Предоставете подробно описание на политиката на сървъра относно. Команда GPResult: диагностика на произтичащите групови правила

Лекция 4 Сървър за мрежова политика: RADIUS сървър, RADIUS прокси и сървър за политики за сигурност

Лекция 4

Тема: Сървър за мрежова политика: RADIUS сървър, RADIUS прокси и сървър за политика за защита на достъпа до мрежата

Въведение

Windows сървър 2008 и Windows Server 2008 R2 са усъвършенствани операционни системи Windows Server, предназначени да позволят ново поколение мрежи, приложения и уеб услуги. С тези операционни системи можете да разработвате, доставяте и управлявате гъвкави и всеобхватни изживявания за потребители и приложения, да създавате високо защитени мрежови инфраструктури и да повишавате технологичната ефективност и организация във вашата организация.

Сървър за мрежова политика

Сървърът за мрежови политики ви позволява да създавате и налагате политики за мрежов достъп в цялата организация, за да гарантирате изправността на клиента и удостоверяването и оторизацията на заявките за връзка. Освен това NPS може да се използва като RADIUS прокси за препращане на заявки за връзка към NPS или други RADIUS сървъри, конфигурирани в отдалечени групи RADIUS сървъри.

Сървърът за мрежови правила ви позволява централно да конфигурирате и управлявате политики за удостоверяване, оторизация и здраве на клиента, когато предоставяте достъп до мрежата, като използвате следните три възможности:

RADIUS сървър. Сървърът за мрежова политика управлява централно удостоверяването, оторизацията и отчитането на безжични връзки, удостоверени връзки на превключватели, комутируеми връзки и връзки на виртуална частна мрежа (VPN). Когато използвате NPS като RADIUS сървър, сървърите за мрежов достъп, като точки за безжичен достъп и VPN сървъри, се конфигурират като RADIUS клиенти на NPS. Освен това вие конфигурирате мрежовите правила, които NPS използва за разрешаване на заявки за връзка. Освен това можете да конфигурирате RADIUS отчитане, така че данните да се записват от NPS сървъра в лог файлове, съхранявани на локалния твърд диск или в базата данни Данни на Microsoft SQL сървър.

RADIUS прокси. Ако NPS се използва като RADIUS прокси, трябва да конфигурирате правила за заявка за връзка, които определят кои заявки за връзка NPS ще препраща към други RADIUS сървъри и към кои конкретни RADIUS сървъри ще бъдат препращани тези заявки. Можете също да конфигурирате Network Policy Server да пренасочва идентификационни данни, за да ги съхранява на един или повече компютри в група от отдалечени RADIUS сървъри.

Сървър за политики за защита на мрежовия достъп (NAP). Когато NPS е конфигуриран като NAP сървър за политики, NPS оценява състоянията на изправност, изпратени от NAP-активирани клиентски компютри, които се опитват да се свържат към мрежата. Сървърът за мрежови правила, който е конфигуриран със защита на достъпа до мрежата, действа като RADIUS сървър за удостоверяване и оторизиране на заявки за връзка. На сървъра за мрежова политика можете да конфигурирате политики и настройки за защита на достъпа до мрежата, включително проверки на изправността на системата, политики за изправност и групи за актуализиране на сървъри, които гарантират, че конфигурацията на клиентските компютри се актуализира в съответствие с мрежовата политика на вашата организация.

Сървърът за мрежова политика може да бъде конфигуриран с произволна комбинация от горните опции. Например, сървър за мрежова политика може да действа като сървър за политика за защита на достъпа до мрежата, използвайки един или повече методи за прилагане, като едновременно с това служи като RADIUS сървър за връзки за отдалечен достъп и като RADIUS прокси за препращане на някои заявки за връзка към група от отдалечени RADIUS сървъри, което ви позволява да извършвате удостоверяване и оторизация на различен домейн.

RADIUS сървър и RADIUS прокси

Сървърът за мрежова политика може да се използва като RADIUS сървър, RADIUS прокси или и двете едновременно.

RADIUS сървър

Microsoft Network Policy Server е внедрен в съответствие със стандарта RADIUS, както е описано в IETF RFC 2865 и RFC 2866. Като RADIUS сървър, Network Policy Server централно извършва удостоверяване, оторизация и отчитане на връзки за различни видове мрежов достъп, включително безжичен достъп, удостоверено превключване, отдалечен и VPN достъп и връзки между рутери.

Сървърът за мрежова политика позволява разнообразен набор от безжично, комутируемо, VPN и комутационно оборудване. Сървърът за мрежова политика може да се използва с услугата за маршрутизиране и отдалечен достъп, която е налична в операционните системи Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition.

Ако компютърът, изпълняващ NPS, е член на домейн на Active Directory®, NPS използва тази директорийна услуга като база данни с потребителски акаунти и е част от решението за единично влизане. Същият набор от идентификационни данни се използва за контрол на достъпа до мрежата (удостоверяване и оторизация на достъп до мрежата) и за влизане в домейна на Active Directory.

Доставчиците на интернет услуги и организациите, които предоставят мрежов достъп, са изправени пред по-големи предизвикателства при управлението на всички видове мрежи от една точка на администриране, независимо от използваното оборудване за мрежов достъп. Стандартът RADIUS поддържа тази функционалност както в хомогенни, така и в хетерогенни среди. Протоколът RADIUS е протокол клиент-сървър, който позволява на оборудването за мрежов достъп (действащо като RADIUS клиенти) да прави заявки за удостоверяване и отчитане към RADIUS сървър.

RADIUS сървърът има достъп до информацията за акаунта на потребителя и може да проверява идентификационните данни по време на удостоверяване, за да предостави достъп до мрежата. Ако идентификационните данни на потребителя са валидни и опитът за свързване е разрешен, RADIUS сървърът разрешава достъпа на потребителя въз основа на посочените условия и регистрира информацията за връзката в регистрационния файл. Използването на протокола RADIUS ви позволява да събирате и поддържате информация за удостоверяване, оторизация и счетоводство на едно място, вместо да се налага да извършвате тази операция на всеки сървър за достъп.

RADIUS прокси

Като RADIUS прокси, NPS препраща съобщения за удостоверяване и отчитане към други RADIUS сървъри.

Със сървъра за мрежова политика организациите могат да изнесат своята инфраструктура за отдалечен достъп на доставчик на услуги, като същевременно поддържат контрол върху удостоверяването на потребителя, оторизацията и отчитането.

Конфигурациите на сървъра за мрежова политика могат да бъдат създадени за следните сценарии:

Безжичен достъп

Свързване на отдалечен достъп или виртуална частна мрежа в организация.

Отдалечен достъпили безжичен достъп, предоставен от външна организация

достъп до интернет

Удостоверен достъп до външни мрежови ресурси за бизнес партньори

Примери за конфигурации на RADIUS сървър и RADIUS прокси

Следните примери за конфигурация демонстрират как да конфигурирате NPS като RADIUS сървър и RADIUS прокси.

NPS като RADIUS сървър. В този пример NPS сървърът е конфигуриран като RADIUS сървър, единствената конфигурирана политика е политиката за заявка за връзка по подразбиране и всички заявки за връзка се обработват от локалния NPS сървър. Сървърът за мрежова политика може да удостоверява и оторизира потребители, чиито акаунти са в домейна на сървъра или в доверени домейни.

NPS като RADIUS прокси. В този пример NPS е конфигуриран като RADIUS прокси, който препраща заявки за връзка към групи от отдалечени RADIUS сървъри в два различни ненадеждни домейна. Политиката за заявка за връзка по подразбиране се премахва и се заменя с две нови политики за заявка за връзка, които препращат заявки към всеки от двата ненадеждни домейна. В този пример NPS не обработва заявки за връзка на локалния сървър.

NPS като RADIUS сървър и RADIUS прокси. В допълнение към политиката за заявка за връзка по подразбиране, която обработва заявките локално, се създава нова политика за заявка за връзка, която ги препраща към NPS или друг RADIUS сървър в ненадежден домейн. Втората политика се нарича Proxy. В този пример политиката за прокси се появява първа в подредения списък с политики. Ако заявка за връзка съответства на правилата за прокси сървър, заявката за връзка се препраща към RADIUS сървър в групата на отдалечени RADIUS сървъри. Ако дадена заявка за връзка не съответства на политиката за прокси сървър, но отговаря на политиката за заявка за връзка по подразбиране, Network Policy Server обработва заявката за връзка на локалния сървър. Ако заявка за свързване не отговаря на някоя от тези политики, тя се отхвърля.

NPS като RADIUS сървър с отдалечени счетоводни сървъри. В този пример локалният NPS не е конфигуриран за отчитане и политиката за заявка за връзка по подразбиране е променена, така че съобщенията за отчитане на RADIUS да се препращат към NPS или друг RADIUS сървър в групата от отдалечени RADIUS сървъри. Въпреки че счетоводните съобщения се препращат, съобщенията за удостоверяване и оторизация не се препращат и свързаните функции за локалния домейн и всички доверени домейни се изпълняват от локалния NPS сървър.

NPS с отдалечен RADIUS към потребителско картографиране на Windows. В този пример NPS действа както като RADIUS сървър, така и като RADIUS прокси за всяка отделна заявка за връзка, като препраща заявката за удостоверяване към отдалечен RADIUS сървър, като едновременно с това извършва оторизация с помощта на локалния потребителски акаунт на Windows. Тази конфигурация се изпълнява чрез задаване на атрибута Remote RADIUS Server Mapping to Windows User като условие на политиката за заявка за връзка. (Освен това трябва да създадете локален потребителски акаунт на RADIUS сървъра със същото име като отдалечения акаунт, който ще бъде удостоверен от отдалечения RADIUS сървър.)

Сървър за политики за защита на мрежовия достъп

Защитата на мрежовия достъп е включена в Windows Vista®, Windows® 7, Windows Server® 2008 и Windows Server® 2008 R2. Той помага за осигуряване на достъп до частни мрежи, като гарантира, че клиентските компютри отговарят на правилата за здраве, действащи в мрежата на организацията, когато позволяват на тези клиенти достъп до мрежови ресурси. В допълнение, съответствието на клиентския компютър с дефинираната от администратора здравна политика се наблюдава от защитата на достъпа до мрежата, докато клиентският компютър е свързан към мрежата. С функцията за автоматично актуализиране на защитата на мрежовия достъп, несъвместимите компютри могат да бъдат автоматично актуализирани до правилата за изправност, което им позволява по-късно да получат достъп до мрежата.

Системните администратори дефинират политики за изправност на мрежата и създават тези политики с помощта на компоненти за защита на мрежовия достъп, които са достъпни от сървъра за мрежова политика или се предоставят от други компании (в зависимост от изпълнението на защитата на мрежовия достъп).

Здравните политики могат да имат характеристики като софтуерни изисквания, изисквания за актуализация на защитата и изисквания за конфигурационни параметри. Защитата на мрежовия достъп налага политики за изправност, като проверява и оценява изправността на клиентските компютри, ограничава достъпа до мрежата до компютри, които не отговарят на тези изисквания, и коригира несъответствието, за да осигури неограничен достъп до мрежата.

Помощна програма GPResult.exe– е конзолно приложение, предназначено да анализира настройките и да диагностицира групови политики, които се прилагат към компютър и/или потребител в домейн на Active Directory. По-специално, GPResult ви позволява да получите данни от резултантния набор от политики (Resultant Set of Policy, RSOP), списък с приложени политики на домейни (GPO), техните настройки и подробна информация за грешки при тяхната обработка. Помощната програма е част от операционната система Windows от Windows XP. Помощната програма GPResult ви позволява да отговорите на следните въпроси: дали конкретна политика се прилага за компютъра, кой GPO е променил това или онова Настройка на Windows, разберете причините.

В тази статия ще разгледаме характеристиките на използването на командата GPResult за диагностика и отстраняване на грешки в прилагането на групови политики в домейн на Active Directory.

Първоначално за диагностициране на прилагането на групови политики в Windows беше използвана графичната конзола RSOP.msc, която направи възможно получаването на настройките на получените политики (домейн + локални), приложени към компютъра и потребителя в графична форма, подобна към конзолата за редактор на GPO (можете да видите по-долу в примера на изгледа на конзолата RSOP.msc, че настройките за актуализиране са зададени).

Въпреки това, не е препоръчително да използвате конзолата RSOP.msc в съвременните версии на Windows, т.к не отразява настройките, приложени от различни разширения от страна на клиента (CSE), като GPP (Предпочитания за групови правила), не позволява търсене и предоставя малко диагностична информация. Следователно в момента командата GPResult е основният инструмент за диагностика на използването на GPO в Windows (в Windows 10 дори се появява предупреждение, че RSOP не предоставя пълен отчет, за разлика от GPResult).

Използване на помощната програма GPResult.exe

Командата GPResult се изпълнява на компютъра, на който искате да проверите прилагането на груповите правила. Командата GPResult има следния синтаксис:

GPRESULT ]] [(/X | /H)<имя_файла> ]

За да получите подробна информация за груповите правила, които се прилагат към даден AD обект (потребител и компютър) и други настройки, свързани с GPO инфраструктурата (т.е. произтичащите настройки на GPO политика - RsoP), изпълнете командата:

Резултатите от командата са разделени на 2 секции:

• КОМПЮТЪР НАСТРОЙКИ (Компютърна конфигурация) – разделът съдържа информация за GPO обекти, действащи на компютъра (като обект на Active Directory);
• ПОТРЕБИТЕЛ НАСТРОЙКИ – раздел с потребителски правила (политики, които се прилагат за потребителски акаунт в AD).

Нека прегледаме накратко основните параметри/секции, които могат да ни интересуват в изхода на GPResult:

• сайтИме(Site name:) – име на сайта на AD, в който се намира компютърът;
• CN– пълен каноничен потребител/компютър, за който са генерирани RSoP данните;
• ПоследновремеГрупаПолитикабешеприложено(Последно приложена групова политика) – време, когато последно са приложени групови политики;
• ГрупаПолитикабешеприложеноот(Груповата политика е приложена от) – домейн контролерът, от който е заредена последна версия GPO;
• ДомейнИмеи домейнТип(Име на домейн, тип домейн) – име и версия на домейн схемата на Active Directory;
• ПриложеноГрупаПолитикаОбекти(Приложени обекти на групови правила)– списъци с активни обекти на групова политика;
• TheследнотоGPOбяханеприложенозащототебяхафилтрираннавън(Следните GPO политики не бяха приложени, защото бяха филтрирани) - неприложени (филтрирани) GPO;
• Theпотребител/компютъреачастнанаследнотосигурностгрупи(Потребителят/компютърът е член на следните групи за сигурност) – домейн групи, в които потребителят е член.

В нашия пример можете да видите, че потребителският обект е обект на 4 групови правила.

• Правила за домейни по подразбиране;
• Активирайте защитната стена на Windows;
• Списък за търсене на DNS суфикс;

Ако не искате информацията за потребителските и компютърните политики да се показва в конзолата едновременно, можете да използвате опцията /scope, за да покажете само секцията, която ви интересува. Само произтичащи потребителски правила:

gpresult /r /scope:user

или само приложени компютърни правила:

gpresult /r /scope:компютър

защото Помощната програма Gpresult извежда своите данни директно към конзолата командна линия, което не винаги е удобно за последващ анализ, изходът му може да бъде пренасочен към клипборда:

Gpresult /r |клип

или текстов файл:

Gpresult /r > c:\gpresult.txt

За да покажете супер подробна RSOP информация, трябва да добавите превключвателя /z.

HTML RSOP отчет с помощта на GPResult

Освен това помощната програма GPResult може да генерира HTML отчет за приложените произтичащи политики (достъпни за Windows 7 и по-нови). Този отчет ще съдържа подробна информация за всички системни параметри, които са зададени от групови правила и имената на конкретни GPO, които ги задават (резултантната структура на отчета наподобява раздела Настройки в конзолата за управление на групови правила на домейна - GPMC). Можете да генерирате HTML GPResult отчет с помощта на командата:

GPResult /h c:\gp-report\report.html /f

За да генерирате отчет и автоматично да го отворите в браузър, изпълнете командата:

GPResult /h GPResult.html & GPResult.html

HTML отчетът gpresult съдържа доста полезна информация: грешките в GPO приложението, времето за обработка (в ms) и прилагането на специфични политики и CSE са видими (в Подробности за компютъра -> раздел Състояние на компонента). Например на екранната снимка по-горе можете да видите, че правилата с настройките за запомняне на 24 пароли се прилагат от Правилата за домейни по подразбиране (колона Winning GPO). Както можете да видите, този HTML отчет е много по-удобен за анализиране на приложени политики от конзолата rsop.msc.

Получаване на GPResult данни от отдалечен компютър

GPResult може също да събира данни от отдалечен компютър, елиминирайки необходимостта администраторът да влиза локално или RDP към отдалечения компютър. Командният формат за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

По същия начин можете дистанционно да събирате данни както от потребителски правила, така и от компютърни правила.

Потребителското име на потребителя няма RSOP данни

Когато UAC е активиран, стартирането на GPResult без повишени привилегии показва настройките само на раздела за потребителска групова политика. Ако трябва да покажете и двата раздела (ПОТРЕБИТЕЛСКИ НАСТРОЙКИ и НАСТРОЙКИ НА КОМПЮТЪРА) едновременно, командата трябва да се изпълни. Ако командният ред е повишен до различна система от текущия потребител, помощната програма ще издаде предупреждение ИНФО:Theпотребител„домейн\потребител"правинеиматRSOPданни (Потребителят "domain\user" няма RSOP данни). Това се случва, защото GPResult се опитва да събере информация за потребителя, който го е стартирал, но защото... Този потребител не е влязъл и няма RSOP информация за него. За да съберете RSOP информация за потребител с активна сесия, трябва да посочите неговия акаунт:

gpresult /r /потребител:tn\edward

Ако не знаете името на акаунта, който е влязъл на отдалечения компютър, можете да получите акаунта по следния начин:

qwinsta /СЪРВЪР:remotePC1

Също така проверете часа(ата) на клиента. Часът трябва да съвпада с часа на PDC (основен домейн контролер).

Следните GPO правила не бяха приложени, защото бяха филтрирани

Когато отстранявате неизправности при групови правила, трябва също да обърнете внимание на раздела: Следните GPO не бяха приложени, защото бяха филтрирани. Този раздел показва списък с GPO, които по една или друга причина не се отнасят за този обект. Възможни начини, по които политиката може да не се прилага:

Можете също така да разберете дали политиката трябва да се приложи към конкретен AD обект в раздела за ефективни разрешения (Разширени -> Ефективен достъп).

И така, в тази статия разгледахме характеристиките на диагностицирането на прилагането на групови политики с помощта на помощната програма GPResult и разгледахме типичните сценарии за нейното използване.

При инсталиране на Windows повечето второстепенни подсистеми не се активират или инсталират. Това се прави от съображения за сигурност. Тъй като системата е защитена по подразбиране, системните администратори могат да се съсредоточат върху проектирането на система, която ще изпълнява точно предвидените функции и нищо друго. За да ви помогне да активирате необходимите функции, Windows ви подканва да изберете сървърна роля.

Роли

Сървърната роля е набор от програми, които, когато са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява специфична функция за множество потребители или други компютри в мрежа. Като цяло всички роли имат следните характеристики.

• Те определят основната функция, цел или цел на използването на компютър. Можете да определите компютър да изпълнява една роля, която се използва силно във вашето предприятие, или да изпълнява множество роли, ако всяка се използва само от време на време.
• Ролите дават на потребителите във вашата организация достъп до ресурси, които се управляват от други компютри, като уеб сайтове, принтери или файлове, съхранявани на различни компютри.
• Те обикновено имат свои собствени бази данни, които подреждат потребителски или компютърни заявки или записват информация за мрежови потребители и компютри, които са подходящи за ролята. Например домейн услугите на Active Directory съдържат база данни за съхраняване на имената и йерархичните връзки на всички компютри в мрежата.
• Веднъж правилно инсталирани и конфигурирани, ролите функционират автоматично. Това позволява на компютрите, на които са инсталирани, да изпълняват възложени задачи с ограничено потребителско взаимодействие.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалностроли. Когато инсталирате роля, можете да изберете кои услуги предоставя на други потребители и компютри в предприятието. Някои роли, като например DNS сървър, изпълняват само една функция, така че за тях няма ролеви услуги. Други роли, като услугите за отдалечен работен плот, имат множество услуги, които могат да бъдат инсталирани в зависимост от нуждите на вашия бизнес от отдалечен достъп. Една роля може да се разглежда като съвкупност от тясно свързани, допълващи се ролеви услуги. В повечето случаи инсталирането на роля означава инсталиране на една или повече от нейните услуги.

Компоненти

Компонентите са програми, които не са директно част от роли, но поддържат или разширяват функционалността на една или повече роли или цял сървър, независимо кои роли са инсталирани. Например, функцията Failover Cluster разширява функционалността на други роли, като файлови услуги и DHCP сървър, като им позволява да се присъединят към сървърни клъстери, осигурявайки повишено резервиране и производителност. Друг компонент - "Telnet Client" - осигурява отдалечена комуникация със сървъра Telnet чрез мрежова връзка. Тази функция подобрява комуникационните възможности на сървъра.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни роли:

• Сертификатни услуги на Active Directory;
• Домейн услуги на Active Directory;
• DHCP сървър;
• DNS сървър;
• файлови услуги (включително мениджър на ресурси на файлов сървър);
• Active Directory леки справочни услуги;
• Hyper-V;
• услуги за печат и документи;
• услуги за стрийминг на медия;
• уеб сървър (включително подмножество на ASP.NET);
• сървър Актуализации на Windowsсървър;
• Сървър за управление на правата на Active Directory;
• Сървър за маршрутизиране и отдалечен достъп и следните подчинени роли:
  • Брокер за свързване на услуги за отдалечен работен плот;
  • лицензиране;
  • виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни компоненти:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фонова интелигентна трансферна услуга (BITS);
• BitLocker дисково криптиране;
• BitLocker мрежово отключване;
• BranchCache
• мост за център за данни;
• Подобрено съхранение;
• отказоустойчив клъстеринг;
• Многопътен I/O;
• балансиране на натоварването на мрежата;
• PNRP протокол;
• qWave;
• дистанционна диференциална компресия;
• прости TCP/IP услуги;
• RPC чрез HTTP прокси;
• SMTP сървър;
• SNMP услуга;
• Telnet клиент;
• Telnet сървър;
• TFTP клиент;
• вътрешна основа Данни за Windows;
• Windows PowerShell Web Access;
• Услуга за активиране на Windows;
• стандартизирано управление на съхранението на Windows;
• IIS WinRM разширение;
• WINS сървър;
• Поддръжка на WoW64.

Инсталиране на сървърни роли с помощта на Server Manager

За да добавите, отворете Server Manager и в менюто Manage щракнете върху Add Roles and features:

Отваря се съветникът за добавяне на роли и функции. Щракнете Напред

Тип инсталация, изберете инсталация, базирана на роли или функция. Следващия:

Избор на сървър - изберете нашия сървър. Щракнете върху Следващи сървърни роли - Изберете роли, ако е необходимо, изберете ролеви услуги и щракнете върху Напред, за да изберете компоненти. По време на тази процедура съветникът за добавяне на роли и функции автоматично ви информира, ако има някакви конфликти на целевия сървър, които могат да попречат на избраните роли или функции да се инсталират или функционират правилно. Също така ще бъдете подканени да добавите ролите, ролевите услуги и функциите, които са необходими за избраните роли или функции.

Инсталиране на роли с помощта на PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списък с налични и инсталирани роли и функции на локалния сървър. Резултатите от тази кратка команда съдържат имената на командите за ролите и функциите, които са инсталирани и достъпни за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да видите синтаксиса и валидните параметри за cmdlet Install-WindowsFeature (MAN).

Въведете следната команда (-Restart ще рестартира сървъра, ако е необходимо рестартиране при инсталиране на ролята).

Install-WindowsFeature – Име -Рестартирам

Описание на роли и ролеви услуги

Всички роли и ролеви услуги са описани по-долу. Нека да разгледаме разширената конфигурация за най-често срещаните в нашата практика: Роля на уеб сървър и Услуги за отдалечен работен плот

Подробно описание на IIS

• Общи HTTP функции - Основни HTTP компоненти
  • Документ по подразбиране - позволява ви да зададете индексна страница за сайта.
  • Преглед на директория - Позволява на потребителите да виждат съдържанието на директория на уеб сървър. Използвайте Преглед на директория, за да генерирате автоматично списък на всички директории и файлове, присъстващи в директория, когато потребителите не посочат файл в URL адреса и индексната страница е деактивирана или не е конфигурирана
  • HTTP грешки - позволява ви да конфигурирате съобщения за грешка, връщани на клиентите в браузъра.
  • Статично съдържание - позволява ви да публикувате статично съдържание, например снимки или html файлове.
  • HTTP пренасочване - предоставя поддръжка за пренасочване на потребителски заявки.
  • WebDAV Publishing ви позволява да публикувате файлове от уеб сървър, използвайки HTTP протокола.
• Здравни и диагностични функции - Диагностични компоненти
  • HTTP Logging осигурява регистриране на дейността на уебсайта за даден сървър.
  • Персонализираното регистриране осигурява поддръжка за създаване на персонализирани журнали, които са различни от „традиционните“ журнали.
  • Logging Tools предоставя инфраструктура за управление на регистрационните файлове на уеб сървъра и автоматизиране на общи задачи за регистриране.
  • ODBC Logging предоставя инфраструктура, която поддържа регистриране на дейността на уеб сървъра в ODBC-съвместима база данни.
  • Мониторът на заявки предоставя инфраструктура за наблюдение на изправността на уеб приложенията чрез събиране на информация за HTTP заявки в работния процес на IIS.
  • Проследяването предоставя рамка за диагностика и отстраняване на неизправности в уеб приложения. Като използвате проследяване на неуспешни заявки, можете да проследявате трудни за улавяне събития, като лоша производителност или грешки при удостоверяване.
• Компонентите за производителност повишават производителността на уеб сървъра.
  • Статичното компресиране на съдържание предоставя инфраструктурата за настройка на HTTP компресиране на статично съдържание
  • Динамичното компресиране на съдържание предоставя инфраструктурата за настройка на HTTP компресиране на динамично съдържание.
• Защитни компоненти за сигурност
  • Филтрирането на заявки ви позволява да записвате всички входящи заявки и да ги филтрирате въз основа на правила, зададени от администратора.
  • Основното удостоверяване ви позволява да зададете допълнително разрешение
  • Поддръжката на централизиран SSL сертификат е функция, която ви позволява да съхранявате сертификати на централизирано място, като споделяне на файлове.
  • Удостоверяването на картографиране на клиентски сертификат използва клиентски сертификати за удостоверяване на потребителите.
  • Digest Authentication работи чрез изпращане на хеш парола към домейн контролер на Windows за удостоверяване на потребителите. Ако имате нужда от повече високо нивосигурност в сравнение с основното удостоверяване, обмислете използването на обобщено удостоверяване
  • IIS Client Certificate Mapping Authentication използва клиентски сертификати за удостоверяване на потребителите. Клиентският сертификат е цифров идентификатор, получен от доверен източник.
  • Ограниченията за IP и домейн ви позволяват да разрешите/откажете достъп въз основа на заявения IP адрес или име на домейн.
  • Упълномощаването на URL адрес ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
  • Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейн на Windows да се възползват от инфраструктурата на домейна, за да удостоверяват потребителите.
• Разработка на приложения Компоненти за разработка на приложения
• FTP сървър
  • FTP услуга Позволява FTP публикуване на уеб сървъра.
  • FTP Extensibility Включва поддръжка за FTP функции, които разширяват възможностите на
• Инструменти за управление
  • IIS Management Console инсталира IIS Manager, който ви позволява да управлявате уеб сървъра чрез графичен интерфейс
  • Съвместимостта на управление на IIS 6.0 осигурява съвместимост напред за приложения и скриптове, които използват API на Admin Base Object (ABO) и Active Directory Directory Service Interface (ADSI). Това позволява съществуващите IIS 6.0 скриптове да се използват от IIS 8.0 уеб сървър
  • Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за програмно управление на уеб сървъра на IIS, като се използват команди в прозореца на командния ред или чрез изпълнение на скриптове.
  • Услугата за управление предоставя инфраструктурата за конфигуриране на потребителския интерфейс на IIS Manager.

Подробно описание на RDS

• Брокер за връзка с отдалечен работен плот - Осигурява повторно свързване на клиентското устройство към програми, базирани на сесии на настолен компютър и виртуални настолни компютри.
• Шлюз за отдалечен работен плот - позволява на оторизираните потребители да се свързват с виртуални настолни компютри, програми RemoteApp и базирани на сесия настолни компютри в корпоративна мрежа или през интернет.
• Лицензиране на отдалечен работен плот - RDP инструмент за управление на лицензи
• Хост на сесия на отдалечен работен плот - Позволява на сървър да хоства програми на RemoteApp или базирана на десктоп сесия.
• Хост за виртуализация на отдалечен работен плот - позволява ви да конфигурирате RDP на виртуални машини
• Remote Desktop WebAccess - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или уеб браузър.

Нека да разгледаме инсталирането и конфигурирането на терминален лицензен сървър. Горното описва как да инсталирате роли, инсталирането на RDS не се различава от инсталирането на други роли; в Ролевите услуги ще трябва да изберем Лицензиране на отдалечен работен плот и Хост на сесия на отдалечен работен плот. След инсталирането елементът Terminal Services ще се появи в Server Manager-Tools. Terminal Services има два елемента: RD Licensing Diagnoser, който е диагностичен инструмент за лицензиране на отдалечен работен плот, и Remote Desktop Licensing Manager, който е инструмент за управление на лицензи.

Нека стартираме RD Licensing Diagnoser

Тук виждаме, че все още няма налични лицензи, защото режимът на лицензиране за хост сървъра за сесия на отдалечен работен плот не е зададен. Сървърът за лицензиране е посочен в правилата на локалната група. За да стартирате редактора, изпълнете командата gpedit.msc. Ще се отвори редакторът на локални групови правила. В дървото отляво нека отворим разделите:

• Компютърна конфигурация
• Административни шаблони
• Компоненти на Windows
• „Услуги за отдалечен работен плот“
• „Хост на сесия на отдалечен работен плот“
• "Лицензиране"

Отворете параметрите Използвайте посочените сървъри за лицензи за отдалечен работен плот

В прозореца за редактиране на настройките на правилата активирайте сървъра за лицензиране (Активирано). След това трябва да определите сървъра за лицензиране за услуги за отдалечен работен плот. В моя пример сървърът за лицензиране се намира на същия физически сървър. Посочете името на мрежата или IP адреса на лицензния сървър и щракнете върху OK. Ако промените името на сървъра в бъдеще, сървърът за лицензи ще трябва да бъде променен в същия раздел.

След това в RD Licensing Diagnoser можете да видите, че сървърът за терминални лицензи е конфигуриран, но не е активиран. За да активирате, стартирайте Remote Desktop Licensing Manager

Изберете сървър за лицензиране със статус Не е активиран. За да активирате, щракнете с десния бутон върху него и изберете Активиране на сървъра. Ще се стартира съветникът за активиране на сървъра. В раздела Метод на свързване изберете Автоматично свързване. След това попълнете информация за организацията, след което сървърът за лицензи се активира.

Сертификатни услуги на Active Directory

AD CS предоставя персонализирани услуги за цифрови сертификати, които се използват в софтуерни системи за сигурност, които използват технология публични ключовеи управлението на тези сертификати. Цифровите сертификати, предоставени от AD CS, могат да се използват за криптиране и цифрово подписване електронни документии съобщения. Тези цифрови сертификати могат да се използват за проверка на автентичността на акаунти на компютър, потребител и устройство онлайн. Цифровите сертификати се използват, за да се гарантира:

• поверителност чрез криптиране;
• почтеност с помощта на цифрови подписи;
• удостоверяване чрез свързване на ключове на сертификати с акаунти на компютър, потребител и устройство в мрежата.

AD CS може да се използва за подобряване на сигурността чрез свързване на идентичност на потребител, устройство или услуга с подходящата частен ключ. Употребите, поддържани от AD CS, включват защитени многофункционални разширения за интернет поща (S/MIME), защитени безжична мрежа, Виртуални частни мрежи (VPN), IPsec, Криптираща файлова система (EFS), Влизане със смарт карта, Сигурен протокол и сигурност на транспортния слой (SSL/TLS) и цифрови подписи.

Домейн услуги на Active Directory

С помощта на сървърната роля на Active Directory Domain Services (AD DS) можете да създадете мащабируема, защитена и управлявана инфраструктура за управление на потребители и ресурси; Можете също така да поддържате приложения, работещи с директории, като Microsoft Exchange Server. Домейн услугите на Active Directory предоставят разпределена база данни, която съхранява и управлява информация за мрежови ресурси и данни за приложения с активирана директория. Сървърът, който изпълнява AD DS, се нарича домейн контролер. Администраторите могат да използват AD DS, за да организират мрежови елементи като потребители, компютри и други устройства в йерархична, вложена структура. Йерархичната вложена структура включва гората на Active Directory, домейните в гората и организационните единици във всеки домейн. Функциите за сигурност са интегрирани в AD DS под формата на удостоверяване и контрол на достъпа до ресурсите в директорията. С еднократно влизане в мрежата администраторите могат да управляват данните от директориите и организацията в мрежата. Оторизираните мрежови потребители могат също да използват мрежово единично влизане за достъп до ресурси, разположени навсякъде в мрежата. Домейн услугите на Active Directory предоставят следните допълнителни функции.

• Наборът от правила е схема, която дефинира класовете и атрибутите на обекти, които се съдържат в дадена директория, ограниченията и ограниченията за екземплярите на тези обекти и формата за техните имена.
• Глобален каталог, който съдържа информация за всеки обект в каталога. Потребителите и администраторите могат да използват глобалния каталог, за да търсят данни в директорията, независимо кой домейн в директорията всъщност съдържа данните, които търсят.
• Машина за заявки и индексиране, чрез която обекти и техните свойства могат да бъдат публикувани и локализирани от мрежови потребители и приложения.
• Услуга за репликация, която разпространява данни от директория в мрежа. Всички записваеми домейн контролери в домейна участват в репликацията и поддържат пълно копие на всички данни на директория за своя домейн. Всички промени в данните на директорията се репликират в домейна към всички домейн контролери.
• Роли на главен оператор (известни също като гъвкави операции с един главен или FSMO). Домейн контролерите, които действат като ръководители на операции, са проектирани да изпълняват специфични задачи, за да осигурят съгласуваност на данните и да елиминират противоречиви записи в директория.

Услуги за федерация на Active Directory

AD FS предоставя опростена и сигурна федерация на самоличност и възможности за уеб базирано единично влизане (SSO) на крайни потребители, които имат нужда от достъп до приложения в защитено с AD FS предприятие, партньор за федерация или облак.На Windows Server AD FS включва услуга за роли Федерални услуги, действащи като доставчик на идентичност (удостоверява потребителите да предоставят токени за сигурност на приложения, които се доверяват на AD FS) или като доставчик на федерация (прилага токени от други доставчици на идентичност и след това предоставя токени за сигурност на приложения, които се доверяват на AD FS).

Active Directory леки справочни услуги

Active Directory Lightweight Directory Services (AD LDS) е LDAP протокол, който осигурява гъвкава поддръжка за приложения на директория без зависимостите и ограниченията на домейна на услугите за домейн на Active Directory. AD LDS може да се изпълнява на членски или самостоятелни сървъри. Можете да изпълнявате множество екземпляри на AD LDS на един сървър с независимо управлявани схеми. Като използвате ролята на услугата AD LDS, можете да предоставите услуги за директория на приложения, поддържащи директория, без излишни разходи за домейни и гори и без да изисквате една схема за цялата гора.

Услуги за управление на правата на Active Directory

AD RMS може да се използва за подобряване на стратегията за сигурност на организацията чрез защита на документи чрез управление на правата за информация (IRM). AD RMS позволява на потребителите и администраторите да присвояват разрешения за достъп до документи, работни книги и презентации с помощта на IRM политики. Това помага за защита на поверителната информация от отпечатване, препращане или копиране от неоторизирани потребители. След като разрешенията за файлове са ограничени чрез IRM, ограниченията за достъп и използване се прилагат независимо от местоположението на информацията, тъй като разрешението за файла се съхранява в самия файл на документа. С AD RMS и IRM отделните потребители могат да прилагат свои лични предпочитания по отношение на споделянето на лична и чувствителна информация. Те също така ще помогнат на организацията да прилага корпоративни политики за управление на използването и разпространението на поверителна и лична информация. IRM решенията, поддържани от услугите на AD RMS, се използват за предоставяне на следните възможности.

• Политики за постоянна употреба, които остават с информацията, независимо дали е преместена, изпратена или препратена.
• Допълнителен слой на поверителност за защита на чувствителни данни - като отчети, продуктови спецификации, информация за клиенти и имейл съобщения - от попадане в неподходящи ръце, умишлено или случайно.
• Предотвратете упълномощените получатели от неоторизирано препращане, копиране, модифициране, отпечатване, изпращане по факс или поставяне на ограничено съдържание.
• Предотвратете копирането на ограничено съдържание с помощта на функцията PRINT SCREEN в Microsoft Windows.
• Поддръжка за изтичане на файла, което предотвратява преглеждането на съдържанието на документите след определен период от време.
• Прилагане на корпоративни политики, които управляват използването и разпространението на съдържание в организацията

Сървър за приложения

Сървърът на приложения предоставя интегрирана среда за внедряване и изпълнение на персонализирани бизнес приложения, базирани на сървър.

DHCP сървър

DHCP е технология клиент-сървър, при която DHCP сървърите могат да присвояват или отдават под наем IP адреси на компютри и други устройства, които са DHCP клиенти. Разполагането на DHCP сървъри в мрежа автоматично осигурява клиентски компютри и други мрежови устройства на базата на IPv4 и IPv6 валидни IP адреси и допълнителни конфигурационни параметри, изисквани от тези клиенти и устройства Услугата DHCP сървър в Windows Server включва поддръжка за присвоявания, базирани на правила, и обработка на DHCP грешки.

DNS сървър

DNS услугата е йерархична, разпределена база данни, съдържаща съпоставяне на DNS имена на домейни към различни типове данни, като например IP адреси. DNS ви позволява да използвате приятелски имена, като www.microsoft.com, за да улесните намирането на компютри и други ресурси в мрежи, базирани на TCP/IP. Windows Server DNS предоставя допълнителна, подобрена поддръжка за разширения за защита на DNS (DNSSEC), включително онлайн регистрация и автоматизирано управление на настройките.

ФАКС сървър

Факс сървърът изпраща и получава факсове, а също така ви дава възможност да управлявате факс ресурси като задачи, настройки, отчети и факс устройства на вашия факс сървър.

Услуги за файлове и съхранение

Администраторите могат да използват ролята на File and Storage Services, за да конфигурират множество файлови сървъри и тяхното съхранение и да управляват тези сървъри с помощта на Server Manager или Windows PowerShell. Някои конкретни приложения включват следните функции.

• Работни папки. Използвайте, за да позволите на потребителите да съхраняват и имат достъп до работни файлове на персонални компютри и устройства, различни от корпоративни компютри. Потребителите получават удобно място за съхранение на работни файлове и достъп до тях отвсякъде. Организациите контролират корпоративните данни, като съхраняват файлове на централно управлявани файлови сървъри и по желание задават правила за потребителско устройство (като криптиране и пароли за заключване на екрана).
• Дедупликация на данни. Използвайте за намаляване на изискванията за дисково пространство за съхраняване на файлове, спестявайки разходи за съхранение.
• iSCSI целеви сървър. Използвайте за създаване на централизирани, независими от софтуера и хардуера iSCSI дискови подсистеми в мрежи за съхранение (SAN).
• Дискови пространства. Използвайте за разгръщане на хранилище с висока достъпност, което е устойчиво и мащабируемо, като използвате рентабилни, стандартни за индустрията дискове.
• Мениджър на сървъра. Използвай за дистанционномножество файлови сървъри от един прозорец.
• Windows PowerShell. Използвайте за автоматизиране на управлението на повечето административни задачи на файлов сървър.

Hyper-V

Ролята Hyper-V ви позволява да създавате и управлявате виртуализирана изчислителна среда с помощта на технологията за виртуализация, вградена в Windows Server. Инсталирането на ролята на Hyper-V инсталира предпоставки, както и допълнителни инструменти за управление. Необходимите компоненти включват хипервизорУслуга за управление на Windows виртуални машини Hyper-V, WMI доставчик на виртуализация и компоненти за виртуализация като VMbus, доставчик на услуги за виртуализация (VSP) и драйвер за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Мрежовата политика и услугите за достъп предоставят следните решения за мрежови връзки:

• Защитата на мрежовия достъп е технология за създаване, прилагане и поправка на политики за изправност на клиента. Със защитата на достъпа до мрежата системните администратори могат да задават и автоматично да прилагат политики за здраве, които включват софтуерни изисквания, актуализации на защитата и други настройки. Клиентските компютри, които не отговарят на изискванията на здравната политика, могат да бъдат ограничени от достъп до мрежата, докато тяхната конфигурация не бъде актуализирана, за да отговаря на изискванията на здравната политика.
• Ако сте разположили 802.1X-активирани безжични точки за достъп, можете да използвате Network Policy Server (NPS), за да разположите базирани на сертификати методи за удостоверяване, които са по-сигурни от удостоверяването, базирано на парола. Разполагането на хардуер с активиран 802.1X с NPS сървър позволява на потребителите на интранет да бъдат удостоверени, преди да могат да се свържат към мрежата или да получат IP адрес от DHCP сървър.
• Вместо да конфигурирате политика за мрежов достъп на всеки сървър за мрежов достъп, можете централно да създадете всички политики, които определят всички аспекти на заявките за мрежова връзка (кой може да се свързва, кога връзката е разрешена, нивото на сигурност, което трябва да се използва за свързване към мрежа).

Услуги за печат и документи

Услугите за печат и документи ви позволяват да централизирате задачите на сървъра за печат и мрежовия принтер. Тази роля също ви позволява да получавате сканирани документи от мрежови скенери и да качвате документи в споделени мрежови файлове, като например сайт на Windows SharePoint Services или електронна поща.

Отдалечен достъп

Ролята на сървъра за отдалечен достъп е логическо групиране на следните технологии достъп до мрежата.

• Директен достъп
• Маршрутизиране и отдалечен достъп
• Прокси за уеб приложение

Тези технологии са ролеви услугиСървърни роли за отдалечен достъп. Когато инсталирате ролята на сървър за отдалечен достъп, можете да инсталирате една или повече ролеви услуги, като стартирате съветника за добавяне на роли и функции.

В Windows Server ролята на Remote Access Server предоставя възможност за централно администриране, конфигуриране и наблюдение на услугите за отдалечен достъп DirectAccess и VPN с услуга за маршрутизиране и отдалечен достъп (RRAS). DirectAccess и RRAS могат да бъдат внедрени на един и същ периферен сървър и управлявани с помощта на команди на Windows PowerShell и конзолата за управление на отдалечен достъп (MMC).

Услуги за отдалечен работен плот

Услугите за отдалечен работен плот ускоряват и разширяват внедряването на настолни компютри и приложения на всяко устройство, като повишават производителността на отдалечените работници, като същевременно осигуряват критична интелектуална собственост и опростяват спазването на нормативните изисквания. Услугите за отдалечен работен плот включват инфраструктура за виртуален работен плот (VDI), базирани на сесии настолни компютри и приложения, давайки възможност на потребителите да работят отвсякъде.

Услуги за обемно активиране

Volume Activation Services е сървърна роля в Windows Server, започвайки от Windows Server 2012, която автоматизира и опростява издаването на корпоративни лицензи за софтуер Microsoft, както и управление на такива лицензи в различни сценарии и среди. Заедно с услугите за Volume Activation Services можете да инсталирате и конфигурирате Key Management Service (KMS) и Active Directory активиране.

Уеб сървър (IIS)

Ролята на уеб сървъра (IIS) в Windows Server предоставя платформа за хостване на уеб сайтове, услуги и приложения. Използването на уеб сървър прави информацията достъпна за потребителите в Интернет, интранет и екстранет. Администраторите могат да използват ролята на уеб сървър (IIS), за да конфигурират и управляват множество уебсайтове, уеб приложения и FTP сайтове. Функциите за достъпност включват следното.

• Използвайте Internet Information Services Manager, за да конфигурирате IIS компоненти и да администрирате уебсайтове.
• Използва FTP, за да позволи на собствениците на уебсайтове да изпращат и изтеглят файлове.
• Използвайте изолация на уебсайт, за да предотвратите въздействието на един уебсайт на сървър върху други.
• Персонализиране на уеб приложения, разработени чрез различни технологии като Classic ASP, ASP.NET и PHP.
• Използвайте Windows PowerShell за автоматично управление на повечето административни задачи на уеб сървъра.
• Комбинирайте множество уеб сървъри в сървърна група, която може да се управлява с помощта на IIS.

Услуги за разполагане на Windows

Услугите за разполагане на Windows ви позволяват да внедрявате операционни системи Windows по мрежа, което означава, че не е необходимо да инсталирате всяка операционна система директно от CD или DVD.

Windows Server Essentials Experience

Тази роля ви позволява да решавате следните задачи:

• защита на сървърните и клиентските данни чрез създаване резервни копиясървър и всички клиентски компютри в мрежата;
• управлявайте потребители и потребителски групи чрез опростено табло за управление на сървъра. Освен това, интеграцията с Windows Azure Active Directory *осигурява на потребителите лесен достъп до онлайн Microsoft Online Services (като Office 365, Exchange Online и SharePoint Online), използвайки идентификационните данни на своя домейн;
• съхранява фирмени данни на централизирано място;
• интегрирайте сървъра с Microsoft Online Services (като Office 365, Exchange Online, SharePoint Online и Windows Intune):
• Използвайте повсеместни функции за достъп на сървъра (например отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, мрежови компютри и данни от отдалечени места с висока степен на сигурност;
• достъп до данни от всяко място и от всяко устройство, използвайки собствения уеб портал на организацията (чрез отдалечен уеб достъп);
• Управлявайте мобилни устройства, които имат достъп до имейла на вашата организация с помощта на Office 365 чрез протокола Active Sync от таблото за управление;
• Наблюдавайте здравето на мрежата и получавайте персонализирани отчети за здравето; отчетите могат да се генерират при поискване, персонализирани и изпратени по имейл до конкретни получатели.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компонентите, от които администраторите се нуждаят, за да управляват и разпространяват актуализации чрез конзолата за управление. Освен това WSUS сървърът може да бъде източник на актуализации за други WSUS сървъри в организацията. Когато внедрите WSUS, поне един WSUS сървър във вашата мрежа трябва да бъде свързан към Microsoft Update, за да получавате информация за наличните актуализации. В зависимост от вашата мрежова сигурност и конфигурация, вашият администратор може да определи колко други сървъра са директно свързани към Microsoft Update.

Функционалността в операционната система Windows Server се изчислява и подобрява от версия на версия, има все повече и повече роли и компоненти, така че в днешния материал ще се опитам да опиша накратко описание и цел на всяка роля в Windows Server 2016.

Преди да преминем към описание на сървърните роли на Windows Server, нека разберем какво " Роля на сървъра» в операционната система Windows Server.

Какво е "Сървърна роля" в Windows Server?

Роля на сървърае софтуерен пакет, който гарантира, че сървърът изпълнява определена функция, като тази функция е основната. С други думи, " Роля на сървъра" е предназначението на сървъра, т.е. за какво е? За да може сървърът да изпълнява основната си функция, т.е. определена роля в " Роля на сървъра» целият необходим софтуер за това е включен ( програми, услуги).

Сървърът може да има една роля, ако се използва активно, или няколко, ако всяка от тях не натоварва силно сървъра и се използва рядко.

Сървърната роля може да включва множество ролеви услуги, които осигуряват функционалността на ролята. Например в сървърната роля " Уеб сървър (IIS)"включени са доста голям брой услуги и ролята " DNS сървър» ролевите услуги не са включени, защото тази роля изпълнява само една функция.

Ролевите услуги могат да бъдат инсталирани заедно или поотделно в зависимост от вашите нужди. В основата си инсталирането на роля означава инсталиране на една или повече от нейните услуги.

В Windows Server има също " Компоненти» сървъри.

Сървърни компоненти (функция)- Това софтуер, които не са сървърна роля, но разширяват възможностите на една или повече роли или управляват една или повече роли.

Някои роли не могат да бъдат инсталирани, ако необходимите услуги или компоненти, необходими за функционирането на тези роли, не са инсталирани на сървъра. Следователно, по време на инсталиране на такива роли " Съветник за добавяне на роли и функции" автоматично ще ви подкани да инсталирате необходимите допълнителни ролеви услуги или компоненти.

Описание на сървърните роли на Windows Server 2016

Вероятно вече сте запознати с много от ролите, които са в Windows Server 2016, тъй като те съществуват от доста дълго време, но както вече казах, с всяка нова Windows версияСървър, добавят се нови роли, с които може би все още не сте работили, но бихте искали да знаете за какво служат, така че нека започнем да ги разглеждаме.

Забележка! Относно новите функции операционна системаМожете да прочетете Windows Server 2016 в материала „Инсталиране на Windows Server 2016 и преглед на новите функции“.

Тъй като много често инсталирането и администрирането на роли, услуги и компоненти се извършва с помощта на Windows PowerShell, за всяка роля и нейната услуга ще посоча име, което може да се използва в PowerShell, съответно за инсталиране или управление.

DHCP сървър

Тази роля ви позволява да конфигурирате централно динамични IP адреси и свързаните с тях настройки за компютри и устройства във вашата мрежа. Ролята на DHCP сървъра няма ролеви услуги.

Името на Windows PowerShell е DHCP.

DNS сървър

Тази роля е предназначена за разрешаване на имена в TCP/IP мрежи. Ролята на DNS сървъра осигурява и поддържа DNS. За да улесните управлението на DNS сървъра, той обикновено се инсталира на същия сървър като домейн услугите на Active Directory. Ролята на DNS сървъра няма ролеви услуги.

Името на ролята за PowerShell е DNS.

Hyper-V

Използвайки ролята на Hyper-V, можете да създавате и управлявате виртуализирана среда. С други думи, това е инструмент за създаване и управление на виртуални машини.

Името на ролята за Windows PowerShell е Hyper-V.

Сертификация за производителност на устройството

роля " » ви позволява да оцените изправността на устройството въз основа на измерени параметри за сигурност, като състояние на защитено зареждане и Bitlocker на клиента.

За да функционира тази роля, са необходими доста ролеви услуги и компоненти, например: няколко услуги от ролята " Уеб сървър (IIS)", компонент " ", компонент " Функции на .NET Framework 4.6».

По време на инсталацията всички необходими ролеви услуги и компоненти ще бъдат избрани автоматично. Ролята " Сертификация за производителност на устройството» няма собствени услуги.

Името на PowerShell е DeviceHealthAttestationService.

Уеб сървър (IIS)

Осигурява надеждна, управляема и мащабируема инфраструктура за уеб приложения. Състои се от доста голям брой услуги (43).

Името на Windows PowerShell е Web-Server.

Включва следните ролеви услуги ( в скоби ще посоча името на Windows PowerShell):

Уеб сървър (Web-WebServer)– Група ролеви услуги, която осигурява поддръжка за HTML уебсайтове, ASP.NET разширения, ASP и уеб сървър. Състои се от следните услуги:

• Сигурност (уеб сигурност)— набор от услуги за гарантиране на сигурността на уеб сървъра.
  • Филтриране на заявки (Web-Filtering) - с помощта на тези инструменти можете да обработвате всички заявки, пристигащи на сървъра, и да филтрирате тези заявки въз основа на специални правила, зададени от администратора на уеб сървъра;
  • Ограничения за IP адрес и домейн (Web-IP-Security) – тези инструменти ви позволяват да разрешите или откажете достъп до съдържание на уеб сървъра въз основа на IP адреса или името на домейна на източника в заявката;
  • URL авторизация (Web-Url-Auth) - Инструментите ви позволяват да разработите правила за ограничаване на достъпа до уеб съдържание и да ги свържете с потребители, групи или HTTP заглавни команди;
  • Кратко удостоверяване (Web-Digest-Auth) – Това удостоверяване осигурява по-високо ниво на сигурност от основното удостоверяване. Дайджест проверката работи чрез предаване на хеш парола към домейн контролер на Windows за удостоверяване на потребителите;
  • Основно удостоверяване (Web-Basic-Auth) – Този метод за удостоверяване осигурява силна съвместимост с уеб браузър. Препоръчва се за използване в малки вътрешни мрежи. Основният недостатък на този метод е, че паролите, предавани по мрежата, могат да бъдат прихванати и декриптирани доста лесно, така че използвайте този метод в комбинация със SSL;
  • Удостоверяване на Windows (Web-Windows-Auth) – е удостоверяване, базирано на удостоверяване в Windows домейн. С други думи, можете да използвате Сметки Active Directory за удостоверяване на потребителите на вашите уеб сайтове;
  • Удостоверяване със съвпадение на клиентски сертификат (Web-Client-Auth) – Този метод за удостоверяване включва използването на клиентски сертификат. Този тип използва Active Directory за предоставяне на съпоставяне на сертификати;
  • Удостоверяване на съпоставяне на клиентски сертификат на IIS (Web-Cert-Auth) – Този метод също използва клиентски сертификати за удостоверяване, но използва IIS, за да осигури съпоставяне на сертификати. Този тип осигурява по-висока производителност;
  • Централизирана поддръжка на SSL сертификати (Web-CertProvider) – тези инструменти ви позволяват да управлявате централно SSL сървърни сертификати, което значително опростява процеса на управление на тези сертификати;
• Здраве и диагностика (Web-Health)– набор от услуги за осигуряване на контрол, управление и отстраняване на неизправности на уеб сървъри, сайтове и приложения:
  • http регистриране (Web-Http-Logging) - Инструментите осигуряват регистриране на дейността на уебсайта този сървър, т.е. запис в дневник;
  • ODBC регистриране (Web-ODBC-Logging) – Тези инструменти също осигуряват регистриране на дейността на уебсайта, но поддържат регистриране на тази дейност в ODBC-съвместима база данни;
  • Монитор на заявки (Web-Request-Monitor) е инструмент, който ви позволява да наблюдавате изправността на уеб приложение чрез прихващане на информация за HTTP заявки в работния процес на IIS;
  • Web-Custom-Logging – Тези инструменти ви позволяват да конфигурирате активността на уеб сървъра да се регистрира във формат, който се различава значително от стандартния IIS формат. С други думи, можете да създадете свой собствен модул за регистриране;
  • Инструментите за регистриране (Web-Log-Libraries) са инструменти за управление на регистрационните файлове на уеб сървъра и автоматизиране на задачите за регистриране;
  • Проследяването (Web-Http-Tracing) е инструмент за диагностициране и отстраняване на проблеми при работата на уеб приложения.
• Общи http функции (Web-Common-Http)– набор от услуги, които предоставят основна HTTP функционалност:
  • Документ по подразбиране (Web-Default-Doc) – Тази функция ви позволява да конфигурирате уеб сървъра да връща документ по подразбиране, когато потребителите не посочат конкретен документ в URL адреса на заявката, което улеснява достъпа на потребителите до уебсайта, например чрез домейн, без посочване на файла;
  • Преглед на директории (Web-Dir-Browsing) - Този инструмент може да се използва за конфигуриране на уеб сървър, така че потребителите да могат да преглеждат списък с всички директории и файлове на уебсайт. Например, за случаите, когато потребителите не посочват файл в URL адреса на заявката и документите са или деактивирани, или не са конфигурирани по подразбиране;
  • http грешки (Web-Http-Errors) – тази функция ви позволява да конфигурирате съобщения за грешка, които ще се връщат към уеб браузърите на потребителите, когато уеб сървърът открие грешка. Тази функция се използва за по-добро представяне на съобщенията за грешки на потребителите;
  • Статично съдържание (Web-Static-Content) – това лекарствопозволява съдържание под формата на статични файлови формати да се използва на уеб сървър, напр. HTML файловеили файлове с изображения;
  • http пренасочване (Web-Http-Redirect) – като използвате тази функция, можете да пренасочите потребителската заявка към конкретна дестинация, т.е. това е пренасочване;
  • Публикуване в WebDAV (Web-DAV-Publishing) – позволява ви да използвате технологията WebDAV на IIS WEB сървъра. WebDAV ( Уеб разпределено създаване и създаване на версии) е технология, която позволява на потребителите да работят заедно ( четене, редактиране, четене на свойства, копиране, преместване) над файловете на отдалечен уебсървъри, използващи HTTP протокола.
• Производителност (Web-Performance)– набор от услуги за постигане на по-висока производителност на уеб сървъра чрез изходно кеширане и общи механизми за компресиране като Gzip и Deflate:
  • Web-Stat-Compression е инструмент за персонализиране на компресията на статично http съдържание, позволява по-ефективно използване на честотната лента без ненужно натоварване на процесора;
  • Динамично компресиране на съдържание (Web-Dyn-Compression) е инструмент за конфигуриране на HTTP динамично компресиране на съдържание. Тази функция позволява по-ефективно използване на честотната лента, но натоварването на процесора на сървъра, свързано с динамична компресия, може да доведе до забавяне на сайта, ако натоварването на процесора е високо без компресия.
• Разработка на приложения (Web-App-Dev)– набор от услуги и инструменти за разработване и хостване на уеб приложения, с други думи технологии за разработка на уебсайтове:
  • ASP (Web-ASP) е среда за поддържане и разработване на уеб сайтове и уеб приложения, използващи ASP технология. В момента има по-нова и по-напреднала технология за разработка на уебсайтове - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи технологията ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) също е обектно-ориентирана среда за разработване на уеб сайтове и уеб приложения, използващи нова версия ASP.NET;
  • CGI (Web-CGI) е способността да се използва CGI за предаване на информация от уеб сървър към външна програма. CGI е определен интерфейсен стандарт за свързване на външна програма с уеб сървър. Недостатъкът е, че използването на CGI влияе върху производителността;
  • Включванията от страна на сървъра (SSI) (Web-Includes) са поддръжка за SSI скриптовия език ( активатори от страна на сървъра), който се използва за динамично генериране на HTML страници;
  • Инициализация на приложение (Web-AppInit) – този инструмент изпълнява задачата да инициализира уеб приложенията, преди да препрати уеб страницата;
  • Протокол WebSocket (Web-WebSockets) - добавяне на възможност за създаване на сървърни приложения, които комуникират чрез протокола WebSocket. WebSocket е протокол, който може да изпраща и получава данни едновременно между браузър и уеб сървър през TCP връзка, един вид разширение на HTTP протокола;
  • ISAPI Extensions (Web-ISAPI-Ext) – поддръжка за динамично развитие на уеб съдържание чрез интерфейса за програмиране на приложения ISAPI. ISAPI е API за IIS уеб сървъра. ISAPI приложенията са много по-бързи от ASP файлове или файлове, които извикват COM+ компоненти;
  • .NET 3.5 Extensibility (Web-Net-Ext) е функция за разширяване на .NET 3.5, която ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • .NET 4.6 Extensibility (Web-Net-Ext45) е функцията за разширяване на .NET 4.6, която също ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • ISAPI филтри (Web-ISAPI-Filter) – добавяне на поддръжка за ISAPI филтри. ISAPI филтрите са програми, които се извикват, когато уеб сървърът получи конкретна HTTP заявка, която трябва да бъде обработена от филтъра.

FTP - сървър (Web-Ftp-Server)– услуги, които осигуряват поддръжка на FTP протокола. Говорихме за FTP сървъра по-подробно в материала – „Инсталиране и конфигуриране на FTP сървър на Windows Server 2016“. Съдържа следните услуги:

• FTP услуга (Web-Ftp-Service) – добавя поддръжка на FTP протокола на уеб сървъра;
• FTP Extensibility (Web-Ftp-Ext) – Разширява стандартните FTP възможности, като добавяне на поддръжка за функции като потребителски доставчици, потребители на ASP.NET или потребители на IIS Manager.

Инструменти за управление (Web-Mgmt-Tools)- Това са инструменти за управление на уеб сървъра IIS 10. Те включват: потребителския интерфейс на IIS, инструменти за команден ред и скриптове.

• Конзолата за управление на IIS (Web-Mgmt-Console) е потребителският интерфейс за управление на IIS;
• IIS набори от знаци и инструменти (Web-Scripting-Tools) са инструменти и скриптове за управление на IIS с помощта на командния ред или скриптове. Те могат да се използват например за автоматизиране на управлението;
• Услуга за управление (Web-Mgmt-Service) – тази услуга добавя възможност за дистанционно управление на уеб сървъра от друг компютър с помощта на IIS мениджъра;
• Управление на съвместимостта на IIS 6 (Web-Mgmt-Compat) - Осигурява съвместимост между приложения и скриптове, които използват двата API на IIS. Съществуващите скриптове на IIS 6 могат да се използват за управление на уеб сървъра на IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) е инструмент за съвместимост, който ви позволява да стартирате приложения и набори от знаци, пренесени от по-ранни версии на IIS;
  • Инструменти за скриптове на IIS 6 (Web-Lgcy-Scripting) – Тези инструменти ви позволяват да използвате същите услуги за скриптове на IIS 6, които са създадени за управление на IIS 6 в IIS 10;
  • IIS 6 Services Management Console (Web-Lgcy-Mgmt-Console) – инструмент за администриране на отдалечени IIS 6.0 сървъри;
  • Съвместим с IIS 6 WMI (Web-WMI) - Интерфейси на скриптове за инструментариум Управление на Windows(WMI) за програмен контрол и автоматизиране на задачите на уеб сървъра на IIS 10.0 с помощта на набор от скриптове, създадени в доставчика на WMI.

Домейн услуги на Active Directory

роля " Домейн услуги на Active Directory» (AD DS) предоставя разпределена база данни, която съхранява и обработва информация за мрежовите ресурси. Тази роля се използва за организиране на мрежови елементи, като потребители, компютри и други устройства, в йерархична сигурна структура на обвивката. Йерархичната структура включва гори, домейни в гората и организационни единици (OU) във всеки домейн. Сървър, работещ с AD DS, се нарича домейн контролер.

Името на ролята за Windows PowerShell е AD-Domain-Services.

Режим Windows Server Essentials

Тази роля представлява компютърната инфраструктура и осигурява удобни и ефективни функции, например: съхраняване на клиентски данни на централизирано място и защита на тези данни чрез Резервно копиесървърни и клиентски компютри, отдалечен уеб достъп, позволяващ достъп до данни от почти всяко устройство. Тази роля изисква няколко ролеви услуги и компоненти, като например: BranchCache компоненти, Windows Server Backup, управление групова политика, ролева услуга " Пространства от имена на DFS».

Името на PowerShell е ServerEssentialsRole.

Мрежов контролер

Тази роля беше въведена в Windows Server 2016 и осигурява единна точка на автоматизация за управление, наблюдение и диагностика на физическата и виртуална мрежова инфраструктура в центъра за данни. Използвайки тази роля, можете да конфигурирате IP подмрежи, VLAN, физически мрежови адаптери Hyper-V хостове, управление на виртуални комутатори, физически рутери, настройки на защитната стена и VPN шлюзове.

Името на Windows PowerShell е NetworkController.

Услуга пазител на възел

Това е сървърната роля на Hosted Guardian Service (HGS) и предоставя услуги за удостоверяване и защита на ключове, които позволяват на защитени хостове да изпълняват екранирани виртуални машини. За да функционира тази роля, са необходими няколко допълнителни роли и компоненти, например: домейнови услуги на Active Directory, уеб сървър (IIS), компонент " Failover Clustering" и други.

Името на PowerShell е HostGuardianServiceRole.

Active Directory леки справочни услуги

роля " Active Directory леки справочни услуги" (AD LDS) - е олекотена версия на AD DS, която има по-малко функционалност, но не изисква разполагането на домейни или домейн контролери и няма зависимостите и ограниченията на домейни, които AD DS услугите изискват. AD LDS работи по протокола LDAP ( Лек протокол за достъп до директория). Можете да разположите множество екземпляри на AD LDS с независимо управлявани схеми на един сървър.

Името на PowerShell е ADLDS.

MultiPoint услуги

Това също е нова роля, която беше въведена в Windows Server 2016. MultiPoint Services (MPS) предоставя основна функционалност за отдалечен работен плот, която позволява на множество потребители да работят едновременно и независимо на един и същ компютър. За да инсталирате и управлявате тази роля, трябва да инсталирате няколко допълнителни услуги и компоненти, например: сървър за печат, услуга за търсене на Windows, XPS Viewer и други, всички от които ще бъдат избрани автоматично, когато се инсталира MPS.

Името на ролята за PowerShell е MultiPointServerRole.

Услуги за актуализиране на Windows Server

С тази роля (WSUS) системните администратори могат да управляват Актуализации на Microsoft. Например, създайте отделни групи от компютри за различни набори от актуализации и също така получавайте отчети за съответствието на компютъра и актуализациите, които трябва да бъдат инсталирани. Да функционира " Услуги за актуализиране на Windows Server» имаме нужда от ролеви услуги и компоненти като: уеб сървър (IIS), вътрешна база данни на Windows, услуга за активиране Windows процеси.

Името на Windows PowerShell е UpdateServices.

• WID свързаност (UpdateServices-WidDB) – зададена на WID ( Вътрешна база данни на Windows) база данни, използвана от WSUS. С други думи, WSUS ще съхранява своите данни за услугата в WID;
• WSUS услуги (UpdateServices-Services) са ролевите услуги на WSUS, като Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Simple Internet Authentication Web Service, Server Synchronization Service и DSS Web Authentication Service;
• SQL Server Connectivity (UpdateServices-DB) е инсталирането на компонент, който позволява на услугата WSUS да се свързва с база данни на Microsoft SQL Server. Тази опция включва съхраняване на данни за услугата в база данни на Microsoft SQL Server. В този случай вече трябва да имате инсталиран поне един екземпляр на SQL Server.

Услуги за обемно активиране

Тази сървърна роля автоматизира и опростява издаването на обемни лицензи за софтуер на Microsoft и ви позволява да управлявате тези лицензи.

Името на PowerShell е VolumeActivation.

Услуги за печат и документи

Тази сървърна роля е предназначена за споделяне на принтери и скенери в мрежа, централно конфигуриране и управление на сървъри за печат и сканиране и управление мрежови принтерии скенери. Услугите за печат и документи също ви позволяват да изпращате сканирани документи по имейл, мрежови споделяния или сайтове на Windows SharePoint Services.

Името на PowerShell е Print-Services.

• Print-Server – Тази ролева услуга включва „ Управление на печат“, който се използва за управление на принтери или сървъри за печат, както и за мигриране на принтери и други сървъри за печат;
• Печат през интернет (Print-Internet) - за реализиране на печат през интернет се създава уебсайт, чрез който потребителите могат да управляват заданията за печат на сървъра. За да работи тази услуга, както разбирате, трябва да инсталирате „ Уеб сървър (IIS)" Всички необходими компоненти ще бъдат избрани автоматично, когато поставите отметка в това квадратче по време на инсталационния процес за ролевата услуга " Онлайн печат»;
• Разпределеният сървър за сканиране (Print-Scan-Server) е услуга, която ви позволява да получавате сканирани документи от мрежови скенери и да ги изпращате до местоназначението им. Тази услуга също така съдържа " Контрол на сканирането", който се използва за управление на мрежови скенери и за конфигуриране на сканиране;
• LPD Service (Print-LPD-Service) - LPD услуга ( Линеен принтер демон) позволява на UNIX-базирани компютри и други компютри, които използват услугата Line Printer Remote (LPR), да печатат на споделени сървърни принтери.

Мрежова политика и услуги за достъп

роля " » (NPAS) ви позволява да използвате сървър за мрежова политика (NPS), за да зададете и наложите политики за мрежов достъп, удостоверяване и оторизация и изправност на клиента, с други думи, за да гарантирате мрежова сигурност.

Името на Windows PowerShell е NPAS.

Услуги за разполагане на Windows

Използвайки тази роля, можете да инсталирате операционната система Windows дистанционно по мрежа.

Името на ролята за PowerShell е WDS.

• Сървър за разполагане (WDS-Deployment) – тази ролева услуга е предназначена за отдалечено внедряване и конфигуриране на операционни системи Windows. Също така ви позволява да създавате и персонализирате изображения за повторна употреба;
• Транспортен сървър (WDS-Transport) - тази услуга съдържа основните мрежови компоненти, с които можете да прехвърляте данни чрез мултикаст на самостоятелен сървър.

Сертификатни услуги на Active Directory

Тази роля е предназначена да създава сертификатни органи и свързани ролеви услуги, които ви позволяват да издавате сертификати за различни приложенияи управлява такива сертификати.

Името на Windows PowerShell е AD-сертификат.

Включва следните ролеви услуги:

• Сертифициращ орган (ADCS-Cert-Authority) – използвайки тази ролева услуга, можете да издавате сертификати на потребители, компютри и услуги, както и да управлявате валидността на сертификата;
• Уеб услуга за правила за записване на сертификати (ADCS-Enroll-Web-Pol) – Тази услуга позволява на потребителите и компютрите да получат информация за правилата за записване на сертификати с помощта на уеб браузър, дори ако компютърът не е част от домейн. За функционирането му е необходимо " Уеб сървър (IIS)»;
• Уеб услуга за записване на сертификат (ADCS-Enroll-Web-Svc) – Тази услуга позволява на потребителите и компютрите да записват и подновяват сертификати с помощта на уеб браузър през HTTPS, дори ако компютърът не е член на домейн. За функционирането му също е необходимо " Уеб сървър (IIS)»;
• Онлайн отговор (ADCS-Online-Cert) – Услуга, предназначена да проверява анулирането на сертификат за клиенти. С други думи, той приема заявка за статус на отмяна за конкретни сертификати, оценява статуса на тези сертификати и изпраща обратно подписан отговор с информация за състоянието. За да функционира услугата е необходимо " Уеб сървър (IIS)»;
• Услуга за регистриране на интернет сертифициращ орган (ADCS-Web-Enrollment) – Тази услуга предоставя уеб-базиран интерфейс за потребителите да изпълняват задачи като заявка и подновяване на сертификати, получаване на списъци с анулирани сертификати и записване на сертификати за смарт карти. За да функционира услугата е необходимо " Уеб сървър (IIS)»;
• Услуга за регистриране на мрежови устройства (ADCS-Device-Enrollment) – С помощта на тази услуга можете да издавате и управлявате сертификати за рутери и други мрежови устройства, които нямат мрежови акаунти. За да функционира услугата е необходимо " Уеб сървър (IIS)».

Услуги за отдалечен работен плот

Сървърна роля, която може да се използва за предоставяне на достъп до виртуални настолни компютри, базирани на сесия настолни компютри и отдалечени приложения RemoteApp.

Името на ролята за Windows PowerShell е Remote-Desktop-Services.

Състои се от следните услуги:

• Уеб достъп до отдалечен работен плот (RDS-Web-Access) - Тази ролева услуга позволява на потребителите достъп до отдалечени настолни компютри и приложения на RemoteApp чрез " Започнете» или чрез уеб браузър;
• Лицензиране на отдалечен работен плот (RDS-лицензиране) е услуга, предназначена за управление на лицензите, които са необходими за свързване към хост сървър на сесия на отдалечен работен плот или виртуален работен плот. Може да се използва за инсталиране, издаване на лицензи и проследяване на тяхната наличност. Тази услуга изисква " Уеб сървър (IIS)»;
• Посредник за връзка с отдалечен работен плот (RDS-Connection-Broker) е ролева услуга, която предоставя следните възможности: повторно свързване на потребител към съществуващ виртуален работен плот, приложение RemoteApp и базиран на сесия работен плот и балансиране на натоварването между сървъри за отдалечени сесии и настолни компютри или между виртуални десктопи в пул. Тази услуга изисква " »;
• Хост за виртуализация на отдалечен работен плот (DS-Virtualization) - услуга, която позволява на потребителите да се свързват с виртуални настолни компютри с помощта на RemoteApp и Desktop Connection. Тази услуга работи във връзка с Hyper-V, т.е. тази роля трябва да бъде установена;
• Хост на сесия на отдалечен работен плот (RDS-RD-сървър) – Тази услуга ви позволява да хоствате приложения на RemoteApp и базирани на сесии десктопи на сървър. За достъп използвайте клиента за връзка с отдалечен работен плот или RemoteApp;
• Шлюз за отдалечен работен плот (RDS-шлюз) - Услугата позволява на оторизирани отдалечени потребители да се свързват с виртуални десктопи, RemoteApps и базирани на сесии десктопи в корпоративна мрежа или през Интернет. Следните допълнителни услуги и компоненти са необходими, за да функционира тази услуга: " Уеб сървър (IIS)», « Мрежова политика и услуги за достъп», « RPC през HTTP прокси».

Услуги за управление на правата на Active Directory

Това е сървърна роля, която ще ви позволи да защитите информацията от неоторизирана употреба. Той проверява самоличността на потребителите и предоставя на оторизирани потребители лицензи за достъп до защитени данни. Необходими са допълнителни услуги и компоненти, за да функционира тази роля: " Уеб сървър (IIS)», « Услуга за активиране на процеси на Windows», « Функции на .NET Framework 4.6».

Името на Windows PowerShell е ADRMS.

• Сървърът за управление на правата на Active Directory (ADRMS-сървър) е услугата за основна роля и е необходима за инсталиране;
• Поддръжка на обединяване на самоличност (ADRMS-Identity) е незадължителна ролева услуга, която позволява на обединените самоличности да консумират защитено съдържание с помощта на услугите за обединяване на Active Directory.

Услуги за федерация на Active Directory

Тази роля предоставя опростени и сигурни възможности за обединяване на самоличността, както и базирано на браузър единично влизане (SSO) към уебсайтове.

Името на PowerShell е ADFS-Federation.

Отдалечен достъп

Тази роля осигурява свързаност чрез DirectAccess, VPN и прокси за уеб приложения. Също така ролята на " Отдалечен достъп» осигурява традиционни възможности за маршрутизиране, включително преобразуване на мрежови адреси (NAT) и други опции за свързване. Тази роля изисква допълнителни услуги и компоненти: " Уеб сървър (IIS)», « Вътрешна база данни на Windows».

Името на ролята за Windows PowerShell е RemoteAccess.

• DirectAccess и VPN (RAS) (DirectAccess-VPN) - услугата позволява на потребителите да се свързват към корпоративната мрежа по всяко време, ако имат достъп до интернет чрез DirectAccess, както и да организират VPN връзкив комбинация с технологии за тунелиране и криптиране на данни;
• Маршрутизация - услугата осигурява поддръжка на NAT рутери, рутери локална мрежас BGP, RIP и рутери с мултикаст поддръжка (IGMP proxy);
• Прокси сървър за уеб приложения (Web-Application-Proxy) - услугата ви позволява да публикувате приложения, базирани на HTTP и HTTPS протоколите от корпоративната мрежа до клиентски устройства, които се намират извън корпоративната мрежа.

Услуги за файлове и съхранение

Това е сървърна роля, която може да се използва за предоставяне общ достъпдостъп до файлове и папки, управление и контрол на споделяния, репликиране на файлове, осигуряване на бързо търсене на файлове и предоставяне на достъп до UNIX клиентски компютри. Разгледахме файловите услуги и по-специално файловия сървър по-подробно в материала „Инсталиране на файлов сървър на Windows Server 2016“.

Името на Windows PowerShell е FileAndStorage-Services.

Услуги за съхранение– Тази услуга предоставя функционалност за управление на съхранението, която винаги е инсталирана и не може да бъде премахната.

Файлови услуги и iSCSI услуги (файлови услуги)– това са технологии, които опростяват управлението на файлови сървъри и съхранение, спестяват дисково пространство, осигуряват репликация и кеширане на файлове в клонове, както и предоставят споделяне на файлове с помощта на протокола NFS. Включва следните ролеви услуги:

• Файлов сървър (FS-FileServer) е ролева услуга, която управлява споделени папки и предоставя на потребителите достъп до файлове на този компютър по мрежата;
• Дедупликация на данни (FS-Data-Deduplication) – тази услуга спестява дисково пространство, като съхранява само едно копие на идентични данни на том;
• Мениджър на ресурси на файлов сървър (FS-Resource-Manager) – С помощта на тази услуга можете да управлявате файлове и папки на файлов сървър, да създавате отчети за съхранение, да категоризирате файлове и папки, да конфигурирате квоти за папки и да дефинирате правила за блокиране на файлове;
• iSCSI Target Storage Provider (хардуерни VDS и VSS доставчици) (iSCSITarget-VSS-VDS) – Услугата позволява на приложения на сървър, свързан към iSCSI цел, да копират обеми в сянка на iSCSI виртуални дискове;
• DFS пространства от имена (FS-DFS-Namespace) - с помощта на тази услуга можете да групирате споделени папки, разположени на различни сървъри, в едно или повече логически структурирани пространства от имена;
• Работни папки (FS-SyncShareService) – услугата ви позволява да използвате работни файлове на различни компютри, включително служебни и лични. Можете да съхранявате вашите файлове в работни папки, да ги синхронизирате и да имате достъп до тях от локална мрежа или интернет. За да функционира услугата, компонентът " IIS In-Process Web Engine»;
• DFS репликация (FS-DFS-репликация) е модул за репликация на данни между множество сървъри, който ви позволява да синхронизирате папки през локална или глобална мрежова връзка. Тази технология използва протокола за отдалечено диференциално компресиране (RDC), за да актуализира само онези части от файловете, които са се променили след последната репликация. DFS репликацията може да се използва във връзка с DFS пространства от имена или отделно;
• Сървър за NFS (FS-NFS-Service) - услуга, която позволява на този компютър да споделя файлове с UNIX-базирани компютри и други компютри, които използват мрежовия протокол файлова система(NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) – Предоставя услуги и инструменти за управление за iSCSI цели;
• Услуга BranchCache за мрежови файлове (FS-BranchCache) – Услугата осигурява поддръжка на BranchCache на този файлов сървър;
• Услуга на VSS агент на файлов сървър (FS-VSS-Agent) - Услугата позволява копиране в сянка на обем за приложения, които съхраняват файлове с данни на този файлов сървър.

Факс сървър

Ролята изпраща и получава факсове и ви позволява да управлявате факс ресурси, като задачи, настройки, отчети и факс устройства, на този компютър или мрежа. За да работите, трябва " Сървър за печат».

Името на ролята за Windows PowerShell е Факс.

Това завършва прегледа на сървърните роли на Windows Server 2016, надявам се материалът да ви е бил полезен, чао!

Преди да разработите сокет сървър, трябва да създадете сървър за политики, който казва на Silverlight на кои клиенти е разрешено да се свързват към сокет сървъра.

Както е показано по-горе, Silverlight не позволява да се зарежда съдържание или да се извиква уеб услуга, освен ако домейнът има clientaccesspolicy .xml или crossdomain файл. xml, което изрично позволява тези операции. Подобно ограничение е наложено на сокет сървъра. Ако не предоставите на клиентското устройство възможност да зареди файла clientaccesspolicy .xml, който позволява отдалечен достъп, Silverlight ще откаже да установи връзка.

За съжаление предоставяме правилата за клиентски достъп. cml към приложение за сокет е по-трудна задача от предоставянето му чрез уебсайт. Когато използвате уебсайт, софтуерът на уеб сървъра може да предостави clientaccesspolicy .xml файл, просто трябва да запомните да го добавите. Въпреки това, когато използвате приложение за сокет, трябва да отворите сокет, към който клиентските приложения могат да правят заявки за политика. Освен това трябва ръчно да създадете кода, който обслужва сокета. За да разрешите тези проблеми, трябва да създадете сървър за политики.

Както ще видим по-нататък, сървърът за правила работи по същия начин като сървъра за съобщения, просто обработва малко по-прости взаимодействия. Сървърите за съобщения и политики могат да бъдат създадени отделно или комбинирани в едно приложение. Във втория случай те трябва да слушат заявки в различни нишки. В този пример ще създадем сървър за политики и след това ще го комбинираме със сървър за съобщения.

За да създадете сървър за политики, първо трябва да създадете .NET приложение. Всеки тип .NET приложение може да служи като сървър за политики. Най-лесният начин е да използвате конзолно приложение. След като сте отстранили грешки в конзолното си приложение, можете да преместите кода в услуга на Windows, така че да работи непрекъснато във фонов режим.

Политика файл

По-долу е файлът с правила, предоставен от сървъра за политики.

Файлът с политики определя три правила.

Позволява достъп до всички портове от 4502 до 4532 (това е пълният набор от портове, поддържани от добавката Silverlight). За да промените диапазона от налични портове, трябва да промените стойността на атрибута на порта на елемента.

Позволява TCP достъп (разрешението е дефинирано в атрибута на протокола на елемента).

Позволява обаждане от всеки домейн. Следователно приложението Silverlight, което прави връзката, може да бъде хоствано от всеки уебсайт. За да промените това правило, трябва да редактирате uri атрибута на елемента.

За да се улесни задачата, правилата за правилата се поставят във файла clientaccess-ploi.cy.xml, който се добавя към проекта. IN Визуално студиоНастройката за копиране в изходна директория на файла с правила трябва да бъде зададена на Копиране винаги. Всичко, което трябва да направите, е да намерите файла на вашия твърд диск, да го отворите и да върнете съдържанието на клиентското устройство.

Клас PolicyServer

Функционалността на сървъра за правила се основава на два ключови класа: PolicyServer и PolicyConnection. Класът PolicyServer обработва чакащи връзки. След като получи връзка, той предава контрола на нов екземпляр на класа PoicyConnection, който предава файла на правилата на клиента. Тази процедура от две части е често срещана в мрежовото програмиране. Ще го видите повече от веднъж, когато работите със сървъри за съобщения.

Класът PolicyServer зарежда файла с правила от харддиски го съхранява в полето като байтов масив.

публичен клас PolicyServer

политика за лични байтове;

public PolicyServer(string policyFile) (

За да започне да слуша, сървърното приложение трябва да извика PolicyServer. Старт(). Той създава обект TcpListener, който слуша за заявки. Обектът TcpListener е конфигуриран да слуша на порт 943. В Silverlight този порт е запазен за сървъри за политики. Когато се правят заявки за файлове с политики, Silverlight автоматично ги препраща към порт 943.

частен TcpListener слушател;

public void Start()

// Създаване на слушащ обект

слушател = нов TcpListener(IPAddress.Any, 943);

// Започнете да слушате; методът Start() се връща веднага след извикването на listener.Start();

// Изчакване на връзка; методът се връща веднага;

II изчакването се извършва в отделна нишка

За да приеме предложената връзка, сървърът за политики извиква метода BeginAcceptTcpClient(). Подобно на всички методи Beginxxx() на .NET framework, той се връща веднага след като бъде извикан, като извършва необходимите операции в отделна нишка. За мрежови приложенияТова е много важен фактор, тъй като позволява едновременното обработване на много заявки за файлове с правила.

Забележка. Начинаещите мрежови програмисти често се чудят как е възможно да обработват повече от една заявка наведнъж и смятат, че това изисква множество сървъри. Обаче не е така. С този подход клиентските приложения бързо биха изчерпали наличните портове. На практика сървърните приложения обработват много заявки през един порт. Този процес е невидим за приложенията, тъй като вградената TCP подсистема на Windows автоматично идентифицира съобщенията и ги насочва към подходящите обекти в кода на приложението. Всяка връзка се идентифицира уникално въз основа на четири параметъра: IP адрес на клиента, номер на клиентски порт, IP адрес на сървър и номер на порт на сървър.

При всяка заявка се задейства методът за обратно извикване OnAcceptTcpClient(). Той отново извиква метода BeginAcceptTcpClient на O, за да започне да чака следващата заявка в различна нишка и след това започва да обработва текущата заявка.

public void OnAcceptTcpClient(IAsyncResult ag) (

if (isStopped) return;

Console.WriteLine("Искането за правила е получено."); // Изчакване на следващото свързване.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Обработка на текущата връзка.

TcpClient клиент = слушател.EndAcceptTcpClient(ag); PolicyConnection policyConnection = нова PolicyConnection(клиент, политика); policyConnection.HandleRequest() ;

catch (Exception err) (

Всеки път, когато се получи нова връзка, се създава нов обект PolicyConnection, който да я обработва. Освен това обектът PolicyConnection поддържа файла с правила.

Последният компонент на класа PolicyServer е методът Stop(), който спира изчакването на заявки. Приложението го извиква, когато излезе.

private bool isStopped;

public void StopO (

isStopped = вярно;

слушател. Спри се();

catch (Exception err) (

Console.WriteLine(err.Message);

За стартиране на сървъра за правила се използва следният код в метода Main() на сървъра на приложения.

static void Main(string args) (

PolicyServer policyServer = нов PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Сървърът за политики работи."); Console.WriteLine("Натиснете Enter за изход.");

// Изчакване на натискане на клавиш; използвайки метода // Console.ReadKey(), можете да зададете очакванията за конкретен // ред (например, изход) или натискане на произволен клавиш Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Край на сървъра за правила.");

Клас PolicyConnection

Класът PolicyConnection върши по-проста работа. Обектът PolicyConnection съхранява препратка към данните от файла на правилата. След това, след извикване на метода HandleRequest(), обектът PolicyConnection извлича нова връзка от мрежовия поток и се опитва да я прочете. Клиентското устройство трябва да предаде низ, съдържащ текста.След като прочете този текст, клиентското устройство записва данните за правилата в потока и затваря връзката. По-долу е кодът за класа PolicyConnection.

публичен клас PolicyConnection(

частен TcpClient клиент; политика за лични байтове;

public PolicyConnection(TcpClient клиент, байтова политика) (

this.client = клиент; this.policy = политика;

// Създаване на клиентска заявка за частен статичен низ policyRequestString = "

public void HandleRequest() (

Поток s = client.GetStream(); // Прочетете низа на заявката за правилата

байтов буфер = нов байт;

// Изчакайте само 5 секунди client.ReceiveTimeout = 5000;’

s.Read(buffer, 0, buffer.Length);

// Подаване на политиката (можете също да проверите дали заявката за политика // има необходимото съдържание) s.Write(policy, 0, policy.Length);

//Затваряне на клиента за връзка.Close();

Console.WriteLine("Обслужен файл с правила.");

Така че имаме напълно функционален сървър за политики. За съжаление все още не може да се тества, тъй като добавката Silverlight не ви позволява изрично да изисквате файлове с правила. Вместо това, той автоматично ги изисква, когато се опитате да използвате приложение за сокет. Преди да можете да създадете клиентско приложение за дадено сокет приложение, трябва да създадете сървър.

В предишните статии от тази серия научихте как ефективно да използвате функционалността на локалните политики за сигурност, което ви позволява максимално да защитите инфраструктурата на вашата организация от атаки от външни недоброжелатели, както и от повечето действия на некомпетентни служители. Вече знаете как ефективно да настройвате политики за акаунти, които ви позволяват да управлявате сложността на паролите на вашите потребители, да настройвате политики за одит за последващ анализ на удостоверяването на вашите потребители в регистъра за сигурност. Освен това научихте как да присвоявате права на вашите потребители, за да избегнете причиняването на щети на вашата система и дори на компютрите във вашия интранет, и също така знаете как ефективно да конфигурирате регистрационни файлове на събития, групи с ограничен достъп, системни услуги, регистър и файлова система. В тази статия ще продължим да изследваме местните политики за сигурност и ще научите за настройките за сигурност на кабела за вашия бизнес.

Сървърните операционни системи на Microsoft, започвайки с Windows Server 2008, въведоха компонент за правила за кабелна мрежа (IEEE 802.3), който осигурява автоматична конфигурация за внедряване на IEEE 802.1X удостоверени услуги за кабелен достъп до 802.3 Ethernet мрежови клиенти. За да приложат настройки за сигурност за кабелни мрежи с помощта на групови правила, операционните системи използват услугата Wired AutoConfig (DOT3SVC). Текущата услуга е отговорна за IEEE 802.1X удостоверяване при свързване към Ethernet мрежис помощта на 802.1X съвместими комутатори и също така управлява профила, използван за конфигуриране на мрежовия клиент за удостоверен достъп. Също така си струва да се отбележи, че ако използвате тези правила, е препоръчително да попречите на потребителите на вашия домейн да променят режима на стартиране на тази услуга.

Конфигуриране на правила за кабелна мрежа

Можете да зададете настройките на правилата за кабелна мрежа директно от конзолната добавка. За да конфигурирате тези настройки, изпълнете следните стъпки:

1. Отворете конзолната добавка и изберете възел в дървото на конзолата, щракнете с десния бутон върху него и изберете командата от контекстното меню „Създайте нова политика за кабелна мрежа за Windows Vista и по-нова версия“, както е показано на следната илюстрация:

   Ориз. 1. Създайте политика за кабелна мрежа

2. В диалоговия прозорец, който се отваря „Нова политика за свойствата на кабелната мрежа“, в раздела "Обичайни са", можете да настроите услугата Wired Network AutoConfig да се използва за конфигуриране на LAN адаптери за свързване към кабелна мрежа. В допълнение към настройките на правилата, които се прилагат за Windows Vista и по-нови операционни системи, има някои опции, които ще се прилагат само за операционни системи Windows 7 и Windows Server 2008 R2. В този раздел можете да направите следното:
   • Име на политиката. В това текстово поле можете да посочите име за вашата политика за кабелна мрежа. Можете да видите името на политиката в панела с подробности за възела „Правила за кабелна мрежа (IEEE 802.3)“такелаж „Редактор за управление на групови правила“;
   • Описание. Това текстово поле е предназначено за попълване на подробно описание на целта на политиката за кабелна мрежа;
   • Използвайте кабелна услуга за автоматично конфигуриране Windows мрежиза клиенти. Тази опция извършва действителната настройка и свързва клиентите към кабелната 802.3 мрежа. Ако деактивирате тази опция, операционната система Windows няма да следи кабелната мрежова връзка и настройките на правилата няма да влязат в сила;
   • Предотвратете използването на общи потребителски идентификационни данни за мрежово удостоверяване. Тази настройка определя дали потребителят трябва да бъде предотвратен от съхраняване на общи потребителски идентификационни данни за мрежово удостоверяване. Локално можете да промените този параметър с помощта на командата netsh lan set allowexplicitcreds;
   • Активирайте периода на блокиране. Тази настройка определя дали да попречи на компютъра да се свързва автоматично към кабелна мрежа за посочения от вас брой минути. По подразбиране е 20 минути. Периодът на блокиране може да се регулира от 1 до 60 минути.

"Обичайни са"Правила за кабелна мрежа:

Ориз. 2. Раздел Общи на диалоговия прозорец с настройки на правилата за кабелна мрежа

3. В раздела "безопасност"Предоставя опции за конфигурация за метод на удостоверяване и режим на кабелна връзка. Можете да конфигурирате следните настройки за сигурност:
   • Активирайте IEEE 802.1X удостоверяване за достъп до мрежата. Тази опция се използва директно за активиране или деактивиране на 802.1X удостоверяване на достъп до мрежата. По подразбиране тази опция е активирана;
   • Изберете метод за мрежово удостоверяване. Като използвате този падащ списък, можете да посочите един от методите за удостоверяване на мрежовия клиент, който да се приложи към вашата политика за кабелна мрежа. Следните две опции са налични за избор:
     • Microsoft: Защитен EAP (PEAP). За този метод за удостоверяване прозорецът "Имоти"съдържа конфигурационни параметри за използвания метод за удостоверяване;
     • Microsoft: смарт карти или друг сертификат. За този метод за удостоверяване в прозореца "Имоти"Предоставя опции за конфигуриране, които ви позволяват да посочите смарт картата или сертификата, към които да се свържете, както и списък с доверени основни сертифициращи органи.

   Методът по подразбиране е Microsoft: Защитен EAP (PEAP);

4. Режим на удостоверяване. Този падащ списък се използва за извършване на мрежово удостоверяване. Следните четири опции са налични за избор:
   • Удостоверяване на потребител или компютър. Ако тази опция е избрана, идентификационните данни за сигурност ще се използват въз основа на текущото състояние на компютъра. Дори ако никой потребител не е влязъл, удостоверяването ще се извърши с помощта на идентификационните данни на компютъра. Когато потребител влезе, ще се използват идентификационните данни на влезлия потребител. Microsoft препоръчва използването на тази настройка за режим на удостоверяване в повечето случаи.
   • Само компютър. В този случай удостоверяването се извършва само срещу идентификационните данни на компютъра;
   • Удостоверяване на потребителя. Избирането на тази опция налага удостоверяване на потребителя само при свързване към ново 802.1X устройство. Във всички останали случаи удостоверяването се извършва само на компютъра;
   • Удостоверяване на гост. Тази опция ви позволява да се свържете с мрежата, като използвате акаунт за гост.
5. Максимален брой грешки при удостоверяване. Тази настройка ви позволява да посочите максималния брой неуспешни удостоверявания. Стойността по подразбиране е 1;
6. Кеширане на потребителски данни за последващи връзки към тази мрежа. Когато тази опция е активирана, потребителските идентификационни данни ще се съхраняват в системен регистър, потребителят няма да бъде подканен за идентификационни данни, когато излезе и влезе отново.

Следната илюстрация показва раздела "безопасност"на този диалогов прозорец:

Ориз. 3. Раздел Защита на диалоговия прозорец за настройки на правилата за кабелна мрежа

Свойства на режима на удостоверяване

Както беше обсъдено в предишния раздел, и двата метода за удостоверяване имат допълнителни настройки, които се извикват при натискане на бутон "Имоти". В този раздел ще разгледаме всичко възможни настройкиза методите за удостоверяване.

Microsoft: Настройки на защитения EAP (PEAP) метод за удостоверяване

EAP (Extensible Authentication Protocol) е разширяема инфраструктура за удостоверяване, която дефинира формата за изпращане. Налични са следните опции за конфигуриране на този метод за удостоверяване:

Разрешете бързо повторно свързване. Тази опция позволява на потребителите с безжични компютри бързо да се придвижват между точките за достъп без повторно удостоверяване нова мрежа. Това превключване може да работи само за точки за достъп, които са конфигурирани като RADIUS клиенти. По подразбиране тази опция е активирана;

Активирайте защитата на достъпа до мрежата. Когато тази опция е избрана, ще бъдат извършени подходящи проверки, за да се определят проверките на изискванията за здраве, преди да се позволи на заявителите на EAP да се свържат с мрежата;

Деактивирайте, ако сървърът не поддържа криптирано обвързване чрез TLV механизъм. Тази опция е отговорна за това, че свързващите клиенти прекъсват процеса на удостоверяване, ако RADIUS сървърът не предоставя криптографска TLV свързваща стойност, което подобрява сигурността на TLS тунела в PEAP чрез комбиниране на вътрешни и външни методи за удостоверяване, за да попречи на нападателите да извършват атаки за подправяне . трета страна;

Активирайте сертификата за поверителност. Тази настройка гарантира, че клиентите не могат да изпратят своята самоличност, преди клиентът да е удостоверил RADIUS сървъра, и по избор предоставя място за въвеждане на анонимна стойност за самоличност.

Диалоговият прозорец със свойства на Secure EAP е показан на следната илюстрация:

Ориз. 5. Диалогов прозорец със свойства на Secure EAP

Настройки на метода за удостоверяване „Смарт карта или друг сертификат – EAP-TLS настройки“

Налични са следните опции за конфигуриране на този метод за удостоверяване:

• Когато се свързвате, използвайте моята смарт карта. Ако изберете тази опция, клиентите, които правят заявки за удостоверяване, ще представят сертификата на смарт картата за мрежово удостоверяване;
• Когато се свързвате, използвайте сертификата на този компютър. Когато изберете тази опция, сертификатът, намиращ се в хранилището на текущия потребител или локалния компютър, ще се използва при проверка на клиентските връзки;
• Използвайте прост избор на сертификат. Тази опция позволява на операционната система Windows да филтрира сертификати, които не отговарят на изискванията за удостоверяване;
• Проверете сертификата на сървъра. Тази опция ви позволява да укажете проверка на сертификата на сървъра, който се предоставя на клиентските компютри за наличието на валиден, неизтекъл подпис, както и наличието на доверен главен сертифициращ орган, който е издал сертификата на този сървър
• Свържете се със сървъри. Тази опция е идентична с опцията със същото име, описана в предишния раздел;
• Доверени главни сертифициращи органи. Точно както в диалоговия прозорец със свойства на Secure EAP, в този списък можете да намерите всички доверени главни сертифициращи органи, които са инсталирани в хранилищата за потребителски и компютърни сертификати;
• Не подканвайте потребителя да упълномощи нови сървъри или доверени сертифициращи органи. Чрез отметка на тази опция, ако има сървърен сертификат, който не е конфигуриран правилно или е в списъка за потребителя, диалоговият прозорец, който ви подканва да упълномощите този сертификат, няма да се покаже. По подразбиране тази опция е деактивирана;
• Използвайте различно потребителско име за свързване. Тази настройка определя дали потребителско име, различно от потребителското име в сертификата, трябва да се използва за удостоверяване. Ако активирате опцията Използване на различно потребителско име, трябва да изберете поне един сертификат от списъка с доверени основни сертифициращи органи.

Диалоговият прозорец за настройка на смарт карти или други сертификати е показан на следната илюстрация:

Ориз. 6. Диалогов прозорец за настройки на смарт карти или други сертификати

Ако не сте сигурни за избрания от вас сертификат, щракнете върху бутона „Преглед на сертификата“Ще можете да видите всички подробности за избрания сертификат, както е показано по-долу:

Ориз. 7. Вижте сертификата от списъка с доверени главни сертифициращи органи

Правила за кабелна мрежа Разширени настройки за сигурност

Вероятно сте забелязали това в раздела "безопасност"В диалоговия прозорец за настройки на правилата за кабелна мрежа има допълнителни настройки за защита, които са предназначени да променят поведението на мрежови клиенти, изискващи достъп с 802.1X удостоверяване. Допълнителните настройки на правилата за кабелна мрежа могат да бъдат разделени на две групи - настройки на IEEE 802.1X и настройки за единично влизане. Нека разгледаме всяка от тези групи:

В групата настройки IEEE 802.1X можете да укажете характеристиките на заявките за кабелна мрежа с 802.1X удостоверяване. Следните параметри са налични за промяна:

• Приложете разширени настройки за 802.1X. Тази опция ви позволява да активирате следните четири настройки;
• Макс. EAPOL съобщения. EAPOL е EAP протоколът, който се използва преди компютърът да има време да се удостовери и само след успешно „влизане“ целият останал трафик може да премине през порта на комутатора, към който е свързан този компютър. Този параметър контролира максималния брой съобщения EAPOL-Start, които да бъдат изпратени;
• Период на забавяне (сек). Тази настройка контролира забавянето в секунди преди извършване на следващата заявка за удостоверяване 802.1X след получаване на известие за неуспешно удостоверяване;
• Начален период. Този параметър контролира времето за изчакване преди повторно изпращане на последователни съобщения EAPOL-Start;
• Период на проверка (сек). Този параметър указва броя секунди между повторното предаване на последователни първоначални EAPOL съобщения след стартиране на инспекцията за достъп от край до край 802.1X;
• Съобщение за стартиране на EAPOL. С този параметър можете да зададете следните характеристики за предаване на първоначални EAPOL съобщения:
  • Не предавайте. Когато тази опция е избрана, съобщенията EAPOL няма да се предават;
  • Прехвърлен. Ако изберете тази опция, клиентът ще трябва ръчно да изпрати първоначалните EAPOL съобщения;
  • Трансфер от IEEE протокол 802.1X. Когато тази опция е избрана (тя е по подразбиране), EAPOL съобщенията ще се изпращат до автоматичен режимдокато чакате 802.1X удостоверяване да започне.

Когато използвате единично влизане, удостоверяването трябва да се извърши въз основа на конфигурацията за защита на мрежата, когато потребителят влезе в операционната система. Налични са следните опции за пълно персонализиране на профили за единично влизане:

• Активирайте единично влизане за мрежата. Когато тази опция е активирана, настройките за единично влизане се активират;
• Активирайте непосредствено преди влизане на потребителя. Ако отметнете тази опция, 802.1X удостоверяване ще бъде извършено преди потребителят да завърши влизането;
• Активирайте веднага след влизане на потребителя. Ако отметнете тази опция, 802.1X удостоверяване ще бъде извършено, след като потребителят завърши влизането;
• Макс. забавяне на връзката. Тази настройка определя максималното време, за което удостоверяването трябва да бъде завършено и следователно колко време потребителят трябва да изчака, преди да се появи прозорецът за влизане на потребителя;
• Разрешаване на показване на допълнителни диалогови прозорци по време на единично влизане. Тази опция отговаря за показването на диалоговия прозорец за влизане на потребителя;
• Тази мрежа използва различни VLAN за удостоверяване срещу компютърни и потребителски идентификационни данни. Когато зададете тази настройка, при стартиране всички компютри ще бъдат поставени в една виртуална мрежа и след като потребителят влезе успешно, в зависимост от разрешенията, те ще бъдат прехвърлени към различни виртуални мрежи. Има смисъл да активирате тази опция само ако вашето предприятие използва няколко VLAN.

Диалоговият прозорец Разширени настройки за защита на правилата за кабелна мрежа е показан на следната илюстрация:

Ориз. 8. Диалогов прозорец Разширени настройки за защита на политика за кабелна мрежа

Заключение

Тази статия ви запозна с всички настройки на правилата за кабелна мрежа IEE 802.1X. Научихте как да създадете такава политика и също така научихте за EAP методите за удостоверяване и проверка с помощта на смарт карти или други сертификати. В следващата статия ще научите за местните политики за сигурност на Network List Manager.

Политиките в Exchange Server 2003 са предназначени да увеличат административната гъвкавост, като същевременно намалят тежестта върху администраторите. Правилото е набор от конфигурационни настройки, които се прилагат към един или повече обекти от същия клас в Exchange. Например, можете да създадете политика, която засяга конкретни настройки на някои или всички Exchange сървъри. Ако трябва да промените тези настройки, можете просто да промените тази политика и тя ще бъде приложена към съответната сървърна организация.

Има два вида политики: системна политика и политика за получател. Правилата за получатели се прилагат за обекти, достъпни за поща, и определят как се генерират имейл адресите. Правилата за получатели се обсъждат в „Създаване и управление на получатели“. Системните политики се прилагат към сървъри, съхранение пощенски кутиии съхранява публични папки. Тези правила се появяват в контейнера Политики в групата, отговорна за администрациятази политика (Фигура 12.10).

Ориз. 12.10.Обект на системна политика

Забележка. Когато инсталирате Exchange Server 2003, не се създава контейнер по подразбиране за системни правила. Той трябва да бъде създаден преди изграждането на системни политики. Щракнете с десния бутон върху административната група, в която искате да създадете папката с правила, посочете Нов и изберете Контейнер за системни правила.

Създаване на системна политика

За да създадете системна политика, трябва да отидете до съответния контейнер за системни правила, да щракнете с десния бутон върху контейнера и след това да изберете типа политика, която да създадете: политика за сървър, политика за съхранение на пощенска кутия или политика за съхранение на публична папка.

Когато работите със системни политики, не забравяйте да създадете обект на политика в групата, която отговаря за администрирането на политиката. В противен случай могат да възникнат грешки при избора на хора, които упражняват административен контрол върху критични политики. Нека да разгледаме как се създава всеки от трите типа политики, като започнем със сървърните политики.

Създайте сървърна политика

Политиката на сървъра определя настройките за проследяване на съобщения и поддръжка на регистрационни файлове. Не се отнася за настройките за защита или други настройки на сървърите в тази административна група. За да създадете сървърна политика, щракнете с десния бутон върху контейнера System Policies, посочете New и след това изберете Server Policy. Появява се диалоговият прозорец Нова политика, показан на фигура 1. 12.11, който определя разделите, които се показват на страницата със свойства за тази политика. Има само една опция за правилата на сървъра: разделът Общи. Проверете опцията за този раздел и след това щракнете върху OK. Ще се появи прозорец за конфигурация, в който ще бъде създадена тази политика.

Ориз. 12.11.

След това трябва да въведете името на правилото в прозореца на раздела Общи на страницата със свойства за това правило. Както е показано на Фигура 12.12, всъщност има два раздела Общи. Първият раздел се използва за въвеждане на името на политиката. Изберете име, за да опишете задачата, която правилото трябва да изпълнява, като например Правила за проследяване на съобщения или Правила за активиране на регистриране на теми. Подходящо име, избрано на този етап, ще спести време, като не се налага да отваряте страницата със свойства на политиката, за да определите нейната цел.

Разделът Общи (Политика), показан на фиг. 12.13 съдържа действителните настройки на правилата, които се прилагат към Exchange сървърите на организацията. Разделът се нарича Общи (Политика), защото потенциално конфигурира раздела Общи на страниците със свойства за всички съществуващи сървъри. (Ще разгледаме как да приложим тази политика към всички сървъри във вашата организация по-късно в тази лекция.) Ако сравните този раздел с раздела Общи на страницата със свойства на сървъра, ще видите, че разделите са еднакви, с изключение на за идентифициращата информация в горната част на раздела.

Разделът Общи (Политика) позволява регистриране и показване на теми за всички съществуващи сървъри на Exchange 2003. Тази настройка работи заедно с опцията Разрешаване на проследяване на съобщения, която ви позволява да проследявате съобщенията, изпратени в организацията. Тези опции са полезни за намиране и отстраняване на източника на проблеми, които възникват, когато някои потребители не получават съобщения от други потребители. Възможно е да проследите съобщение чрез организация, за да определите къде има комуникационни проблеми. За повече информация относно проследяването на съобщенията и записването на темата на съобщението вижте Лекция 6, Функционалност, сигурност и поддръжка на Exchange Server 2003.

Ориз. 12.12.

Ориз. 12.13.

След като дадена политика влезе в сила, тя не може да бъде променяна на локални сървъри. Политиката за проследяване на съобщения, която използвахме като пример, беше създадена на сървъра EX-SRV1 в административната група на Аризона. На

Функционалността в операционната система Windows Server се изчислява и подобрява от версия на версия, има все повече и повече роли и компоненти, така че в днешния материал ще се опитам да опиша накратко описание и цел на всяка роля в Windows Server 2016.

Преди да преминем към описание на сървърните роли на Windows Server, нека разберем какво " Роля на сървъра» в операционната система Windows Server.

Какво е "Сървърна роля" в Windows Server?

Роля на сървърае софтуерен пакет, който гарантира, че сървърът изпълнява определена функция, като тази функция е основната. С други думи, " Роля на сървъра" е предназначението на сървъра, т.е. за какво е? За да може сървърът да изпълнява основната си функция, т.е. определена роля в " Роля на сървъра» целият необходим софтуер за това е включен ( програми, услуги).

Сървърът може да има една роля, ако се използва активно, или няколко, ако всяка от тях не натоварва силно сървъра и се използва рядко.

Сървърната роля може да включва множество ролеви услуги, които осигуряват функционалността на ролята. Например в сървърната роля " Уеб сървър (IIS)"включени са доста голям брой услуги и ролята " DNS сървър» ролевите услуги не са включени, защото тази роля изпълнява само една функция.

Ролевите услуги могат да бъдат инсталирани заедно или поотделно в зависимост от вашите нужди. В основата си инсталирането на роля означава инсталиране на една или повече от нейните услуги.

В Windows Server има също " Компоненти» сървъри.

Сървърни компоненти (функция)- Това са софтуерни инструменти, които не са сървърна роля, но разширяват възможностите на една или повече роли или управляват една или повече роли.

Някои роли не могат да бъдат инсталирани, ако необходимите услуги или компоненти, необходими за функционирането на тези роли, не са инсталирани на сървъра. Следователно, по време на инсталиране на такива роли " Съветник за добавяне на роли и функции" автоматично ще ви подкани да инсталирате необходимите допълнителни ролеви услуги или компоненти.

Описание на сървърните роли на Windows Server 2016

Вероятно вече сте запознати с много от ролите, които са в Windows Server 2016, тъй като те съществуват от доста дълго време, но както казах, с всяка нова версия на Windows Server се добавят нови роли, които може да не сте имали все още сме работили с. но бихме искали да знаем за какво служат, така че нека започнем да ги разглеждаме.

Забележка! За новите функции на операционната система Windows Server 2016 можете да прочетете в материала “ Инсталиране на Windows Server 2016 и преглед на новите функции ».

Тъй като много често инсталирането и администрирането на роли, услуги и компоненти става с използвайки Windows PowerShell, за всяка роля и нейната услуга ще посоча име, което може да се използва в PowerShell, съответно за инсталиране или управление.

DHCP сървър

Тази роля ви позволява да конфигурирате централно динамични IP адреси и свързаните с тях настройки за компютри и устройства във вашата мрежа. Ролята на DHCP сървъра няма ролеви услуги.

Името на Windows PowerShell е DHCP.

DNS сървър

Тази роля е предназначена за разрешаване на имена в TCP/IP мрежи. Ролята на DNS сървъра осигурява и поддържа DNS. За да улесните управлението на DNS сървъра, той обикновено се инсталира на същия сървър като домейн услугите на Active Directory. Ролята на DNS сървъра няма ролеви услуги.

Името на ролята за PowerShell е DNS.

Hyper-V

Използвайки ролята на Hyper-V, можете да създавате и управлявате виртуализирана среда. С други думи, това е инструмент за създаване и управление на виртуални машини.

Името на ролята за Windows PowerShell е Hyper-V.

Сертификация за производителност на устройството

роля " » ви позволява да оцените изправността на устройството въз основа на измерени параметри за сигурност, като състояние на защитено зареждане и Bitlocker на клиента.

За да функционира тази роля, са необходими доста ролеви услуги и компоненти, например: няколко услуги от ролята " Уеб сървър (IIS)", компонент " ", компонент " Функции на .NET Framework 4.6».

По време на инсталацията всички необходими ролеви услуги и компоненти ще бъдат избрани автоматично. Ролята " Сертификация за производителност на устройството» няма собствени услуги.

Името на PowerShell е DeviceHealthAttestationService.

Уеб сървър (IIS)

Осигурява надеждна, управляема и мащабируема инфраструктура за уеб приложения. Състои се от доста голям брой услуги (43).

Името на Windows PowerShell е Web-Server.

Включва следните ролеви услуги ( в скоби ще посоча името на Windows PowerShell):

Уеб сървър (Web-WebServer)– Група ролеви услуги, която осигурява поддръжка за HTML уебсайтове, ASP.NET разширения, ASP и уеб сървър. Състои се от следните услуги:

• Сигурност (уеб сигурност)- набор от услуги за гарантиране на сигурността на уеб сървъра.
  • Филтриране на заявки (Web-Filtering) - с помощта на тези инструменти можете да обработвате всички заявки, пристигащи на сървъра, и да филтрирате тези заявки въз основа на специални правила, зададени от администратора на уеб сървъра;
  • Ограничения за IP адрес и домейн (Web-IP-Security) – тези инструменти ви позволяват да разрешите или откажете достъп до съдържание на уеб сървъра въз основа на IP адреса или името на домейна на източника в заявката;
  • URL авторизация (Web-Url-Auth) - Инструментите ви позволяват да разработите правила за ограничаване на достъпа до уеб съдържание и да ги свържете с потребители, групи или HTTP заглавни команди;
  • Кратко удостоверяване (Web-Digest-Auth) – Това удостоверяване осигурява по-високо ниво на сигурност от основното удостоверяване. Дайджест проверката работи чрез предаване на хеш парола към домейн контролер на Windows за удостоверяване на потребителите;
  • Основно удостоверяване (Web-Basic-Auth) – Този метод за удостоверяване осигурява силна съвместимост с уеб браузър. Препоръчва се за използване в малки вътрешни мрежи. Основният недостатък на този метод е, че паролите, предавани по мрежата, могат да бъдат прихванати и декриптирани доста лесно, така че използвайте този метод в комбинация със SSL;
  • Удостоверяването на Windows (Web-Windows-Auth) е удостоверяване, базирано на удостоверяване на домейн на Windows. С други думи, можете да използвате акаунти в Active Directory за удостоверяване на потребителите на вашите уеб сайтове;
  • Удостоверяване със съвпадение на клиентски сертификат (Web-Client-Auth) – Този метод за удостоверяване включва използването на клиентски сертификат. Този тип използва Active Directory за предоставяне на съпоставяне на сертификати;
  • Удостоверяване на съпоставяне на клиентски сертификат на IIS (Web-Cert-Auth) – Този метод също използва клиентски сертификати за удостоверяване, но използва IIS, за да осигури съпоставяне на сертификати. Този тип осигурява по-висока производителност;
  • Централизирана поддръжка на SSL сертификати (Web-CertProvider) – тези инструменти ви позволяват да управлявате централно SSL сървърни сертификати, което значително опростява процеса на управление на тези сертификати;
• Здраве и диагностика (Web-Health)– набор от услуги за осигуряване на контрол, управление и отстраняване на неизправности на уеб сървъри, сайтове и приложения:
  • http logging (Web-Http-Logging) - инструментите осигуряват логване на активността на уебсайта на даден сървър, т.е. запис в дневник;
  • ODBC регистриране (Web-ODBC-Logging) – Тези инструменти също осигуряват регистриране на дейността на уебсайта, но поддържат регистриране на тази дейност в ODBC-съвместима база данни;
  • Монитор на заявки (Web-Request-Monitor) е инструмент, който ви позволява да наблюдавате изправността на уеб приложение чрез прихващане на информация за HTTP заявки в работния процес на IIS;
  • Web-Custom-Logging – Тези инструменти ви позволяват да конфигурирате активността на уеб сървъра да се регистрира във формат, който се различава значително от стандартния IIS формат. С други думи, можете да създадете свой собствен модул за регистриране;
  • Инструментите за регистриране (Web-Log-Libraries) са инструменти за управление на регистрационните файлове на уеб сървъра и автоматизиране на задачите за регистриране;
  • Проследяването (Web-Http-Tracing) е инструмент за диагностициране и отстраняване на проблеми при работата на уеб приложения.
• Общи http функции (Web-Common-Http)– набор от услуги, които предоставят основна HTTP функционалност:
  • Документ по подразбиране (Web-Default-Doc) – Тази функция ви позволява да конфигурирате уеб сървъра да връща документ по подразбиране, когато потребителите не посочат конкретен документ в URL адреса на заявката, което улеснява достъпа на потребителите до уебсайта, например чрез домейн, без посочване на файла;
  • Преглед на директории (Web-Dir-Browsing) - Този инструмент може да се използва за конфигуриране на уеб сървър, така че потребителите да могат да преглеждат списък с всички директории и файлове на уебсайт. Например, за случаите, когато потребителите не посочват файл в URL адреса на заявката и документите са или деактивирани, или не са конфигурирани по подразбиране;
  • http грешки (Web-Http-Errors) – тази функция ви позволява да конфигурирате съобщения за грешка, които ще се връщат към уеб браузърите на потребителите, когато уеб сървърът открие грешка. Тази функция се използва за по-добро представяне на съобщенията за грешки на потребителите;
  • Статично съдържание (Web-Static-Content) - този инструмент ви позволява да използвате съдържание под формата на статични файлови формати, например HTML файлове или файлове с изображения, на уеб сървър;
  • http пренасочване (Web-Http-Redirect) – като използвате тази функция, можете да пренасочите потребителската заявка към конкретна дестинация, т.е. това е пренасочване;
  • Публикуване в WebDAV (Web-DAV-Publishing) – позволява ви да използвате технологията WebDAV на IIS WEB сървъра. WebDAV ( Уеб разпределено създаване и създаване на версии) е технология, която позволява на потребителите да работят заедно ( четене, редактиране, четене на свойства, копиране, преместване) върху файлове на отдалечени уеб сървъри, използвайки HTTP протокола.
• Производителност (Web-Performance)– набор от услуги за постигане на по-висока производителност на уеб сървъра чрез изходно кеширане и общи механизми за компресиране като Gzip и Deflate:
  • Web-Stat-Compression е инструмент за персонализиране на компресията на статично http съдържание, позволява по-ефективно използване на честотната лента без ненужно натоварване на процесора;
  • Динамично компресиране на съдържание (Web-Dyn-Compression) е инструмент за конфигуриране на HTTP динамично компресиране на съдържание. Тази функция позволява по-ефективно използване на честотната лента, но натоварването на процесора на сървъра, свързано с динамична компресия, може да доведе до забавяне на сайта, ако натоварването на процесора е високо без компресия.
• Разработка на приложения (Web-App-Dev)– набор от услуги и инструменти за разработване и хостване на уеб приложения, с други думи технологии за разработка на уебсайтове:
  • ASP (Web-ASP) е среда за поддържане и разработване на уеб сайтове и уеб приложения, използващи ASP технология. В момента има по-нова и по-напреднала технология за разработка на уебсайтове - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи технологията ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) също е обектно-ориентирана среда за разработка на уеб сайтове и уеб приложения, използващи новата версия на ASP.NET;
  • CGI (Web-CGI) е способността да се използва CGI за предаване на информация от уеб сървър към външна програма. CGI е определен интерфейсен стандарт за свързване на външна програма с уеб сървър. Недостатъкът е, че използването на CGI влияе върху производителността;
  • Включванията от страна на сървъра (SSI) (Web-Includes) са поддръжка за SSI скриптовия език ( активатори от страна на сървъра), който се използва за динамично генериране на HTML страници;
  • Инициализация на приложение (Web-AppInit) – този инструмент изпълнява задачата да инициализира уеб приложенията, преди да препрати уеб страницата;
  • Протокол WebSocket (Web-WebSockets) - добавяне на възможност за създаване на сървърни приложения, които взаимодействат с помощта на протокола WebSocket. WebSocket е протокол, който може да изпраща и получава данни едновременно между браузър и уеб сървър през TCP връзка, един вид разширение на HTTP протокола;
  • ISAPI Extensions (Web-ISAPI-Ext) – поддръжка за динамично развитие на уеб съдържание чрез интерфейса за програмиране на приложения ISAPI. ISAPI е API за IIS уеб сървъра. ISAPI приложенията са много по-бързи от ASP файлове или файлове, които извикват COM+ компоненти;
  • .NET 3.5 Extensibility (Web-Net-Ext) е функция за разширяване на .NET 3.5, която ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • .NET 4.6 Extensibility (Web-Net-Ext45) е функцията за разширяване на .NET 4.6, която също ви позволява да променяте, добавяте и разширявате функционалността на уеб сървъра в целия тръбопровод за обработка на заявки, конфигурация и потребителски интерфейс;
  • ISAPI филтри (Web-ISAPI-Filter) – добавяне на поддръжка за ISAPI филтри. ISAPI филтрите са програми, които се извикват, когато уеб сървърът получи конкретна HTTP заявка, която трябва да бъде обработена от филтъра.

FTP сървър (Web-Ftp-Server)– услуги, които осигуряват поддръжка на FTP протокола. Говорихме за FTP сървъра по-подробно в материала – „Инсталиране и конфигуриране на FTP сървър на Windows Server 2016“. Съдържа следните услуги:

• FTP услуга (Web-Ftp-Service) – добавя поддръжка на FTP протокола на уеб сървъра;
• FTP Extensibility (Web-Ftp-Ext) – Разширява стандартните FTP възможности, като добавяне на поддръжка за функции като потребителски доставчици, потребители на ASP.NET или потребители на IIS Manager.

Инструменти за управление (Web-Mgmt-Tools)- Това са инструменти за управление на уеб сървъра IIS 10. Те включват: потребителския интерфейс на IIS, инструменти за команден ред и скриптове.

• Конзолата за управление на IIS (Web-Mgmt-Console) е потребителският интерфейс за управление на IIS;
• IIS набори от знаци и инструменти (Web-Scripting-Tools) са инструменти и скриптове за управление на IIS с помощта на командния ред или скриптове. Те могат да се използват например за автоматизиране на управлението;
• Услуга за управление (Web-Mgmt-Service) – тази услуга добавя възможност за дистанционно управление на уеб сървъра от друг компютър с помощта на IIS мениджъра;
• Управление на съвместимостта на IIS 6 (Web-Mgmt-Compat) - Осигурява съвместимост между приложения и скриптове, които използват двата API на IIS. Съществуващите скриптове на IIS 6 могат да се използват за управление на уеб сървъра на IIS 10:
  • IIS 6 Compatibility Metabase Metabase (Web-Metabase) е инструмент за съвместимост, който ви позволява да стартирате приложения и набори от знаци, пренесени от по-ранни версии на IIS;
  • Инструменти за скриптове на IIS 6 (Web-Lgcy-Scripting) – Тези инструменти ви позволяват да използвате същите услуги за скриптове на IIS 6, които са създадени за управление на IIS 6 в IIS 10;
  • IIS 6 Services Management Console (Web-Lgcy-Mgmt-Console) – инструмент за администриране на отдалечени IIS 6.0 сървъри;
  • Съвместим с WMI IIS 6 (Web-WMI) са интерфейси за скриптове на Windows Management Instrumentation (WMI) за програмно контролиране и автоматизиране на задачи на IIS 10.0 уеб сървър с помощта на набор от скриптове, създадени в доставчика на WMI.

Домейн услуги на Active Directory

роля " Домейн услуги на Active Directory» (AD DS) предоставя разпределена база данни, която съхранява и обработва информация за мрежовите ресурси. Тази роля се използва за организиране на мрежови елементи, като потребители, компютри и други устройства, в йерархична сигурна структура на обвивката. Йерархичната структура включва гори, домейни в гората и организационни единици (OU) във всеки домейн. Сървър, работещ с AD DS, се нарича домейн контролер.

Името на ролята за Windows PowerShell е AD-Domain-Services.

Режим Windows Server Essentials

Тази роля представлява компютърната инфраструктура и предоставя удобни и ефективни функции, например: съхраняване на клиентски данни на централизирано място и защита на тези данни чрез архивиране на сървъра и клиентските компютри, отдалечен достъп до мрежата, позволяващ ви достъп до данни от почти всяко устройство. Тази роля изисква няколко ролеви услуги и компоненти, за да функционира, например: BranchCache компоненти, Windows Server Backup, Group Policy Management, ролева услуга " Пространства от имена на DFS».

Името на PowerShell е ServerEssentialsRole.

Мрежов контролер

Тази роля беше въведена в Windows Server 2016 и осигурява единна точка на автоматизация за управление, наблюдение и диагностика на физическата и виртуална мрежова инфраструктура в центъра за данни. Използвайки тази роля, можете да конфигурирате IP подмрежи, VLAN, физически мрежови адаптери на Hyper-V хостове, да управлявате виртуални комутатори, физически рутери, настройки на защитната стена и VPN шлюзове от една точка.

Името на Windows PowerShell е NetworkController.

Услуга пазител на възел

Това е сървърната роля на Hosted Guardian Service (HGS) и предоставя услуги за удостоверяване и защита на ключове, които позволяват на защитени хостове да изпълняват екранирани виртуални машини. За да функционира тази роля, са необходими няколко допълнителни роли и компоненти, например: домейнови услуги на Active Directory, уеб сървър (IIS), компонент " Failover Clustering" и други.

Името на PowerShell е HostGuardianServiceRole.

Active Directory леки справочни услуги

роля " Active Directory леки справочни услуги" (AD LDS) - е олекотена версия на AD DS, която има по-малко функционалност, но не изисква разполагането на домейни или домейн контролери и няма зависимостите и ограниченията на домейни, които AD DS услугите изискват. AD LDS работи по протокола LDAP ( Лек протокол за достъп до директория). Можете да разположите множество екземпляри на AD LDS с независимо управлявани схеми на един сървър.

Името на PowerShell е ADLDS.

MultiPoint услуги

Това също е нова роля, която беше въведена в Windows Server 2016. MultiPoint Services (MPS) предоставя основна функционалност за отдалечен работен плот, която позволява на множество потребители да работят едновременно и независимо на един и същ компютър. За да инсталирате и управлявате тази роля, трябва да инсталирате няколко допълнителни услуги и компоненти, например: сървър за печат, услуга за търсене на Windows, XPS Viewer и други, всички от които ще бъдат избрани автоматично, когато се инсталира MPS.

Името на ролята за PowerShell е MultiPointServerRole.

Услуги за актуализиране на Windows Server

С тази роля (WSUS) системните администратори могат да управляват актуализации на Microsoft. Например, създайте отделни групи от компютри за различни набори от актуализации и също така получавайте отчети за съответствието на компютъра и актуализациите, които трябва да бъдат инсталирани. Да функционира " Услуги за актуализиране на Windows Server„Имаме нужда от ролеви услуги и компоненти като: уеб сървър (IIS), вътрешна база данни на Windows, услуга за активиране на процеси на Windows.

Името на Windows PowerShell е UpdateServices.

• WID свързаност (UpdateServices-WidDB) – зададена на WID ( Вътрешна база данни на Windows) база данни, използвана от WSUS. С други думи, WSUS ще съхранява своите данни за услугата в WID;
• WSUS услуги (UpdateServices-Services) са ролевите услуги на WSUS, като Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Simple Internet Authentication Web Service, Server Synchronization Service и DSS Web Authentication Service;
• SQL Server Connectivity (UpdateServices-DB) е инсталирането на компонент, който позволява на услугата WSUS да се свързва с база данни на Microsoft SQL Server. Тази опция включва съхраняване на данни за услугата в база данни на Microsoft SQL Server. В този случай вече трябва да имате инсталиран поне един екземпляр на SQL Server.

Услуги за обемно активиране

Тази сървърна роля автоматизира и опростява издаването на обемни лицензи за софтуер на Microsoft и ви позволява да управлявате тези лицензи.

Името на PowerShell е VolumeActivation.

Услуги за печат и документи

Тази сървърна роля е предназначена за споделяне на принтери и скенери в мрежа, централно конфигуриране и управление на сървъри за печат и сканиране и управление на мрежови принтери и скенери. Услугите за печат и документи също ви позволяват да изпращате сканирани документи по имейл, мрежови споделяния или сайтове на Windows SharePoint Services.

Името на PowerShell е Print-Services.

• Print-Server – Тази ролева услуга включва „ Управление на печат“, който се използва за управление на принтери или сървъри за печат, както и за мигриране на принтери и други сървъри за печат;
• Печат през интернет (Print-Internet) - за реализиране на печат през интернет се създава уебсайт, чрез който потребителите могат да управляват заданията за печат на сървъра. За да работи тази услуга, както разбирате, трябва да инсталирате „ Уеб сървър (IIS)" Всички необходими компоненти ще бъдат избрани автоматично, когато поставите отметка в това квадратче по време на инсталационния процес за ролевата услуга " Онлайн печат»;
• Разпределеният сървър за сканиране (Print-Scan-Server) е услуга, която ви позволява да получавате сканирани документи от мрежови скенери и да ги изпращате до местоназначението им. Тази услуга също така съдържа " Контрол на сканирането", който се използва за управление на мрежови скенери и за конфигуриране на сканиране;
• LPD Service (Print-LPD-Service) - LPD услуга ( Линеен принтер демон) позволява на UNIX-базирани компютри и други компютри, които използват услугата Line Printer Remote (LPR), да печатат на споделени сървърни принтери.

Мрежова политика и услуги за достъп

роля " » (NPAS) ви позволява да използвате сървър за мрежова политика (NPS), за да зададете и наложите политики за мрежов достъп, удостоверяване и оторизация и изправност на клиента, с други думи, за да гарантирате мрежова сигурност.

Името на Windows PowerShell е NPAS.

Услуги за разполагане на Windows

Използвайки тази роля, можете да инсталирате операционната система Windows дистанционно по мрежа.

Името на ролята за PowerShell е WDS.

• Сървър за разполагане (WDS-Deployment) – тази ролева услуга е предназначена за отдалечено внедряване и конфигуриране на операционни системи Windows. Също така ви позволява да създавате и персонализирате изображения за повторна употреба;
• Транспортен сървър (WDS-Transport) - тази услуга съдържа основните мрежови компоненти, с които можете да прехвърляте данни чрез мултикаст на самостоятелен сървър.

Сертификатни услуги на Active Directory

Тази роля е предназначена за създаване на сертифициращи органи и свързани ролеви услуги, които ви позволяват да издавате и управлявате сертификати за различни приложения.

Името на Windows PowerShell е AD-сертификат.

Включва следните ролеви услуги:

• Сертифициращ орган (ADCS-Cert-Authority) – използвайки тази ролева услуга, можете да издавате сертификати на потребители, компютри и услуги, както и да управлявате валидността на сертификата;
• Уеб услуга за правила за записване на сертификати (ADCS-Enroll-Web-Pol) – Тази услуга позволява на потребителите и компютрите да получат информация за правилата за записване на сертификати с помощта на уеб браузър, дори ако компютърът не е част от домейн. За функционирането му е необходимо " Уеб сървър (IIS)»;
• Уеб услуга за записване на сертификат (ADCS-Enroll-Web-Svc) – Тази услуга позволява на потребителите и компютрите да записват и подновяват сертификати с помощта на уеб браузър през HTTPS, дори ако компютърът не е член на домейн. За функционирането му също е необходимо " Уеб сървър (IIS)»;
• Онлайн отговор (ADCS-Online-Cert) – Услуга, предназначена да проверява анулирането на сертификат за клиенти. С други думи, той приема заявка за статус на отмяна за конкретни сертификати, оценява статуса на тези сертификати и изпраща обратно подписан отговор с информация за състоянието. За да функционира услугата е необходимо " Уеб сървър (IIS)»;
• Услуга за регистриране на интернет сертифициращ орган (ADCS-Web-Enrollment) – Тази услуга предоставя уеб-базиран интерфейс за потребителите да изпълняват задачи като заявка и подновяване на сертификати, получаване на списъци с анулирани сертификати и записване на сертификати за смарт карти. За да функционира услугата е необходимо " Уеб сървър (IIS)»;
• Услуга за регистриране на мрежови устройства (ADCS-Device-Enrollment) – С помощта на тази услуга можете да издавате и управлявате сертификати за рутери и други мрежови устройства, които нямат мрежови акаунти. За да функционира услугата е необходимо " Уеб сървър (IIS)».

Услуги за отдалечен работен плот

Сървърна роля, която ви позволява да предоставяте достъп до виртуални настолни компютри, базирани на сесия настолни компютри и RemoteApps.

Името на ролята за Windows PowerShell е Remote-Desktop-Services.

Състои се от следните услуги:

• Уеб достъп до отдалечен работен плот (RDS-Web-Access) - Тази ролева услуга позволява на потребителите достъп до отдалечени настолни компютри и приложения на RemoteApp чрез " Започнете» или чрез уеб браузър;
• Лицензиране на отдалечен работен плот (RDS-Лицензиране) - услуга, предназначена да управлява лицензите, които са необходими за свързване към хост сървър на сесия на отдалечен работен плот или виртуален работен плот. Може да се използва за инсталиране, издаване на лицензи и проследяване на тяхната наличност. Тази услуга изисква " Уеб сървър (IIS)»;
• Посредник за връзка с отдалечен работен плот (RDS-Connection-Broker) е ролева услуга, която предоставя следните възможности: повторно свързване на потребител към съществуващ виртуален работен плот, приложение RemoteApp и базиран на сесия работен плот и балансиране на натоварването между сървъри за отдалечени сесии и настолни компютри или между виртуални десктопи в пул. Тази услуга изисква " »;
• Хост за виртуализация на отдалечен работен плот (DS-Virtualization) е услуга, която позволява на потребителите да се свързват с виртуални настолни компютри с помощта на RemoteApp и Desktop Connection. Тази услуга работи във връзка с Hyper-V, т.е. тази роля трябва да бъде установена;
• Хост на сесия на отдалечен работен плот (RDS-RD-сървър) – Тази услуга ви позволява да хоствате приложения на RemoteApp и базирани на сесии десктопи на сървър. За достъп използвайте клиента за връзка с отдалечен работен плот или RemoteApp;
• Шлюз за отдалечен работен плот (RDS-шлюз) - Услугата позволява на оторизирани отдалечени потребители да се свързват с виртуални десктопи, RemoteApps и базирани на сесии десктопи в корпоративна мрежа или през Интернет. Следните допълнителни услуги и компоненти са необходими, за да функционира тази услуга: " Уеб сървър (IIS)», « Мрежова политика и услуги за достъп», « RPC през HTTP прокси».

Услуги за управление на правата на Active Directory

Това е сървърна роля, която ще ви позволи да защитите информацията от неоторизирана употреба. Той проверява самоличността на потребителите и предоставя на оторизирани потребители лицензи за достъп до защитени данни. Необходими са допълнителни услуги и компоненти, за да функционира тази роля: " Уеб сървър (IIS)», « Услуга за активиране на процеси на Windows», « Функции на .NET Framework 4.6».

Името на Windows PowerShell е ADRMS.

• Сървърът за управление на правата на Active Directory (ADRMS-сървър) е услугата за основна роля и е необходима за инсталиране;
• Поддръжка на обединяване на самоличност (ADRMS-Identity) е незадължителна ролева услуга, която позволява на обединените самоличности да консумират защитено съдържание с помощта на услугите за обединяване на Active Directory.

Услуги за федерация на Active Directory

Тази роля предоставя опростени и сигурни възможности за обединяване на самоличността, както и базирано на браузър единично влизане (SSO) към уебсайтове.

Името на PowerShell е ADFS-Federation.

Отдалечен достъп

Тази роля осигурява свързаност чрез DirectAccess, VPN и прокси за уеб приложения. Също така ролята на " Отдалечен достъп» осигурява традиционни възможности за маршрутизиране, включително преобразуване на мрежови адреси (NAT) и други опции за свързване. Тази роля изисква допълнителни услуги и компоненти: " Уеб сървър (IIS)», « Вътрешна база данни на Windows».

Името на ролята за Windows PowerShell е RemoteAccess.

• DirectAccess и VPN (RAS) (DirectAccess-VPN) - услугата позволява на потребителите да се свързват към корпоративната мрежа по всяко време, ако имат достъп до Интернет чрез DirectAccess, както и да организират VPN връзки в комбинация с технологии за тунелиране и криптиране на данни;
• Маршрутизиране – услугата осигурява поддръжка на NAT рутери, LAN рутери с BGP, RIP протоколи и рутери с мултикаст поддръжка (IGMP proxy);
• Прокси сървър за уеб приложения (Web-Application-Proxy) - услугата ви позволява да публикувате приложения, базирани на HTTP и HTTPS протоколите от корпоративната мрежа на клиентски устройства, които се намират извън корпоративната мрежа.

Услуги за файлове и съхранение

Това е сървърна роля, която може да се използва за споделяне на файлове и папки, управление и контрол на споделяния, репликиране на файлове, осигуряване на бързо търсене на файлове и предоставяне на достъп до UNIX клиентски компютри. Разгледахме файловите услуги и по-специално файловия сървър по-подробно в материала „Инсталиране на файлов сървър на Windows Server 2016“.

Името на Windows PowerShell е FileAndStorage-Services.

Услуги за съхранение– Тази услуга предоставя функционалност за управление на съхранението, която винаги е инсталирана и не може да бъде премахната.

Файлови услуги и iSCSI услуги (файлови услуги)– това са технологии, които опростяват управлението на файлови сървъри и съхранение, спестяват дисково пространство, осигуряват репликация и кеширане на файлове в клонове, както и предоставят споделяне на файлове с помощта на протокола NFS. Включва следните ролеви услуги:

• Файлов сървър (FS-FileServer) е ролева услуга, която управлява споделени папки и предоставя на потребителите достъп до файлове на този компютър по мрежата;
• Дедупликация на данни (FS-Data-Deduplication) – тази услуга спестява дисково пространство, като съхранява само едно копие на идентични данни на том;
• Мениджър на ресурси на файлов сървър (FS-Resource-Manager) – С помощта на тази услуга можете да управлявате файлове и папки на файлов сървър, да създавате отчети за съхранение, да категоризирате файлове и папки, да конфигурирате квоти за папки и да дефинирате правила за блокиране на файлове;
• iSCSI Target Storage Provider (хардуерни VDS и VSS доставчици) (iSCSITarget-VSS-VDS) – Услугата позволява на приложения на сървър, свързан към iSCSI цел, да копират обеми в сянка на iSCSI виртуални дискове;
• DFS пространства от имена (FS-DFS-Namespace) - с помощта на тази услуга можете да групирате споделени папки, разположени на различни сървъри, в едно или повече логически структурирани пространства от имена;
• Работни папки (FS-SyncShareService) – услугата ви позволява да използвате работни файлове на различни компютри, включително работни и лични. Можете да съхранявате вашите файлове в работни папки, да ги синхронизирате и да имате достъп до тях от локална мрежа или интернет. За да функционира услугата, компонентът " IIS In-Process Web Engine»;
• DFS репликация (FS-DFS-репликация) е модул за репликация на данни между множество сървъри, който ви позволява да синхронизирате папки през локална или глобална мрежова връзка. Тази технология използва протокола за отдалечено диференциално компресиране (RDC), за да актуализира само онези части от файловете, които са се променили след последната репликация. DFS репликацията може да се използва във връзка с DFS пространства от имена или отделно;
• Сървър за NFS (FS-NFS-Service) - услуга, която позволява на този компютър да споделя файлове с UNIX-базирани компютри и други компютри, които използват протокола Network File System (NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) – Предоставя услуги и инструменти за управление за iSCSI цели;
• Услуга BranchCache за мрежови файлове (FS-BranchCache) – Услугата осигурява поддръжка на BranchCache на този файлов сървър;
• Услуга за VSS агент на файлов сървър (FS-VSS-Agent) - Услугата ви позволява да извършвате томни сенчести копия за приложения, които съхраняват файлове с данни на този файлов сървър.

Факс сървър

Ролята изпраща и получава факсове и ви позволява да управлявате факс ресурси, като задачи, настройки, отчети и факс устройства, на този компютър или мрежа. За да работите, трябва " Сървър за печат».

Името на ролята за Windows PowerShell е Факс.

Това завършва прегледа на сървърните роли на Windows Server 2016, надявам се материалът да ви е бил полезен, чао!

Прилагане на групови правила (част 3)

Обикновено GPO се присвояват на контейнер (домейн, сайт или OU) и се прилагат към всички обекти в този контейнер. При добре организирана домейн структура това е напълно достатъчно, но понякога е необходимо допълнително да се ограничи прилагането на политики към определена група обекти. За да направите това, можете да използвате два вида филтри.

Защитни филтри

Филтрите за сигурност ви позволяват да ограничите прилагането на политики до конкретна група за сигурност. Например, нека вземем GPO2, който се използва за централно конфигуриране на менюто "Старт" на работни станции с Windows 8.1\Windows 10. GPO2 е присвоен на OU на служителите и се прилага за всички потребители без изключение.

Сега нека отидем в раздела „Обхват“, където в секцията „Филтриране на защитата“ са посочени групите, към които може да се приложи този GPO. По подразбиране тук е посочена групата Удостоверени потребители. Това означава, че политиката може да се приложи към всекипотребител или компютър, който успешно се е удостоверил в домейна.

Всъщност всеки GPO има свой собствен списък за достъп, който може да се види в раздела Делегиране.

За да приложи политика, даден обект трябва да има правата да я чете (Четене) и да я прилага (Прилагане на групова политика), които има групата Authenticated Users. Съответно, за да може политиката да се прилага не за всички, а само за определена група, трябва да премахнете удостоверените потребители от списъка, след това да добавите желаната група и да й дадете съответните права.

Така че в нашия пример политиката може да се приложи само към счетоводната група.

WMI филтри

Windows Management Instrumentation (WMI) е един от най-мощните инструменти за управление на операционната зала Windows система. WMI съдържа голяма сумакласове, с които можете да опишете почти всички потребителски и компютърни параметри. Можете да видите всички налични WMI класове в списък с помощта на PowerShell, като изпълните командата:

Get-WmiObject -List

Например, нека вземем класа Win32_OperatingSystem, който отговаря за свойствата на операционната система. Да приемем, че искате да филтрирате всички операционни системи с изключение на Windows 10. Отиваме на компютър с инсталиран Window 10, отваряме конзолата PowerShell и показваме името, версията и типа на операционната система, като използваме командата:

Get-WmiObject -Class Win32_OperatingSystem | fl име, версия, тип продукт

За филтъра използваме версията и типа на ОС. Версията е една и съща за клиентски и сървърни операционни системи и се дефинира, както следва:

Windows Server 2016\Windows 10 - 10.0
Window Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Типът продукт отговаря за предназначението на компютъра и може да има 3 стойности:

1 - работна станция;
2 - домейн контролер;
3 - сървър.

Сега нека да преминем към създаването на филтъра. За да направите това, отворете модула „Управление на групови правила“ и отидете в секцията „WMI филтри“. Щракнете с десния бутон върху него и изберете „Ново“ от контекстното меню.

В прозореца, който се отваря, дайте име и описание на филтъра. След това щракнете върху бутона „Добавяне“ и въведете WQL заявката в полето „Заявка“, което е основата на WMI филтъра. Трябва да изберем OS версия 10.0 с тип 1, така че заявката ще изглежда така:

ИЗБЕРЕТЕ * ОТ Win32_OperatingSystem WHERE Версия КАТО ″10.0%″ И ProductType = ″1″

Забележка. Windows Query Language (WQL) е езикът за заявки на WMI. Можете да научите повече за него в MSDN.

Запазете получения филтър.

Сега всичко, което остава, е да присвоите WMI филтъра към обект на групова политика, например към GPO3. Отидете до свойствата на GPO, отворете раздела „Обхват“ и в полето „WMI филтриране“ изберете желания филтър от списъка.

Анализ на приложения за групова политика

С толкова много начини за филтриране на GPO, трябва да можете да диагностицирате и анализирате използването им. Най-лесният начин да проверите ефекта на груповите правила върху компютър е да използвате помощна програма за команден ред gpresult.

Например, нека отидем на компютъра wks2, на който е инсталиран Windows 7, и да проверим дали WMI филтърът е работил. За да направите това, отворете cmd конзолата с администраторски права и изпълнете командата gpresult /r, който показва обобщена информация за груповите правила, приложени към потребителя и компютъра.

Забележка.Помощната програма gpresult има много настройки, които можете да видите с командата gpresult /?.

Както можете да видите от получените данни, GPO3 политиката не е приложена към компютъра, тъй като е филтрирана с WMI филтъра.

Можете също да проверите ефекта на GPO от модула „Управление на групови правила“, като използвате специален съветник. За да стартирате съветника, щракнете с десния бутон върху секцията „Резултати от групови правила“ и изберете „Съветник за резултати от групови правила“ от менюто, което се отваря.

Посочете името на компютъра, за който ще се генерира отчета. Ако искате да прегледате само настройките на потребителските групови правила, не е необходимо да събирате настройки за вашия компютър. За да направите това, трябва да поставите отметка в квадратчето по-долу (показване само на настройките на потребителските правила).

След това избираме потребителското име, за което ще се събират данни, или можете да посочите да не включвате настройките на груповата политика за потребителя в отчета (показване само на настройките на компютърната политика).

Проверяваме избраните настройки, натискаме „Напред“ и изчакваме, докато се съберат данните и се генерира отчетът.

Докладът съдържа изчерпателна информация за GPO, приложени (или неприложени) към потребителя и компютъра, както и използваните филтри.

Например, нека създадем отчети за двама различни потребители и да ги сравним. Нека първо отворим отчета за потребителя Кирил и отидем в секцията с потребителски настройки. Както можете да видите, политиката на GPO2 не е приложена към този потребител, защото той няма права да я прилага (Причина за отказ - недостъпна).

Сега нека отворим отчета за потребителя Олег. Този потребител е член на групата Accounting, така че политиката е приложена успешно към него. Това означава, че защитният филтър е работил успешно.

Това е мястото, където вероятно ще завърша „очарователната“ история за използването на групови политики. Надявам се тази информация да ви бъде полезна и да ви помогне в трудната задача на системното администриране :)