็นเครื่องมือสำหรับจัดการบันทึกเว็บเซิร์ฟเวอร์และทำงานบันทึกโดยอัตโนมัติ
    • Tracing (Web-Http-Tracing) เป็นเครื่องมือสำหรับวินิจฉัยและแก้ไขการละเมิดในเว็บแอปพลิเคชัน
  • http ฟังก์ชันทั่วไป (เว็บทั่วไป HTTP)– ชุดบริการที่มีฟังก์ชัน HTTP พื้นฐาน:
    • เอกสารเริ่มต้น (Web-Default-Doc) - คุณสมบัตินี้ช่วยให้คุณกำหนดค่าเว็บเซิร์ฟเวอร์ให้ส่งคืนเอกสารเริ่มต้นเมื่อผู้ใช้ไม่ได้ระบุเอกสารเฉพาะใน URL คำขอ ทำให้ผู้ใช้เข้าถึงเว็บไซต์ได้ง่ายขึ้น ตัวอย่างเช่น โดย โดเมนโดยไม่ระบุไฟล์
    • Directory Browsing (Web-Dir-Browsing) - เครื่องมือนี้สามารถใช้เพื่อกำหนดค่าเว็บเซิร์ฟเวอร์เพื่อให้ผู้ใช้สามารถดูรายการไดเร็กทอรีและไฟล์ทั้งหมดบนเว็บไซต์ ตัวอย่างเช่น สำหรับกรณีที่ผู้ใช้ไม่ได้ระบุไฟล์ใน URL คำขอ และเอกสารเริ่มต้นถูกปิดใช้งานหรือไม่ได้กำหนดค่า
    • ข้อผิดพลาด http (ข้อผิดพลาดของเว็บ HTTP) – โอกาสนี้ให้คุณปรับแต่งข้อความแสดงข้อผิดพลาดที่จะส่งกลับไปยังเว็บเบราว์เซอร์ของผู้ใช้เมื่อเว็บเซิร์ฟเวอร์ตรวจพบข้อผิดพลาด เครื่องมือนี้ใช้เพื่อนำเสนอข้อความแสดงข้อผิดพลาดแก่ผู้ใช้ได้ง่ายขึ้น
    • เนื้อหาคงที่ (Web-Static-Content) - เครื่องมือนี้ช่วยให้คุณใช้เนื้อหาบนเว็บเซิร์ฟเวอร์ในรูปแบบของรูปแบบไฟล์คงที่เช่นไฟล์ HTML หรือไฟล์รูปภาพ
    • เปลี่ยนเส้นทาง http (เปลี่ยนเส้นทางเว็บ HTTP) - เมื่อใช้คุณสมบัตินี้ คุณสามารถเปลี่ยนเส้นทางคำขอของผู้ใช้ไปยังปลายทางเฉพาะได้ เช่น นี่คือการเปลี่ยนเส้นทาง
    • WebDAV Publishing (Web-DAV-Publishing) - อนุญาตให้คุณใช้เทคโนโลยี WebDAV บนเซิร์ฟเวอร์ IIS WEB เว็บDAV ( การเขียนแบบกระจายเว็บและการกำหนดเวอร์ชัน) เป็นเทคโนโลยีที่ช่วยให้ผู้ใช้สามารถทำงานร่วมกันได้ ( อ่าน แก้ไข อ่านคุณสมบัติ คัดลอก ย้าย) บนไฟล์บนเว็บเซิร์ฟเวอร์ระยะไกลโดยใช้โปรโตคอล HTTP
  • ประสิทธิภาพ (ประสิทธิภาพของเว็บ)- ชุดบริการเพื่อให้ได้ประสิทธิภาพของเว็บเซิร์ฟเวอร์ที่สูงขึ้น ผ่านการแคชเอาต์พุตและกลไกการบีบอัดทั่วไป เช่น Gzip และ Deflate:
    • Static Content Compression (Web-Stat-Compression) เป็นเครื่องมือในการปรับแต่งการบีบอัดเนื้อหา http แบบคงที่ ซึ่งช่วยให้ใช้แบนด์วิธได้อย่างมีประสิทธิภาพมากขึ้น ในขณะที่ไม่ต้องโหลด CPU โดยไม่จำเป็น
    • การบีบอัดเนื้อหาแบบไดนามิก (Web-Dyn-Compression) เป็นเครื่องมือสำหรับกำหนดค่าการบีบอัดเนื้อหา HTTP แบบไดนามิก เครื่องมือนี้ให้การใช้งานที่มีประสิทธิภาพมากขึ้น แบนด์วิธแต่ในกรณีนี้ โหลด CPU ของเซิร์ฟเวอร์ที่เกี่ยวข้องกับการบีบอัดแบบไดนามิกอาจทำให้ไซต์ช้าลงได้หากโหลด CPU สูงแม้ว่าจะไม่มีการบีบอัดก็ตาม
  • การพัฒนาแอปพลิเคชัน (Web-App-Dev)- ชุดบริการและเครื่องมือสำหรับการพัฒนาและโฮสต์เว็บแอปพลิเคชัน หรืออีกนัยหนึ่งคือเทคโนโลยีการพัฒนาเว็บไซต์:
    • ASP (Web-ASP) เป็นสภาพแวดล้อมสำหรับสนับสนุนและพัฒนาเว็บไซต์และ เว็บแอปพลิเคชันโดยใช้เทคโนโลยี ASP ในขณะนี้มีเทคโนโลยีการพัฒนาเว็บไซต์ที่ใหม่กว่าและทันสมัยกว่า - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) เป็นสภาพแวดล้อมการพัฒนาเชิงวัตถุสำหรับเว็บไซต์และเว็บแอปพลิเคชันโดยใช้เทคโนโลยี ASP.NET
    • ASP.NET 4.6 (Web-Asp-Net45) ยังเป็นสภาพแวดล้อมการพัฒนาเชิงวัตถุสำหรับเว็บไซต์และเว็บแอปพลิเคชันโดยใช้ ASP.NET เวอร์ชันใหม่
    • CGI (Web-CGI) คือความสามารถในการใช้ CGI เพื่อส่งผ่านข้อมูลจากเว็บเซิร์ฟเวอร์ไปยังโปรแกรมภายนอก CGI เป็นมาตรฐานอินเทอร์เฟซประเภทหนึ่งสำหรับเชื่อมต่อโปรแกรมภายนอกกับเว็บเซิร์ฟเวอร์ มีข้อเสียคือการใช้ CGI ส่งผลต่อประสิทธิภาพ
    • การรวมฝั่งเซิร์ฟเวอร์ (SSI) (การรวมเว็บ) รองรับภาษาสคริปต์ SSI ( เปิดใช้งานฝั่งเซิร์ฟเวอร์) ซึ่งใช้เพื่อสร้างหน้า HTML แบบไดนามิก
    • การเริ่มต้นแอปพลิเคชัน (Web-AppInit) - เครื่องมือนี้ทำงานของการเริ่มต้นเว็บแอปพลิเคชันก่อนที่จะส่งหน้าเว็บ
    • WebSocket Protocol (Web-WebSockets) - เพิ่มความสามารถในการสร้างแอปพลิเคชันเซิร์ฟเวอร์ที่สื่อสารโดยใช้โปรโตคอล WebSocket WebSocket เป็นโปรโตคอลที่สามารถส่งและรับข้อมูลพร้อมกันระหว่างเบราว์เซอร์และเว็บเซิร์ฟเวอร์ผ่านการเชื่อมต่อ TCP ซึ่งเป็นส่วนขยายชนิดหนึ่งของโปรโตคอล HTTP
    • ส่วนขยาย ISAPI (Web-ISAPI-Ext) - รองรับการพัฒนาเนื้อหาเว็บแบบไดนามิกโดยใช้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน ISAPI ISAPI เป็น API สำหรับเว็บเซิร์ฟเวอร์ IIS แอปพลิเคชัน ISAPI เร็วกว่าไฟล์ ASP หรือไฟล์ที่เรียกคอมโพเนนต์ COM+ มาก
    • ความสามารถในการขยาย .NET 3.5 (Web-Net-Ext) เป็นคุณลักษณะการขยาย .NET 3.5 ที่ช่วยให้คุณสามารถปรับเปลี่ยน เพิ่ม และขยายฟังก์ชันการทำงานของเว็บเซิร์ฟเวอร์ตลอดกระบวนการประมวลผลคำขอ การกำหนดค่า และอินเทอร์เฟซผู้ใช้
    • ความสามารถในการขยาย .NET 4.6 (Web-Net-Ext45) เป็นคุณลักษณะความสามารถในการขยาย .NET 4.6 ที่ยังช่วยให้คุณสามารถแก้ไข เพิ่ม และขยายฟังก์ชันการทำงานของเว็บเซิร์ฟเวอร์ทั่วทั้งไปป์ไลน์การประมวลผลคำขอ การกำหนดค่า และอินเทอร์เฟซผู้ใช้
    • ตัวกรอง ISAPI (ตัวกรองเว็บ ISAPI) - เพิ่มการรองรับตัวกรอง ISAPI ตัวกรอง ISAPI เป็นโปรแกรมที่เรียกใช้เมื่อเว็บเซิร์ฟเวอร์ได้รับคำขอ HTTP เฉพาะที่จะดำเนินการโดยตัวกรองนี้

FTP - เซิร์ฟเวอร์ (เว็บ-Ftp-เซิร์ฟเวอร์)– บริการที่ให้การสนับสนุนโปรโตคอล FTP เราได้พูดคุยรายละเอียดเพิ่มเติมเกี่ยวกับเซิร์ฟเวอร์ FTP ในเนื้อหา - " การติดตั้งและกำหนดค่าเซิร์ฟเวอร์ FTP บน Windows Server 2016". ประกอบด้วยบริการดังต่อไปนี้:

  • บริการ FTP (Web-Ftp-Service) - เพิ่มการรองรับโปรโตคอล FTP บนเว็บเซิร์ฟเวอร์
  • ความสามารถในการขยาย FTP (Web-Ftp-Ext) - ขยายความสามารถมาตรฐานของ FTP เช่น การเพิ่มการรองรับคุณสมบัติต่างๆ เช่น ผู้ให้บริการแบบกำหนดเอง ผู้ใช้ ASP.NET หรือผู้ใช้ตัวจัดการ IIS

เครื่องมือการจัดการ (Web-Mgmt-Tools)- นี่คือเครื่องมือการจัดการสำหรับเว็บเซิร์ฟเวอร์ IIS 10 ซึ่งรวมถึง: หน้าจอผู้ใช้ IIS เครื่องมือบรรทัดคำสั่งและสคริปต์

  • IIS Management Console (Web-Mgmt-Console) เป็นส่วนติดต่อผู้ใช้สำหรับจัดการ IIS;
  • ชุดอักขระและเครื่องมือจัดการ IIS (Web-Scripting-Tools) เป็นเครื่องมือและสคริปต์สำหรับจัดการ IIS โดยใช้บรรทัดคำสั่งหรือสคริปต์ ตัวอย่างเช่นสามารถใช้เพื่อทำให้การควบคุมเป็นไปโดยอัตโนมัติ
  • บริการการจัดการ (Web-Mgmt-Service) - บริการนี้เพิ่มความสามารถในการจัดการเว็บเซิร์ฟเวอร์จากระยะไกลจากคอมพิวเตอร์เครื่องอื่นโดยใช้ IIS Manager
  • การจัดการความเข้ากันได้ของ IIS 6 (Web-Mgmt-Compat) - ให้ความเข้ากันได้สำหรับแอปพลิเคชันและสคริปต์ที่ใช้ IIS API สองตัว สามารถใช้สคริปต์ IIS 6 ที่มีอยู่เพื่อจัดการเว็บเซิร์ฟเวอร์ IIS 10:
    • IIS 6 Compatibility Metabase (Web-Metabase) เป็นเครื่องมือความเข้ากันได้ที่ช่วยให้คุณเรียกใช้แอปพลิเคชันและชุดอักขระที่ย้ายจาก IIS เวอร์ชันก่อนหน้า
    • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - เครื่องมือเหล่านี้ช่วยให้คุณสามารถใช้บริการการเขียนสคริปต์ IIS 6 แบบเดียวกับที่สร้างขึ้นเพื่อจัดการ IIS 6 ใน IIS 10
    • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) เป็นเครื่องมือสำหรับจัดการเซิร์ฟเวอร์ IIS 6.0 ระยะไกล
    • ความเข้ากันได้ของ IIS 6 WMI (Web-WMI) คืออินเทอร์เฟซการเขียนสคริปต์ Windows Management Instrumentation (WMI) สำหรับการควบคุมทางโปรแกรมและการทำงานอัตโนมัติของเว็บเซิร์ฟเวอร์ IIS 10.0 โดยใช้ชุดของสคริปต์ที่สร้างขึ้นในผู้ให้บริการ WMI

บริการโดเมน Active Directory

บทบาท " บริการโดเมน Active Directory» (AD DS) จัดเตรียมฐานข้อมูลแบบกระจายที่จัดเก็บและประมวลผลข้อมูลเกี่ยวกับทรัพยากรเครือข่าย บทบาทนี้ใช้เพื่อจัดระเบียบองค์ประกอบเครือข่าย เช่น ผู้ใช้ คอมพิวเตอร์ และอุปกรณ์อื่นๆ ให้เป็นโครงสร้างการบรรจุแบบลำดับชั้น โครงสร้างลำดับชั้นประกอบด้วยฟอเรสต์ โดเมนภายในฟอเรสต์ และหน่วยองค์กร (OU) ภายในแต่ละโดเมน เซิร์ฟเวอร์ที่ใช้ AD DS เรียกว่าตัวควบคุมโดเมน

ชื่อบทบาทสำหรับ Windows PowerShell คือ AD-Domain-Services

โหมด Windows Server Essentials

บทบาทนี้เป็นโครงสร้างพื้นฐานของคอมพิวเตอร์และมอบฟังก์ชันที่สะดวกและมีประสิทธิภาพ ตัวอย่างเช่น การจัดเก็บข้อมูลลูกค้าในตำแหน่งศูนย์กลางและการปกป้องข้อมูลนี้โดย สำเนาสำรองคอมพิวเตอร์เซิร์ฟเวอร์และไคลเอนต์ การเข้าถึงเว็บระยะไกลที่ให้คุณเข้าถึงข้อมูลจากอุปกรณ์แทบทุกชนิด บทบาทนี้ต้องการบริการและคุณสมบัติหลายบทบาท ตัวอย่างเช่น คุณสมบัติ BranchCache, Windows Server Backup, Group Policy Management, Role Service " DFS เนมสเปซ».

ชื่อสำหรับ PowerShell คือ ServerEssentialsRole

ตัวควบคุมเครือข่าย

เปิดตัวใน Windows Server 2016 บทบาทนี้ให้จุดเดียวของระบบอัตโนมัติสำหรับการจัดการ ตรวจสอบ และวินิจฉัยโครงสร้างพื้นฐานเครือข่ายจริงและเสมือนในศูนย์ข้อมูล เมื่อใช้บทบาทนี้ คุณสามารถกำหนดค่าเครือข่ายย่อย IP, VLAN, อะแดปเตอร์เครือข่ายจริงของโฮสต์ Hyper-V จากจุดเดียว, จัดการสวิตช์เสมือน, เราเตอร์จริง, การตั้งค่าไฟร์วอลล์และเกตเวย์ VPN

ชื่อของ Windows PowerShell คือ NetworkController

บริการโหนดการ์เดี้ยน

นี่คือบทบาทเซิร์ฟเวอร์ Hosted Guardian Service (HGS) และให้บริการการรับรองและการป้องกันคีย์ที่อนุญาตให้โฮสต์ที่ได้รับการป้องกันเรียกใช้เครื่องเสมือนที่มีการป้องกัน สำหรับการทำงานของบทบาทนี้ จำเป็นต้องมีบทบาทและคอมโพเนนต์เพิ่มเติมหลายรายการ ตัวอย่างเช่น: Active Directory Domain Services, Web Server (IIS), the " การทำคลัสเตอร์ล้มเหลว" และคนอื่น ๆ.

ชื่อของ PowerShell คือ HostGuardianServiceRole

Active Directory บริการไดเรกทอรีน้ำหนักเบา

บทบาท " Active Directory บริการไดเรกทอรีน้ำหนักเบา» (AD LDS) เป็น AD DS รุ่นที่มีน้ำหนักเบาซึ่งมีฟังก์ชันการทำงานน้อยกว่า แต่ไม่ต้องการการปรับใช้โดเมนหรือตัวควบคุมโดเมน และไม่มีการขึ้นต่อกันและข้อจำกัดของโดเมนที่ AD DS กำหนด AD LDS ทำงานบนโปรโตคอล LDAP ( โปรโตคอลการเข้าถึงไดเรกทอรีที่มีน้ำหนักเบา). คุณสามารถปรับใช้อินสแตนซ์ AD LDS หลายรายการบนเซิร์ฟเวอร์เดียวกันด้วยสกีมาที่มีการจัดการโดยอิสระ

ชื่อของ PowerShell คือ ADLDS

บริการหลายจุด

นอกจากนี้ยังเป็นบทบาทใหม่ใน Windows Server 2016 บริการ MultiPoint (MPS) มีฟังก์ชันเดสก์ท็อประยะไกลพื้นฐานที่ช่วยให้ผู้ใช้หลายคนทำงานพร้อมกันและเป็นอิสระจากกันบนคอมพิวเตอร์เครื่องเดียวกัน ในการติดตั้งและใช้งานบทบาทนี้ คุณต้องติดตั้งบริการและส่วนประกอบเพิ่มเติมหลายอย่าง เช่น: Print Server, Windows Search Service, XPS Viewer และอื่นๆ ซึ่งทั้งหมดนี้จะถูกเลือกโดยอัตโนมัติระหว่างการติดตั้ง MPS

ชื่อของบทบาทสำหรับ PowerShell คือ MultiPointServerRole

บริการอัพเดต Windows Server

ด้วยบทบาทนี้ (WSUS) ผู้ดูแลระบบสามารถจัดการการอัปเดตของ Microsoft ตัวอย่างเช่น สร้างกลุ่มคอมพิวเตอร์แยกต่างหากสำหรับการอัปเดตชุดต่างๆ รวมถึงรับรายงานเกี่ยวกับความสอดคล้องของคอมพิวเตอร์กับข้อกำหนดและการอัปเดตที่จำเป็นต้องติดตั้ง เพื่อการทำงาน" บริการอัพเดต Windows Server» คุณต้องการบริการตามบทบาทและส่วนประกอบต่างๆ เช่น: เว็บเซิร์ฟเวอร์ (IIS), Windows Internal Database, Activation Service กระบวนการของ Windows.

ชื่อสำหรับ Windows PowerShell คือ UpdateServices

  • การเชื่อมต่อ WID (UpdateServices-WidDB) - ตั้งค่าเป็น WID ( ฐานข้อมูลภายใน Windows) ฐานข้อมูลที่ใช้โดย WSUS กล่าวอีกนัยหนึ่ง WSUS จะจัดเก็บข้อมูลบริการไว้ใน WID
  • WSUS Services (UpdateServices-Services) คือบริการตามบทบาท WSUS เช่น Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Web Simple Authentication Web Service, Server Synchronization Service and DSS Authentication Web Service;
  • การเชื่อมต่อเซิร์ฟเวอร์ SQL (UpdateServices-DB) คือการติดตั้งคอมโพเนนต์ที่อนุญาตให้บริการ WSUS เชื่อมต่อกับฐานข้อมูล Microsoft SQL Server ตัวเลือกนี้มีไว้สำหรับการจัดเก็บข้อมูลบริการในฐานข้อมูล Microsoft SQL Server ในกรณีนี้ คุณต้องติดตั้ง SQL Server อย่างน้อยหนึ่งอินสแตนซ์

บริการเปิดใช้งาน Volume License

ด้วยบทบาทเซิร์ฟเวอร์นี้ คุณสามารถทำให้การออก Volume License สำหรับซอฟต์แวร์จาก Microsoft เป็นไปโดยอัตโนมัติและลดความซับซ้อน และยังช่วยให้คุณจัดการใบอนุญาตเหล่านี้ได้อีกด้วย

ชื่อสำหรับ PowerShell คือ VolumeActivation

บริการสิ่งพิมพ์และเอกสาร

บทบาทเซิร์ฟเวอร์นี้ออกแบบมาเพื่อแชร์เครื่องพิมพ์และสแกนเนอร์บนเครือข่ายไปยัง การตั้งค่าส่วนกลางและการจัดการเซิร์ฟเวอร์การพิมพ์และการสแกน ตลอดจนการจัดการเครือข่ายเครื่องพิมพ์และสแกนเนอร์ บริการพิมพ์และเอกสารยังช่วยให้คุณสามารถส่งเอกสารที่สแกนผ่านทางอีเมล ไปยังเครือข่ายที่ใช้ร่วมกัน หรือไปยังไซต์ Windows SharePoint Services

ชื่อสำหรับ PowerShell คือ Print-Services

  • เซิร์ฟเวอร์การพิมพ์ (เซิร์ฟเวอร์การพิมพ์) - บริการบทบาทนี้รวมถึง " การจัดการการพิมพ์” ซึ่งใช้ในการจัดการเครื่องพิมพ์หรือเซิร์ฟเวอร์การพิมพ์ เช่นเดียวกับการโยกย้ายเครื่องพิมพ์และเซิร์ฟเวอร์การพิมพ์อื่นๆ
  • การพิมพ์ผ่านอินเทอร์เน็ต (Print-Internet) - หากต้องการดำเนินการพิมพ์ผ่านอินเทอร์เน็ต เว็บไซต์จะถูกสร้างขึ้นเพื่อให้ผู้ใช้สามารถจัดการงานพิมพ์บนเซิร์ฟเวอร์ได้ เพื่อให้บริการนี้ใช้งานได้ตามที่คุณเข้าใจ คุณต้องติดตั้ง " เว็บเซิร์ฟเวอร์ (IIS)". คอมโพเนนต์ที่จำเป็นทั้งหมดจะถูกเลือกโดยอัตโนมัติเมื่อคุณทำเครื่องหมายที่ช่องนี้ในระหว่างขั้นตอนการติดตั้งบริการบทบาท " การพิมพ์ทางอินเทอร์เน็ต»;
  • Distributed Scan Server (Print-Scan-Server) เป็นบริการที่ช่วยให้คุณได้รับเอกสารที่สแกนจากเครื่องสแกนเครือข่ายและส่งไปยังปลายทาง บริการนี้ยังมี " การจัดการการสแกน” ซึ่งใช้ในการจัดการเครื่องสแกนเครือข่ายและกำหนดค่าการสแกน
  • LPD Service (พิมพ์-LPD-Service) - บริการ LPD ( Line Printer Daemon) อนุญาตให้คอมพิวเตอร์ที่ใช้ UNIX และคอมพิวเตอร์อื่นๆ ที่ใช้บริการ Line Printer Remote (LPR) พิมพ์ไปยังเครื่องพิมพ์ที่ใช้ร่วมกันของเซิร์ฟเวอร์

นโยบายเครือข่ายและบริการการเข้าถึง

บทบาท " » (NPAS) อนุญาตให้ Network Policy Server (NPS) ตั้งค่าและบังคับใช้การเข้าถึงเครือข่าย การรับรองความถูกต้องและการให้สิทธิ์ และนโยบายสถานภาพของไคลเอ็นต์ หรืออีกนัยหนึ่งคือ รักษาความปลอดภัยเครือข่าย

ชื่อสำหรับ Windows PowerShell คือ NPAS

บริการการปรับใช้ Windows

ด้วยบทบาทนี้ คุณสามารถติดตั้งระบบปฏิบัติการ Windows จากระยะไกลผ่านเครือข่ายได้

ชื่อบทบาทสำหรับ PowerShell คือ WDS

  • Deployment Server (WDS-Deployment) - บริการบทบาทนี้ออกแบบมาสำหรับการปรับใช้ระยะไกลและการกำหนดค่าของระบบปฏิบัติการ Windows นอกจากนี้ยังช่วยให้คุณสร้างและปรับแต่งรูปภาพเพื่อใช้ซ้ำได้
  • เซิร์ฟเวอร์การขนส่ง (WDS-Transport) - บริการนี้มีส่วนประกอบเครือข่ายพื้นฐานซึ่งคุณสามารถถ่ายโอนข้อมูลโดยมัลติคาสต์บนเซิร์ฟเวอร์แบบสแตนด์อโลน

บริการใบรับรอง Active Directory

บทบาทนี้มีไว้เพื่อสร้างผู้ออกใบรับรองและบริการตามบทบาทที่เกี่ยวข้องซึ่งอนุญาตให้คุณออกและจัดการใบรับรองสำหรับแอปพลิเคชันต่างๆ

ชื่อสำหรับ Windows PowerShell คือ AD-Certificate

รวมบริการบทบาทต่อไปนี้:

  • ผู้ออกใบรับรอง (ADCS-Cert-Authority) - เมื่อใช้บริการบทบาทนี้ คุณสามารถออกใบรับรองให้กับผู้ใช้ คอมพิวเตอร์ และบริการ ตลอดจนจัดการความถูกต้องของใบรับรอง
  • บริการเว็บนโยบายการลงทะเบียนใบรับรอง (ADCS-Enroll-Web-Pol) - บริการนี้อนุญาตให้ผู้ใช้และคอมพิวเตอร์รับข้อมูลนโยบายการลงทะเบียนใบรับรองจากเว็บเบราว์เซอร์ แม้ว่าคอมพิวเตอร์จะไม่ได้เป็นสมาชิกของโดเมนก็ตาม มันเป็นสิ่งจำเป็นสำหรับการทำงาน เว็บเซิร์ฟเวอร์ (IIS)»;
  • บริการเว็บการลงทะเบียนใบรับรอง (ADCS-Enroll-Web-Svc) - บริการนี้อนุญาตให้ผู้ใช้และคอมพิวเตอร์ลงทะเบียนและต่ออายุใบรับรองโดยใช้เว็บเบราว์เซอร์ผ่าน HTTPS แม้ว่าคอมพิวเตอร์จะไม่ได้เป็นสมาชิกของโดเมนก็ตาม นอกจากนี้ยังจำเป็นต้องทำงาน เว็บเซิร์ฟเวอร์ (IIS)»;
  • การตอบกลับออนไลน์ (ADCS-Online-Cert) - บริการนี้ได้รับการออกแบบมาเพื่อตรวจสอบการเพิกถอนใบรับรองสำหรับลูกค้า กล่าวอีกนัยหนึ่งคือยอมรับคำขอสถานะการเพิกถอนสำหรับใบรับรองเฉพาะ ประเมินสถานะของใบรับรองเหล่านั้น และส่งการตอบกลับที่ลงนามพร้อมข้อมูลเกี่ยวกับสถานะกลับ เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)»;
  • Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) - บริการนี้มีอินเทอร์เฟซบนเว็บสำหรับผู้ใช้เพื่อดำเนินการต่างๆ เช่น การร้องขอและการต่ออายุใบรับรอง การขอรับ CRL และการลงทะเบียนใบรับรองสมาร์ทการ์ด เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)»;
  • บริการลงทะเบียนอุปกรณ์เครือข่าย (ADCS-Device-Enrollment)—เมื่อใช้บริการนี้ คุณสามารถออกและจัดการใบรับรองสำหรับเราเตอร์และอุปกรณ์เครือข่ายอื่นๆ ที่ไม่มีบัญชีเครือข่าย เพื่อให้การบริการทำงานได้เป็นสิ่งจำเป็น เว็บเซิร์ฟเวอร์ (IIS)».

บริการเดสก์ท็อประยะไกล

บทบาทเซิร์ฟเวอร์ที่สามารถใช้เพื่อเข้าถึงเดสก์ท็อปเสมือน เดสก์ท็อปตามเซสชัน และ RemoteApps

ชื่อบทบาทสำหรับ Windows PowerShell คือ Remote-Desktop-Services

ประกอบด้วยบริการดังต่อไปนี้:

  • การเข้าถึงเว็บเดสก์ท็อประยะไกล (RDS-Web-Access) - บริการบทบาทนี้อนุญาตให้ผู้ใช้เข้าถึงเดสก์ท็อประยะไกลและแอปพลิเคชัน RemoteApp ผ่าน " เริ่ม» หรือใช้เว็บเบราว์เซอร์
  • สิทธิ์ใช้งานเดสก์ท็อประยะไกล (สิทธิ์ใช้งาน RDS) - บริการนี้ออกแบบมาเพื่อจัดการสิทธิ์การใช้งานที่จำเป็นในการเชื่อมต่อกับเซิร์ฟเวอร์โฮสต์เซสชันเดสก์ท็อประยะไกลหรือเดสก์ท็อปเสมือน สามารถใช้ในการติดตั้ง ออกใบอนุญาต และติดตามความพร้อมใช้งาน บริการนี้ต้องการ " เว็บเซิร์ฟเวอร์ (IIS)»;
  • นายหน้าเชื่อมต่อเดสก์ท็อประยะไกล (RDS-Connection-Broker) เป็นบริการตามบทบาทที่มีความสามารถดังต่อไปนี้: เชื่อมต่อผู้ใช้อีกครั้งกับเดสก์ท็อปเสมือนที่มีอยู่ แอปพลิเคชัน RemoteApp และเดสก์ท็อปตามเซสชัน ตลอดจนโหลดบาลานซ์ระหว่างเดสก์ท็อปเซิร์ฟเวอร์โฮสต์เซสชันระยะไกล หรือระหว่างเดสก์ท็อปเสมือนแบบพูล บริการนี้ต้องการ " »;
  • Remote Desktop Virtualization Host (DS-Virtualization) - บริการนี้อนุญาตให้ผู้ใช้เชื่อมต่อกับเดสก์ท็อปเสมือนโดยใช้ RemoteApp และ Desktop Connection บริการนี้ทำงานร่วมกับ Hyper-V เช่น ต้องติดตั้งบทบาทนี้
  • โฮสต์เซสชันเดสก์ท็อประยะไกล (RDS-RD-เซิร์ฟเวอร์) - บริการนี้สามารถโฮสต์แอปพลิเคชัน RemoteApp และเดสก์ท็อปที่ใช้เซสชันบนเซิร์ฟเวอร์ การเข้าถึงผ่านไคลเอนต์ Remote Desktop Connection หรือ RemoteApps
  • Remote Desktop Gateway (RDS-Gateway) - บริการนี้ช่วยให้ผู้ใช้ระยะไกลที่ได้รับอนุญาตสามารถเชื่อมต่อกับเดสก์ท็อปเสมือน, RemoteApps และเดสก์ท็อปที่ใช้เซสชันบนเครือข่ายองค์กรหรือผ่านอินเทอร์เน็ต บริการนี้ต้องการบริการและส่วนประกอบเพิ่มเติมดังต่อไปนี้: เว็บเซิร์ฟเวอร์ (IIS)», « นโยบายเครือข่ายและบริการการเข้าถึง», « RPC ผ่านพร็อกซี HTTP».

AD RMS

นี่คือบทบาทของเซิร์ฟเวอร์ที่จะช่วยให้คุณสามารถปกป้องข้อมูลจากการใช้งานโดยไม่ได้รับอนุญาต ตรวจสอบตัวตนของผู้ใช้และให้สิทธิ์การใช้งานแก่ผู้ใช้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลที่ได้รับการป้องกัน บทบาทนี้ต้องการบริการและส่วนประกอบเพิ่มเติม: เว็บเซิร์ฟเวอร์ (IIS)», « บริการเปิดใช้งานกระบวนการของ Windows», « คุณสมบัติ .NET Framework 4.6».

ชื่อสำหรับ Windows PowerShell คือ ADRMS

  • Active Directory Rights Management Server (ADRMS-Server) - บริการบทบาทหลักที่จำเป็นสำหรับการติดตั้ง
  • Identity Federation Support (ADRMS-Identity) เป็นบริการเสริมตามบทบาทที่ช่วยให้ข้อมูลประจำตัวที่เชื่อมโยงสามารถใช้เนื้อหาที่มีการป้องกันโดยใช้ Active Directory Federation Services

AD FS

บทบาทนี้มอบฟังก์ชันการรวมข้อมูลประจำตัวที่ง่ายและปลอดภัยและการลงชื่อเข้าใช้ครั้งเดียว (SSO) ไปยังเว็บไซต์โดยใช้เบราว์เซอร์

ชื่อสำหรับ PowerShell คือ ADFS-Federation

การเข้าถึงระยะไกล

บทบาทนี้มีการเชื่อมต่อผ่าน DirectAccess, VPN และ Web Application Proxy บทบาทอีกด้วย การเข้าถึงระยะไกล"ให้ความสามารถในการกำหนดเส้นทางแบบดั้งเดิม รวมถึงการแปลที่อยู่เครือข่าย (NAT) และตัวเลือกการเชื่อมต่ออื่นๆ บทบาทนี้ต้องการบริการและคุณสมบัติเพิ่มเติม: เว็บเซิร์ฟเวอร์ (IIS)», « ฐานข้อมูลภายใน Windows».

ชื่อบทบาทสำหรับ Windows PowerShell คือ RemoteAccess

  • DirectAccess และ VPN (RAS) (DirectAccess-VPN) - บริการนี้ช่วยให้ผู้ใช้สามารถเชื่อมต่อกับเครือข่ายองค์กรได้ตลอดเวลาด้วยการเข้าถึงอินเทอร์เน็ตผ่าน DirectAccess รวมถึงจัดระเบียบการเชื่อมต่อ VPN ร่วมกับเทคโนโลยีการขุดอุโมงค์และการเข้ารหัสข้อมูล
  • การกำหนดเส้นทาง (การกำหนดเส้นทาง) - บริการนี้ให้การสนับสนุนเราเตอร์ NAT, เราเตอร์ LAN พร้อมโปรโตคอล BGP, RIP และเราเตอร์ที่รองรับมัลติคาสต์ (พร็อกซี IGMP)
  • พร็อกซีแอปพลิเคชันเว็บ (เว็บแอปพลิเคชันพร็อกซี) - บริการนี้อนุญาตให้คุณเผยแพร่แอปพลิเคชันตามโปรโตคอล HTTP และ HTTPS จากเครือข่ายองค์กรไปยังอุปกรณ์ไคลเอ็นต์ที่อยู่นอกเครือข่ายองค์กร

บริการไฟล์และที่เก็บข้อมูล

นี่คือบทบาทเซิร์ฟเวอร์ที่สามารถใช้เพื่อแชร์ไฟล์และโฟลเดอร์ จัดการและควบคุมการแชร์ จำลองไฟล์ ค้นหาไฟล์อย่างรวดเร็ว และให้สิทธิ์การเข้าถึงแก่คอมพิวเตอร์ไคลเอนต์ UNIX เราพิจารณาบริการไฟล์และโดยเฉพาะอย่างยิ่งเซิร์ฟเวอร์ไฟล์ในรายละเอียดเพิ่มเติมในเนื้อหา " การติดตั้ง File Server บน Windows Server 2016 ».

ชื่อสำหรับ Windows PowerShell คือ FileAndStorage-Services

บริการจัดเก็บ- บริการนี้มีฟังก์ชันการจัดการพื้นที่เก็บข้อมูลที่ติดตั้งอยู่เสมอและไม่สามารถลบออกได้

บริการไฟล์และบริการ iSCSI (บริการไฟล์)เป็นเทคโนโลยีที่ทำให้การจัดการเซิร์ฟเวอร์ไฟล์และพื้นที่จัดเก็บง่ายขึ้น ประหยัดเนื้อที่ดิสก์ ให้การจำลองแบบและการแคชไฟล์ในสาขา และยังให้บริการการแชร์ไฟล์ผ่านโปรโตคอล NFS รวมบริการบทบาทต่อไปนี้:

  • File Server (FS-FileServer) - บริการตามบทบาทที่จัดการโฟลเดอร์ที่ใช้ร่วมกันและให้ผู้ใช้สามารถเข้าถึงไฟล์บนคอมพิวเตอร์เครื่องนี้ผ่านเครือข่าย
  • การขจัดข้อมูลซ้ำซ้อน (FS-Data-Deduplication) - บริการนี้ช่วยประหยัดพื้นที่ดิสก์โดยจัดเก็บข้อมูลที่เหมือนกันเพียงชุดเดียวในโวลุ่ม
  • File Server Resource Manager (FS-Resource-Manager) - เมื่อใช้บริการนี้ คุณสามารถจัดการไฟล์และโฟลเดอร์บนเซิร์ฟเวอร์ไฟล์ สร้างรายงานการจัดเก็บ จัดประเภทไฟล์และโฟลเดอร์ กำหนดค่าโควต้าโฟลเดอร์ และกำหนดนโยบายการบล็อกไฟล์
  • iSCSI Target Storage Provider (VDS และ VSS Hardware Providers) (iSCSItarget-VSS-VDS) - บริการนี้อนุญาตให้แอปพลิเคชันบนเซิร์ฟเวอร์ที่เชื่อมต่อกับ iSCSI เป้าหมายเพื่อดำเนินการ สำเนาเงาไดรฟ์ข้อมูลบนดิสก์เสมือน iSCSI;
  • เนมสเปซ DFS (FS-DFS-เนมสเปซ) - เมื่อใช้บริการนี้ คุณสามารถจัดกลุ่มโฟลเดอร์ที่ใช้ร่วมกันที่โฮสต์บนเซิร์ฟเวอร์ที่แตกต่างกันเป็นเนมสเปซที่มีโครงสร้างเชิงตรรกะอย่างน้อยหนึ่งรายการ
  • โฟลเดอร์งาน (FS-SyncShareService) - บริการนี้อนุญาตให้คุณใช้ไฟล์งานบนคอมพิวเตอร์เครื่องอื่น รวมถึงงานและส่วนบุคคล คุณสามารถจัดเก็บไฟล์ของคุณในโฟลเดอร์งาน ซิงโครไนซ์ไฟล์ และเข้าถึงได้จากเครือข่ายท้องถิ่นหรืออินเทอร์เน็ต เพื่อให้บริการทำงานได้ ส่วนประกอบ " IIS เว็บคอร์ในกระบวนการ»;
  • DFS Replication (FS-DFS-Replication) เป็นเครื่องมือจำลองข้อมูลหลายเซิร์ฟเวอร์ที่ให้คุณซิงโครไนซ์โฟลเดอร์ผ่านการเชื่อมต่อ LAN หรือ WAN เทคโนโลยีนี้ใช้โปรโตคอล Remote Differential Compression (RDC) เพื่ออัปเดตเฉพาะส่วนของไฟล์ที่มีการเปลี่ยนแปลงตั้งแต่การจำลองแบบครั้งล่าสุด การจำลอง DFS สามารถใช้โดยมีหรือไม่มี DFS Namespaces;
  • เซิร์ฟเวอร์สำหรับ NFS (FS-NFS-Service) - บริการนี้อนุญาตให้คอมพิวเตอร์เครื่องนี้แชร์ไฟล์กับคอมพิวเตอร์ที่ใช้ UNIX และคอมพิวเตอร์เครื่องอื่นๆ ที่ใช้โปรโตคอล Network File System (NFS)
  • เซิร์ฟเวอร์เป้าหมาย iSCSI (FS-iSCSItarget-Server) - ให้บริการและการจัดการสำหรับเป้าหมาย iSCSI
  • บริการ BranchCache สำหรับไฟล์เครือข่าย (FS-BranchCache) - บริการนี้ให้การสนับสนุน BranchCache บนเซิร์ฟเวอร์ไฟล์นี้
  • File Server VSS Agent Service (FS-VSS-Agent) - บริการนี้เปิดใช้งาน Volume Shadow Copy สำหรับแอปพลิเคชันที่เก็บไฟล์ข้อมูลบนเซิร์ฟเวอร์ไฟล์นี้

แฟกซ์เซิร์ฟเวอร์

บทบาทส่งและรับโทรสาร และอนุญาตให้คุณจัดการทรัพยากรโทรสาร เช่น งาน การตั้งค่า รายงาน และอุปกรณ์โทรสารบนคอมพิวเตอร์เครื่องนี้หรือบนเครือข่าย จำเป็นสำหรับการทำงาน เซิร์ฟเวอร์การพิมพ์».

ชื่อบทบาทสำหรับ Windows PowerShell คือ Fax

การตรวจสอบบทบาทเซิร์ฟเวอร์ Windows Server 2016 เสร็จสมบูรณ์แล้ว ฉันหวังว่าเนื้อหาจะเป็นประโยชน์สำหรับคุณในตอนนี้!



กำลังโหลด...
สูงสุด