Ge en detaljerad beskrivning av serverns policy ang. GPResult-kommando: diagnostik av resulterande grupppolicyer

Föreläsning 4 Nätverkspolicyserver: RADIUS-server, RADIUS-proxy och säkerhetspolicyserver

Föreläsning 4

Ämne: Network Policy Server: RADIUS Server, RADIUS Proxy och Network Access Protection Policy Server

Introduktion

Windows Server 2008 och Windows Server 2008 R2 är avancerade Windows Server-operativsystem utformade för att möjliggöra en ny generation av nätverk, applikationer och webbtjänster. Med dessa operativsystem kan du utveckla, leverera och hantera flexibla och heltäckande upplevelser för användare och applikationer, skapa mycket säkra nätverksinfrastrukturer och öka den tekniska effektiviteten och organisationen i din organisation.

Nätverkspolicyserver

Network Policy Server låter dig skapa och genomdriva organisationsomfattande nätverksåtkomstpolicyer för att säkerställa klientens hälsa och autentisering och auktorisering av anslutningsbegäranden. Dessutom kan NPS användas som en RADIUS-proxy för att vidarebefordra anslutningsförfrågningar till NPS eller andra RADIUS-servrar konfigurerade i fjärranslutna RADIUS-servergrupper.

Network Policy Server låter dig konfigurera och hantera klientautentisering, auktorisering och hälsopolicyer centralt när du beviljar nätverksåtkomst, med hjälp av följande tre funktioner:

RADIUS-server. Network Policy Server hanterar centralt autentisering, auktorisering och redovisning av trådlösa anslutningar, autentiserade switchanslutningar, uppringda anslutningar och virtuella privata nätverksanslutningar (VPN). När du använder NPS som en RADIUS-server konfigureras nätverksåtkomstservrar, såsom trådlösa åtkomstpunkter och VPN-servrar, som RADIUS-klienter på NPS. Dessutom konfigurerar du nätverkspolicyerna som NPS använder för att auktorisera anslutningsbegäranden. Dessutom kan du konfigurera RADIUS-redovisning så att data registreras av NPS-servern i loggfiler lagrade på den lokala hårddisken eller i databasen Microsoft data SQL Server.

RADIUS proxy. Om NPS används som en RADIUS-proxy måste du konfigurera policyer för anslutningsbegäran som bestämmer vilka anslutningsbegäranden som NPS ska vidarebefordra till andra RADIUS-servrar och vilka specifika RADIUS-servrar som dessa förfrågningar kommer att vidarebefordras till. Du kan också konfigurera Network Policy Server för att omdirigera referenser för att lagra dem på en eller flera datorer i en grupp av fjärranslutna RADIUS-servrar.

Network Access Protection (NAP) policyserver. När NPS är konfigurerad som en NAP-policyserver utvärderar NPS hälsotillstånden som skickas av NAP-aktiverade klientdatorer som försöker ansluta till nätverket. Network Policy Server, som är konfigurerad med Network Access Protection, fungerar som en RADIUS-server för att autentisera och auktorisera anslutningsbegäranden. På Network Policy Server kan du konfigurera policyer och inställningar för skydd av nätverksåtkomst, inklusive systemhälsokontroller, hälsopolicyer och uppdateringsservergrupper som säkerställer att konfigurationen av klientdatorer uppdateras enligt din organisations nätverkspolicy.

Network Policy Server kan konfigureras med valfri kombination av ovanstående alternativ. Till exempel kan en nätverkspolicyserver fungera som en policyserver för nätverksåtkomstskydd genom att använda en eller flera upprätthållandemetoder, samtidigt som den fungerar som en RADIUS-server för fjärråtkomstanslutningar och som en RADIUS-proxy för att vidarebefordra vissa anslutningsbegäranden till en grupp av fjärranslutna RADIUS servrar. som låter dig utföra autentisering och auktorisering på en annan domän.

RADIUS-server och RADIUS-proxy

Nätverkspolicyservern kan användas som en RADIUS-server, en RADIUS-proxy eller båda samtidigt.

RADIUS-server

Microsoft Network Policy Server är implementerad i enlighet med RADIUS-standarden, som beskrivs i IETF RFC 2865 och RFC 2866. Som en RADIUS-server utför Network Policy Server centralt autentisering, auktorisering och redovisning av anslutningar för olika typer av nätverksåtkomst, inklusive trådlös åtkomst, växling av autentiserad, fjärråtkomst och VPN-åtkomst och anslutningar mellan routrar.

Network Policy Server möjliggör en mångsidig uppsättning trådlös, uppringd, VPN och växlingsutrustning. Network Policy Server kan användas med tjänsten Routing och Remote Access som är tillgänglig i operativsystem Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition och Windows Server 2003, Datacenter Edition.

Om datorn som kör NPS är medlem i en Active Directory®-domän, använder NPS denna katalogtjänst som en användarkontodatabas och är en del av lösningen för enkel inloggning. Samma uppsättning autentiseringsuppgifter används för att kontrollera nätverksåtkomst (autentisering och auktorisering av nätverksåtkomst) och för att logga in på Active Directory-domänen.

Internetleverantörer och organisationer som tillhandahåller nätverksåtkomst står inför större utmaningar när det gäller att hantera alla typer av nätverk från en enda administrationspunkt, oavsett vilken nätverksåtkomstutrustning som används. RADIUS-standarden stöder denna funktion i både homogena och heterogena miljöer. RADIUS-protokollet är ett klient-server-protokoll som tillåter nätverksåtkomstutrustning (som fungerar som RADIUS-klienter) att göra autentiserings- och redovisningsförfrågningar till en RADIUS-server.

RADIUS-servern har åtkomst till användarens kontoinformation och kan validera autentiseringsuppgifter under autentisering för att ge nätverksåtkomst. Om användarens autentiseringsuppgifter är giltiga och anslutningsförsöket är auktoriserat, auktoriserar RADIUS-servern användarens åtkomst baserat på de angivna villkoren och loggar anslutningsinformationen i loggen. Genom att använda RADIUS-protokollet kan du samla in och underhålla autentiserings-, auktoriserings- och redovisningsinformation på en enda plats istället för att behöva utföra denna operation på varje åtkomstserver.

RADIUS proxy

Som en RADIUS-proxy vidarebefordrar NPS autentiserings- och redovisningsmeddelanden till andra RADIUS-servrar.

Med Network Policy Server kan organisationer outsourca sin fjärråtkomstinfrastruktur till en tjänsteleverantör samtidigt som de behåller kontrollen över användarautentisering, auktorisering och redovisning.

Network Policy Server-konfigurationer kan skapas för följande scenarier:

Trådlös tillgång

Ansluta en fjärråtkomst eller virtuellt privat nätverk i en organisation.

Fjärranslutning eller trådlös åtkomst som tillhandahålls av en extern organisation

internetåtkomst

Autentiserad åtkomst till externa nätverksresurser för affärspartners

Exempel på RADIUS-server- och RADIUS-proxykonfigurationer

Följande konfigurationsexempel visar hur man konfigurerar NPS som en RADIUS-server och RADIUS-proxy.

NPS som en RADIUS-server. I det här exemplet är NPS-servern konfigurerad som en RADIUS-server, den enda policy som konfigurerats är standardpolicyn för anslutningsbegäran, och alla anslutningsbegäranden behandlas av den lokala NPS-servern. Network Policy Server kan autentisera och auktorisera användare vars konton finns på serverns domän eller på betrodda domäner.

NPS som en RADIUS-proxy. I det här exemplet är NPS konfigurerad som en RADIUS-proxy som vidarebefordrar anslutningsbegäranden till grupper av fjärranslutna RADIUS-servrar i två olika opålitliga domäner. Standardpolicyn för anslutningsbegäran tas bort och ersätts av två nya policyer för anslutningsbegäran som vidarebefordrar förfrågningar till var och en av de två opålitliga domänerna. I det här exemplet behandlar inte NPS anslutningsbegäranden på den lokala servern.

NPS som både RADIUS-server och RADIUS-proxy. Utöver standardpolicyn för anslutningsbegäran som behandlar förfrågningar lokalt skapas en ny policy för anslutningsbegäran som vidarebefordrar dem till NPS eller en annan RADIUS-server i en otillförlitlig domän. Den andra policyn heter Proxy. I det här exemplet visas proxypolicyn först i den ordnade listan med policyer. Om en anslutningsbegäran matchar proxypolicyn vidarebefordras anslutningsbegäran till en RADIUS-server i den fjärranslutna RADIUS-servergruppen. Om en anslutningsbegäran inte matchar proxypolicyn, men den matchar standardpolicyn för anslutningsbegäran, bearbetar Network Policy Server anslutningsbegäran på den lokala servern. Om en anslutningsbegäran inte uppfyller någon av dessa policyer avvisas den.

NPS som en RADIUS-server med fjärrredovisningsservrar. I det här exemplet är den lokala NPS inte konfigurerad för redovisning, och standardpolicyn för anslutningsbegäran ändras så att RADIUS-redovisningsmeddelanden vidarebefordras till NPS:en eller en annan RADIUS-server i gruppen av fjärranslutna RADIUS-servrar. Även om redovisningsmeddelanden vidarebefordras, vidarebefordras inte autentiserings- och auktoriseringsmeddelanden, och relaterade funktioner för den lokala domänen och alla betrodda domäner utförs av den lokala NPS-servern.

NPS med fjärranvändarmappning av RADIUS till Windows. I det här exemplet fungerar NPS som både en RADIUS-server och en RADIUS-proxy för varje enskild anslutningsbegäran, vidarebefordrar autentiseringsbegäran till en fjärransluten RADIUS-server samtidigt som auktorisering utförs med det lokala Windows-användarkontot. Den här konfigurationen implementeras genom att ställa in attributet Remote RADIUS Server Mapping till Windows-användare som ett villkor för policyn för anslutningsbegäran. (Dessutom måste du skapa ett lokalt användarkonto på RADIUS-servern med samma namn som fjärrkontot som kommer att autentiseras av RADIUS-fjärrservern.)

Network Access Protection Policy Server

Network Access Protection ingår i Windows Vista®, Windows® 7, Windows Server® 2008 och Windows Server® 2008 R2. Det hjälper till att säkra åtkomsten till privata nätverk genom att säkerställa att klientdatorer följer hälsopolicyerna som gäller för organisationens nätverk när de tillåter dessa klienter att få åtkomst till nätverksresurser. Dessutom övervakas klientdatorns efterlevnad av den administratörsdefinierade hälsopolicyn av Network Access Protection medan klientdatorn är ansluten till nätverket. Med funktionen för automatisk uppdatering av nätverksåtkomstskydd kan icke-kompatibla datorer automatiskt uppdateras till hälsopolicyn, vilket gör att de senare kan beviljas nätverksåtkomst.

Systemadministratörer definierar nätverkshälsopolicyer och skapar dessa policyer med hjälp av Network Access Protection-komponenter som är tillgängliga från Network Policy Server eller tillhandahålls av andra företag (beroende på Network Access Protection-implementeringen).

Hälsopolicyer kan ha egenskaper som programvarukrav, krav på säkerhetsuppdateringar och krav på konfigurationsparametrar. Nätverksåtkomstskydd upprätthåller hälsopolicyer genom att kontrollera och utvärdera klientdatorernas tillstånd, begränsa nätverksåtkomst till datorer som inte uppfyller dessa krav och korrigera bristande efterlevnad för att ge obegränsad nätverksåtkomst.

GPResult-verktyget.exe– är en konsolapplikation utformad för att analysera inställningar och diagnostisera grupppolicyer som gäller för en dator och/eller användare i en Active Directory-domän. I synnerhet låter GPResult dig få data från den resulterande uppsättningen policyer (Resultant Set of Policy, RSOP), en lista över tillämpade domänpolicyer (GPO), deras inställningar och detaljerad information om fel i deras bearbetning. Verktyget har varit en del av Windows OS sedan Windows XP. GPResult-verktyget låter dig svara på följande frågor: om en specifik policy gäller för datorn, vilken GPO ändrade detta eller det Windows-installation, förstå orsakerna.

I den här artikeln kommer vi att titta på funktionerna i att använda kommandot GPResult för att diagnostisera och felsöka tillämpningen av grupppolicyer i en Active Directory-domän.

Inledningsvis, för att diagnostisera tillämpningen av grupppolicyer i Windows, användes den grafiska konsolen RSOP.msc, vilket gjorde det möjligt att erhålla inställningarna för de resulterande policyerna (domän + lokal) som tillämpades på datorn och användaren i en grafisk form liknande till GPO-redigeringskonsolen (du kan se nedan i exemplet med RSOP.msc-konsolvyn att uppdateringsinställningarna är inställda).

Det är dock inte tillrådligt att använda RSOP.msc-konsolen i moderna versioner av Windows, eftersom den återspeglar inte inställningar som tillämpas av olika klientsidetillägg (CSE), såsom GPP (Group Policy Preferences), tillåter inte sökning och ger lite diagnostisk information. Därför är kommandot GPResult för tillfället huvudverktyget för att diagnostisera användningen av GPO i Windows (i Windows 10 visas till och med en varning om att RSOP inte ger en fullständig rapport, till skillnad från GPResult).

Använda verktyget GPResult.exe

Kommandot GPResult körs på den dator där du vill kontrollera tillämpningen av grupppolicyer. Kommandot GPResult har följande syntax:

GPRESULTAT ]] [(/X | /H)<имя_файла> ]

För att få detaljerad information om de grupppolicyer som gäller för ett givet AD-objekt (användare och dator) och andra inställningar relaterade till GPO-infrastrukturen (det vill säga de resulterande GPO-policyinställningarna - RsoP), kör kommandot:

Resultaten av kommandot är uppdelade i 2 sektioner:

• DATOR INSTÄLLNINGAR (Datorkonfiguration) – avsnittet innehåller information om GPO-objekt som verkar på datorn (som ett Active Directory-objekt);
• ANVÄNDARE INSTÄLLNINGAR – avsnittet användarpolicy (policyer som gäller för ett användarkonto i AD).

Låt oss kort gå igenom de viktigaste parametrarna/sektionerna som kan intressera oss i GPResult-utdata:

• Webbplatsnamn(Webbplatsnamn:) – namnet på AD-platsen där datorn finns;
• CN– fullständig kanonisk användare/dator för vilken RSoP-data genererades;
• SistatidGruppPolitikvarapplicerad(Senast tillämpad grupppolicy) – tidpunkt då grupppolicy senast tillämpades;
• GruppPolitikvarappliceradfrån(Grupppolicy tillämpades från) – den domänkontrollant som den laddades från senaste versionen GPO;
• Domännamnoch domänTyp(Domännamn, domäntyp) – namn och version av Active Directory-domänschemat;
• AppliceradGruppPolitikFöremål(Tillämpade grupprincipobjekt)– listor över aktiva grupppolicyobjekt;
• DeföljandeGPO:ervarinteappliceraddärför attdevarfiltrerasut(Följande GPO-policyer tillämpades inte eftersom de filtrerades) - inte tillämpade (filtrerade) GPO;
• Deanvändare/datoräradelavdeföljandesäkerhetgrupper(Användaren/datorn är medlem i följande säkerhetsgrupper) – domängrupper där användaren är medlem.

I vårt exempel kan du se att användarobjektet är föremål för 4 grupppolicyer.

• Standarddomänpolicy;
• Aktivera Windows-brandväggen;
• Söklista för DNS-suffix;

Om du inte vill att information om både användar- och datorpolicyer ska visas i konsolen samtidigt, kan du använda alternativet /scope för att endast visa avsnittet du är intresserad av. Endast resulterande användarpolicyer:

gpresult /r /scope:user

eller endast tillämpade datorpolicyer:

gpresult /r /scope:dator

Därför att Gpresult-verktyget matar ut sina data direkt till konsolen kommandorad, vilket inte alltid är bekvämt för efterföljande analys, kan dess utdata omdirigeras till urklipp:

Gpresult /r |klipp

eller textfil:

Gpresult /r > c:\gpresult.txt

För att visa superdetaljerad RSOP-information måste du lägga till /z-växeln.

HTML RSOP-rapport med GPResult

Dessutom kan GPResult-verktyget generera en HTML-rapport över de resulterande policyerna som tillämpas (tillgängligt på Windows 7 och senare). Den här rapporten kommer att innehålla detaljerad information om alla systemparametrar som ställs in av grupppolicyer och namnen på specifika GPO:er som ställer in dem (den resulterande rapportstrukturen liknar fliken Inställningar i Domängrupppolicyhanteringskonsolen - GPMC). Du kan generera en HTML GPResult-rapport med kommandot:

GPResult /h c:\gp-report\report.html /f

För att generera en rapport och automatiskt öppna den i en webbläsare, kör kommandot:

GPResult /h GPResult.html & GPResult.html

HTML-rapporten gpresult innehåller en hel del användbar information: fel i GPO-applikationen, handläggningstid (i ms) och tillämpning av specifika policyer och CSE är synliga (i avsnittet Datordetaljer -> Komponentstatus). Till exempel, i skärmdumpen ovan kan du se att policyn med de 24 lösenorden minns inställningar tillämpas av standarddomänpolicyn (kolumnen Winning GPO). Som du kan se är den här HTML-rapporten mycket bekvämare för att analysera tillämpade policyer än rsop.msc-konsolen.

Tar emot GPResult-data från en fjärrdator

GPResult kan också samla in data från en fjärrdator, vilket eliminerar behovet för administratören att logga in lokalt eller RDP till fjärrdatorn. Kommandoformatet för att samla in RSOP-data från en fjärrdator är följande:

GPResult /s server-ts1 /r

På samma sätt kan du på distans samla in data från både användarpolicyer och datorpolicyer.

Användaranvändarnamnet har inte RSOP-data

När UAC är aktiverat, visar GPResult utan förhöjd behörighet inställningarna för endast avsnittet om användargruppspolicy. Om du behöver visa båda avsnitten (ANVÄNDARINSTÄLLNINGAR och DATORINSTÄLLNINGAR) samtidigt måste kommandot köras. Om kommandoraden höjs till ett annat system än den nuvarande användaren kommer verktyget att utfärda en varning INFO:Deanvändare"domän\användare”görintehaRSOPdata ( Användaren "domän\användare" har inte RSOP-data). Detta händer för att GPResult försöker samla in information för användaren som startade det, men för att... Denna användare har inte loggat in och det finns ingen RSOP-information för honom. För att samla in RSOP-information för en användare med en aktiv session måste du ange hans konto:

gpresult /r /användare:tn\edward

Om du inte vet namnet på kontot som är inloggat på fjärrdatorn kan du få kontot så här:

qwinsta /SERVER:remotePC1

Kontrollera även tid(er) på klienten. Tiden måste matcha tiden på PDC (Primary Domain Controller).

Följande GPO-policyer tillämpades inte eftersom de filtrerades bort

När du felsöker grupppolicyer bör du också vara uppmärksam på avsnittet: Följande GPO tillämpades inte eftersom de filtrerades bort. Det här avsnittet visar en lista över GPO:er som av en eller annan anledning inte gäller detta objekt. Möjliga sätt på vilka policyn kanske inte gäller:

Du kan också förstå om policyn ska tillämpas på ett specifikt AD-objekt på fliken effektiva behörigheter (Avancerat -> Effektiv åtkomst).

Så i den här artikeln tittade vi på funktionerna för att diagnostisera tillämpningen av grupppolicyer med hjälp av GPResult-verktyget och tittade på typiska scenarier för dess användning.

När du installerar Windows är de flesta av de mindre undersystemen inte aktiverade eller installerade. Detta görs av säkerhetsskäl. Eftersom systemet är säkert som standard kan systemadministratörer fokusera på att designa ett system som kommer att utföra exakt de avsedda funktionerna och inget annat. För att hjälpa dig aktivera de funktioner du behöver uppmanar Windows dig att välja en serverroll.

Roller

En serverroll är en uppsättning program som, när de är korrekt installerade och konfigurerade, tillåter en dator att utföra en specifik funktion för flera användare eller andra datorer i ett nätverk. I allmänhet har alla roller följande egenskaper.

• De definierar huvudfunktionen, syftet eller syftet med att använda en dator. Du kan utse en dator för att utföra en enda roll som används flitigt i ditt företag, eller att utföra flera roller om var och en endast används ibland.
• Roller ger användare i hela organisationen tillgång till resurser som hanteras av andra datorer, till exempel webbplatser, skrivare eller filer som lagras på olika datorer.
• De har vanligtvis sina egna databaser som köar användar- eller datorförfrågningar eller registrerar information om nätverksanvändare och datorer som är relevanta för rollen. Till exempel innehåller Active Directory Domain Services en databas för att lagra namn och hierarkiska relationer för alla datorer i ett nätverk.
• När rollerna väl har installerats och konfigurerats fungerar de automatiskt. Detta gör att de datorer som de är installerade på kan utföra tilldelade uppgifter med begränsad användarinteraktion.

Rolltjänster

Rolltjänster är program som tillhandahåller funktionalitet roller. När du installerar en roll kan du välja vilka tjänster den tillhandahåller till andra användare och datorer i företaget. Vissa roller, till exempel DNS-server, utför bara en funktion, så det finns inga rolltjänster för dem. Andra roller, som Remote Desktop Services, har flera tjänster som kan installeras beroende på ditt företags behov av fjärråtkomst. En roll kan ses som en samling av närbesläktade, kompletterande rolltjänster. I de flesta fall innebär installation av en roll att installera en eller flera av dess tjänster.

Komponenter

Komponenter är program som inte direkt ingår i roller, utan stödjer eller utökar funktionaliteten för en eller flera roller eller en hel server, oavsett vilka roller som är installerade. Till exempel utökar funktionen Failover Cluster funktionaliteten för andra roller, såsom filtjänster och DHCP-server, genom att tillåta dem att gå med i serverkluster, vilket ger ökad redundans och prestanda. En annan komponent - "Telnet Client" - tillhandahåller fjärrkommunikation med Telnet-servern via nätverksanslutning. Denna funktion förbättrar serverns kommunikationsmöjligheter.

När Windows Server körs i Server Core-läge, stöds följande serverroller:

• Active Directory Certificate Services;
• Active Directory Domain Services;
• DHCP-server;
• DNS-server;
• filtjänster (inklusive filserverresurshanterare);
• Active Directory lättviktskatalogtjänster;
• Hyper-V;
• tryckning och dokumenttjänster;
• strömmande mediatjänster;
• webbserver (inklusive en delmängd av ASP.NET);
• server Windows-uppdateringar Server;
• Active Directory Rights Management Server;
• Routing och Remote Access Server och följande underordnade roller:
  • Remote Desktop Services Connection Broker;
  • licensiering;
  • virtualisering.

När Windows Server körs i Server Core-läge stöds följande serverkomponenter:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• bakgrunds intelligent överföringstjänst (BITS);
• BitLocker diskkryptering;
• BitLocker-nätverksupplåsning;
• BranchCache
• datacenterbrygga;
• Förbättrad lagring;
• failover-klustring;
• Flervägs I/O;
• nätverksbelastningsbalansering;
• PNRP-protokoll;
• qVåg;
• fjärrdifferentiell komprimering;
• enkla TCP/IP-tjänster;
• RPC via HTTP-proxy;
• SMTP-server;
• SNMP-tjänst;
• Telnet-klient;
• Telnet-server;
• TFTP-klient;
• inre bas Windows-data;
• Windows PowerShell Web Access;
• Windows Activation Service;
• standardiserad Windows-lagringshantering;
• IIS WinRM-tillägg;
• WINS-server;
• WoW64-stöd.

Installera serverroller med Server Manager

För att lägga till, öppna Serverhanteraren och i Hantera-menyn klicka på Lägg till roller och funktioner:

Guiden Lägg till roller och funktioner öppnas. Klicka på Nästa

Installationstyp, välj Rollbaserad eller funktionsbaserad installation. Nästa:

Serverval – välj vår server. Klicka på Nästa serverroller - Välj roller, välj vid behov rolltjänster och klicka på Nästa för att välja komponenter. Under denna procedur informerar guiden Lägg till roller och funktioner automatiskt om det finns några konflikter på målservern som kan förhindra att de valda rollerna eller funktionerna installeras eller fungerar korrekt. Du uppmanas också att lägga till de roller, rolltjänster och funktioner som krävs för de valda rollerna eller funktionerna.

Installera roller med PowerShell

Öppna Windows PowerShell Ange kommandot Get-WindowsFeature för att se en lista över tillgängliga och installerade roller och funktioner på den lokala servern. Resultaten av denna cmdlet innehåller kommandonamnen för de roller och funktioner som är installerade och tillgängliga för installation.

Skriv Get-Help Install-WindowsFeature för att visa syntaxen och giltiga parametrar för cmdleten Install-WindowsFeature (MAN).

Ange följande kommando (-Restart startar om servern om en omstart krävs vid installation av rollen).

Installera-Windows-funktion – Namn -Omstart

Beskrivning av roller och rolltjänster

Alla roller och rolltjänster beskrivs nedan. Låt oss titta på avancerad konfiguration för de vanligaste i vår praktik: webbserverroll och fjärrskrivbordstjänster

Detaljerad beskrivning av IIS

• Vanliga HTTP-funktioner - Grundläggande HTTP-komponenter
  • Standarddokument - låter dig ställa in en indexsida för webbplatsen.
  • Katalogbläddring - Låter användare se innehållet i en katalog på en webbserver. Använd katalogbläddring för att automatiskt generera en lista över alla kataloger och filer som finns i en katalog när användare inte anger en fil i URL:en och indexsidan är inaktiverad eller inte konfigurerad
  • HTTP-fel - låter dig konfigurera felmeddelanden som returneras till klienter i webbläsaren.
  • Statiskt innehåll - låter dig lägga upp statiskt innehåll, till exempel bilder eller html-filer.
  • HTTP-omdirigering - ger stöd för att omdirigera användarförfrågningar.
  • WebDAV Publishing låter dig publicera filer från en webbserver med hjälp av HTTP-protokollet.
• Hälsa och diagnostiska funktioner - Diagnostiska komponenter
  • HTTP-loggning ger loggning av webbplatsaktivitet för en given server.
  • Anpassad loggning ger stöd för att skapa anpassade loggar som skiljer sig från "traditionella" loggar.
  • Loggningsverktyg tillhandahåller en infrastruktur för att hantera webbserverloggar och automatisera vanliga loggningsuppgifter.
  • ODBC-loggning tillhandahåller en infrastruktur som stöder loggning av webbserveraktivitet i en ODBC-kompatibel databas.
  • Request Monitor tillhandahåller en infrastruktur för att övervaka hälsan hos webbapplikationer genom att samla in information om HTTP-förfrågningar i IIS-arbetarprocessen.
  • Spårning tillhandahåller ett ramverk för diagnostik och felsökning av webbapplikationer. Genom att använda misslyckad begärandespårning kan du spåra svårfångade händelser som dålig prestanda eller autentiseringsfel.
• Prestandakomponenter ökar webbserverns prestanda.
  • Statisk innehållskomprimering tillhandahåller infrastrukturen för att ställa in HTTP-komprimering av statiskt innehåll
  • Dynamisk innehållskomprimering tillhandahåller infrastrukturen för att ställa in HTTP-komprimering av dynamiskt innehåll.
• Säkerhetssäkerhetskomponenter
  • Begärfiltrering låter dig registrera alla inkommande förfrågningar och filtrera dem baserat på regler som ställts in av administratören.
  • Grundläggande autentisering låter dig ställa in ytterligare auktorisering
  • Centraliserat SSL-certifikatstöd är en funktion som låter dig lagra certifikat på en centraliserad plats, som en filresurs.
  • Klientcertifikatmappning Autentisering använder klientcertifikat för att autentisera användare.
  • Digest Authentication fungerar genom att skicka en hash för lösenord till en Windows-domänkontrollant för att autentisera användare. Om du behöver mer hög nivå säkerhet jämfört med grundläggande autentisering, överväg att använda Digest-autentisering
  • IIS Client Certificate Mapping Authentication använder klientcertifikat för att autentisera användare. Ett klientcertifikat är ett digitalt ID som erhålls från en betrodd källa.
  • IP- och domänbegränsningar låter dig tillåta/neka åtkomst baserat på den begärda IP-adressen eller domännamnet.
  • URL-auktorisering låter dig skapa regler som begränsar åtkomsten till webbinnehåll.
  • Windows-autentisering Detta autentiseringsschema tillåter Windows-domänadministratörer att dra fördel av domäninfrastrukturen för att autentisera användare.
• Applikationsutveckling Innehåller komponenter för applikationsutveckling
• FTP-server
  • FTP-tjänst Aktiverar FTP-publicering till webbservern.
  • FTP-utvidgning Innehåller stöd för FTP-funktioner som utökar kapaciteten för
• Hanteringsverktyg
  • IIS Management Console installerar IIS Manager, som låter dig hantera webbservern via ett grafiskt gränssnitt
  • IIS 6.0 Management Compatibility ger framåtkompatibilitet för applikationer och skript som använder API:erna för Admin Base Object (ABO) och Active Directory Service Interface (ADSI). Detta gör att befintliga IIS 6.0-skript kan användas av en IIS 8.0-webbserver
  • IIS-hanteringsskript och -verktyg tillhandahåller infrastrukturen för att hantera IIS-webbservern programmatiskt, med hjälp av kommandon i ett kommandotolksfönster eller genom att köra skript.
  • Management Service tillhandahåller infrastrukturen för att konfigurera användargränssnittet för IIS Manager.

Detaljerad beskrivning av RDS

• Remote Desktop Connection Broker - Ger återanslutning av klientenheten till program baserade på stationära datorsessioner och virtuella skrivbord.
• Remote Desktop Gateway - Tillåter behöriga användare att ansluta till virtuella skrivbord, RemoteApp-program och sessionsbaserade skrivbord på ett företagsnätverk eller över Internet.
• Remote Desktop Licensing - RDP-licenshanteringsverktyg
• Remote Desktop Session Host - Gör det möjligt för en server att vara värd för RemoteApp-program eller en skrivbordsbaserad session.
• Remote Desktop Virtualization Host - låter dig konfigurera RDP på ​​virtuella maskiner
• Remote Desktop WebAccess - Tillåter användare att ansluta till skrivbordsresurser med hjälp av Start-menyn eller en webbläsare.

Låt oss titta på att installera och konfigurera en terminallicensserver. Ovanstående beskriver hur man installerar roller, installation av RDS skiljer sig inte från att installera andra roller; i Rolltjänster måste vi välja Remote Desktop Licensing och Remote Desktop Session Host. Efter installationen kommer Terminal Services-objektet att visas i Server Manager-Tools. Terminal Services har två objekt: RD Licensing Diagnoser, som är ett diagnostiskt verktyg för fjärrskrivbordslicenser, och Remote Desktop Licensing Manager, som är ett licenshanteringsverktyg.

Låt oss starta RD Licensing Diagnoser

Här ser vi att det inte finns några tillgängliga licenser ännu eftersom licensläget för Remote Desktop Session Host-servern inte är inställt. Licensservern anges i lokala grupppolicyer. För att starta redigeraren, kör kommandot gpedit.msc. Den lokala grupprincipredigeraren öppnas. I trädet till vänster, låt oss öppna flikarna:

• Datorkonfiguration
• administrativa mallar
• Windows-komponenter
• "Fjärrskrivbordstjänster"
• "Fjärrskrivbordssessionsvärd"
• "Licensiering"

Öppna parametrarna Använd de angivna Remote Desktop-licensservrarna

Aktivera licensservern (aktiverad) i redigeringsfönstret för policyinställningar. Därefter måste du bestämma licensservern för Remote Desktop Services. I mitt exempel är licensservern placerad på samma fysiska server. Ange nätverksnamnet eller IP-adressen för licensservern och klicka på OK. Om du ändrar servernamnet i framtiden måste licensservern ändras i samma avsnitt.

Efter detta kan du i RD Licensing Diagnoser se att terminallicensservern är konfigurerad men inte aktiverad. För att aktivera, starta Remote Desktop Licensing Manager

Välj en licensserver med statusen Ej aktiverad. För att aktivera, högerklicka på den och välj Aktivera server. Serveraktiveringsguiden startar. På fliken Anslutningsmetod väljer du Automatisk anslutning. Fyll sedan i information om organisationen, varefter licensservern aktiveras.

Active Directory-certifikattjänster

AD CS tillhandahåller anpassningsbara digitala certifikattjänster som används i mjukvarusäkerhetssystem som utnyttjar teknik offentliga nycklar, och hanteringen av dessa certifikat. Digitala certifikat som tillhandahålls av AD CS kan användas för kryptering och digital signering elektroniska dokument och meddelanden. Dessa digitala certifikat kan användas för att verifiera äktheten av dator-, användar- och enhetskonton online. Digitala certifikat används för att säkerställa:

• integritet genom kryptering;
• integritet med hjälp av digitala signaturer;
• autentisering genom att associera certifikatnycklar med dator-, användar- och enhetskonton i nätverket.

AD CS kan användas för att förbättra säkerheten genom att associera en användare, enhet eller tjänstidentitet med lämplig privat nyckel. Användningar som stöds av AD CS inkluderar Secure Multipurpose Internet Mail Extensions (S/MIME), skyddade trådlöst nätverk, Virtual Private Networks (VPN), IPsec, Encrypting File System (EFS), Smart Card Login, Secure Protocol and Transport Layer Security (SSL/TLS) och digitala signaturer.

Active Directory Domain Services

Med hjälp av Active Directory Domain Services (AD DS)-serverrollen kan du skapa en skalbar, säker och hanterad infrastruktur för hantering av användare och resurser; Du kan också stödja katalogmedvetna program, till exempel Microsoft Exchange Server. Active Directory Domain Services tillhandahåller en distribuerad databas som lagrar och hanterar information om nätverksresurser och katalogaktiverade programdata. Servern som kör AD DS kallas en domänkontrollant. Administratörer kan använda AD DS för att organisera nätverkselement som användare, datorer och andra enheter i en hierarkisk, kapslad struktur. Den hierarkiska kapslade strukturen inkluderar Active Directory-skogen, domänerna inom skogen och organisationsenheterna inom varje domän. Säkerhetsfunktioner är integrerade i AD DS i form av autentisering och åtkomstkontroll till resurser i katalogen. Med enkel inloggning för nätverk kan administratörer hantera katalogdata och organisation över hela nätverket. Auktoriserade nätverksanvändare kan också använda enkel inloggning för nätverk för att komma åt resurser som finns var som helst på nätverket. Active Directory Domain Services tillhandahåller följande ytterligare funktioner.

• En regeluppsättning är ett schema som definierar objektklasserna och attributen som finns i en katalog, begränsningarna och begränsningarna för instanser av dessa objekt och formatet för deras namn.
• En global katalog som innehåller information om varje objekt i katalogen. Användare och administratörer kan använda den globala katalogen för att söka efter katalogdata, oavsett vilken domän i katalogen som faktiskt innehåller den information de letar efter.
• En fråge- och indexeringsmotor genom vilken objekt och deras egenskaper kan publiceras och lokaliseras av nätverksanvändare och applikationer.
• En replikeringstjänst som distribuerar katalogdata över ett nätverk. Alla skrivbara domänkontrollanter i domänen deltar i replikering och upprätthåller en fullständig kopia av all katalogdata för sin domän. Alla ändringar av katalogdata replikeras över domänen till alla domänkontrollanter.
• Operations master roller (även känd som flexibla single-master operationer, eller FSMO). Domänkontrollanter, som fungerar som operationsmasters, är utformade för att utföra specifika uppgifter för att säkerställa datakonsistens och eliminera motstridiga katalogposter.

Active Directory Federation Services

AD FS tillhandahåller förenklad och säker identitetsfederation och webbaserad enkel inloggning (SSO) för slutanvändare som behöver komma åt applikationer i ett AD FS-skyddat företag, federationspartner eller moln. På Windows Server inkluderar AD FS rolltjänst Federation Services som agerar som en identitetsleverantör (autenticerar användare för att tillhandahålla säkerhetstoken till applikationer som litar på AD FS) eller som en federationsleverantör (tillämpar tokens från andra identitetsleverantörer och tillhandahåller sedan säkerhetstoken till applikationer som litar på AD FS).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) är ett LDAP-protokoll som ger flexibelt stöd för katalogapplikationer utan beroenden och domänbegränsningarna för Active Directory Domain Services. AD LDS kan köras på medlemsservrar eller fristående servrar. Du kan köra flera instanser av AD LDS på en enda server med oberoende hanterade scheman. Genom att använda AD LDS-tjänstrollen kan du tillhandahålla katalogtjänster till katalogmedvetna applikationer utan kostnad för domäner och skogar och utan att kräva ett enda skogsomfattande schema.

Active Directory Rights Management Services

AD RMS kan användas för att förbättra en organisations säkerhetsstrategi genom att skydda dokument med informationsrättshantering (IRM). AD RMS tillåter användare och administratörer att tilldela åtkomstbehörigheter till dokument, arbetsböcker och presentationer med hjälp av IRM-policyer. Detta hjälper till att skydda konfidentiell information från att skrivas ut, vidarebefordras eller kopieras av obehöriga användare. När filbehörigheterna är begränsade med IRM, upprätthålls åtkomst- och användningsbegränsningar oavsett var informationen finns eftersom filbehörigheten lagras i själva dokumentfilen. Med AD RMS och IRM kan enskilda användare tillämpa sina egna personliga preferenser när det gäller delning av personlig och känslig information. De kommer också att hjälpa organisationen att tillämpa företagspolicyer för att styra användningen och spridningen av konfidentiell och personlig information. IRM-lösningar som stöds av AD RMS-tjänster används för att tillhandahålla följande funktioner.

• Beständiga användningspolicyer som finns kvar med information oavsett om den flyttas, skickas eller vidarebefordras.
• Ett extra lager av integritet för att skydda känslig data - såsom rapporter, produktspecifikationer, kundinformation och e-postmeddelanden - från att hamna i orätta händer, antingen avsiktligt eller oavsiktligt.
• Förhindra auktoriserade mottagare från obehörig vidarebefordran, kopiering, modifiering, utskrift, faxning eller inklistring av begränsat innehåll.
• Förhindra kopiering av begränsat innehåll med funktionen PRINT SCREEN i Microsoft Windows.
• Stöd för filutgång, vilket förhindrar att innehållet i dokument visas efter en viss tidsperiod.
• Implementera företagspolicyer som styr användningen och distributionen av innehåll inom organisationen

Applikationsserver

Application Server tillhandahåller en integrerad miljö för att distribuera och köra anpassade serverbaserade affärsapplikationer.

DHCP-server

DHCP är en klient-serverteknik där DHCP-servrar kan tilldela eller hyra IP-adresser till datorer och andra enheter som är DHCP-klienter. Genom att distribuera DHCP-servrar i ett nätverk får klientdatorer och andra nätverksenheter baserade på IPv4 och IPv6 giltiga IP-adresser och ytterligare konfigurationsparametrar som krävs av dessa klienter och enheter DHCP Server-tjänsten i Windows Server inkluderar stöd för policybaserade tilldelningar och DHCP-felhantering.

DNS-server

DNS-tjänsten är en hierarkisk, distribuerad databas som innehåller mappningar av DNS-domännamn till olika typer av data, till exempel IP-adresser. DNS låter dig använda vänliga namn, som www.microsoft.com, för att göra det lättare att hitta datorer och andra resurser på TCP/IP-baserade nätverk. Windows Server DNS ger ytterligare, förbättrat stöd för DNS Security Extensions (DNSSEC), inklusive onlineregistrering och automatiserad inställningshantering.

FAX-server

Faxservern skickar och tar emot fax och ger dig även möjlighet att hantera faxresurser som jobb, inställningar, rapporter och faxenheter på din faxserver.

Fil- och lagringstjänster

Administratörer kan använda rollen Fil- och lagringstjänster för att konfigurera flera filservrar och deras lagring, och för att hantera dessa servrar med Serverhanteraren eller Windows PowerShell. Vissa specifika appar inkluderar följande funktioner.

• Arbetsmappar. Används för att tillåta användare att lagra och komma åt arbetsfiler på persondatorer och andra enheter än företagsdatorer. Användare får en bekväm plats att lagra arbetsfiler och komma åt dem var som helst. Organisationer kontrollerar företagsdata genom att lagra filer på centralt hanterade filservrar och valfritt ställa in användarenhetspolicyer (som kryptering och lösenord för skärmlås).
• Datadeduplicering. Används för att minska kraven på diskutrymme för lagring av filer, vilket sparar lagringskostnader.
• iSCSI-målserver. Används för att skapa centraliserade, mjukvaru- och hårdvaruoberoende iSCSI-diskundersystem i lagringsområdesnätverk (SAN).
• Diskutrymmen. Används för att distribuera högt tillgänglig lagring som är motståndskraftig och skalbar med kostnadseffektiva, industristandardiserade diskar.
• Serverhanterare. Använda för fjärrkontroll flera filservrar från ett fönster.
• Windows PowerShell. Används för att automatisera hanteringen av de flestar.

Hyper-V

Hyper-V-rollen låter dig skapa och hantera en virtualiserad datormiljö med hjälp av virtualiseringstekniken inbyggd i Windows Server. När du installerar Hyper-V-rollen installeras förutsättningar såväl som valfria hanteringsverktyg. Nödvändiga komponenter inkluderar hypervisor Windows Management Service virtuella maskiner Hyper-V, WMI-virtualiseringsleverantör och virtualiseringskomponenter som VMbus, virtualiseringstjänsteleverantör (VSP) och virtuell infrastrukturdrivrutin (VID).

Nätverkspolicy och åtkomsttjänster

Nätverkspolicy och åtkomsttjänster tillhandahåller följande lösningar för nätverksanslutningar:

• Network Access Protection är en teknik för att skapa, tillämpa och reparera klienthälsopolicyer. Med Network Access Protection kan systemadministratörer ställa in och automatiskt tillämpa hälsopolicyer som inkluderar programvarukrav, säkerhetsuppdateringar och andra inställningar. Klientdatorer som inte uppfyller hälsopolicykraven kan begränsas från att komma åt nätverket tills deras konfiguration uppdateras för att uppfylla hälsopolicykraven.
• Om du har distribuerat 802.1X-aktiverade trådlösa åtkomstpunkter kan du använda Network Policy Server (NPS) för att distribuera certifikatbaserade autentiseringsmetoder, som är säkrare än lösenordsbaserad autentisering. Genom att distribuera 802.1X-aktiverad hårdvara med en NPS-server kan intranätanvändare autentiseras innan de kan ansluta till nätverket eller få en IP-adress från en DHCP-server.
• Istället för att konfigurera en nätverksåtkomstpolicy på varje nätverksåtkomstserver kan du centralt skapa alla policyer som definierar alla aspekter av förfrågningar om nätverksanslutning (vem kan ansluta, när anslutningen är tillåten, den säkerhetsnivå som måste användas för att ansluta till nätverk).

Tryck- och dokumenttjänster

Utskrifts- och dokumenttjänster låter dig centralisera skrivarserver- och nätverksskrivaruppgifter. Denna roll låter dig också ta emot skannade dokument från nätverksskannrar och ladda upp dokument till nätverksresurser som en Windows SharePoint Services-webbplats eller e-post.

Fjärranslutning

Rollen Remote Access Server är en logisk gruppering av följande tekniker nätverkstillgång.

• Direkt tillgång
• Routing och fjärråtkomst
• Web Application Proxy

Dessa tekniker är rolltjänster Serverroller för fjärråtkomst. När du installerar rollen Remote Access Server kan du installera en eller flera rolltjänster genom att köra guiden Lägg till roller och funktioner.

I Windows Server ger rollen Remote Access Server möjlighet att centralt administrera, konfigurera och övervaka DirectAccess fjärråtkomsttjänster och VPN med Routing and Remote Access Service (RRAS). DirectAccess och RRAS kan distribueras på samma edge-server och hanteras med Windows PowerShell-kommandon och Remote Access Management Console (MMC).

Fjärrskrivbordstjänster

Remote Desktop Services accelererar och utökar distributionen av stationära datorer och applikationer på alla enheter, vilket ökar produktiviteten för fjärrarbetare samtidigt som de säkrar kritiska immateriella rättigheter och förenklar regelefterlevnad. Remote Desktop Services inkluderar virtuell skrivbordsinfrastruktur (VDI), sessionsbaserade skrivbord och applikationer, vilket ger användarna möjlighet att arbeta var som helst.

Volymaktiveringstjänster

Volume Activation Services är en serverroll i Windows Server från och med Windows Server 2012 som automatiserar och förenklar utfärdandet av volymlicenser för programvara Microsoft, samt hantera sådana licenser i olika scenarier och miljöer. Tillsammans med Volymaktiveringstjänster kan du installera och konfigurera Key Management Service (KMS) och Active Directory-aktivering.

Webbserver (IIS)

Rollen Web Server (IIS) i Windows Server tillhandahåller en plattform för värd för webbplatser, tjänster och applikationer. Att använda en webbserver gör information tillgänglig för användare på Internet, intranät och extranät. Administratörer kan använda rollen Web Server (IIS) för att konfigurera och hantera flera webbplatser, webbapplikationer och FTP-platser. Tillgänglighetsfunktioner inkluderar följande.

• Använd Internet Information Services Manager för att konfigurera IIS-komponenter och administrera webbplatser.
• Använder FTP för att tillåta webbplatsägare att skicka och ladda ner filer.
• Använd webbplatsisolering för att förhindra att en webbplats på en server påverkar andra.
• Anpassning av webbapplikationer utvecklade med olika teknologier som Classic ASP, ASP.NET och PHP.
• Använd Windows PowerShell för att automatiskt hantera de flestaer.
• Kombinera flera webbservrar till en serverfarm som kan hanteras med IIS.

Windows Deployment Services

Med Windows Deployment Services kan du distribuera Windows-operativsystem över ett nätverk, vilket innebär att du inte behöver installera varje operativsystem direkt från en CD eller DVD.

Windows Server Essentials Experience

Denna roll låter dig lösa följande uppgifter:

• skydda server- och klientdata genom att skapa säkerhetskopior server och alla klientdatorer i nätverket;
• hantera användare och användargrupper via en förenklad serverpanel. Dessutom ger integrering med Windows Azure Active Directory användarna enkel åtkomst till onlinetjänster för Microsoft Online (som Office 365, Exchange Online och SharePoint Online) med hjälp av deras domänuppgifter;
• lagra företagsdata på en centraliserad plats;
• integrera servern med Microsoft Online Services (som Office 365, Exchange Online, SharePoint Online och Windows Intune):
• Använd allestädes närvarande åtkomstfunktioner på servern (till exempel fjärråtkomst till webben och virtuella privata nätverk) för att komma åt servern, nätverksdatorer och data från avlägsna platser med en hög grad av säkerhet;
• komma åt data var som helst och från vilken enhet som helst med hjälp av organisationens egen webbportal (via fjärråtkomst till webben);
• Hantera mobila enheter som kommer åt din organisations e-post med Office 365 via Active Sync-protokollet från instrumentpanelen;
• Övervaka nätverkshälsan och ta emot anpassade hälsorapporter; rapporter kan genereras på begäran, anpassas och skickas via e-post till specifika mottagare.

Windows Server Update Services

WSUS-servern tillhandahåller de komponenter som administratörer behöver för att hantera och distribuera uppdateringar via hanteringskonsolen. Dessutom kan WSUS-servern vara källan till uppdateringar för andra WSUS-servrar i organisationen. När du implementerar WSUS måste minst en WSUS-server i ditt nätverk vara ansluten till Microsoft Update för att få information om tillgängliga uppdateringar. Beroende på din nätverkssäkerhet och konfiguration kan din administratör avgöra hur många andra servrar som är direkt anslutna till Microsoft Update.

Funktionaliteten i Windows Server-operativsystemet beräknas och förbättras från version till version, det finns fler och fler roller och komponenter, så i dagens material ska jag försöka kortfattat beskriva beskrivning och syfte för varje roll i Windows Server 2016.

Innan vi går vidare till att beskriva Windows Server-serverroller, låt oss ta reda på vad " Serverroll» i operativsystemet Windows Server.

Vad är en "serverroll" i Windows Server?

Serverrollär ett mjukvarupaket som säkerställer att servern utför en viss funktion, och denna funktion är den huvudsakliga. Med andra ord, " Serverroll" är syftet med servern, dvs. vad är det för? Så att servern kan utföra sin huvudfunktion, d.v.s. en viss roll i " Serverroll» all programvara som behövs för detta ingår ( program, tjänster).

Servern kan ha en roll om den används aktivt, eller flera om var och en av dem inte belastar servern hårt och sällan används.

En serverroll kan inkludera flera rolltjänster som tillhandahåller rollens funktionalitet. Till exempel i serverrollen " Webbserver (IIS)"ett ganska stort antal tjänster ingår, och rollen" DNS-server» rolltjänster ingår inte eftersom denna roll endast utför en funktion.

Rolltjänster kan installeras tillsammans eller individuellt beroende på dina behov. I grunden innebär att installera en roll att installera en eller flera av dess tjänster.

I Windows Server finns också " Komponenter» servrar.

Serverkomponenter (funktion)- Det här programvara, som inte är en serverroll utan utökar kapaciteten för en eller flera roller, eller hanterar en eller flera roller.

Vissa roller kan inte installeras om de nödvändiga tjänsterna eller komponenterna som krävs för att dessa roller ska fungera inte är installerade på servern. Därför, vid tidpunkten för installation av sådana roller " Guiden Lägg till roller och funktioner" själv, kommer automatiskt att uppmana dig att installera nödvändiga ytterligare rolltjänster eller komponenter.

Beskrivning av Windows Server 2016-serverroller

Du är förmodligen redan bekant med många av rollerna som finns i Windows Server 2016, eftersom de har funnits ganska länge, men som jag redan sa, för varje ny Windows version Server, nya roller läggs till som du kanske inte har jobbat med ännu, men skulle vilja veta vad de är till för, så låt oss börja titta på dem.

Notera! Om nya funktioner operativ system Du kan läsa Windows Server 2016 i materialet "Installera Windows Server 2016 och en översikt över nya funktioner".

Eftersom installation och administration av roller, tjänster och komponenter mycket ofta sker med Windows PowerShell, kommer jag för varje roll och dess tjänst att ange ett namn som kan användas i PowerShell, för att installera eller hantera den.

DHCP-server

Denna roll låter dig konfigurera dynamiska IP-adresser och tillhörande inställningar centralt för datorer och enheter i ditt nätverk. DHCP-serverrollen har inga rolltjänster.

Namnet på Windows PowerShell är DHCP.

DNS-server

Denna roll är avsedd för namnupplösning på TCP/IP-nätverk. DNS-serverrollen tillhandahåller och underhåller DNS. För att göra DNS-serverhantering enklare installeras den vanligtvis på samma server som Active Directory Domain Services. DNS-serverrollen har inga rolltjänster.

Rollnamnet för PowerShell är DNS.

Hyper-V

Med hjälp av Hyper-V-rollen kan du skapa och hantera en virtualiserad miljö. Det är med andra ord ett verktyg för att skapa och hantera virtuella maskiner.

Rollnamnet för Windows PowerShell är Hyper-V.

Certifiering av enhetsprestanda

Roll" » låter dig utvärdera enhetens hälsa baserat på uppmätta säkerhetsparametrar, såsom säker startstatus och Bitlocker på klienten.

För att denna roll ska fungera krävs ganska många rolltjänster och komponenter, till exempel: flera tjänster från rollen " Webbserver (IIS)", komponent " ", komponent " .NET Framework 4.6-funktioner».

Under installationen kommer alla nödvändiga rolltjänster och komponenter att väljas automatiskt. Rollen " Certifiering av enhetsprestanda» det finns inga egna tjänster.

Namnet på PowerShell är DeviceHealthAttestationService.

Webbserver (IIS)

Ger en pålitlig, hanterbar och skalbar webbapplikationsinfrastruktur. Består av ett ganska stort antal tjänster (43).

Namnet på Windows PowerShell är Web-Server.

Inkluderar följande rolltjänster ( inom parentes kommer jag att ange namnet för Windows PowerShell):

Webbserver (webbserver)– En grupp rolltjänster som ger stöd för HTML-webbplatser, ASP.NET-tillägg, ASP och webbserver. Består av följande tjänster:

• Säkerhet (webbsäkerhet)— en uppsättning tjänster för att säkerställa webbserverns säkerhet.
  • Begärfiltrering (webbfiltrering) - med hjälp av dessa verktyg kan du behandla alla förfrågningar som kommer till servern och filtrera dessa förfrågningar baserat på speciella regler som ställts in av webbserverns administratör;
  • IP-adress och domänbegränsningar (Web-IP-Security) - dessa verktyg låter dig tillåta eller neka åtkomst till innehåll på webbservern baserat på IP-adressen eller domännamnet för källan i begäran;
  • URL-auktorisering (Web-Url-Auth) - Verktyg låter dig utveckla regler för att begränsa åtkomst till webbinnehåll och associera dem med användare, grupper eller HTTP-huvudkommandon;
  • Digest Authentication (Web-Digest-Auth) – Denna autentisering ger en högre säkerhetsnivå än grundläggande autentisering. Digest-verifiering fungerar genom att skicka en lösenordshash till en Windows-domänkontrollant för att autentisera användare;
  • Basic Authentication (Web-Basic-Auth) - Denna autentiseringsmetod ger stark webbläsarkompatibilitet. Rekommenderas för användning i små interna nätverk. Den största nackdelen med denna metod är att lösenord som sänds över nätverket kan fångas upp och dekrypteras ganska enkelt, så använd den här metoden i kombination med SSL;
  • Windows-autentisering (Web-Windows-Auth) – är en autentisering baserad på autentisering i Windows-domän. Du kan med andra ord använda konton Active Directory för att autentisera användare av dina webbplatser;
  • Autentisering med matchning av klientcertifikat (Web-Client-Auth) – Denna autentiseringsmetod innebär användning av ett klientcertifikat. Den här typen använder Active Directory för att tillhandahålla certifikatmappning;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – Den här metoden använder även klientcertifikat för autentisering, men använder IIS för att tillhandahålla certifikatmappning. Denna typ ger högre prestanda;
  • Centraliserat SSL-certifikatstöd (Web-CertProvider) – dessa verktyg låter dig hantera SSL-servercertifikat centralt, vilket avsevärt förenklar processen för att hantera dessa certifikat;
• Hälsa och diagnostik (webbhälsa)– en uppsättning tjänster för att tillhandahålla kontroll, hantering och felsökning av webbservrar, webbplatser och applikationer:
  • http-loggning (Web-Http-Logging) - Verktyg ger loggning av webbplatsaktivitet på denna server, dvs. loggpost;
  • ODBC-loggning (webb-ODBC-loggning) – Dessa verktyg tillhandahåller också loggning av webbplatsaktivitet, men de stöder loggning av den aktiviteten till en ODBC-kompatibel databas;
  • Request Monitor (Web-Request-Monitor) är ett verktyg som låter dig övervaka tillståndet för en webbapplikation genom att fånga upp information om HTTP-förfrågningar i IIS-arbetarprocessen;
  • Web-anpassad-loggning—De här verktygen låter dig konfigurera webbserveraktivitet så att den loggas i ett format som avsevärt skiljer sig från det vanliga IIS-formatet. Du kan med andra ord skapa din egen loggningsmodul;
  • Loggningsverktyg (Web-Log-Libraries) är verktyg för att hantera webbserverloggar och automatisera loggningsuppgifter;
  • Spårning (Web-Http-Tracing) är ett verktyg för att diagnostisera och eliminera problem i driften av webbapplikationer.
• Vanliga http-funktioner (Web-Common-Http)– en uppsättning tjänster som tillhandahåller grundläggande HTTP-funktioner:
  • Standarddokument (Web-Default-Doc) – Med den här funktionen kan du konfigurera webbservern att returnera ett standarddokument när användare inte anger ett specifikt dokument i förfrågans URL, vilket gör det lättare för användare att komma åt webbplatsen, till exempel genom att domän, utan att ange filen;
  • Katalogbläddring (Web-Dir-Browsing) - Detta verktyg kan användas för att konfigurera en webbserver så att användare kan se en lista över alla kataloger och filer på en webbplats. Till exempel, för fall där användare inte anger en fil i förfrågans URL, och dokument antingen är inaktiverade eller inte konfigurerade som standard;
  • http-fel (Web-Http-Errors) – den här funktionen låter dig konfigurera felmeddelanden som kommer att returneras till användarnas webbläsare när webbservern upptäcker ett fel. Denna funktion används för att bättre presentera felmeddelanden för användare;
  • Statiskt innehåll (Web-Static-Content) – detta botemedel tillåter att innehåll i form av statiska filformat används på en webbserver, t.ex. HTML-filer eller bildfiler;
  • http-omdirigering (Web-Http-Redirect) – med den här funktionen kan du omdirigera användarförfrågan till en specifik destination, dvs. detta är Redirect;
  • WebDAV-publicering (Web-DAV-Publishing) – låter dig använda WebDAV-teknik på IIS WEB-server. WebDAV ( Webbdistribuerad författarskap och versionering) är en teknik som tillåter användare att arbeta tillsammans ( läs, redigera, läs egenskaper, kopiera, flytta) ovanför filerna på fjärrwebb servrar som använder HTTP-protokollet.
• Prestanda (webbprestanda)– en uppsättning tjänster för att uppnå högre webbserverprestanda genom utdatacache och vanliga komprimeringsmekanismer som Gzip och Deflate:
  • Web-Stat-Compression är ett verktyg för att anpassa komprimeringen av statiskt http-innehåll, det tillåter mer effektiv användning av bandbredd utan onödig CPU-belastning;
  • Dynamic Content Compression (Web-Dyn-Compression) är ett verktyg för att konfigurera HTTP dynamisk innehållskomprimering. Den här funktionen ger mer effektiv användning av bandbredd, men CPU-belastningen på servern som är associerad med dynamisk komprimering kan göra att webbplatsen saktar ner om CPU-belastningen är hög utan komprimering.
• Applikationsutveckling (Web-App-Dev)– en uppsättning tjänster och verktyg för att utveckla och vara värd för webbapplikationer, med andra ord, teknik för webbutveckling:
  • ASP (Web-ASP) är en miljö för att stödja och utveckla webbplatser och webbapplikationer som använder ASP-teknik. För närvarande finns det en nyare och mer avancerad teknik för webbutveckling - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) är en objektorienterad utvecklingsmiljö för webbplatser och webbapplikationer som använder ASP.NET-teknik;
  • ASP.NET 4.6 (Web-Asp-Net45) är också en objektorienterad miljö för att utveckla webbplatser och webbapplikationer med ny version ASP.NET;
  • CGI (Web-CGI) är möjligheten att använda CGI för att överföra information från en webbserver till ett externt program. CGI är en viss gränssnittsstandard för att koppla ett externt program till en webbserver. Nackdelen är att användning av CGI påverkar prestandan;
  • Server-side-inkludering (SSI) (Web-Includes) är stöd för SSI-skriptspråket ( möjliggörare på serversidan), som används för att dynamiskt generera HTML-sidor;
  • Applikationsinitiering (Web-AppInit) – detta verktyg utför uppgiften att initiera webbapplikationer innan webbsidan vidarebefordras;
  • WebSocket Protocol (Web-WebSockets) - lägger till möjligheten att skapa serverapplikationer som kommunicerar med hjälp av WebSocket-protokollet. WebSocket är ett protokoll som kan skicka och ta emot data samtidigt mellan en webbläsare och en webbserver över en TCP-anslutning, en slags förlängning av HTTP-protokollet;
  • ISAPI Extensions (Web-ISAPI-Ext) – stöd för dynamisk utveckling av webbinnehåll med hjälp av ISAPIs applikationsprogrammeringsgränssnitt. ISAPI är ett API för IIS-webbservern. ISAPI-applikationer är mycket snabbare än ASP-filer eller filer som anropar COM+-komponenter;
  • .NET 3.5 Extensibility (Web-Net-Ext) är en .NET 3.5-extensibility-funktion som låter dig ändra, lägga till och utöka webbserverns funktionalitet genom hela pipelinen, konfigurationen och användargränssnittet.
  • .NET 4.6-extensibility (Web-Net-Ext45) är .NET 4.6-extensibility-funktionen som också låter dig ändra, lägga till och utöka webbserverfunktionaliteten genom hela pipelinen, konfigurationen och användargränssnittet för bearbetning av begäran;
  • ISAPI-filter (Web-ISAPI-Filter) – lägger till stöd för ISAPI-filter. ISAPI-filter är program som anropas när webbservern tar emot en specifik HTTP-förfrågan som måste bearbetas av filtret.

FTP - server (webb-ftp-server)– tjänster som ger stöd för FTP-protokollet. Vi pratade om FTP-servern mer i detalj i materialet – "Installera och konfigurera en FTP-server på Windows Server 2016". Innehåller följande tjänster:

• FTP-tjänst (Web-Ftp-Service) – lägger till stöd för FTP-protokollet på webbservern;
• FTP-extensibility (Web-Ftp-Ext) – Utökar standard FTP-funktioner, som att lägga till stöd för funktioner som anpassade leverantörer, ASP.NET-användare eller IIS Manager-användare.

Hanteringsverktyg (Web-Mgmt-Tools)- Det här är verktyg för att hantera webbservern IIS 10. Dessa inkluderar: IIS-användargränssnittet, kommandoradsverktyg och skript.

• IIS Management Console (Web-Mgmt-Console) är användargränssnittet för att hantera IIS;
• IIS-teckenuppsättningar och verktyg (Web-Scripting-Tools) är verktyg och skript för att hantera IIS med hjälp av kommandoraden eller skripten. De kan till exempel användas för att automatisera kontroll;
• Hanteringstjänst (Web-Mgmt-Service) – den här tjänsten lägger till möjligheten att hantera webbservern på distans från en annan dator med hjälp av IIS-hanteraren;
• IIS 6-kompatibilitetshantering (Web-Mgmt-Compat) - Säkerställer kompatibilitet mellan applikationer och skript som använder de två IIS API:erna. Befintliga IIS 6-skript kan användas för att styra IIS 10-webbservern:
  • IIS 6 Compatibility Metabase (Web-Metabase) är ett kompatibilitetsverktyg som låter dig köra applikationer och teckenuppsättningar portade från tidigare versioner av IIS;
  • IIS 6-skriptverktyg (Web-Lgcy-Scripting) - Dessa verktyg låter dig använda samma IIS 6-skripttjänster som skapades för att hantera IIS 6 i IIS 10;
  • IIS 6 Services Management Console (Web-Lgcy-Mgmt-Console) – ett verktyg för att administrera fjärrstyrda IIS 6.0-servrar;
  • Kompatibel med IIS 6 WMI (Web-WMI) - Toolkit Script Interfaces Windows-hantering(WMI) för att programmera styra och automatisera IIS 10.0-webbserveruppgifter med hjälp av en uppsättning skript skapade i WMI-leverantören.

Active Directory Domain Services

Roll" Active Directory Domain Services» (AD DS) tillhandahåller en distribuerad databas som lagrar och bearbetar information om nätverksresurser. Den här rollen används för att organisera nätverkselement, såsom användare, datorer och andra enheter, i en hierarkisk säker skalstruktur. Den hierarkiska strukturen inkluderar skogar, domäner inom skogen och organisatoriska enheter (OUs) inom varje domän. En server som kör AD DS kallas en domänkontrollant.

Rollnamnet för Windows PowerShell är AD-Domain-Services.

Windows Server Essentials-läge

Denna roll representerar datorinfrastrukturen och tillhandahåller bekväma och effektiva funktioner, till exempel: lagra klientdata på en centraliserad plats och skydda dessa data genom att Reserv exemplar server- och klientdatorer, fjärråtkomst till webben, så att du kan komma åt data från nästan vilken enhet som helst. Denna roll kräver flera rolltjänster och komponenter, såsom: BranchCache-komponenter, Windows Server Backup, hantering gruppolicy, rolltjänst" DFS-namnområden».

Namnet på PowerShell är ServerEssentialsRole.

Nätverkskontrollant

Den här rollen introducerades i Windows Server 2016 och tillhandahåller en enda automatiseringspunkt för hantering, övervakning och diagnostik av den fysiska och virtuella nätverksinfrastrukturen i datacentret. Med den här rollen kan du konfigurera IP-undernät, VLAN, fysiska nätverkskort Hyper-V-värdar, hantera virtuella switchar, fysiska routrar, brandväggsinställningar och VPN-gateways.

Namnet på Windows PowerShell är NetworkController.

Nod Guardian Service

Detta är serverrollen Hosted Guardian Service (HGS) och tillhandahåller verifierings- och nyckelskyddstjänster som gör det möjligt för skyddade värdar att köra skärmade virtuella maskiner. För att den här rollen ska fungera krävs flera ytterligare roller och komponenter, till exempel: Active Directory Domain Services, Web Server (IIS), komponent " Failover-klustring" och andra.

Namnet på PowerShell är HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Roll" Active Directory Lightweight Directory Services" (AD LDS) - är en lätt version av AD DS som har mindre funktionalitet, men som inte kräver distribution av domäner eller domänkontrollanter, och som inte har de beroenden och domänrestriktioner som AD DS-tjänster kräver. AD LDS fungerar över LDAP-protokollet ( Lättviktsprotokoll för katalogåtkomst). Du kan distribuera flera AD LDS-instanser med oberoende hanterade scheman på en enda server.

Namnet för PowerShell är ADLDS.

MultiPoint-tjänster

Detta är också en ny roll som introducerades i Windows Server 2016. MultiPoint Services (MPS) tillhandahåller grundläggande fjärrskrivbordsfunktioner som gör att flera användare kan arbeta samtidigt och oberoende på samma dator. För att installera och använda denna roll måste du installera flera ytterligare tjänster och komponenter, till exempel: Print Server, Windows Search-tjänst, XPS Viewer och andra, som alla kommer att väljas automatiskt när MPS installeras.

Rollnamnet för PowerShell är MultiPointServerRole.

Windows Server Update Services

Med den här rollen (WSUS) kan systemadministratörer hantera Microsoft uppdateringar. Skapa till exempel separata grupper av datorer för olika uppsättningar av uppdateringar och få även rapporter om datorkompatibilitet och uppdateringar som behöver installeras. Att fungera " Windows Server Update Services» vi behöver sådana rolltjänster och komponenter som: webbserver (IIS), Windows intern databas, aktiveringstjänst Windows-processer.

Namnet på Windows PowerShell är UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – inställd på WID ( Windows intern databas) databas som används av WSUS. Med andra ord kommer WSUS att lagra sina tjänstedata i WID;
• WSUS Services (UpdateServices-Services) är WSUS-rolltjänsterna, såsom Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Simple Internet Authentication Web Service, Server Synchronization Service och DSS Web Authentication Service;
• SQL Server Connectivity (UpdateServices-DB) är installationen av en komponent som gör att WSUS-tjänsten kan ansluta till en Microsoft SQL Server-databas. Det här alternativet innebär att tjänstdata lagras i en Microsoft SQL Server-databas. I det här fallet måste du redan ha minst en instans av SQL Server installerad.

Volymaktiveringstjänster

Denna serverroll automatiserar och förenklar utfärdandet av volymlicenser för Microsoft-programvara och låter dig hantera dessa licenser.

Namnet på PowerShell är VolumeActivation.

Tryck- och dokumenttjänster

Denna serverroll är utformad för att dela skrivare och skannrar i ett nätverk, centralt konfigurera och hantera utskrifts- och skanningsservrar och hantera nätverksskrivare och skannrar. Med utskrifts- och dokumenttjänster kan du också skicka skannade dokument via e-post, nätverksresurser eller Windows SharePoint Services-webbplatser.

Namnet på PowerShell är Print-Services.

• Print-Server – Denna rolltjänst inkluderar " Utskriftshantering", som används för att hantera skrivare eller skrivarservrar, samt för att migrera skrivare och andra skrivarservrar;
• Skriv ut över Internet (Print-Internet) - för att implementera utskrift över Internet skapas en webbplats genom vilken användare kan hantera utskriftsjobb på servern. För att den här tjänsten ska fungera, som du förstår, måste du installera " Webbserver (IIS)" Alla nödvändiga komponenter kommer att väljas automatiskt när du markerar den här rutan under installationsprocessen för rolltjänsten " Online utskrift»;
• Distributed Scan Server (Print-Scan-Server) är en tjänst som låter dig ta emot skannade dokument från nätverksskannrar och skicka dem till sin destination. Denna tjänst innehåller också " Skanningskontroll", som används för att hantera nätverksskannrar och för att konfigurera skanning;
• LPD-tjänst (Print-LPD-Service) - LPD-tjänst ( Line Printer Daemon) tillåter UNIX-baserade datorer och andra datorer som använder tjänsten Line Printer Remote (LPR) att skriva ut till delade serverskrivare.

Nätverkspolicy och åtkomsttjänster

Roll" » (NPAS) låter dig använda Network Policy Server (NPS) för att ställa in och upprätthålla policyer för nätverksåtkomst, autentisering och auktorisering, och klientens hälsa, med andra ord, för att säkerställa nätverkssäkerhet.

Namnet på Windows PowerShell är NPAS.

Windows Deployment Services

Med den här rollen kan du installera Windows-operativsystemet på distans över ett nätverk.

Rollnamnet för PowerShell är WDS.

• Deployment Server (WDS-Deployment) – denna rolltjänst är designad för fjärrdistribution och konfiguration av Windows-operativsystem. Det låter dig också skapa och anpassa bilder för återanvändning;
• Transport Server (WDS-Transport) - denna tjänst innehåller de viktigaste nätverkskomponenterna med vilka du kan överföra data via multicast på en fristående server.

Active Directory-certifikattjänster

Den här rollen är utformad för att skapa certifikatutfärdare och tillhörande rolltjänster som låter dig utfärda certifikat för olika applikationer och hantera sådana certifikat.

Namnet på Windows PowerShell är AD-Certificate.

Inkluderar följande rolltjänster:

• Certificate Authority (ADCS-Cert-Authority) – med hjälp av denna rolltjänst kan du utfärda certifikat till användare, datorer och tjänster och även hantera certifikatets giltighet;
• Webbtjänst för certifikatregistreringspolicy (ADCS-Enroll-Web-Pol) – Denna tjänst gör det möjligt för användare och datorer att erhålla policyinformation för certifikatregistrering med hjälp av en webbläsare, även om datorn inte är en del av en domän. För dess funktion är det nödvändigt " Webbserver (IIS)»;
• Webbtjänst för certifikatregistrering (ADCS-Enroll-Web-Svc) – Denna tjänst tillåter användare och datorer att registrera och förnya certifikat med en webbläsare över HTTPS, även om datorn inte är en domänmedlem. För dess funktion är det också nödvändigt " Webbserver (IIS)»;
• Online Responder (ADCS-Online-Cert) – En tjänst utformad för att kontrollera certifikatåterkallelse för klienter. Med andra ord accepterar den en begäran om återkallelsestatus för specifika certifikat, utvärderar statusen för dessa certifikat och skickar tillbaka ett signerat svar med statusinformation. För att tjänsten ska fungera behöver du " Webbserver (IIS)»;
• Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) – Den här tjänsten tillhandahåller ett webbaserat gränssnitt för användare att utföra uppgifter som att begära och förnya certifikat, erhålla listor för återkallelse av certifikat och registrera smartkortscertifikat. För att tjänsten ska fungera behöver du " Webbserver (IIS)»;
• Network Device Enrollment Service (ADCS-Device-Enrollment) – Med den här tjänsten kan du utfärda och hantera certifikat för routrar och andra nätverksenheter som inte har nätverkskonton. För att tjänsten ska fungera behöver du " Webbserver (IIS)».

Fjärrskrivbordstjänster

En serverroll som kan användas för att ge åtkomst till virtuella skrivbord, sessionsbaserade skrivbord och fjärrapplikationer RemoteApp.

Rollnamnet för Windows PowerShell är Remote-Desktop-Services.

Består av följande tjänster:

• Remote Desktop Web Access (RDS-Web-Access) - Denna rolltjänst tillåter användare att få åtkomst till fjärrskrivbord och RemoteApp-applikationer via " Start» eller använda en webbläsare;
• Remote Desktop Licensing (RDS-Licensing) är en tjänst utformad för att hantera de licenser som krävs för att ansluta till en Remote Desktop Session Host-server eller virtuellt skrivbord. Den kan användas för att installera, utfärda licenser och spåra deras tillgänglighet. Denna tjänst kräver " Webbserver (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) är en rolltjänst som tillhandahåller följande funktioner: återansluta en användare till ett befintligt virtuellt skrivbord, RemoteApp-applikation och sessionsbaserat skrivbord, och lastbalansering mellan fjärrsessionsvärdservrar, skrivbord eller mellan virtuella skrivbord i en pool. Denna tjänst kräver " »;
• Remote Desktop Virtualization Host (DS-Virtualization) - En tjänst som låter användare ansluta till virtuella skrivbord med hjälp av RemoteApp och Desktop Connection. Denna tjänst fungerar tillsammans med Hyper-V, dvs. denna roll måste etableras.
• Remote Desktop Session Host (RDS-RD-Server) – Denna tjänst låter dig vara värd för RemoteApp-applikationer och sessionsbaserade skrivbord på en server. För åtkomst, använd Remote Desktop Connection-klienten eller RemoteApp;
• Remote Desktop Gateway (RDS-Gateway) - Tjänsten tillåter behöriga fjärranvändare att ansluta till virtuella skrivbord, RemoteApps och sessionsbaserade skrivbord på ett företagsnätverk eller över Internet. Följande ytterligare tjänster och komponenter krävs för att denna tjänst ska fungera: " Webbserver (IIS)», « Nätverkspolicy och åtkomsttjänster», « RPC över HTTP-proxy».

Active Directory Rights Management Services

Detta är en serverroll som gör att du kan skydda information från obehörig användning. Den verifierar användaridentiteter och ger auktoriserade användare licenser för åtkomst till skyddad data. Ytterligare tjänster och komponenter krävs för att denna roll ska fungera: " Webbserver (IIS)», « Windows Process Activation Service», « .NET Framework 4.6-funktioner».

Namnet på Windows PowerShell är ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) är huvudrolltjänsten och krävs för installation;
• Identity Federation Support (ADRMS-Identity) är en valfri rolltjänst som tillåter förenade identiteter att konsumera skyddat innehåll med Active Directory Federation Services.

Active Directory Federation Services

Denna roll ger förenklade och säkra identitetsfederationsfunktioner, såväl som webbläsarbaserad enkel inloggning (SSO) till webbplatser.

Namnet på PowerShell är ADFS-Federation.

Fjärranslutning

Denna roll ger anslutning via DirectAccess, VPN och Web Application Proxy. Även rollen som " Fjärranslutning» tillhandahåller traditionella routingfunktioner, inklusive Network Address Translation (NAT) och andra anslutningsalternativ. Denna roll kräver ytterligare tjänster och komponenter: " Webbserver (IIS)», « Windows intern databas».

Rollnamnet för Windows PowerShell är RemoteAccess.

• DirectAccess och VPN (RAS) (DirectAccess-VPN) - tjänsten tillåter användare att ansluta till företagsnätverket när som helst om de har tillgång till Internet via DirectAccess, och även organisera VPN-anslutningar i kombination med tunnling och datakrypteringsteknik;
• Routing – tjänsten ger stöd för NAT-routrar, routrar lokalt nätverk med BGP, RIP och routrar med stöd för multicast (IGMP proxy);
• Web Application Proxy Server (Web-Application-Proxy) - tjänsten låter dig publicera applikationer baserade på HTTP- och HTTPS-protokollen från företagets nätverk till klientenheter som är placerade utanför företagets nätverk.

Fil- och lagringstjänster

Detta är en serverroll som kan användas för att tillhandahålla allmän tillgång komma åt filer och mappar, hantera och kontrollera resurser, replikera filer, tillhandahålla snabba filsökningar och ge åtkomst till UNIX-klientdatorer. Vi tittade på filtjänster och i synnerhet filservern mer i detalj i materialet "Installera en filserver på Windows Server 2016".

Namnet på Windows PowerShell är FileAndStorage-Services.

Lagringstjänster– Den här tjänsten tillhandahåller lagringshanteringsfunktioner som alltid är installerad och inte kan tas bort.

Filtjänster och iSCSI-tjänster (filtjänster)– det här är tekniker som förenklar hanteringen av filservrar och lagring, sparar diskutrymme, tillhandahåller replikering och cachelagring av filer i filialer, och även tillhandahåller fildelning med hjälp av NFS-protokollet. Inkluderar följande rolltjänster:

• Filserver (FS-FileServer) är en rolltjänst som hanterar delade mappar och ger användare åtkomst till filer på den här datorn över nätverket;
• Datadeduplicering (FS-Data-Deduplication) – denna tjänst sparar diskutrymme genom att endast lagra en kopia av identiska data på en volym;
• File Server Resource Manager (FS-Resource-Manager) – Med den här tjänsten kan du hantera filer och mappar på en filserver, skapa lagringsrapporter, kategorisera filer och mappar, konfigurera mappkvoter och definiera filblockeringspolicyer;
• iSCSI Target Storage Provider (Hårdvaru-VDS- och VSS-leverantörer) (iSCSITarget-VSS-VDS) – Tjänsten tillåter applikationer på en server som är ansluten till ett iSCSI-mål att skuggkopiera volymer på virtuella iSCSI-diskar;
• DFS-namnrymd (FS-DFS-Namespace) - med den här tjänsten kan du gruppera delade mappar som finns på olika servrar i en eller flera logiskt strukturerade namnområden;
• Arbetsmappar (FS-SyncShareService) – tjänsten låter dig använda arbetsfiler på olika datorer inklusive arbete och personligt. Du kan lagra dina filer i arbetsmappar, synkronisera dem och komma åt dem från ett lokalt nätverk eller Internet. För att tjänsten ska fungera måste komponenten " IIS pågående webbmotor»;
• DFS-replikering (FS-DFS-replikering) är en datareplikeringsmodul mellan flera servrar som låter dig synkronisera mappar över en lokal eller global nätverksanslutning. Den här tekniken använder RDC-protokollet (Remote Differential Compression) för att endast uppdatera de delar av filer som har ändrats sedan den senaste replikeringen. DFS-replikering kan användas tillsammans med DFS-namnområden eller separat;
• Server för NFS (FS-NFS-Service) - en tjänst som gör att den här datorn kan dela filer med UNIX-baserade datorer och andra datorer som använder nätverksprotokollet filsystem(NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) – Tillhandahåller tjänster och hanteringsverktyg för iSCSI-mål;
• BranchCache-tjänst för nätverksfiler (FS-BranchCache) - Tjänsten tillhandahåller BranchCache-stöd på denna filserver;
• Filserver VSS Agent Service (FS-VSS-Agent) - Tjänsten möjliggör volymskuggkopiering för applikationer som lagrar datafiler på denna filserver.

Faxserver

Rollen skickar och tar emot fax och låter dig hantera faxresurser, såsom jobb, inställningar, rapporter och faxenheter, på den här datorn eller nätverket. För att arbeta behöver du " Skrivarserver».

Rollnamnet för Windows PowerShell är Fax.

Detta avslutar granskningen av Windows Server 2016-serverroller, jag hoppas att materialet var användbart för dig, hejdå!

Innan du utvecklar en socketserver måste du skapa en policyserver som talar om för Silverlight vilka klienter som får ansluta till socketservern.

Som visas ovan tillåter Silverlight inte att innehåll laddas eller att en webbtjänst anropas såvida inte domänen har en clientaccesspolicy .xml eller crossdomain-fil. xml, som uttryckligen tillåter dessa operationer. En liknande begränsning är införd på socketservern. Om du inte ger klientenheten möjlighet att ladda clientaccesspolicy .xml-filen som tillåter fjärråtkomst, kommer Silverlight att vägra upprätta en anslutning.

Tyvärr tillhandahåller klientåtkomstpolicyn. cml till en socket-applikation är en svårare uppgift än att tillhandahålla den via en webbplats. När du använder en webbplats kan webbserverns programvara tillhandahålla en clientaccesspolicy .xml-fil, du behöver bara komma ihåg att lägga till den. Men när du använder en socketapplikation måste du öppna en socket som klientapplikationer kan göra policyförfrågningar till. Dessutom måste du manuellt skapa koden som betjänar uttaget. För att lösa dessa problem måste du skapa en policyserver.

Som vi ska se härnäst fungerar policyservern på samma sätt som meddelandeservern, den hanterar bara lite enklare interaktioner. Meddelande- och policyservrar kan skapas separat eller kombineras i en applikation. I det andra fallet måste de lyssna efter förfrågningar i olika trådar. I det här exemplet kommer vi att skapa en policyserver och sedan kombinera den med en meddelandeserver.

För att skapa en policyserver måste du först skapa en .NET-applikation. Alla typer av .NET-applikationer kan fungera som policyserver. Det enklaste sättet är att använda en konsolapplikation. När du har felsökt din konsolapplikation kan du flytta koden till en Windows-tjänst så att den körs kontinuerligt i bakgrunden.

Policyfil

Nedan finns policyfilen som tillhandahålls av policyservern.

Policyfilen definierar tre regler.

Ger åtkomst till alla portar från 4502 till 4532 (detta är hela utbudet av portar som stöds av Silverlight-tillägget). För att ändra utbudet av tillgängliga portar måste du ändra värdet på elementets portattribut.

Tillåter TCP-åtkomst (behörigheten definieras i elementets protokollattribut).

Tillåter samtal från alla domäner. Därför kan Silverlight-applikationen som gör anslutningen vara värd för vilken webbplats som helst. För att ändra denna regel måste du redigera elementets uri-attribut.

För att göra uppgiften enklare placeras policyregler i filen clientaccess-ploi.cy.xml, som läggs till i projektet. I Visuell Studio Inställningen Kopiera till utdatakatalog för policyfilen ska vara inställd på Kopiera alltid. Allt du behöver göra är att hitta filen på din hårddisk, öppna den och returnera innehållet till klientenheten.

PolicyServer klass

Policy Server-funktionalitet är baserad på två nyckelklasser: PolicyServer och PolicyConnection. PolicyServer-klassen hanterar väntan på anslutningar. När den väl tar emot en anslutning skickar den kontrollen till en ny instans av PoicyConnection-klassen, som skickar policyfilen till klienten. Denna tvådelade procedur är vanlig i nätverksprogrammering. Du kommer att se det mer än en gång när du arbetar med meddelandeservrar.

PolicyServer-klassen laddar policyfilen från hårddisk och lagrar den i fältet som en byte-array.

public class PolicyServer

policy för privat byte;

public PolicyServer(string policyFile) (

För att börja lyssna måste serverapplikationen anropa PolicyServer. Start(). Det skapar ett TcpListener-objekt som lyssnar efter förfrågningar. TcpListener-objektet är konfigurerat att lyssna på port 943. I Silverlight är denna port reserverad för policyservrar. När förfrågningar görs för policyfiler vidarebefordrar Silverlight dem automatiskt till port 943.

privat TcpListener-lyssnare;

public void Start()

// Skapa ett lyssnande objekt

lyssnare = ny TcpListener(IPAddress.Any, 943);

// Börja lyssna; metoden Start() returnerar omedelbart efter listener.Start() anropas;

// Väntar på anslutning; metoden återkommer omedelbart;

II väntan utförs i en separat tråd

För att acceptera den erbjudna anslutningen anropar policyservern metoden BeginAcceptTcpClient(). Liksom alla Beginxxx()-metoder i .NET-ramverket, returnerar den omedelbart efter att den har anropats och utför nödvändiga operationer på en separat tråd. För nätverksapplikationer Detta är en mycket viktig faktor eftersom det gör att många förfrågningar om policyfiler kan behandlas samtidigt.

Notera. Nybörjare nätverksprogrammerare undrar ofta hur det är möjligt att hantera mer än en förfrågan åt gången och tror att detta kräver flera servrar. Det är det dock inte. Med detta tillvägagångssätt skulle klientapplikationer snabbt tömma de tillgängliga portarna. I praktiken behandlar serverapplikationer många förfrågningar via en enda port. Denna process är osynlig för applikationer eftersom Windows inbyggda TCP-undersystem automatiskt identifierar meddelanden och dirigerar dem till lämpliga objekt i applikationskoden. Varje anslutning identifieras unikt baserat på fyra parametrar: klientens IP-adress, klientportnummer, serverns IP-adress och serverportnummer.

På varje begäran aktiveras återuppringningsmetoden OnAcceptTcpClient(). Den anropar O:s BeginAcceptTcpClient-metod igen för att börja vänta på nästa begäran i en annan tråd, och börjar sedan bearbeta den aktuella begäran.

public void OnAcceptTcpClient(IAsyncResult ag) (

if (isStopped) returnera;

Console.WriteLine("Policybegäran har tagits emot."); // Väntar på nästa anslutning.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Bearbeta den aktuella anslutningen.

TcpClient-klient = listener.EndAcceptTcpClient(ag); PolicyConnection policyConnection = ny PolicyConnection(klient, policy); policyConnection.HandleRequest() ;

fånga (Undantagsfel) (

Varje gång en ny anslutning tas emot skapas ett nytt PolicyConnection-objekt för att hantera det. PolicyConnection-objektet underhåller dessutom policyfilen.

Den sista komponenten i klassen PolicyServer är metoden Stop() som slutar vänta på förfrågningar. Applikationen anropar den när den avslutas.

privat bool ärStoppad;

public void StopO (

isStopped = sant;

lyssnare. Sluta();

fånga (Undantagsfel) (

Console.WriteLine(err.Message);

För att starta policyservern används följande kod i applikationsserverns Main()-metod.

statisk void Main(string args) (

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Policyservern körs."); Console.WriteLine("Tryck på Enter för att avsluta.");

// Väntar på en knapptryckning; med metoden // Console.ReadKey() kan du ställa in förväntan för en specifik //-rad (till exempel quit) eller trycka på valfri tangent Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Avsluta policyserver.");

PolicyConnection-klass

PolicyConnection-klassen gör ett enklare jobb. PolicyConnection-objektet lagrar en referens till policyfilens data. Sedan, efter att ha anropat HandleRequest()-metoden, hämtar PolicyConnection-objektet en ny anslutning från nätverksströmmen och försöker läsa den. Klientenheten måste skicka en sträng som innehåller texten. Efter att ha läst denna text skriver klientenheten policydata till strömmen och stänger anslutningen. Nedan finns koden för klassen PolicyConnection.

public class PolicyConnection(

privat TcpClient-klient; policy för privat byte;

public PolicyConnection(TcpClient-klient, bytepolicy) (

this.client = klient; this.policy = policy;

// Skapa en klientbegäran privat statisk sträng policyRequestString = "

public void HandleRequest() (

Stream s = client.GetStream(); // Läs policyfrågesträngen

byte buffer = ny byte;

// Vänta bara 5 sekunder klient.ReceiveTimeout = 5000;'

s.Read(buffert, 0, buffert.Längd);

// Godkännande av policyn (du kan också kontrollera om policyn // begäran har det nödvändiga innehållet) s.Write(policy, 0, policy.Length);

//Stäng anslutningsklienten.Close();

Console.WriteLine("Policyfil serverad.");

Så vi har en fullt fungerande policyserver. Tyvärr kan det inte testas ännu eftersom Silverlight-tillägget inte tillåter dig att uttryckligen begära policyfiler. Istället efterfrågar den dem automatiskt när du försöker använda en socket-applikation. Innan du kan skapa en klientapplikation för en given socketapplikation måste du skapa en server.

I de tidigare artiklarna i den här serien har du lärt dig hur du effektivt använder funktionaliteten i lokala säkerhetspolicyer, vilket gör att du maximalt kan skydda din organisations infrastruktur från attacker från utomstående illvilliga, såväl som från de flesta handlingar av inkompetenta anställda. Du vet redan hur du effektivt ställer in kontopolicyer som låter dig hantera komplexiteten i dina användares lösenord, ställa in revisionspolicyer för efterföljande analys av dina användares autentisering i säkerhetsloggen. Dessutom lärde du dig hur du tilldelar rättigheter till dina användare för att undvika att skada ditt system och till och med datorer på ditt intranät, och du vet också hur du effektivt konfigurerar händelseloggar, grupper med begränsad åtkomst, systemtjänster, register och filsystem. I den här artikeln fortsätter vi att utforska lokala säkerhetspolicyer och du kommer att lära dig om trådbundna säkerhetsinställningar för ditt företag.

Microsofts serveroperativsystem, från och med Windows Server 2008, introducerade en komponent för trådbunden nätverkspolicy (IEEE 802.3) som ger automatisk konfiguration för att distribuera IEEE 802.1X autentiserade trådbundna åtkomsttjänster till 802.3 Ethernet-nätverksklienter. För att implementera säkerhetsinställningar för trådbundna nätverk med hjälp av grupppolicyer använder operativsystemen Wired AutoConfig-tjänsten (DOT3SVC). Den aktuella tjänsten ansvarar för IEEE 802.1X-autentisering vid anslutning till Ethernet-nätverk använder 802.1X-kompatibla switchar och hanterar även profilen som används för att konfigurera nätverksklienten för autentiserad åtkomst. Det är också värt att notera att om du använder dessa policyer är det tillrådligt att förbjuda användare av din domän från att ändra startläget för denna tjänst.

Konfigurera Wired Network Policy

Du kan ställa in policyinställningar för trådbundet nätverk direkt från snapin-modulen. Följ dessa steg för att konfigurera dessa inställningar:

1. Öppna snapin-modulen och välj en nod i konsolträdet, högerklicka på den och välj kommandot från snabbmenyn "Skapa en ny trådbunden nätverkspolicy för Windows Vista och senare", som visas i följande illustration:

   Ris. 1. Skapa en policy för trådbundet nätverk

2. I dialogrutan som öppnas "Ny policy för trådbundna nätverksegenskaper", på fliken "Är vanliga", kan du ställa in tjänsten Wired Network AutoConfig för att användas för att konfigurera LAN-adaptrar för att ansluta till ett trådbundet nätverk. Utöver de policyinställningar som gäller för Windows Vista och senare operativsystem, finns det vissa alternativ som endast gäller för operativsystemen Windows 7 och Windows Server 2008 R2. Från den här fliken kan du göra följande:
   • Policynamn. I det här textfältet kan du ange ett namn för din trådbundna nätverkspolicy. Du kan se policynamnet i nodens informationsfönster "Wired Network Policies (IEEE 802.3)" tackling "Redaktör för grupppolicyhantering";
   • Beskrivning. Detta textfält är avsett att fylla i en detaljerad beskrivning av syftet med policyn för trådbundet nätverk;
   • Använd trådbunden automatisk konfigurationstjänst Windows-nätverk för kunder. Det här alternativet gör själva installationen och ansluter klienter till det trådbundna 802.3-nätverket. Om du inaktiverar det här alternativet kommer inte Windows-operativsystemet att övervaka den trådbundna nätverksanslutningen och policyinställningarna kommer inte att träda i kraft.
   • Förhindra användning av generiska användaruppgifter för nätverksautentisering. Den här inställningen avgör om användaren ska förhindras från att lagra allmänna användaruppgifter för nätverksautentisering. Lokalt kan du ändra denna parameter med kommandot netsh lan set allowexplicitcreds;
   • Aktivera spärrperiod. Den här inställningen avgör om datorn ska förhindras från att automatiskt ansluta till ett trådbundet nätverk under det antal minuter du anger. Standard är 20 minuter. Spärrtiden är justerbar från 1 till 60 minuter.

"Är vanliga" Policyer för trådbundet nätverk:

Ris. 2. Fliken Allmänt i dialogrutan för trådbundna nätverkspolicyinställningar

3. På fliken "Säkerhet" Ger konfigurationsalternativ för autentiseringsmetod och trådanslutet anslutningsläge. Du kan konfigurera följande säkerhetsinställningar:
   • Aktivera IEEE 802.1X-autentisering för nätverksåtkomst. Det här alternativet används direkt för att aktivera eller inaktivera 802.1X-nätverksåtkomstautentisering. Som standard är detta alternativ aktiverat;
   • Välj en nätverksautentiseringsmetod. Med hjälp av den här rullgardinsmenyn kan du ange en av nätverksklientens autentiseringsmetoder som ska tillämpas på din trådbundna nätverkspolicy. Följande två alternativ är tillgängliga för val:
     • Microsoft: Protected EAP (PEAP). För denna autentiseringsmetod, fönstret "Egenskaper" innehåller konfigurationsparametrar för den autentiseringsmetod som ska användas;
     • Microsoft: smartkort eller annat certifikat. För denna autentiseringsmetod, i fönstret "Egenskaper" Tillhandahåller konfigurationsalternativ som låter dig ange smartkortet eller certifikatet att ansluta till, samt en lista över betrodda rotcertifikatutfärdare.

   Standardmetoden är Microsoft: Protected EAP (PEAP);

4. Autentiseringsläge. Denna rullgardinslista används för att utföra nätverksautentisering. Följande fyra alternativ är tillgängliga för val:
   • Användar- eller datorautentisering. Om det här alternativet väljs kommer säkerhetsuppgifterna att användas baserat på datorns aktuella tillstånd. Även om ingen användare är inloggad kommer autentiseringen att utföras med hjälp av datorns autentiseringsuppgifter. När en användare loggar in kommer den inloggade användarens autentiseringsuppgifter att användas. Microsoft rekommenderar att du använder den här inställningen för autentiseringsläge i de flesta fall.
   • Endast PC. I det här fallet utförs autentisering endast mot datorns autentiseringsuppgifter;
   • Användarautentisering. Om du väljer det här alternativet framtvingar användarautentisering endast vid anslutning till en ny 802.1X-enhet. I alla andra fall utförs autentisering endast på datorn;
   • Gästautentisering. Det här alternativet låter dig ansluta till nätverket med ett gästkonto.
5. Maximalt antal autentiseringsfel. Med den här inställningen kan du ange det maximala antalet autentiseringsfel. Standardvärdet är 1;
6. Cachelagra användardata för efterföljande anslutningar till detta nätverk. När det här alternativet är aktiverat kommer användaruppgifterna att lagras i systemregistret, kommer användaren inte att bli tillfrågad om autentiseringsuppgifter när han loggar ut och loggar in igen.

Följande illustration visar fliken "Säkerhet" i denna dialogruta:

Ris. 3. Fliken Säkerhet i dialogrutan för trådbundna nätverkspolicyinställningar

Egenskaper för autentiseringsläge

Som diskuterats i föregående avsnitt har båda autentiseringsmetoderna ytterligare inställningar, som anropas när en knapp trycks ned "Egenskaper". I det här avsnittet kommer vi att titta på allt möjliga inställningar för autentiseringsmetoder.

Microsoft: Inställningar för Protected EAP (PEAP) autentiseringsmetod

EAP (Extensible Authentication Protocol) är en utbyggbar autentiseringsinfrastruktur som definierar sändningsformatet. Följande alternativ är tillgängliga för att konfigurera denna autentiseringsmetod:

Aktivera snabb återanslutning. Det här alternativet tillåter användare med trådlösa datorer att snabbt flytta mellan åtkomstpunkter utan att behöva autentisera sig på nytt nytt nätverk. Denna växling kan endast fungera för åtkomstpunkter som är konfigurerade som RADIUS-klienter. Som standard är detta alternativ aktiverat;

Aktivera skydd för nätverksåtkomst. När det här alternativet är valt kommer lämpliga kontroller att utföras för att fastställa hälsokravskontroller innan EAP-supplikanter tillåts ansluta till nätverket;

Inaktivera om servern inte stöder krypterad bindning via TLV-mekanism. Det här alternativet är ansvarigt för att få anslutande klienter att avbryta autentiseringsprocessen om RADIUS-servern inte tillhandahåller ett kryptografiskt TLV-bindningsvärde, vilket ökar säkerheten för TLS-tunneln i PEAP genom att kombinera interna och externa autentiseringsmetoder för att förhindra angripare från att utföra manipulationsattacker . tredje part;

Aktivera sekretesscertifikat. Den här inställningen säkerställer att klienter inte kan skicka in sin identitet innan klienten har autentiserat RADIUS-servern, och ger valfritt utrymme för att ange ett anonymt identitetsvärde.

Dialogrutan Secure EAP Properties visas i följande illustration:

Ris. 5. Dialogrutan Säker EAP-egenskaper

Inställningar för autentiseringsmetod "Smartkort eller annat certifikat - EAP-TLS-inställningar"

Följande alternativ är tillgängliga för att konfigurera denna autentiseringsmetod:

• Använd mitt smartkort när du ansluter. Om du väljer det här alternativet kommer klienter som gör autentiseringsbegäranden att presentera smartkortcertifikatet för nätverksautentisering;
• När du ansluter, använd certifikatet på den här datorn. När du väljer det här alternativet kommer certifikatet som finns i den aktuella användaren eller lokala datorbutiken att användas vid kontroll av klientanslutningar;
• Använd enkelt certifikatval. Det här alternativet tillåter Windows-operativsystemet att filtrera bort certifikat som inte uppfyller autentiseringskraven;
• Kontrollera servercertifikatet. Med det här alternativet kan du ange en kontroll av servercertifikatet som tillhandahålls till klientdatorer för närvaron av en giltig, ej utgången signatur, samt närvaron av en betrodd rotcertifikatutfärdare som utfärdade certifikatet till denna server
• Anslut till servrar. Detta alternativ är identiskt med alternativet med samma namn som beskrivs i föregående avsnitt;
• Betrodda rotcertifikatutfärdare. Precis som i dialogrutan Secure EAP-egenskaper kan du i den här listan hitta alla betrodda rotcertifieringsmyndigheter som är installerade i användar- och datorcertifikatlagren;
• Be inte användaren att auktorisera nya servrar eller betrodda certifikatutfärdare. Genom att markera det här alternativet, om det finns ett servercertifikat som inte är korrekt konfigurerat eller listat för användaren, visas inte dialogrutan som uppmanar dig att auktorisera det certifikatet. Som standard är detta alternativ inaktiverat;
• Använd ett annat användarnamn för att ansluta. Den här inställningen avgör om ett annat användarnamn än användarnamnet i certifikatet ska användas för autentisering. Om du aktiverar alternativet Använd ett annat användarnamn måste du välja minst ett certifikat från listan över betrodda rotcertifikatutfärdare.

Dialogrutan för att ställa in smartkort eller andra certifikat visas i följande illustration:

Ris. 6. Dialogrutan för smartkort eller andra certifikatinställningar

Om du inte är säker på vilket certifikat du väljer klickar du på knappen "Se certifikat" Du kommer att kunna se alla detaljer för det valda certifikatet enligt nedan:

Ris. 7. Visa certifikatet från listan över betrodda rotcertifikatutfärdare

Wired Network Policy Avancerade säkerhetsinställningar

Du har säkert märkt det på fliken "Säkerhet" I dialogrutan Wired Network Policy Settings finns ytterligare säkerhetsinställningar som är utformade för att ändra beteendet hos nätverksklienter som begär åtkomst med 802.1X-autentisering. Ytterligare trådbundna nätverkspolicyinställningar kan delas in i två grupper - IEEE 802.1X-inställningar och inställningar för enkel inloggning. Låt oss titta på var och en av dessa grupper:

I IEEE 802.1X-inställningsgruppen kan du ange egenskaperna för trådbundna nätverksbegäranden med 802.1X-autentisering. Följande parametrar är tillgängliga för ändring:

• Använd avancerade 802.1X-inställningar. Detta alternativ låter dig aktivera följande fyra inställningar;
• Max. EAPOL meddelanden. EAPOL är EAP-protokollet, som används innan datorn hinner autentisera sig, och först efter lyckad "inloggning" kan all annan trafik passera genom switchporten som den är ansluten till. den här datorn. Denna parameter styr det maximala antalet EAPOL-Start-meddelanden som ska skickas;
• Fördröjningsperiod (sek). Den här inställningen styr fördröjningen i sekunder innan nästa 802.1X-autentiseringsbegäran görs efter att ha fått ett meddelande om autentiseringsfel;
• Startperiod. Den här parametern styr hur lång tid det ska vänta innan flera EAPOL-Start-meddelanden skickas igen;
• Kontrollera period (sek). Den här parametern anger antalet sekunder mellan återsändning av på varandra följande initiala EAPOL-meddelanden efter att 802.1X-ände-till-ände-åtkomstinspektion har initierats;
• EAPOL-Startmeddelande. Med den här parametern kan du ange följande egenskaper för överföring av initiala EAPOL-meddelanden:
  • Sänd inte. När detta alternativ är valt kommer EAPOL-meddelanden inte att sändas;
  • Överförd. Om du väljer det här alternativet måste klienten manuellt skicka de första EAPOL-meddelandena;
  • Överför av IEEE-protokoll 802.1X. När detta alternativ är valt (det är standard), kommer EAPOL-meddelanden att skickas till automatiskt läge medan du väntar på att 802.1X-autentisering ska starta.

När du använder enkel inloggning måste autentisering utföras baserat på nätverkssäkerhetskonfigurationen när användaren loggar in i operativsystemet. Följande alternativ är tillgängliga för att helt anpassa singel inloggningsprofiler:

• Aktivera enkel inloggning för nätverket. När det här alternativet är aktiverat, aktiveras inställningar för enkel inloggning;
• Aktivera omedelbart före användarinloggning. Om du markerar det här alternativet kommer 802.1X-autentisering att utföras innan användaren slutför inloggningen;
• Aktivera omedelbart efter användarinloggning. Om du markerar det här alternativet kommer 802.1X-autentisering att utföras efter att användaren har slutfört inloggningen;
• Max. anslutningsfördröjning. Den här inställningen anger den maximala tiden under vilken autentiseringen måste slutföras och därmed hur länge användaren måste vänta innan användarens inloggningsfönster visas;
• Tillåt att ytterligare dialogrutor visas vid enkel inloggning. Detta alternativ är ansvarigt för att visa dialogrutan för användarinloggning;
• Detta nätverk använder olika VLAN för att autentisera mot dator- och användaruppgifter. När du anger den här inställningen, vid uppstart, kommer alla datorer att placeras i ett virtuellt nätverk, och efter att användaren lyckats logga in, beroende på behörigheterna, kommer de att överföras till olika virtuella nätverk. Det är vettigt att aktivera detta alternativ endast om ditt företag använder flera VLAN.

Dialogrutan Wired Network Policy Advanced Security Settings visas i följande illustration:

Ris. 8. Wired Network Policy Dialogrutan Avancerade säkerhetsinställningar

Slutsats

Den här artikeln introducerade dig till alla IEE 802.1X-policyinställningar för trådbundet nätverk. Du lärde dig hur man skapar en sådan policy och lärde dig också om EAP-autentiseringsmetoder och verifiering med smartkort eller andra certifikat. I följande artikel kommer du att lära dig om Network List Manager lokala säkerhetspolicyer.

Policyer i Exchange Server 2003 är utformade för att öka administrativ flexibilitet och samtidigt minska bördan för administratörer. En policy är en uppsättning konfigurationsinställningar som gäller för ett eller flera objekt av samma klass i Exchange. Du kan till exempel skapa en policy som påverkar specifika inställningar på vissa eller alla Exchange-servrar. Om du behöver ändra dessa inställningar kan du helt enkelt ändra denna policy och den kommer att tillämpas på lämplig serverorganisation.

Det finns två typer av policyer: systempolicy och mottagarpolicy. Mottagarpolicyer gäller för e-posttillgängliga objekt och anger hur e-postadresser genereras. Mottagarpolicyer diskuteras i "Skapa och hantera mottagare". Systempolicyer tillämpas på servrar, lagring brevlådor och allmänna mappar. Dessa policyer visas i policybehållaren inom gruppen som ansvarar för administrering denna policy (Figur 12.10).

Ris. 12.10. Systempolicyobjekt

Notera. När du installerar Exchange Server 2003 skapas inte en standardbehållare för systemprinciper. Det måste skapas innan man bygger systempolicyer. Högerklicka på administrationsgruppen där du vill skapa policymappen, peka på Ny och välj Systempolicybehållare.

Skapa en systempolicy

För att skapa en systempolicy måste du gå till lämplig systempolicybehållare, högerklicka på behållaren och välj sedan typen av policy som ska skapas: serverpolicy, postlådelagringspolicy eller policy för arkiv för offentliga mappar.

När du arbetar med systempolicyer, se till att skapa ett policyobjekt i gruppen som ansvarar för att administrera policyn. Annars kan fel uppstå i urvalet av personer som utövar administrativ kontroll över kritiska policyer. Låt oss titta på hur var och en av de tre typerna av policyer skapas, börja med serverpolicyer.

Skapa en serverpolicy

Serverpolicy definierar inställningar för meddelandespårning och underhåll av loggfiler. Det gäller inte säkerhetsinställningar eller andra inställningar för servrar i denna administrationsgrupp. För att skapa en serverpolicy, högerklicka på behållaren Systempolicyer, peka på Ny och välj sedan Serverpolicy. Dialogrutan Ny policy visas, som visas i figur 1. 12.11, som anger flikarna som visas på egenskapssidan för denna policy. Det finns bara ett alternativ för Serverpolicy: fliken Allmänt. Markera alternativet för den här fliken och klicka sedan på OK. Ett konfigurationsfönster visas där denna policy kommer att skapas.

Ris. 12.11.

Efter detta måste du ange namnet på policyn i fliken Allmänt på egenskapssidan för denna policy. Som visas i figur 12.12 finns det faktiskt två allmänna flikar. Den första fliken används för att ange policynamnet. Välj ett namn för att beskriva uppgiften som policyn är avsedd att utföra, till exempel policy för meddelandespårning eller Aktivera ämnesloggningspolicy. Ett lämpligt namn som väljs i detta skede kommer att spara tid genom att inte behöva öppna policyns egenskapssida för att avgöra dess syfte.

Fliken Allmänt (policy), som visas i fig. 12.13 innehåller de faktiska policyinställningarna som gäller för organisationens Exchange-servrar. Fliken kallas Allmänt (policy) eftersom den potentiellt konfigurerar fliken Allmänt på egenskapssidorna för alla befintliga servrar. (Vi kommer att titta på hur du tillämpar denna policy på alla servrar i din organisation senare i den här föreläsningen.) Om du jämför den här fliken med fliken Allmänt på en servers egenskapssida ser du att flikarna är desamma, förutom för identifieringsinformationen överst på fliken.

Fliken Allmänt (policy) möjliggör ämnesloggning och visning för alla befintliga Exchange 2003-servrar. Den här inställningen fungerar tillsammans med alternativet Aktivera meddelandespårning, som låter dig spåra meddelanden som skickas i organisationen. Dessa alternativ är användbara för att hitta och felsöka källan till problem som uppstår när vissa användare inte tar emot meddelanden från andra användare. Det är möjligt att spåra ett meddelande genom en organisation för att avgöra var det finns kommunikationsproblem. För mer information om meddelandespårning och loggning av meddelandeämnen, se föreläsning 6, Exchange Server 2003-funktioner, säkerhet och support.

Ris. 12.12.

Ris. 12.13.

När en policy väl är i kraft kan den inte ändras på lokala servrar. Den policy för meddelandespårning som vi använde som exempel skapades på EX-SRV1-servern i administrationsgruppen i Arizona. På

Funktionaliteten i Windows Server-operativsystemet beräknas och förbättras från version till version, det finns fler och fler roller och komponenter, så i dagens material ska jag försöka kortfattat beskriva beskrivning och syfte för varje roll i Windows Server 2016.

Innan vi går vidare till att beskriva Windows Server-serverroller, låt oss ta reda på vad " Serverroll» i operativsystemet Windows Server.

Vad är en "serverroll" i Windows Server?

Serverrollär ett mjukvarupaket som säkerställer att servern utför en viss funktion, och denna funktion är den huvudsakliga. Med andra ord, " Serverroll" är syftet med servern, dvs. vad är det för? Så att servern kan utföra sin huvudfunktion, d.v.s. en viss roll i " Serverroll» all programvara som behövs för detta ingår ( program, tjänster).

Servern kan ha en roll om den används aktivt, eller flera om var och en av dem inte belastar servern hårt och sällan används.

En serverroll kan inkludera flera rolltjänster som tillhandahåller rollens funktionalitet. Till exempel i serverrollen " Webbserver (IIS)"ett ganska stort antal tjänster ingår, och rollen" DNS-server» rolltjänster ingår inte eftersom denna roll endast utför en funktion.

Rolltjänster kan installeras tillsammans eller individuellt beroende på dina behov. I grunden innebär att installera en roll att installera en eller flera av dess tjänster.

I Windows Server finns också " Komponenter» servrar.

Serverkomponenter (funktion)– Det här är mjukvaruverktyg som inte är en serverroll, utan utökar kapaciteten för en eller flera roller, eller hanterar en eller flera roller.

Vissa roller kan inte installeras om de nödvändiga tjänsterna eller komponenterna som krävs för att dessa roller ska fungera inte är installerade på servern. Därför, vid tidpunkten för installation av sådana roller " Guiden Lägg till roller och funktioner" själv, kommer automatiskt att uppmana dig att installera nödvändiga ytterligare rolltjänster eller komponenter.

Beskrivning av Windows Server 2016-serverroller

Du är säkert redan bekant med många av rollerna som finns i Windows Server 2016, eftersom de har funnits ganska länge, men som sagt, med varje ny version av Windows Server tillkommer nya roller som du kanske inte har arbetat med ännu. men vi skulle vilja veta vad de är till för, så låt oss börja titta på dem.

Notera! Du kan läsa om de nya funktionerna i operativsystemet Windows Server 2016 i materialet " Windows installation Server 2016 och en översikt över nya funktioner ».

Eftersom mycket ofta installation och administration av roller, tjänster och komponenter sker med använder Windows PowerShell, för varje roll och dess tjänst kommer jag att ange ett namn som kan användas i PowerShell, respektive, för att installera eller hantera det.

DHCP-server

Denna roll låter dig konfigurera dynamiska IP-adresser och tillhörande inställningar centralt för datorer och enheter i ditt nätverk. DHCP-serverrollen har inga rolltjänster.

Namnet på Windows PowerShell är DHCP.

DNS-server

Denna roll är avsedd för namnupplösning på TCP/IP-nätverk. DNS-serverrollen tillhandahåller och underhåller DNS. För att göra DNS-serverhantering enklare installeras den vanligtvis på samma server som Active Directory Domain Services. DNS-serverrollen har inga rolltjänster.

Rollnamnet för PowerShell är DNS.

Hyper-V

Med hjälp av Hyper-V-rollen kan du skapa och hantera en virtualiserad miljö. Det är med andra ord ett verktyg för att skapa och hantera virtuella maskiner.

Rollnamnet för Windows PowerShell är Hyper-V.

Certifiering av enhetsprestanda

Roll" » låter dig utvärdera enhetens hälsa baserat på uppmätta säkerhetsparametrar, såsom säker startstatus och Bitlocker på klienten.

För att denna roll ska fungera krävs ganska många rolltjänster och komponenter, till exempel: flera tjänster från rollen " Webbserver (IIS)", komponent " ", komponent " .NET Framework 4.6-funktioner».

Under installationen kommer alla nödvändiga rolltjänster och komponenter att väljas automatiskt. Rollen " Certifiering av enhetsprestanda» det finns inga egna tjänster.

Namnet på PowerShell är DeviceHealthAttestationService.

Webbserver (IIS)

Ger en pålitlig, hanterbar och skalbar webbapplikationsinfrastruktur. Består av ett ganska stort antal tjänster (43).

Namnet på Windows PowerShell är Web-Server.

Inkluderar följande rolltjänster ( inom parentes kommer jag att ange namnet för Windows PowerShell):

Webbserver (webbserver)– En grupp rolltjänster som ger stöd för HTML-webbplatser, ASP.NET-tillägg, ASP och webbserver. Består av följande tjänster:

• Säkerhet (webbsäkerhet)- en uppsättning tjänster för att säkerställa webbserversäkerhet.
  • Begärfiltrering (webbfiltrering) - med hjälp av dessa verktyg kan du behandla alla förfrågningar som kommer till servern och filtrera dessa förfrågningar baserat på speciella regler som ställts in av webbserverns administratör;
  • IP-adress och domänbegränsningar (Web-IP-Security) - dessa verktyg låter dig tillåta eller neka åtkomst till innehåll på webbservern baserat på IP-adressen eller domännamnet för källan i begäran;
  • URL-auktorisering (Web-Url-Auth) - Verktyg låter dig utveckla regler för att begränsa åtkomst till webbinnehåll och associera dem med användare, grupper eller HTTP-huvudkommandon;
  • Digest Authentication (Web-Digest-Auth) – Denna autentisering ger en högre säkerhetsnivå än grundläggande autentisering. Digest-verifiering fungerar genom att skicka en lösenordshash till en Windows-domänkontrollant för att autentisera användare;
  • Basic Authentication (Web-Basic-Auth) - Denna autentiseringsmetod ger stark webbläsarkompatibilitet. Rekommenderas för användning i små interna nätverk. Den största nackdelen med denna metod är att lösenord som sänds över nätverket kan fångas upp och dekrypteras ganska enkelt, så använd den här metoden i kombination med SSL;
  • Windows-autentisering (Web-Windows-Auth) är en autentisering baserad på Windows-domänautentisering. Med andra ord kan du använda Active Directory-konton för att autentisera användare av dina webbplatser;
  • Autentisering med matchning av klientcertifikat (Web-Client-Auth) – Denna autentiseringsmetod innebär användning av ett klientcertifikat. Den här typen använder Active Directory för att tillhandahålla certifikatmappning;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – Den här metoden använder även klientcertifikat för autentisering, men använder IIS för att tillhandahålla certifikatmappning. Denna typ ger högre prestanda;
  • Centraliserat SSL-certifikatstöd (Web-CertProvider) – dessa verktyg låter dig hantera SSL-servercertifikat centralt, vilket avsevärt förenklar processen för att hantera dessa certifikat;
• Hälsa och diagnostik (webbhälsa)– en uppsättning tjänster för att tillhandahålla kontroll, hantering och felsökning av webbservrar, webbplatser och applikationer:
  • http-loggning (Web-Http-Logging) - verktyg ger loggning av webbplatsaktivitet på en given server, d.v.s. loggpost;
  • ODBC-loggning (webb-ODBC-loggning) – Dessa verktyg tillhandahåller också loggning av webbplatsaktivitet, men de stöder loggning av den aktiviteten till en ODBC-kompatibel databas;
  • Request Monitor (Web-Request-Monitor) är ett verktyg som låter dig övervaka tillståndet för en webbapplikation genom att fånga upp information om HTTP-förfrågningar i IIS-arbetarprocessen;
  • Web-anpassad-loggning—De här verktygen låter dig konfigurera webbserveraktivitet så att den loggas i ett format som avsevärt skiljer sig från det vanliga IIS-formatet. Du kan med andra ord skapa din egen loggningsmodul;
  • Loggningsverktyg (Web-Log-Libraries) är verktyg för att hantera webbserverloggar och automatisera loggningsuppgifter;
  • Spårning (Web-Http-Tracing) är ett verktyg för att diagnostisera och eliminera problem i driften av webbapplikationer.
• Vanliga http-funktioner (Web-Common-Http)– en uppsättning tjänster som tillhandahåller grundläggande HTTP-funktioner:
  • Standarddokument (Web-Default-Doc) – Med den här funktionen kan du konfigurera webbservern att returnera ett standarddokument när användare inte anger ett specifikt dokument i förfrågans URL, vilket gör det lättare för användare att komma åt webbplatsen, till exempel genom att domän, utan att ange filen;
  • Katalogbläddring (Web-Dir-Browsing) - Detta verktyg kan användas för att konfigurera en webbserver så att användare kan se en lista över alla kataloger och filer på en webbplats. Till exempel, för fall där användare inte anger en fil i förfrågans URL, och dokument antingen är inaktiverade eller inte konfigurerade som standard;
  • http-fel (Web-Http-Errors) – den här funktionen låter dig konfigurera felmeddelanden som kommer att returneras till användarnas webbläsare när webbservern upptäcker ett fel. Denna funktion används för att bättre presentera felmeddelanden för användare;
  • Statiskt innehåll (Web-Static-Content) - detta verktyg låter dig använda innehåll i form av statiska filformat, till exempel HTML-filer eller bildfiler, på en webbserver;
  • http-omdirigering (Web-Http-Redirect) – med den här funktionen kan du omdirigera användarförfrågan till en specifik destination, dvs. detta är Redirect;
  • WebDAV-publicering (Web-DAV-Publishing) – låter dig använda WebDAV-teknik på IIS WEB-server. WebDAV ( Webbdistribuerad författarskap och versionering) är en teknik som tillåter användare att arbeta tillsammans ( läs, redigera, läs egenskaper, kopiera, flytta) över filer på fjärrwebbservrar som använder HTTP-protokollet.
• Prestanda (webbprestanda)– en uppsättning tjänster för att uppnå högre webbserverprestanda genom utdatacache och vanliga komprimeringsmekanismer som Gzip och Deflate:
  • Web-Stat-Compression är ett verktyg för att anpassa komprimeringen av statiskt http-innehåll, det tillåter mer effektiv användning av bandbredd utan onödig CPU-belastning;
  • Dynamic Content Compression (Web-Dyn-Compression) är ett verktyg för att konfigurera HTTP dynamisk innehållskomprimering. Den här funktionen ger mer effektiv användning av bandbredd, men CPU-belastningen på servern som är associerad med dynamisk komprimering kan göra att webbplatsen saktar ner om CPU-belastningen är hög utan komprimering.
• Applikationsutveckling (Web-App-Dev)– en uppsättning tjänster och verktyg för att utveckla och vara värd för webbapplikationer, med andra ord, teknik för webbutveckling:
  • ASP (Web-ASP) är en miljö för att stödja och utveckla webbplatser och webbapplikationer som använder ASP-teknik. För närvarande finns det en nyare och mer avancerad teknik för webbutveckling - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) är en objektorienterad utvecklingsmiljö för webbplatser och webbapplikationer som använder ASP.NET-teknik;
  • ASP.NET 4.6 (Web-Asp-Net45) är också en objektorienterad utvecklingsmiljö för webbplatser och webbapplikationer som använder den nya versionen av ASP.NET;
  • CGI (Web-CGI) är möjligheten att använda CGI för att överföra information från en webbserver till ett externt program. CGI är en viss gränssnittsstandard för att koppla ett externt program till en webbserver. Nackdelen är att användning av CGI påverkar prestandan;
  • Server-side-inkludering (SSI) (Web-Includes) är stöd för SSI-skriptspråket ( möjliggörare på serversidan), som används för att dynamiskt generera HTML-sidor;
  • Applikationsinitiering (Web-AppInit) – detta verktyg utför uppgiften att initiera webbapplikationer innan webbsidan vidarebefordras;
  • WebSocket Protocol (Web-WebSockets) - lägger till möjligheten att skapa serverapplikationer som interagerar med hjälp av WebSocket-protokollet. WebSocket är ett protokoll som kan skicka och ta emot data samtidigt mellan en webbläsare och en webbserver över en TCP-anslutning, en slags förlängning av HTTP-protokollet;
  • ISAPI Extensions (Web-ISAPI-Ext) – stöd för dynamisk utveckling av webbinnehåll med hjälp av ISAPIs applikationsprogrammeringsgränssnitt. ISAPI är ett API för IIS-webbservern. ISAPI-applikationer är mycket snabbare än ASP-filer eller filer som anropar COM+-komponenter;
  • .NET 3.5 Extensibility (Web-Net-Ext) är en .NET 3.5-extensibility-funktion som låter dig ändra, lägga till och utöka webbserverns funktionalitet genom hela pipelinen, konfigurationen och användargränssnittet.
  • .NET 4.6-extensibility (Web-Net-Ext45) är .NET 4.6-extensibility-funktionen som också låter dig ändra, lägga till och utöka webbserverfunktionaliteten genom hela pipelinen, konfigurationen och användargränssnittet för bearbetning av begäran;
  • ISAPI-filter (Web-ISAPI-Filter) – lägger till stöd för ISAPI-filter. ISAPI-filter är program som anropas när webbservern tar emot en specifik HTTP-förfrågan som måste bearbetas av filtret.

FTP-server (webb-ftp-server)– tjänster som ger stöd för FTP-protokollet. Vi pratade om FTP-servern mer i detalj i materialet – "Installera och konfigurera en FTP-server på Windows Server 2016". Innehåller följande tjänster:

• FTP-tjänst (Web-Ftp-Service) – lägger till stöd för FTP-protokollet på webbservern;
• FTP-extensibility (Web-Ftp-Ext) – Utökar standard FTP-funktioner, som att lägga till stöd för funktioner som anpassade leverantörer, ASP.NET-användare eller IIS Manager-användare.

Hanteringsverktyg (Web-Mgmt-Tools)- Det här är verktyg för att hantera webbservern IIS 10. Dessa inkluderar: IIS-användargränssnittet, kommandoradsverktyg och skript.

• IIS Management Console (Web-Mgmt-Console) är användargränssnittet för att hantera IIS;
• IIS-teckenuppsättningar och verktyg (Web-Scripting-Tools) är verktyg och skript för att hantera IIS med hjälp av kommandoraden eller skripten. De kan till exempel användas för att automatisera kontroll;
• Hanteringstjänst (Web-Mgmt-Service) – den här tjänsten lägger till möjligheten att hantera webbservern på distans från en annan dator med hjälp av IIS-hanteraren;
• IIS 6-kompatibilitetshantering (Web-Mgmt-Compat) - Säkerställer kompatibilitet mellan applikationer och skript som använder de två IIS API:erna. Befintliga IIS 6-skript kan användas för att styra IIS 10-webbservern:
  • IIS 6-kompatibilitet Metabase Metabase (Web-Metabase) är ett kompatibilitetsverktyg som låter dig köra applikationer och teckenuppsättningar portade från tidigare versioner av IIS;
  • IIS 6-skriptverktyg (Web-Lgcy-Scripting) - Dessa verktyg låter dig använda samma IIS 6-skripttjänster som skapades för att hantera IIS 6 i IIS 10;
  • IIS 6 Services Management Console (Web-Lgcy-Mgmt-Console) – ett verktyg för att administrera fjärrstyrda IIS 6.0-servrar;
  • WMI-kompatibla IIS 6 (Web-WMI) är skriptgränssnitt för Windows Management Instrumentation (WMI) för att programmässigt kontrollera och automatisera IIS 10.0-webbserveruppgifter med hjälp av en uppsättning skript skapade i WMI-leverantören.

Active Directory Domain Services

Roll" Active Directory Domain Services» (AD DS) tillhandahåller en distribuerad databas som lagrar och bearbetar information om nätverksresurser. Den här rollen används för att organisera nätverkselement, såsom användare, datorer och andra enheter, i en hierarkisk säker skalstruktur. Den hierarkiska strukturen inkluderar skogar, domäner inom skogen och organisatoriska enheter (OUs) inom varje domän. En server som kör AD DS kallas en domänkontrollant.

Rollnamnet för Windows PowerShell är AD-Domain-Services.

Windows Server Essentials-läge

Den här rollen representerar datorinfrastrukturen och tillhandahåller bekväma och effektiva funktioner, till exempel: lagra klientdata på en central plats och skydda dessa data genom att säkerhetskopiera servern och klientdatorerna, fjärråtkomst till webben, så att du kan komma åt data från nästan vilken enhet som helst. Denna roll kräver flera rolltjänster och komponenter för att fungera, till exempel: BranchCache-komponenter, Windows Server Backup, Group Policy Management, rolltjänst " DFS-namnområden».

Namnet på PowerShell är ServerEssentialsRole.

Nätverkskontrollant

Den här rollen introducerades i Windows Server 2016 och tillhandahåller en enda automatiseringspunkt för hantering, övervakning och diagnostik av den fysiska och virtuella nätverksinfrastrukturen i datacentret. Med den här rollen kan du konfigurera IP-undernät, VLAN, fysiska nätverkskort för Hyper-V-värdar, hantera virtuella switchar, fysiska routrar, brandväggsinställningar och VPN-gateways från en punkt.

Namnet på Windows PowerShell är NetworkController.

Nod Guardian Service

Detta är serverrollen Hosted Guardian Service (HGS) och tillhandahåller verifierings- och nyckelskyddstjänster som gör det möjligt för skyddade värdar att köra skärmade virtuella maskiner. För att den här rollen ska fungera krävs flera ytterligare roller och komponenter, till exempel: Active Directory Domain Services, Web Server (IIS), komponent " Failover-klustring" och andra.

Namnet på PowerShell är HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Roll" Active Directory Lightweight Directory Services" (AD LDS) - är en lätt version av AD DS som har mindre funktionalitet, men som inte kräver distribution av domäner eller domänkontrollanter, och som inte har de beroenden och domänrestriktioner som AD DS-tjänster kräver. AD LDS fungerar över LDAP-protokollet ( Lättviktsprotokoll för katalogåtkomst). Du kan distribuera flera AD LDS-instanser med oberoende hanterade scheman på en enda server.

Namnet för PowerShell är ADLDS.

MultiPoint-tjänster

Detta är också en ny roll som introducerades i Windows Server 2016. MultiPoint Services (MPS) tillhandahåller grundläggande fjärrskrivbordsfunktioner som gör att flera användare kan arbeta samtidigt och oberoende på samma dator. För att installera och använda denna roll måste du installera flera ytterligare tjänster och komponenter, till exempel: Print Server, Windows Search-tjänst, XPS Viewer och andra, som alla kommer att väljas automatiskt när MPS installeras.

Rollnamnet för PowerShell är MultiPointServerRole.

Windows Server Update Services

Med den här rollen (WSUS) kan systemadministratörer hantera Microsoft-uppdateringar. Skapa till exempel separata grupper av datorer för olika uppsättningar av uppdateringar och få även rapporter om datorkompatibilitet och uppdateringar som behöver installeras. Att fungera " Windows Server Update Services"Vi behöver sådana rolltjänster och komponenter som: webbserver (IIS), Windows intern databas, Windows processaktiveringstjänst.

Namnet på Windows PowerShell är UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – inställd på WID ( Windows intern databas) databas som används av WSUS. Med andra ord kommer WSUS att lagra sina tjänstedata i WID;
• WSUS Services (UpdateServices-Services) är WSUS-rolltjänsterna, såsom Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Simple Internet Authentication Web Service, Server Synchronization Service och DSS Web Authentication Service;
• SQL Server Connectivity (UpdateServices-DB) är installationen av en komponent som gör att WSUS-tjänsten kan ansluta till en Microsoft SQL Server-databas. Det här alternativet innebär att tjänstdata lagras i en Microsoft SQL Server-databas. I det här fallet måste du redan ha minst en instans av SQL Server installerad.

Volymaktiveringstjänster

Denna serverroll automatiserar och förenklar utfärdandet av volymlicenser för Microsoft-programvara och låter dig hantera dessa licenser.

Namnet på PowerShell är VolumeActivation.

Tryck- och dokumenttjänster

Denna serverroll är utformad för att dela skrivare och skannrar i ett nätverk, centralt konfigurera och hantera utskrifts- och skanningsservrar och hantera nätverksskrivare och skannrar. Med utskrifts- och dokumenttjänster kan du också skicka skannade dokument via e-post, nätverksresurser eller Windows SharePoint Services-webbplatser.

Namnet på PowerShell är Print-Services.

• Print-Server – Denna rolltjänst inkluderar " Utskriftshantering", som används för att hantera skrivare eller skrivarservrar, samt för att migrera skrivare och andra skrivarservrar;
• Utskrift över Internet (Print-Internet) - för att implementera utskrift över Internet skapas en webbplats genom vilken användare kan hantera utskriftsjobb på servern. För att den här tjänsten ska fungera, som du förstår, måste du installera " Webbserver (IIS)" Alla nödvändiga komponenter kommer att väljas automatiskt när du markerar den här rutan under installationsprocessen för rolltjänsten " Online utskrift»;
• Distributed Scan Server (Print-Scan-Server) är en tjänst som låter dig ta emot skannade dokument från nätverksskannrar och skicka dem till sin destination. Denna tjänst innehåller också " Skanningskontroll", som används för att hantera nätverksskannrar och för att konfigurera skanning;
• LPD-tjänst (Print-LPD-Service) - LPD-tjänst ( Line Printer Daemon) tillåter UNIX-baserade datorer och andra datorer som använder tjänsten Line Printer Remote (LPR) att skriva ut till delade serverskrivare.

Nätverkspolicy och åtkomsttjänster

Roll" » (NPAS) låter dig använda Network Policy Server (NPS) för att ställa in och upprätthålla policyer för nätverksåtkomst, autentisering och auktorisering, och klientens hälsa, med andra ord, för att säkerställa nätverkssäkerhet.

Namnet på Windows PowerShell är NPAS.

Windows Deployment Services

Med den här rollen kan du installera Windows-operativsystemet på distans över ett nätverk.

Rollnamnet för PowerShell är WDS.

• Deployment Server (WDS-Deployment) – denna rolltjänst är designad för fjärrdistribution och konfiguration av Windows-operativsystem. Det låter dig också skapa och anpassa bilder för återanvändning;
• Transport Server (WDS-Transport) - denna tjänst innehåller de viktigaste nätverkskomponenterna med vilka du kan överföra data via multicast på en fristående server.

Active Directory-certifikattjänster

Den här rollen är utformad för att skapa certifikatutfärdare och tillhörande rolltjänster som gör att du kan utfärda och hantera certifikat för olika applikationer.

Namnet på Windows PowerShell är AD-Certificate.

Inkluderar följande rolltjänster:

• Certificate Authority (ADCS-Cert-Authority) – med hjälp av denna rolltjänst kan du utfärda certifikat till användare, datorer och tjänster och även hantera certifikatets giltighet;
• Webbtjänst för certifikatregistreringspolicy (ADCS-Enroll-Web-Pol) – Denna tjänst gör det möjligt för användare och datorer att erhålla policyinformation för certifikatregistrering med hjälp av en webbläsare, även om datorn inte är en del av en domän. För dess funktion är det nödvändigt " Webbserver (IIS)»;
• Webbtjänst för certifikatregistrering (ADCS-Enroll-Web-Svc) – Denna tjänst tillåter användare och datorer att registrera och förnya certifikat med en webbläsare över HTTPS, även om datorn inte är en domänmedlem. För dess funktion är det också nödvändigt " Webbserver (IIS)»;
• Online Responder (ADCS-Online-Cert) – En tjänst utformad för att kontrollera certifikatåterkallelse för klienter. Med andra ord accepterar den en begäran om återkallelsestatus för specifika certifikat, utvärderar statusen för dessa certifikat och skickar tillbaka ett signerat svar med statusinformation. För att tjänsten ska fungera behöver du " Webbserver (IIS)»;
• Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) – Den här tjänsten tillhandahåller ett webbaserat gränssnitt för användare att utföra uppgifter som att begära och förnya certifikat, erhålla listor för återkallelse av certifikat och registrera smartkortscertifikat. För att tjänsten ska fungera behöver du " Webbserver (IIS)»;
• Network Device Enrollment Service (ADCS-Device-Enrollment) – Med den här tjänsten kan du utfärda och hantera certifikat för routrar och andra nätverksenheter som inte har nätverkskonton. För att tjänsten ska fungera behöver du " Webbserver (IIS)».

Fjärrskrivbordstjänster

En serverroll som låter dig ge åtkomst till virtuella skrivbord, sessionsbaserade skrivbord och RemoteApps.

Rollnamnet för Windows PowerShell är Remote-Desktop-Services.

Består av följande tjänster:

• Remote Desktop Web Access (RDS-Web-Access) - Denna rolltjänst tillåter användare att få åtkomst till fjärrskrivbord och RemoteApp-applikationer via " Start» eller använda en webbläsare;
• Remote Desktop Licensing (RDS-Licensing) - en tjänst utformad för att hantera de licenser som krävs för att ansluta till en Remote Desktop Session Host-server eller virtuellt skrivbord. Den kan användas för att installera, utfärda licenser och spåra deras tillgänglighet. Denna tjänst kräver " Webbserver (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) är en rolltjänst som tillhandahåller följande funktioner: återansluta en användare till ett befintligt virtuellt skrivbord, RemoteApp-applikation och sessionsbaserat skrivbord, och lastbalansering mellan fjärrsessionsvärdservrar, skrivbord eller mellan virtuella skrivbord i en pool. Denna tjänst kräver " »;
• Remote Desktop Virtualization Host (DS-Virtualization) är en tjänst som låter användare ansluta till virtuella skrivbord med hjälp av RemoteApp och Desktop Connection. Denna tjänst fungerar tillsammans med Hyper-V, dvs. denna roll måste etableras.
• Remote Desktop Session Host (RDS-RD-Server) – Denna tjänst låter dig vara värd för RemoteApp-applikationer och sessionsbaserade skrivbord på en server. För åtkomst, använd Remote Desktop Connection-klienten eller RemoteApp;
• Remote Desktop Gateway (RDS-Gateway) - Tjänsten tillåter behöriga fjärranvändare att ansluta till virtuella skrivbord, RemoteApps och sessionsbaserade skrivbord på ett företagsnätverk eller över Internet. Följande ytterligare tjänster och komponenter krävs för att denna tjänst ska fungera: " Webbserver (IIS)», « Nätverkspolicy och åtkomsttjänster», « RPC över HTTP-proxy».

Active Directory Rights Management Services

Detta är en serverroll som gör att du kan skydda information från obehörig användning. Den verifierar användaridentiteter och ger auktoriserade användare licenser för åtkomst till skyddad data. Ytterligare tjänster och komponenter krävs för att denna roll ska fungera: " Webbserver (IIS)», « Windows Process Activation Service», « .NET Framework 4.6-funktioner».

Namnet på Windows PowerShell är ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) är huvudrolltjänsten och krävs för installation;
• Identity Federation Support (ADRMS-Identity) är en valfri rolltjänst som tillåter förenade identiteter att konsumera skyddat innehåll med Active Directory Federation Services.

Active Directory Federation Services

Denna roll ger förenklade och säkra identitetsfederationsfunktioner, såväl som webbläsarbaserad enkel inloggning (SSO) till webbplatser.

Namnet på PowerShell är ADFS-Federation.

Fjärranslutning

Denna roll ger anslutning via DirectAccess, VPN och Web Application Proxy. Även rollen som " Fjärranslutning» tillhandahåller traditionella routingfunktioner, inklusive Network Address Translation (NAT) och andra anslutningsalternativ. Denna roll kräver ytterligare tjänster och komponenter: " Webbserver (IIS)», « Windows intern databas».

Rollnamnet för Windows PowerShell är RemoteAccess.

• DirectAccess och VPN (RAS) (DirectAccess-VPN) - tjänsten tillåter användare att ansluta till företagsnätverket när som helst om de har tillgång till Internet via DirectAccess, samt organisera VPN-anslutningar i kombination med tunnling och datakrypteringsteknik;
• Routing - tjänsten ger stöd för NAT-routrar, LAN-routrar med BGP, RIP-protokoll och routrar med multicast-stöd (IGMP proxy);
• Web Application Proxy Server (Web-Application-Proxy) - tjänsten låter dig publicera applikationer baserade på HTTP- och HTTPS-protokollen från företagsnätverket på klientenheter som är placerade utanför företagets nätverk.

Fil- och lagringstjänster

Detta är en serverroll som kan användas för att dela filer och mappar, hantera och kontrollera resurser, replikera filer, tillhandahålla snabba filsökningar och ge åtkomst till UNIX-klientdatorer. Vi tittade på filtjänster och i synnerhet filservern mer i detalj i materialet "Installera en filserver på Windows Server 2016".

Namnet på Windows PowerShell är FileAndStorage-Services.

Lagringstjänster– Den här tjänsten tillhandahåller lagringshanteringsfunktioner som alltid är installerad och inte kan tas bort.

Filtjänster och iSCSI-tjänster (filtjänster)– det här är tekniker som förenklar hanteringen av filservrar och lagring, sparar diskutrymme, tillhandahåller replikering och cachelagring av filer i filialer, och även tillhandahåller fildelning med hjälp av NFS-protokollet. Inkluderar följande rolltjänster:

• Filserver (FS-FileServer) är en rolltjänst som hanterar delade mappar och ger användare åtkomst till filer på den här datorn över nätverket;
• Datadeduplicering (FS-Data-Deduplication) – denna tjänst sparar diskutrymme genom att endast lagra en kopia av identiska data på en volym;
• File Server Resource Manager (FS-Resource-Manager) – Med den här tjänsten kan du hantera filer och mappar på en filserver, skapa lagringsrapporter, kategorisera filer och mappar, konfigurera mappkvoter och definiera filblockeringspolicyer;
• iSCSI Target Storage Provider (Hårdvaru-VDS- och VSS-leverantörer) (iSCSITarget-VSS-VDS) – Tjänsten tillåter applikationer på en server som är ansluten till ett iSCSI-mål att skuggkopiera volymer på virtuella iSCSI-diskar;
• DFS-namnrymd (FS-DFS-Namespace) - med den här tjänsten kan du gruppera delade mappar som finns på olika servrar i en eller flera logiskt strukturerade namnområden;
• Arbetsmappar (FS-SyncShareService) – tjänsten låter dig använda arbetsfiler på olika datorer, inklusive jobb och privat. Du kan lagra dina filer i arbetsmappar, synkronisera dem och komma åt dem från ett lokalt nätverk eller Internet. För att tjänsten ska fungera måste komponenten " IIS pågående webbmotor»;
• DFS-replikering (FS-DFS-replikering) är en datareplikeringsmodul mellan flera servrar som låter dig synkronisera mappar över en lokal eller global nätverksanslutning. Den här tekniken använder RDC-protokollet (Remote Differential Compression) för att endast uppdatera de delar av filer som har ändrats sedan den senaste replikeringen. DFS-replikering kan användas tillsammans med DFS-namnområden eller separat;
• Server för NFS (FS-NFS-Service) - en tjänst som gör att den här datorn kan dela filer med UNIX-baserade datorer och andra datorer som använder NFS-protokollet (Network File System);
• iSCSI Target Server (FS-iSCSITarget-Server) – Tillhandahåller tjänster och hanteringsverktyg för iSCSI-mål;
• BranchCache-tjänst för nätverksfiler (FS-BranchCache) - Tjänsten tillhandahåller BranchCache-stöd på denna filserver;
• Filserver VSS Agent Service (FS-VSS-Agent) - Tjänsten låter dig utföra volymskuggkopior för applikationer som lagrar datafiler på denna filserver.

Faxserver

Rollen skickar och tar emot fax och låter dig hantera faxresurser, såsom jobb, inställningar, rapporter och faxenheter, på den här datorn eller nätverket. För att arbeta behöver du " Skrivarserver».

Rollnamnet för Windows PowerShell är Fax.

Detta avslutar granskningen av Windows Server 2016-serverroller, jag hoppas att materialet var användbart för dig, hejdå!

Tillämpa grupppolicyer (del 3)

Vanligtvis tilldelas GPO till en behållare (domän, webbplats eller OU) och gäller för alla objekt i den behållaren. Med en välorganiserad domänstruktur räcker detta, men ibland är det nödvändigt att ytterligare begränsa tillämpningen av policyer till en viss grupp av objekt. För att göra detta kan du använda två typer av filter.

Säkerhetsfilter

Säkerhetsfilter låter dig begränsa tillämpningen av policyer till en specifik säkerhetsgrupp. Låt oss till exempel ta GPO2, som används för att centralt konfigurera Start-menyn på arbetsstationer med Windows 8.1\Windows 10. GPO2 är tilldelat till Employees OU och gäller alla användare utan undantag.

Låt oss nu gå till fliken "Omfattning", där i avsnittet "Säkerhetsfiltrering" de grupper som denna GPO kan tillämpas på anges. Som standard anges gruppen Autentiserade användare här. Det innebär att policyn kan tillämpas på någon en användare eller dator som har autentiserats till domänen.

Faktum är att varje GPO har sin egen åtkomstlista, som kan ses på fliken Delegering.

För att tillämpa en policy måste ett objekt ha rättigheterna att läsa den (Läs) och tillämpa den (Apply group policy), vilket gruppen Autentiserade användare har. Följaktligen, för att policyn inte ska gälla för alla, utan bara för en specifik grupp, måste du ta bort Autentiserade användare från listan och sedan lägga till den önskade gruppen och ge den lämpliga rättigheter.

Så i vårt exempel kan policyn endast tillämpas på redovisningsgruppen.

WMI-filter

Windows Management Instrumentation (WMI) är ett av de mest kraftfulla verktygen för operationsrumshantering Windows-system. WMI innehåller stor mängd klasser som du kan beskriva nästan alla användar- och datorparametrar med. Du kan se alla tillgängliga WMI-klasser i en lista med PowerShell genom att köra kommandot:

Get-WmiObject -List

Låt oss till exempel ta klassen Win32_OperatingSystem, som ansvarar för operativsystemets egenskaper. Låt oss anta att du vill filtrera bort alla operativsystem utom Windows 10. Vi går till en dator med Windows 10 installerat, öppnar PowerShell-konsolen och visar namn, version och typ av operativsystem med kommandot:

Get-WmiObject -Class Win32_OperatingSystem | fl Namn, version, produkttyp

För filtret använder vi OS-versionen och typen. Versionen är densamma för klient- och serveroperativsystem och definieras enligt följande:

Windows Server 2016\Windows 10 - 10.0
Window Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Produkttypen är ansvarig för datorns syfte och kan ha 3 värden:

1 - arbetsstation;
2 - domänkontrollant;
3 - server.

Låt oss nu gå vidare till att skapa filtret. För att göra detta öppnar du snapin-modulen "Grupppolicyhantering" och går till avsnittet "WMI-filter". Högerklicka på den och välj "Ny" från snabbmenyn.

Ge filtret ett namn och en beskrivning i fönstret som öppnas. Klicka sedan på knappen "Lägg till" och skriv in WQL-frågan i fältet "Fråga", som är grunden för WMI-filtret. Vi måste välja OS version 10.0 med typ 1, så begäran kommer att se ut så här:

VÄLJ * FRÅN Win32_OperatingSystem WHERE version LIKE ″10.0%″ OCH ProductType = ″1″

Notera. Windows Query Language (WQL) är WMI-frågespråket. Du kan ta reda på mer om det på MSDN.

Spara det resulterande filtret.

Nu återstår bara att tilldela WMI-filtret till ett grupppolicyobjekt, till exempel till GPO3. Gå till GPO-egenskaperna, öppna fliken "Omfattning" och välj önskat filter från listan i fältet "WMI-filtrering".

Analys av gruppolicyapplikationer

Med så många sätt att filtrera GPO:er måste du kunna diagnostisera och analysera deras användning. Det enklaste sättet att kontrollera effekten av grupppolicyer på en dator är att använda ett kommandoradsverktyg gresultat.

Låt oss till exempel gå till wks2-datorn där Windows 7 är installerat och kontrollera om WMI-filtret har fungerat. För att göra detta, öppna cmd-konsolen med administratörsrättigheter och kör kommandot gpresult /r, som visar sammanfattande information om grupppolicyer som tillämpas på användaren och datorn.

Notera. Verktyget gpresult har många inställningar som du kan se med kommandot gpresult /?.

Som du kan se av de erhållna uppgifterna tillämpades inte GPO3-policyn på datorn eftersom den filtrerades med WMI-filtret.

Du kan också kontrollera effekten av GPO från snapin-modulen "Group Policy Management" med hjälp av en speciell guide. För att starta guiden högerklickar du på avsnittet "Grupppolicyresultat" och väljer "Guiden för grupppolicyresultat" från menyn som öppnas.

Ange namnet på den dator som rapporten ska genereras för. Om du bara vill se användarinställningar för grupprinciper behöver du inte samla in inställningar för din dator. För att göra detta måste du markera rutan nedan (visa endast användarpolicyinställningar).

Sedan väljer vi användarnamnet för vilket data ska samlas in, eller så kan du ange att inte inkludera grupppolicyinställningar för användaren i rapporten (visa endast datorpolicyinställningar).

Vi kontrollerar de valda inställningarna, klickar på "Nästa" och väntar medan data samlas in och rapporten genereras.

Rapporten innehåller omfattande information om de GPO:er som tillämpas (eller inte tillämpas) på användaren och datorn, samt de filter som används.

Låt oss till exempel skapa rapporter för två olika användare och jämföra dem. Låt oss först öppna rapporten för användaren Kirill och gå till avsnittet för användarinställningar. Som du kan se tillämpades inte GPO2-policyn på den här användaren eftersom han inte har rättigheter att tillämpa den (Reason Denied - Inaccessible).

Låt oss nu öppna rapporten för användaren Oleg. Den här användaren är medlem i redovisningsgruppen, så policyn har tillämpats på honom. Det betyder att säkerhetsfiltret har fungerat framgångsrikt.

Det är här jag förmodligen kommer att avsluta den "fascinerande" historien om att använda grupppolicyer. Jag hoppas att denna information kommer att vara användbar och hjälpa dig i den svåra uppgiften med systemadministration :)