Разделы сайта
Выбор редакции:
- Как узнать версию Adobe Flash Player
- WiMAX – что это такое, и какие преимущества имеет данная технология Wimax оборудование для дома
- Чем открыть файл с расширением dmg?
- Практика PHP: сравнение строк
- «Моя страна» — услуга от Билайн
- Прямые красивые номера билайн
- Тариф экстра от триколор
- Восток — дело тонкое: криптовалюты в Японии Япония легализовала биткоины
- Продаем старые вещи через интернет — где, куда и что можно продать
- Необычное фото — отличный способ вашего продвижения: как сделать интерактивное фото Интерактивные фотографии
Реклама
Дайте подробное описание политики сервера. Команда GPResult: диагностика результирующих групповых политик |
Функционал в операционной системе Windows Server расчет и улучшается от версии к версии, ролей и компонентов становится все больше, поэтому в сегодняшнем материале я попытаюсь кратко рассказать описание и назначение каждой роли в Windows Server 2016 . Прежде чем переходить к описанию серверных ролей Windows Server, давайте узнаем, что же вообще такое «Роль сервера » в операционной системе Windows Server. Что такое «Роль сервера» в Windows Server?Роль сервера (Server Role) – это программный комплекс, который обеспечивает выполнение сервером определённой функции, и данная функция является основной. Другими словами, «Роль сервера » — это назначение сервера, т.е. для чего он нужен. Чтобы сервер мог выполнять свою основную функцию, т.е. определённую роль, в «Роль сервера » включено все необходимое для этого программное обеспечение (программы, службы ). У сервера может быть одна роль, если она активно используется, или несколько, если каждая из них не сильно нагружает сервер и используется редко. В роль сервера может включаться несколько служб роли, которые и обеспечивают функциональные возможности роли. Например, в роль сервера «Веб-сервер (IIS) » включено достаточно большое количество служб, а в роль «DNS-сервер » не входят службы роли, так как данная роль выполняет только одну функцию. Службы ролей могут быть установлены все вместе или по отдельности в зависимости от Ваших потребностей. По своей сути установка роли означает установку одной или нескольких ее служб. В Windows Server также существуют и «Компоненты » сервера. Компоненты сервера (Feature) – это программные средства, которые не являются ролью сервера, но расширяют возможности одной или нескольких ролей, или управляют одной или несколькими ролями. Некоторые роли не могут быть установлены, если на сервере не установлены обязательные службы или компоненты, которые необходимы для функционирования данных ролей. Поэтому в момент установки таких ролей «Мастер добавления ролей и компонентов » сам, автоматически предложит Вам установить нужные, дополнительные службы ролей или компоненты. Описание серверных ролей Windows Server 2016Со многими ролями, которые есть в Windows Server 2016, наверное, Вы уже знакомы, так как они существуют уже достаточно долгое время, но как я уже сказал, с каждой новой версией Windows Server добавляются новые роли, с которыми возможно Вы еще не работали, но хотели бы узнать, для чего они нужны, поэтому давайте приступать к их рассмотрению. Примечание! О новых возможностях операционной системы Windows Server 2016 можете прочитать в материале «Установка Windows Server 2016 и обзор новых возможностей » . Так как очень часто установка и администрирование ролей, служб и компонентов происходит с использованием Windows PowerShell , я для каждой роли и ее службы буду указывать название, которое можно использовать в PowerShell, соответственно для ее установки или для управления. DHCP-серверЭта роль позволяет централизованно настраивать динамические IP-адреса и связанные с ними параметры компьютерам и устройствам в сети. У роли DHCP-сервер нет служб роли. Название для Windows PowerShell – DHCP. DNS-серверДанная роль предназначена для разрешения имен в сетях TCP/IP. Роль DNS-сервер обеспечивает и поддерживает работу DNS. Для упрощения управления DNS-сервером его обычно устанавливают на том же сервере, что и доменные службы Active Directory. У роли DNS-сервер нет служб роли. Название роли для PowerShell — DNS. Hyper-VС помощью роли Hyper-V можно создавать виртуализованную среду и управлять ею. Другими словами, это инструмент для создания и управления виртуальными машинами. Название роли для Windows PowerShell — Hyper-V. Аттестация работоспособности устройствРоль «» позволяет оценивать работоспособность устройства на основе измеренных показателей параметров безопасности, например, показатели состояния безопасной загрузки и средства Bitlocker на клиенте. Для функционирования данной роли необходимо достаточно много служб ролей и компонентов, например: несколько служб из роли «Веб-сервер (IIS) », компонент «», компонент «Функции.NET Framework 4.6 ». Во время установки все необходимые службы ролей и компоненты будут выбраны автоматически. У роли «Аттестация работоспособности устройств » своих служб роли нет. Название для PowerShell – DeviceHealthAttestationService. Веб-сервер (IIS)Предоставляет надежную, управляемую и масштабируемую инфраструктуру веб-приложений. Состоит из достаточно большого количества служб (43). Название для Windows PowerShell — Web-Server. Включает следующие службы роли (в скобочках я буду указывать название для Windows PowerShell ): Веб – сервер (Web-WebServer) – группа служб роли, которая предоставляет поддержку веб-сайтов HTML, расширений ASP.NET, ASP и веб-сервера. Состоит из следующих служб:
FTP — сервер (Web-Ftp-Server) – службы, которые обеспечивают поддержку протокола FTP. Более подробно о FTP сервере мы говорили в материале – «Установка и настройка FTP сервера на Windows Server 2016 ». Содержит следующие службы:
Средства управления (Web-Mgmt-Tools) – это средства управления веб-сервером IIS 10. К ним можно отнести: пользовательский интерфейс IIS, средства командной строки и скрипты.
Доменные службы Active DirectoryРоль «Доменные службы Active Directory » (AD DS) обеспечивает распределенную базу данных, которая хранит и обрабатывает информацию о сетевых ресурсах. Данную роль используют для организации элементов сети, таких как пользователи, компьютеры и другие устройства, в иерархическую структуру защитной оболочки. Иерархическая структура включает в себя леса, домены в лесу, а также организационные единицы (OU) в каждом домене. Сервер, работающий под управлением AD DS, называется контроллером домена. Название роли для Windows PowerShell — AD-Domain-Services. Режим Windows Server EssentialsДанная роль представляет собой компьютерную инфраструктуру и предоставляет удобные и эффективные функции, например: хранение данных клиента в централизованном месте и защита этих данных за счет резервного копирования сервера и клиентских компьютеров, удаленный веб-доступ, позволяющий получать доступ к данным практически с любого устройства. Для работы данной роли необходимо несколько служб ролей и компонентов, например: компоненты BranchCache, система архивации Windows Server, управление групповой политикой, служба роли «Пространства имен DFS ». Название для PowerShell – ServerEssentialsRole. Сетевой контроллерЭто роль появилась в Windows Server 2016, она представляет собой единую точку автоматизации для управления, мониторинга и диагностики, физической и виртуальной сетевой инфраструктуры в центре обработки данных. С помощью данной роли можно из одной точки настраивать IP-подсети, VLAN, физические сетевые адаптеры Hyper-V хостов, управлять виртуальными коммутаторами, физическими маршрутизаторами, настройками файрвола и VPN-шлюзами. Название для Windows PowerShell – NetworkController. Служба опекуна узлаЭто роль сервера размещенной службы Guardian (HGS), она предоставляет службы аттестации и защиты ключей, которые позволяют защищенным узлам запускать экранированные виртуальные машины. Для функционирования данной роли необходимо несколько дополнительных ролей и компонентов, например: доменные службы Active Directory, Веб-сервер (IIS), компонент «Отказоустойчивая кластеризация » и другие. Название для PowerShell – HostGuardianServiceRole. Службы Active Directory облегченного доступа к каталогамРоль «Службы Active Directory облегченного доступа к каталогам » (AD LDS) – представляет собой облегченную версию AD DS, которая обладает меньшей функциональностью, но не требует развертывания доменов или контроллеров доменов, а также не имеет зависимостей и доменных ограничений, которые требуются для служб AD DS. AD LDS работает по протоколу LDAP (Lightweight Directory Access Protocol ). На одном сервере можно развернуть несколько экземпляров AD LDS с независимо управляемыми схемами. Название для PowerShell – ADLDS. Службы MultiPointЭто также новая роль, которая появилась в Windows Server 2016. Службы MultiPoint (MPS) предоставляют базовую функциональность удаленных рабочих столов, что позволяет нескольким пользователям одновременно и независимо друг от друга работать на одном и том же компьютере. Для установки и функционирования данной роли нужно установить несколько дополнительных служб и компонентов, например: Сервер печати, службу Windows Search, средство просмотра XPS и другие, все они будут выбраны автоматически в момент установки MPS. Название роли для PowerShell – MultiPointServerRole. Службы Windows Server Update ServicesС помощью этой роли (WSUS) системные администраторы могут управлять обновлениями Microsoft. Например, создавать отдельные группы компьютеров для разных наборов обновлений, а также получать отчеты о соответствии компьютеров требованиям и обновлениях, которые требуется установить. Для функционирования «Службы Windows Server Update Services » нужны такие службы ролей и компоненты как: Веб-сервер (IIS), внутренняя база данных Windows, служба активации процессов Windows. Название для Windows PowerShell – UpdateServices.
Службы активации корпоративных лицензийС помощью этой роли сервера можно автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение от компании Microsoft, а также она позволяет управлять этими лицензиями. Название для PowerShell – VolumeActivation. Службы печати и документовЭта роль сервера предназначена для предоставления общего доступа к принтерам и сканерам в сети, для централизованной настройки и управления серверами печати и сканирования, а также управления сетевыми принтерами и сканерами. Службы печати и документов также позволяет отправлять отсканированные документы по электронной почте, в общие сетевые папки или на сайты Windows SharePoint Services. Название для PowerShell – Print-Services.
Службы политики сети и доступаРоль «» (NPAS) позволяет с помощью сервера политики сети (NPS) задавать и применять политики доступа к сети, проверки подлинности и авторизации, а также работоспособности клиента, другими словами, обеспечивать безопасность сети. Название для Windows PowerShell – NPAS. Службы развертывания WindowsС помощью этой роли можно удаленно устанавливать операционной системы Windows по сети. Название роли для PowerShell – WDS.
Службы сертификатов Active DirectoryЭта роль предназначена для создания центров сертификации и связанных служб ролей, которые позволяют выдавать сертификаты для различных приложений и управлять такими сертификатами. Название для Windows PowerShell – AD-Certificate. Включает следующие службы роли:
Службы удаленных рабочих столовРоль сервера, с помощью которой можно организовать доступ к виртуальным рабочим столам, к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp. Название роли для Windows PowerShell – Remote-Desktop-Services. Состоит из следующих служб:
Службы управления правами Active DirectoryЭто роль сервера, которая позволит Вам защитить информацию от несанкционированного использования. Она проверяет удостоверения пользователей и предоставляет авторизованным пользователям лицензии на доступ к защищенным данным. Для работы данной роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Служба активации процессов Windows », «Функции.NET Framework 4.6 ». Название для Windows PowerShell – ADRMS.
Службы федерации Active DirectoryДанная роль предоставляет упрощенные и безопасные возможности федерации удостоверений, а также функцию единого входа (SSO) на веб-сайты с помощью браузера. Название для PowerShell – ADFS-Federation. Удаленный доступДанная роль обеспечивает подключение через DirectAccess, VPN и прокси веб-приложения. Также роль «Удаленный доступ » предоставляет традиционные возможности маршрутизации, включая преобразование сетевых адресов (NAT) и другие параметры подключений. Для работы этой роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Внутренняя база данных Windows ». Название роли для Windows PowerShell – RemoteAccess.
Файловые службы и службы хранилищаЭто роль сервера, с помощью которой можно предоставлять общий доступ к файлам и папкам, управлять общими ресурсами и контролировать их, осуществлять репликацию файлов, обеспечивать быстрый поиск файлов, а также предоставлять доступ для клиентских компьютеров UNIX. Более подробно файловые службы и в частности файловый сервер мы рассматривали в материале «Установка файлового сервера (File Server) на Windows Server 2016 ». Название для Windows PowerShell – FileAndStorage-Services. Службы хранения (Storage-Services) – это служба предоставляет функциональность управления хранилищем, которая устанавливается всегда и не может быть удалена. Файловые службы и службы iSCSI (File-Services) – это технологии, которые упрощают управление файловыми серверами и хранилищами, позволяют экономить место на диске, обеспечивают репликацию и кэширование файлов в филиалах, а также предоставляют общий доступ к файлам по протоколу NFS. Включает следующие службы роли:
Факс-серверРоль отправляет и принимает факсы, а также позволяет управлять ресурсами факса, такими как задания, параметры, отчеты и факсимильные устройства, на этом компьютере или в сети. Для работы необходим «Сервер печати ». Название роли для Windows PowerShell – Fax. На этом обзор серверных ролей Windows Server 2016 закончен, надеюсь, материал был Вам полезен, пока! При установке Windows большая часть второстепенных подсистем не активируется или не устанавливается. Это сделано по причинам безопасности. Поскольку система по умолчанию защищена, системные администраторы могут сосредоточиться на проектировании системы, которая будет выполнять исключительно возложенные на нее функции и ничего лишнего. Для помощи при включении нужных функций, Windows предлагает выбрать роль сервера (Server Role). РолиРоль сервера - это набор программ, которые при правильной установке и настройке позволяют компьютеру выполнять определенную функцию для нескольких пользователей или других компьютеров в сети. В общих случаях все роли имеют следующие характеристики.
Службы ролейСлужбы ролей - это программы, которые обеспечивают функциональные возможности роли. При установке роли можно выбрать, какие службы она предоставляет другим пользователям и компьютерам на предприятии. Некоторые роли, такие как DNS-сервер, выполняют только одну функцию, поэтому для них нет служб ролей. Другие роли, такие как службы удаленных рабочих столов, имеют несколько служб, которые можно установить в зависимости от потребностей предприятия в удаленном доступе. Роль можно рассматривать как совокупность тесно связанных, взаимодополняющих служб ролей. В большинстве случаев установка роли означает установку одной или нескольких ее служб. Компоненты Компоненты - это программы, которые не являются непосредственно частями ролей, но поддерживают или расширяют функции одной или нескольких ролей либо целого сервера независимо от того, какие роли установлены. Например, компонент «Средство отказоустойчивости кластеров» расширяет функции других ролей, таких как Файловые службы и DHCP-сервер, позволяя им присоединяться к серверным кластерам, что обеспечивает повышенную избыточность и производительность. Другой компонент - «Клиент Telnet» - обеспечивает удаленную связь с сервером Telnet через сетевое подключение. Эта функция расширяет возможности связи для сервера. Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие роли сервера:
Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие компоненты сервера:
Установка ролей сервера с помощью Server ManagerДля добавления открываем Server Manager, и в меню Manage жмем Add Roles and features: Откроется мастер добавления ролей и компонентов. Жмем Next Installation Type, выбираем Role-based or feature-based installation. Next: Server Selection - выбираем наш сервер. Жмем Next Server Roles - Выберите роли, если необходимо, выберите службы ролей и нажмите кнопку Next, чтобы выбрать компоненты. В ходе этой процедуры Мастер добавления ролей и компонентов автоматически информирует о возникших конфликтах на конечном сервере, которые могут помешать установке или нормальной работе выбранных ролей или компонентов. Также появляется запрос на добавление ролей, служб ролей и компонентов, необходимых для выбранных ролей или компонентов. Установка ролей с помощью PowerShellОткрываем Windows PowerShell Вводим команду Get-WindowsFeature, чтобы просмотреть список доступных и установленных ролей и компонентов на локальном сервере. Результаты выполнения этого командлета содержат имена команд для ролей и компонентов, установленных и доступных для установки. Введите Get-Help Install-WindowsFeature для просмотра синтаксиса и допустимых параметров командлета Install-WindowsFeature (MAN). Вводим следующую команду (-Restart перезагрузит сервер, если при установке роли требуется перезагрузка). Install-WindowsFeature –Name Описание ролей и служб ролейНиже описаны все роли и службы ролей. Расширенную настройку посмотрим для самых часто встречающихся в нашей практике Web Server Role и Remote Desktop Services Подробное описание IIS
Подробное описание RDS
Рассмотрим установку и настройку сервера терминальных лицензий. Выше рассказано как устанавливать роли, установка RDS не отличается от установки других ролей, в Role Services нам потребуется выбрать Remote Desktop Licensing и Remote Desktop Session Host. После установки в Server Manager-Tools появится пункт Terminal Services. В Terminal Services есть два пункта RD Licensing Diagnoser, это средство диагностики работы лицензирования удаленных рабочих столов, и Remote Desktop Licensing Manager, это средство управления лицензиями. Запустим RD Licensing Diagnoser Здесь мы видим, что доступных лицензий пока нет, т. к. не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов. Сервер лицензирования указывается в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc. Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:
Откроем параметры Use the specified Remote Desktop license servers В окне редактирования параметров политики включаем сервер лицензирования (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем OK. Если в дальнейшем будет изменяться имя сервера, сервер лицензий, то потребуется изменить в этом же разделе. После этого в RD Licensing Diagnoser можно увидеть, что сервер терминальных лицензий настроен, но не включен. Для включения запускаем Remote Desktop Licensing Manager Выбираем сервер лицензирования, со статусом Not Activated . Для активации кликаем по нему правой кнопкой мыши и выбираем Activate Server. Запустится Мастер активации сервера. На вкладке Connection Method выбираем Automatic Connection. Далее заполняем информация об организации, после этого сервер лицензий активирован. Active Directory Certificate ServicesСлужбы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами. Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:
AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу. В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи. Active Directory Domain ServicesИспользуя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server. Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене. Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Доменные службы Active Directory предоставляют следующие дополнительные возможности.
Active Directory Federation ServicesAD FS предоставляют конечным пользователям, которым требуется доступ к приложениям на защищенном с помощью AD FS предприятии, в партнерских организациях федерации или в облаке, возможности упрощенной и безопасной федерации удостоверений и веб-службы единого входа (SSO) В Windows Server AD FS включают службу роли службы федерации, действующую в качестве поставщика удостоверений (выполняет проверку подлинности пользователей для предоставления маркеров безопасности для приложений, доверяющих AD FS) или в качестве поставщика федерации (применяет маркеры от других поставщиков удостоверений и затем предоставляет маркеры безопасности для приложений, доверяющих AD FS). Active Directory Lightweight Directory ServicesСлужбы Active Directory облегченного доступа к каталогам (AD LDS) - это протокол LDAP, который обеспечивает гибкую поддержку приложений, работающих с каталогами, без зависимостей и связанных с доменами ограничений доменных служб Active Directory. AD LDS можно запускать на рядовых или изолированных серверах. На одном сервере можно запустить несколько экземпляров AD LDS с независимо управляемыми схемами. С помощью роли службы AD LDS можно предоставить службы каталогов для приложений с поддержкой каталогов, не используя служебные данные доменов и лесов и не требуя единой схемы для всего леса. Active Directory Rights Management ServicesСлужбы AD RMS можно использовать, чтобы расширить стратегию безопасности в организации, обеспечив защиту документов с помощью управления правами на доступ к данным (IRM). AD RMS позволяет пользователям и администраторам назначать разрешения доступа к документам, рабочим книгам и презентациям с помощью политик IRM. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. С помощью AD RMS и IRM отдельные пользователи могут применять свои личные настройки, касающиеся передачи личных и конфиденциальных сведений. Они также помогут организации применять корпоративную политику для управления использованием и распространением конфиденциальных и личных сведений. Решения IRM, поддерживаемые службами AD RMS, используются для обеспечения следующих возможностей.
Application ServerСервер приложений предоставляет интегрированную среду для развертывания и выполнения пользовательских бизнес-приложений на базе сервера. DHCP ServerDHCP - это технология "клиент-сервер", с помощью которой DHCP-серверы могут назначать или сдавать в аренду IP-адреса компьютерам и другим устройствам, являющимся DHCP-клиентами.Развертывание в сети DHCP-серверов обеспечивает автоматическое предоставление клиентским компьютерам и другим сетевым устройствам на базе IPv4 и IPv6 действительных IP-адресов и дополнительных конфигурационных параметров, необходимых данным клиентам и устройствам.Служба DHCP-сервера в Windows Server включает поддержку основанных на политике назначений и обработку отказов протокола DHCP. DNS ServerСлужба DNS - это иерархическая распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, таких как IP-адреса. Служба DNS позволяет использовать понятные имена, такие как www.microsoft.com, для облегчения нахождения компьютеров и других ресурсов в сетях, работающих на базе протокола TCP/IP. Служба DNS в Windows Server обеспечивает дополнительную улучшенную поддержку Модулей безопасности DNS (DNSSEC), включая регистрацию в сети и автоматизированное управление параметрами. FAX ServerФакс-сервер отправляет и получает факсы, а также дает возможность управлять ресурсами факса, такими как задания, настройки, отчеты и факс-устройства на вашем факс-сервере. File and Storage ServicesАдминистраторы могут использовать роль "Файловые службы и службы хранилища" для настройки нескольких файловых серверов и их хранилищ, а также для управления этими серверами с помощью диспетчера серверов или Windows PowerShell. Некоторые конкретные приложения включают следующие функции.
Hyper-VРоль Hyper-V позволяет создавать виртуализованную вычислительную среду с помощью технологии виртуализации, встроенной в Windows Server, и управлять ею. При установке роли Hyper-V выполняется установка необходимых компонентов, а также необязательных средств управления. В число необходимых компонентов входят низкоуровневая оболочка Windows, служба управления виртуальными машинами Hyper-V, поставщик виртуализации WMI и компоненты виртуализации, такие как шина VMbus, поставщик службы виртуализации (VSP) и драйвер виртуальной инфраструктуры (VID). Network Policy and Access ServicesСлужбы сетевой политики и доступа предоставляют следующие решения для сетевых подключений:
Print and Document ServicesСлужбы печати и документов позволяют централизовать задачи сервера печати и сетевого принтера. Эта роль также позволяет получать отсканированные документы с сетевых сканеров и передавать документы в общие сетевые ресурсы - на сайт Windows SharePoint Services или по электронной почте. Remote AccessРоль сервера удаленного доступа представляет собой логическую группу следующих технологий сетевого доступа.
Эти технологии являются службами ролей роли сервера удаленного доступа. При установке роли сервера удаленного доступа можно установить одну или несколько служб ролей, запустив мастер добавления ролей и компонентов. В Windows Server роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN со службой маршрутизации и удаленного доступа (RRAS). DirectAccess и RRAS можно развернуть на одном пограничном сервере и управлять ими с помощью команд Windows PowerShell и консоли управления (MMC) удаленного доступа. Remote Desktop ServicesСлужбы удаленных рабочих столов ускоряют и расширяют развертывание рабочих столов и приложений на любом устройстве, повышая эффективность удаленного работника, одновременно обеспечивая безопасность критически важной интеллектуальной собственности и упрощая соответствие нормативным требованиям. Службы удаленных рабочих столов включают инфраструктуру виртуальных рабочих столов (VDI), рабочие столы на основе сеансов и приложения, предоставляя пользователям возможность работать в любом месте. Volume Activation ServicesСлужбы активации корпоративных лицензий - это роль сервера в Windows Server начиная с Windows Server 2012, которая позволяет автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение Microsoft, а также управление такими лицензиями в различных сценариях и средах. Вместе со службами активации корпоративных лицензий можно установить и настроить службу управления ключами (KMS) и активацию с помощью Active Directory. Web Server (IIS)Роль веб-сервера (IIS) в Windows Server обеспечивает платформу для размещения веб-узлов, служб и приложений. Использование веб-сервера обеспечивает доступ к информации пользователям в Интернете, интрасети и экстрасети. Администраторы могут использовать роль веб-сервера (IIS) для настройки и управления несколькими веб-сайтами, веб-приложениями и FTP-сайтами. В число специальных возможностей входят следующие.
Windows Deployment ServicesСлужбы развертывания Windows позволяют развертывать операционные системы Windows по сети, что означает возможность не устанавливать каждую операционную систему непосредственно с компакт-диска или DVD-диска. Windows Server Essentials ExperienceДанная роль позволяет решать следующие задачи:
Windows Server Update ServicesСервер WSUS предоставляет компоненты, которые необходимы администраторам для управления обновлениями и их распространения через консоль управления. Кроме того, сервер WSUS может быть источником обновлений для других серверов WSUS в организации. При реализации служб WSUS хотя бы один сервер служб WSUS в сети должен быть подключен к Центру обновления Майкрософт для получения информации о доступных обновлениях. В зависимости от безопасности сети и ее конфигурации администратор может определить, сколько других серверов напрямую подключено к Центру обновления Майкрософт. Привет. Не можешь самостоятельно зарегистрировать себе аккаунт? Не нашли ответ на вопрос?Пишите в комментарии ответ выдам. ) Для чего предназначен OOC чат? 2) Что подразумевается под термином ролевая игра? 3) Если какая либо ситуация складывается не в вашу пользу (убийство/грабеж). Ваши действия? 2) Вы получили деньги от читера, что вы будете делать? 3) Вы имеете право убить офицера полиции? 1) Разрешено ли проводить проезд мимо с водительского места? 4) Разрешены ли ники знаменитостей и героев фильмов/сериалов/мультфильмов? 5) Во время перестрелки технически убили троих персонажей, но спустя некоторое время эти же самые персонажи уже снова играли свои роли. К какому типу убийств это относится? 7) В вас стреляют, но вы не хотите умирать, и поэтому... 2) Имеете ли вы право пользоваться Bunny-Hop"ом? 7) Что вы сделаете, если у вас есть предложение по развитию сервера? 3) Является ли обязательным отписывать действия при использовании малогабаритного оружия? 2) Вы впервые на сервере и совсем не знаете команд, что вы будете делать? 3) Для чего предназначена команда /coin? 1) Что такое Metagaming? 6) Игрок, чей персонаж был технически убит во время перестрелки, решил отомстить обидчикам и без всяких ролевых причин убил одного из оппонентов. Какие нарушения здесь со стороны игрока? 10) Разрешёно ли пополнять количество здоровья во время драки\перестрелки? 8) Разрешён ли огонь по сотрудникам LSPD и чем он чреват? 6) Какая максимальная сумма для ограбления, которая не требует проверок администрации? 9) Какие языки можно использовать на нашем сервере? 7) После долгой и тщательной подготовки, киллер выполнил заказ - он убил. План был просчитан до мелочей, в следствии этого заказчик щедро заплатил. Что в этом случае засчитывается жертве? 9) Разрешён ли угон правительственных автомобилей? 8) В каких случаях вы можете отыгрывать сексуальное насилие и жестокость? 10) Что нужно делать, если вы считаете, что игра идёт не по правилам? 7) Сколько наигранных часов должно быть у игрока для того, чтобы его можно было ограбить? 8) Укажите правильное использование команды /coin. После: 8) Укажите правильное использования команды /me: ПРОДАЖА ВИРТУАЛЬНОЙ ВАЛЮТА НА СЕРВЕРАХ PACIFIC COAST PROJECT И GRINCH ROLE PLAY. При установке Windows большая часть второстепенных подсистем не активируется или не устанавливается. Это сделано по причинам безопасности. Поскольку система по умолчанию защищена, системные администраторы могут сосредоточиться на проектировании системы, которая будет выполнять исключительно возложенные на нее функции и ничего лишнего. Для помощи при включении нужных функций, Windows предлагает выбрать роль сервера (Server Role). РолиРоль сервера - это набор программ, которые при правильной установке и настройке позволяют компьютеру выполнять определенную функцию для нескольких пользователей или других компьютеров в сети. В общих случаях все роли имеют следующие характеристики.
Службы ролейСлужбы ролей - это программы, которые обеспечивают функциональные возможности роли. При установке роли можно выбрать, какие службы она предоставляет другим пользователям и компьютерам на предприятии. Некоторые роли, такие как DNS-сервер, выполняют только одну функцию, поэтому для них нет служб ролей. Другие роли, такие как службы удаленных рабочих столов, имеют несколько служб, которые можно установить в зависимости от потребностей предприятия в удаленном доступе. Роль можно рассматривать как совокупность тесно связанных, взаимодополняющих служб ролей. В большинстве случаев установка роли означает установку одной или нескольких ее служб. Компоненты Компоненты - это программы, которые не являются непосредственно частями ролей, но поддерживают или расширяют функции одной или нескольких ролей либо целого сервера независимо от того, какие роли установлены. Например, компонент «Средство отказоустойчивости кластеров» расширяет функции других ролей, таких как Файловые службы и DHCP-сервер, позволяя им присоединяться к серверным кластерам, что обеспечивает повышенную избыточность и производительность. Другой компонент - «Клиент Telnet» - обеспечивает удаленную связь с сервером Telnet через сетевое подключение. Эта функция расширяет возможности связи для сервера. Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие роли сервера:
Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие компоненты сервера:
Установка ролей сервера с помощью Server ManagerДля добавления открываем Server Manager, и в меню Manage жмем Add Roles and features: Откроется мастер добавления ролей и компонентов. Жмем Next Installation Type, выбираем Role-based or feature-based installation. Next: Server Selection - выбираем наш сервер. Жмем Next Server Roles - Выберите роли, если необходимо, выберите службы ролей и нажмите кнопку Next, чтобы выбрать компоненты. В ходе этой процедуры Мастер добавления ролей и компонентов автоматически информирует о возникших конфликтах на конечном сервере, которые могут помешать установке или нормальной работе выбранных ролей или компонентов. Также появляется запрос на добавление ролей, служб ролей и компонентов, необходимых для выбранных ролей или компонентов. Установка ролей с помощью PowerShellОткрываем Windows PowerShell Вводим команду Get-WindowsFeature, чтобы просмотреть список доступных и установленных ролей и компонентов на локальном сервере. Результаты выполнения этого командлета содержат имена команд для ролей и компонентов, установленных и доступных для установки. Введите Get-Help Install-WindowsFeature для просмотра синтаксиса и допустимых параметров командлета Install-WindowsFeature (MAN). Вводим следующую команду (-Restart перезагрузит сервер, если при установке роли требуется перезагрузка). Install-WindowsFeature –Name -Restart Описание ролей и служб ролейНиже описаны все роли и службы ролей. Расширенную настройку посмотрим для самых часто встречающихся в нашей практике Web Server Role и Remote Desktop Services Подробное описание IIS
Подробное описание RDS
Рассмотрим установку и настройку сервера терминальных лицензий. Выше рассказано как устанавливать роли, установка RDS не отличается от установки других ролей, в Role Services нам потребуется выбрать Remote Desktop Licensing и Remote Desktop Session Host. После установки в Server Manager-Tools появится пункт Terminal Services. В Terminal Services есть два пункта RD Licensing Diagnoser, это средство диагностики работы лицензирования удаленных рабочих столов, и Remote Desktop Licensing Manager, это средство управления лицензиями. Запустим RD Licensing Diagnoser Здесь мы видим, что доступных лицензий пока нет, т. к. не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов. Сервер лицензирования указывается в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc. Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:
Откроем параметры Use the specified Remote Desktop license servers В окне редактирования параметров политики включаем сервер лицензирования (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем OK. Если в дальнейшем будет изменяться имя сервера, сервер лицензий, то потребуется изменить в этом же разделе. После этого в RD Licensing Diagnoser можно увидеть, что сервер терминальных лицензий настроен, но не включен. Для включения запускаем Remote Desktop Licensing Manager Выбираем сервер лицензирования, со статусом Not Activated . Для активации кликаем по нему правой кнопкой мыши и выбираем Activate Server. Запустится Мастер активации сервера. На вкладке Connection Method выбираем Automatic Connection. Далее заполняем информация об организации, после этого сервер лицензий активирован. Active Directory Certificate ServicesСлужбы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами. Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:
AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу. В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи. Active Directory Domain ServicesИспользуя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server. Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене. Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Доменные службы Active Directory предоставляют следующие дополнительные возможности.
Active Directory Federation ServicesAD FS предоставляют конечным пользователям, которым требуется доступ к приложениям на защищенном с помощью AD FS предприятии, в партнерских организациях федерации или в облаке, возможности упрощенной и безопасной федерации удостоверений и веб-службы единого входа (SSO) В Windows Server AD FS включают службу роли службы федерации, действующую в качестве поставщика удостоверений (выполняет проверку подлинности пользователей для предоставления маркеров безопасности для приложений, доверяющих AD FS) или в качестве поставщика федерации (применяет маркеры от других поставщиков удостоверений и затем предоставляет маркеры безопасности для приложений, доверяющих AD FS). Active Directory Lightweight Directory ServicesСлужбы Active Directory облегченного доступа к каталогам (AD LDS) - это протокол LDAP, который обеспечивает гибкую поддержку приложений, работающих с каталогами, без зависимостей и связанных с доменами ограничений доменных служб Active Directory. AD LDS можно запускать на рядовых или изолированных серверах. На одном сервере можно запустить несколько экземпляров AD LDS с независимо управляемыми схемами. С помощью роли службы AD LDS можно предоставить службы каталогов для приложений с поддержкой каталогов, не используя служебные данные доменов и лесов и не требуя единой схемы для всего леса. Active Directory Rights Management ServicesСлужбы AD RMS можно использовать, чтобы расширить стратегию безопасности в организации, обеспечив защиту документов с помощью управления правами на доступ к данным (IRM). AD RMS позволяет пользователям и администраторам назначать разрешения доступа к документам, рабочим книгам и презентациям с помощью политик IRM. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. С помощью AD RMS и IRM отдельные пользователи могут применять свои личные настройки, касающиеся передачи личных и конфиденциальных сведений. Они также помогут организации применять корпоративную политику для управления использованием и распространением конфиденциальных и личных сведений. Решения IRM, поддерживаемые службами AD RMS, используются для обеспечения следующих возможностей.
Application ServerСервер приложений предоставляет интегрированную среду для развертывания и выполнения пользовательских бизнес-приложений на базе сервера. DHCP ServerDHCP - это технология "клиент-сервер", с помощью которой DHCP-серверы могут назначать или сдавать в аренду IP-адреса компьютерам и другим устройствам, являющимся DHCP-клиентами.Развертывание в сети DHCP-серверов обеспечивает автоматическое предоставление клиентским компьютерам и другим сетевым устройствам на базе IPv4 и IPv6 действительных IP-адресов и дополнительных конфигурационных параметров, необходимых данным клиентам и устройствам.Служба DHCP-сервера в Windows Server включает поддержку основанных на политике назначений и обработку отказов протокола DHCP. DNS ServerСлужба DNS - это иерархическая распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, таких как IP-адреса. Служба DNS позволяет использовать понятные имена, такие как www.microsoft.com, для облегчения нахождения компьютеров и других ресурсов в сетях, работающих на базе протокола TCP/IP. Служба DNS в Windows Server обеспечивает дополнительную улучшенную поддержку Модулей безопасности DNS (DNSSEC), включая регистрацию в сети и автоматизированное управление параметрами. FAX ServerФакс-сервер отправляет и получает факсы, а также дает возможность управлять ресурсами факса, такими как задания, настройки, отчеты и факс-устройства на вашем факс-сервере. File and Storage ServicesАдминистраторы могут использовать роль "Файловые службы и службы хранилища" для настройки нескольких файловых серверов и их хранилищ, а также для управления этими серверами с помощью диспетчера серверов или Windows PowerShell. Некоторые конкретные приложения включают следующие функции.
Hyper-VРоль Hyper-V позволяет создавать виртуализованную вычислительную среду с помощью технологии виртуализации, встроенной в Windows Server, и управлять ею. При установке роли Hyper-V выполняется установка необходимых компонентов, а также необязательных средств управления. В число необходимых компонентов входят низкоуровневая оболочка Windows, служба управления виртуальными машинами Hyper-V, поставщик виртуализации WMI и компоненты виртуализации, такие как шина VMbus, поставщик службы виртуализации (VSP) и драйвер виртуальной инфраструктуры (VID). Network Policy and Access ServicesСлужбы сетевой политики и доступа предоставляют следующие решения для сетевых подключений:
Print and Document ServicesСлужбы печати и документов позволяют централизовать задачи сервера печати и сетевого принтера. Эта роль также позволяет получать отсканированные документы с сетевых сканеров и передавать документы в общие сетевые ресурсы - на сайт Windows SharePoint Services или по электронной почте. Remote AccessРоль сервера удаленного доступа представляет собой логическую группу следующих технологий сетевого доступа.
Эти технологии являются службами ролей роли сервера удаленного доступа. При установке роли сервера удаленного доступа можно установить одну или несколько служб ролей, запустив мастер добавления ролей и компонентов. В Windows Server роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN со службой маршрутизации и удаленного доступа (RRAS). DirectAccess и RRAS можно развернуть на одном пограничном сервере и управлять ими с помощью команд Windows PowerShell и консоли управления (MMC) удаленного доступа. Remote Desktop ServicesСлужбы удаленных рабочих столов ускоряют и расширяют развертывание рабочих столов и приложений на любом устройстве, повышая эффективность удаленного работника, одновременно обеспечивая безопасность критически важной интеллектуальной собственности и упрощая соответствие нормативным требованиям. Службы удаленных рабочих столов включают инфраструктуру виртуальных рабочих столов (VDI), рабочие столы на основе сеансов и приложения, предоставляя пользователям возможность работать в любом месте. Volume Activation ServicesСлужбы активации корпоративных лицензий - это роль сервера в Windows Server начиная с Windows Server 2012, которая позволяет автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение Microsoft, а также управление такими лицензиями в различных сценариях и средах. Вместе со службами активации корпоративных лицензий можно установить и настроить службу управления ключами (KMS) и активацию с помощью Active Directory. Web Server (IIS)Роль веб-сервера (IIS) в Windows Server обеспечивает платформу для размещения веб-узлов, служб и приложений. Использование веб-сервера обеспечивает доступ к информации пользователям в Интернете, интрасети и экстрасети. Администраторы могут использовать роль веб-сервера (IIS) для настройки и управления несколькими веб-сайтами, веб-приложениями и FTP-сайтами. В число специальных возможностей входят следующие.
Windows Deployment ServicesСлужбы развертывания Windows позволяют развертывать операционные системы Windows по сети, что означает возможность не устанавливать каждую операционную систему непосредственно с компакт-диска или DVD-диска. Windows Server Essentials ExperienceДанная роль позволяет решать следующие задачи:
Windows Server Update ServicesСервер WSUS предоставляет компоненты, которые необходимы администраторам для управления обновлениями и их распространения через консоль управления. Кроме того, сервер WSUS может быть источником обновлений для других серверов WSUS в организации. При реализации служб WSUS хотя бы один сервер служб WSUS в сети должен быть подключен к Центру обновления Майкрософт для получения информации о доступных обновлениях. В зависимости от безопасности сети и ее конфигурации администратор может определить, сколько других серверов напрямую подключено к Центру обновления Майкрософт. Введение С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут. Объекты групповых политик Все настройки, которые вы создадите в рамках групповых политик, будут храниться в объектах групповой политики (Group Policy Object, GPO). Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен. Объект групповой политики - это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: Default Domain Policy и Default Domain Controller Policy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU Domain Controllers и повышает настройки безопасности для контроллеров домена. Создание объекта групповой политики Для того чтобы создать политику (то есть фактически создать новый объект групповой политики), открываем Active Directory Users & Computers и выбираем, где создать новый объект. Создавать и привязывать объект групповой политики можно только к объекту сайта, домена или OU. Рис. 1. Создание объекта групповой политики. Чтобы создать GPO и связать его, например, с OU testers щёлкаем правой кнопкой мыши на этом OU и в контекстном меню выбираем properties. В открывшемся окне свойств открываем вкладку Group Policy и нажимаем New. Рис. 2. Создание объекта групповой политики. Даём название объекту GP, после чего объект создан, и можно приступать к конфигурированию политики. Дважды щёлкаем на созданном объекте или нажимаем кнопку Edit, откроется окно редактора GPO, где вы можете настроить конкретные параметры объекта. Рис. 3. Описание настроек во вкладке Extended. Большинство основных настроек интуитивно понятны (к тому же имеют описание, если открыть вкладку Extended), и мы не будем подробно останавливаться на каждой. Как видно из рис. 3, GPO состоит из двух разделов: Computer Configuration и User Configuration. Настройки первого раздела применяются во время загрузки Windows к компьютерам, находящимся в этом контейнере и ниже (если не отменено наследование), и не зависят от того, какой пользователь вошел в систему. Настройки второго раздела применяются во время входа пользователя в систему. Порядок применения объектов групповой политики Когда компьютер запускается, происходят следующие действия: 1. Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте. Групповые политики применяются при загрузке OC и при входе пользователя в систему. Затем они применяются каждые 90 минут, с вариацией в 30 минут для исключения перегрузки контроллера домена в случае одновременного запроса большого количества клиентов. Для контроллеров домена интервал обновления составляет 5 минут. Изменить это поведение можно в разделе Computer Configuration\Administrative Templates\System\Group Policy. Объект групповой политики может действовать только на объекты «компьютер» и «пользователь». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). Например: Объект GPO создан в OU testers (как мы сделали выше). Рис. 4. Наследование настроек. Все настройки, сделанные в этом GPO, будут действовать только на пользователей и компьютеры, находящиеся в OU testers и OU InTesters. Рассмотрим порядок применения политик на примере. Пользователь test, расположенный в OU testers, входит на компьютер comp, находящийся в OU compOU (см. рис. 5). Рис. 5. Порядок применения политик. В домене существуют четыре GPO: 1. SitePolicy, связанный с контейнером сайта; При загрузке Windows на рабочей станции comp, параметры, определённые в разделах Computer Configuration, применяются в таком порядке: 1. Параметры локального GPO; 4. Параметры GPO Policy2. При входе пользователя test на компьютер comp - параметры, определенные в разделах User Configuration: 1. Параметры локального GPO; То есть GPO применяются в таком порядке: локальные политики, политики уровня сайта, политики уровня домена, политики уровня OU. Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 - синхронно, то есть пользовательский экран входа появляется только после применения всех политик компьютера, а политики пользователя применяются до того, как появился рабочий стол. Асинхронное применение политик означает, что пользовательский экран входа появляется раньше, чем успевают примениться все политики компьютера, а рабочий стол - раньше, чем применятся все пользовательские политики, что приводит к ускорению загрузки и входа пользователя. 1. Merge (соединить) - сначала применяется компьютерная политика, затем пользовательская и снова компьютерная. При этом компьютерная политика заменяет противоречащие ей параметры пользовательской политики своими. Проиллюстрировать применение параметра User Group policy loopback processing можно, например, на общедоступном компьютере, на котором необходимо иметь одни и те же ограниченные настройки, независимо от того, какой пользователь им пользуется. Приоритетность, наследование и разрешение конфликтов Как вы уже заметили, на всех уровнях объекты групповой политики содержат одинаковые параметры настройки, и один и тот же параметр может быть определён на нескольких уровнях по-разному. В таком случае действующим значением будет применившееся последним (о порядке применения объектов групповой политики говорилось выше). Это правило распространяется на все параметры, кроме определённых как not configured. Для этих параметров Windows не предпринимает никаких действий. Но есть одно исключение: все параметры настройки учётных записей и паролей могут быть определены только на уровне домена, на остальных уровнях эти настройки будут проигнорированы. Рис. 6. Active Directory Users and Computers. Если на одном уровне расположены несколько GPO, то они применяются «снизу вверх». Изменяя положение объекта политик в списке (кнопками Up и Down), можно выбрать необходимый порядок применения. Рис. 7. Порядок применения политик. Иногда нужно, чтобы определённая OU не получала параметры политик от GPO, связанных с вышестоящими контейнерами. В этом случае нужно запретить наследование политик, поставив флажок Block Policy inheritance (Блокировать наследование политик). Блокируются все наследуемые параметры политик, и нет способа блокировать отдельные параметры. Параметры настройки уровня домена, определяющие политику паролей и политику учетных записей, не могут быть заблокированы. Рис. 9. Блокирование наследования политик. В случае если требуется, чтобы определённые настройки в данном GPO не перезаписывались, следует выбрать нужный GPO, нажать кнопку Options и выбрать No Override. Эта опция предписывает применять параметры GPO там, где заблокировано наследование политик. No Override устанавливается в том месте, где GPO связывается с объектом каталога, а не в самом GPO. Если GPO связан с несколькими контейнерами в домене, то для остальных связей этот параметр не будет сконфигурирован автоматически. В случае если параметр No Override сконфигурирован для нескольких связей на одном уровне, приоритетными (и действующими) будут параметры GPO, находящегося вверху списка. Если же параметры No Override сконфигурированы для нескольких GPO, находящихся на разных уровнях, действующими будут параметры GPO, находящегося выше в иерархии каталога. То есть, если параметры No override сконфигурированы для связи GPO с объектом домена и для связи с GPO объектом OU, действующими будут параметры, определённые на уровне домена. Галочка Disabled отменяет действие этого GPO на данный контейнер. Рис. 10. Опции No Override и Disabled. Как уже было сказано выше, политики действуют только на пользователей и компьютеры. Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на всех пользователей, входящих в определенную группу безопасности?». Для этого GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы) и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group Policy. Определение настроек, действующих на компьютер пользователя Для определения конечной конфигурации и выявления проблем вам потребуется знать, какие настройки политик действуют на данного пользователя или компьютер в данный момент. Для этого существует инструмент Resultant Set of Policy (результирующий набор политик, RSoP). RSoP может работать как в режиме регистрации, так и в режиме планирования. Для того чтобы вызвать RSoP, следует нажать правой кнопкой на объекте «пользователь» или «компьютер» и выбрать All Tasks. Рис. 11. Вызов инструмента Resultant Set of Policy. После запуска (в режиме регистрации, logging) вас попросят выбрать, для какого компьютера и пользователя определить результирующий набор, и появится окно результирующих настроек с указанием, из какого GPO какой параметр применился. Рис. 12. Resultant Set of Policy. Другие инструменты управления групповыми политиками GPResult - это инструмент командной строки, обеспечивающий часть функционала RSoP. GPResult есть по умолчанию на всех компьютерах с Windows XP и Windows Server 2003. GPUpdate принудительно запускает применение групповых политик - как локальных, так и основанных на Active Directory. В Windows XP/2003 пришла на смену параметру /refreshpolicy в инструменте secedit для Windows 2000. Описание синтаксиса команд доступно при запуске их с ключём /?. Вместо заключения Данная статья не преследует цели объяснить все аспекты работы с групповыми политиками, она не ориентирована на опытных системных администраторов. Все вышеизложенное, по моему мнению, лишь должно как-то помочь понять основные принципы работы с политиками тем, кто никогда не работал с ними, либо только начинает осваивать. Утилита GPResult .exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами. В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory. Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы). Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions - CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult). Использование утилиты GPResult.exeКоманда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис: GPRESULT ]] [(/X | /H) ] Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду: Результаты выполнения команды разделены на 2 секции:
Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:
В нашем примере видно, что на объект пользователя действуют 4 групповые политики.
Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя: gpresult /r /scope:user или только примененные политики компьютера: gpresult /r /scope:computer Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена: Gpresult /r |clip или текстовый файл: Gpresult /r > c:\gpresult.txt Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z. HTML отчет RSOP с помощью GPResultКроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды: GPResult /h c:\gp-report\report.html /f Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду: GPResult /h GPResult.html & GPResult.html В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время обработки (в мс.) и применения конкретных политик и CSE (в разделе Computer Details -> Component Status). Например, на скриншоте выше видно, что политика с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO). Как вы видите, такой отчет HTML намного удобнее для анализа применённых политик, чем консоль rsop.msc. Получение данных GPResult с удаленного компьютераGPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой: GPResult /s server-ts1 /r Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера. Пользователь username не имеет данных RSOPПри включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать. Если командная строка с повышенными привилегиями отличной от текущего пользователя системы, утилита выдаст предупреждение INFO : The user “domain \user ” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись: gpresult /r /user:tn\edward Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так: qwinsta /SERVER:remotePC1 Также проверьте время (и) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller). Следующие политики GPO не были применены, так как они отфильтрованыПри траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться: Также вы можете понять должна ли применяться политика к конкретному объекту AD на вкладке эффективных разрешений (Advanced -> Effective Access). Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования. Функционал в операционной системе Windows Server расчет и улучшается от версии к версии, ролей и компонентов становится все больше, поэтому в сегодняшнем материале я попытаюсь кратко рассказать описание и назначение каждой роли в Windows Server 2016 . Прежде чем переходить к описанию серверных ролей Windows Server, давайте узнаем, что же вообще такое «Роль сервера » в операционной системе Windows Server. Что такое «Роль сервера» в Windows Server?Роль сервера (Server Role) – это программный комплекс, который обеспечивает выполнение сервером определённой функции, и данная функция является основной. Другими словами, «Роль сервера » - это назначение сервера, т.е. для чего он нужен. Чтобы сервер мог выполнять свою основную функцию, т.е. определённую роль, в «Роль сервера » включено все необходимое для этого программное обеспечение (программы, службы ). У сервера может быть одна роль, если она активно используется, или несколько, если каждая из них не сильно нагружает сервер и используется редко. В роль сервера может включаться несколько служб роли, которые и обеспечивают функциональные возможности роли. Например, в роль сервера «Веб-сервер (IIS) » включено достаточно большое количество служб, а в роль «DNS-сервер » не входят службы роли, так как данная роль выполняет только одну функцию. Службы ролей могут быть установлены все вместе или по отдельности в зависимости от Ваших потребностей. По своей сути установка роли означает установку одной или нескольких ее служб. В Windows Server также существуют и «Компоненты » сервера. Компоненты сервера (Feature) – это программные средства, которые не являются ролью сервера, но расширяют возможности одной или нескольких ролей, или управляют одной или несколькими ролями. Некоторые роли не могут быть установлены, если на сервере не установлены обязательные службы или компоненты, которые необходимы для функционирования данных ролей. Поэтому в момент установки таких ролей «Мастер добавления ролей и компонентов » сам, автоматически предложит Вам установить нужные, дополнительные службы ролей или компоненты. Описание серверных ролей Windows Server 2016Со многими ролями, которые есть в Windows Server 2016, наверное, Вы уже знакомы, так как они существуют уже достаточно долгое время, но как я уже сказал, с каждой новой версией Windows Server добавляются новые роли, с которыми возможно Вы еще не работали, но хотели бы узнать, для чего они нужны, поэтому давайте приступать к их рассмотрению. Примечание! О новых возможностях операционной системы Windows Server 2016 можете прочитать в материале «Установка Windows Server 2016 и обзор новых возможностей » . Так как очень часто установка и администрирование ролей, служб и компонентов происходит с использованием Windows PowerShell , я для каждой роли и ее службы буду указывать название, которое можно использовать в PowerShell, соответственно для ее установки или для управления. DHCP-серверЭта роль позволяет централизованно настраивать динамические IP-адреса и связанные с ними параметры компьютерам и устройствам в сети. У роли DHCP-сервер нет служб роли. Название для Windows PowerShell – DHCP. DNS-серверДанная роль предназначена для разрешения имен в сетях TCP/IP. Роль DNS-сервер обеспечивает и поддерживает работу DNS. Для упрощения управления DNS-сервером его обычно устанавливают на том же сервере, что и доменные службы Active Directory. У роли DNS-сервер нет служб роли. Название роли для PowerShell - DNS. Hyper-VС помощью роли Hyper-V можно создавать виртуализованную среду и управлять ею. Другими словами, это инструмент для создания и управления виртуальными машинами. Название роли для Windows PowerShell - Hyper-V. Аттестация работоспособности устройствРоль « » позволяет оценивать работоспособность устройства на основе измеренных показателей параметров безопасности, например, показатели состояния безопасной загрузки и средства Bitlocker на клиенте. Для функционирования данной роли необходимо достаточно много служб ролей и компонентов, например: несколько служб из роли «Веб-сервер (IIS) », компонент « », компонент «Функции.NET Framework 4.6 ». Во время установки все необходимые службы ролей и компоненты будут выбраны автоматически. У роли «Аттестация работоспособности устройств » своих служб роли нет. Название для PowerShell – DeviceHealthAttestationService. Веб-сервер (IIS)Предоставляет надежную, управляемую и масштабируемую инфраструктуру веб-приложений. Состоит из достаточно большого количества служб (43). Название для Windows PowerShell - Web-Server. Включает следующие службы роли (в скобочках я буду указывать название для Windows PowerShell ): Веб – сервер (Web-WebServer) – группа служб роли, которая предоставляет поддержку веб-сайтов HTML, расширений ASP.NET, ASP и веб-сервера. Состоит из следующих служб:
FTP - сервер (Web-Ftp-Server) – службы, которые обеспечивают поддержку протокола FTP. Более подробно о FTP сервере мы говорили в материале – «Установка и настройка FTP сервера на Windows Server 2016 ». Содержит следующие службы:
Средства управления (Web-Mgmt-Tools) – это средства управления веб-сервером IIS 10. К ним можно отнести: пользовательский интерфейс IIS, средства командной строки и скрипты.
Доменные службы Active DirectoryРоль «Доменные службы Active Directory » (AD DS) обеспечивает распределенную базу данных, которая хранит и обрабатывает информацию о сетевых ресурсах. Данную роль используют для организации элементов сети, таких как пользователи, компьютеры и другие устройства, в иерархическую структуру защитной оболочки. Иерархическая структура включает в себя леса, домены в лесу, а также организационные единицы (OU) в каждом домене. Сервер, работающий под управлением AD DS, называется контроллером домена. Название роли для Windows PowerShell - AD-Domain-Services. Режим Windows Server EssentialsДанная роль представляет собой компьютерную инфраструктуру и предоставляет удобные и эффективные функции, например: хранение данных клиента в централизованном месте и защита этих данных за счет резервного копирования сервера и клиентских компьютеров, удаленный веб-доступ, позволяющий получать доступ к данным практически с любого устройства. Для работы данной роли необходимо несколько служб ролей и компонентов, например: компоненты BranchCache, система архивации Windows Server, управление групповой политикой, служба роли «Пространства имен DFS ». Название для PowerShell – ServerEssentialsRole. Сетевой контроллерЭто роль появилась в Windows Server 2016, она представляет собой единую точку автоматизации для управления, мониторинга и диагностики, физической и виртуальной сетевой инфраструктуры в центре обработки данных. С помощью данной роли можно из одной точки настраивать IP-подсети, VLAN, физические сетевые адаптеры Hyper-V хостов, управлять виртуальными коммутаторами, физическими маршрутизаторами, настройками файрвола и VPN-шлюзами. Название для Windows PowerShell – NetworkController. Служба опекуна узлаЭто роль сервера размещенной службы Guardian (HGS), она предоставляет службы аттестации и защиты ключей, которые позволяют защищенным узлам запускать экранированные виртуальные машины. Для функционирования данной роли необходимо несколько дополнительных ролей и компонентов, например: доменные службы Active Directory, Веб-сервер (IIS), компонент «Отказоустойчивая кластеризация » и другие. Название для PowerShell – HostGuardianServiceRole. Службы Active Directory облегченного доступа к каталогамРоль «Службы Active Directory облегченного доступа к каталогам » (AD LDS) – представляет собой облегченную версию AD DS, которая обладает меньшей функциональностью, но не требует развертывания доменов или контроллеров доменов, а также не имеет зависимостей и доменных ограничений, которые требуются для служб AD DS. AD LDS работает по протоколу LDAP (Lightweight Directory Access Protocol ). На одном сервере можно развернуть несколько экземпляров AD LDS с независимо управляемыми схемами. Название для PowerShell – ADLDS. Службы MultiPointЭто также новая роль, которая появилась в Windows Server 2016. Службы MultiPoint (MPS) предоставляют базовую функциональность удаленных рабочих столов, что позволяет нескольким пользователям одновременно и независимо друг от друга работать на одном и том же компьютере. Для установки и функционирования данной роли нужно установить несколько дополнительных служб и компонентов, например: Сервер печати, службу Windows Search, средство просмотра XPS и другие, все они будут выбраны автоматически в момент установки MPS. Название роли для PowerShell – MultiPointServerRole. Службы Windows Server Update ServicesС помощью этой роли (WSUS) системные администраторы могут управлять обновлениями Microsoft. Например, создавать отдельные группы компьютеров для разных наборов обновлений, а также получать отчеты о соответствии компьютеров требованиям и обновлениях, которые требуется установить. Для функционирования «Службы Windows Server Update Services » нужны такие службы ролей и компоненты как: Веб-сервер (IIS), внутренняя база данных Windows, служба активации процессов Windows. Название для Windows PowerShell – UpdateServices.
Службы активации корпоративных лицензийС помощью этой роли сервера можно автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение от компании Microsoft, а также она позволяет управлять этими лицензиями. Название для PowerShell – VolumeActivation. Службы печати и документовЭта роль сервера предназначена для предоставления общего доступа к принтерам и сканерам в сети, для централизованной настройки и управления серверами печати и сканирования, а также управления сетевыми принтерами и сканерами. Службы печати и документов также позволяет отправлять отсканированные документы по электронной почте, в общие сетевые папки или на сайты Windows SharePoint Services. Название для PowerShell – Print-Services.
Службы политики сети и доступаРоль « » (NPAS) позволяет с помощью сервера политики сети (NPS) задавать и применять политики доступа к сети, проверки подлинности и авторизации, а также работоспособности клиента, другими словами, обеспечивать безопасность сети. Название для Windows PowerShell – NPAS. Службы развертывания WindowsС помощью этой роли можно удаленно устанавливать операционной системы Windows по сети. Название роли для PowerShell – WDS.
Службы сертификатов Active DirectoryЭта роль предназначена для создания центров сертификации и связанных служб ролей, которые позволяют выдавать сертификаты для различных приложений и управлять такими сертификатами. Название для Windows PowerShell – AD-Certificate. Включает следующие службы роли:
Службы удаленных рабочих столовРоль сервера, с помощью которой можно организовать доступ к виртуальным рабочим столам, к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp. Название роли для Windows PowerShell – Remote-Desktop-Services. Состоит из следующих служб:
Службы управления правами Active DirectoryЭто роль сервера, которая позволит Вам защитить информацию от несанкционированного использования. Она проверяет удостоверения пользователей и предоставляет авторизованным пользователям лицензии на доступ к защищенным данным. Для работы данной роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Служба активации процессов Windows », «Функции.NET Framework 4.6 ». Название для Windows PowerShell – ADRMS.
Службы федерации Active DirectoryДанная роль предоставляет упрощенные и безопасные возможности федерации удостоверений, а также функцию единого входа (SSO) на веб-сайты с помощью браузера. Название для PowerShell – ADFS-Federation. Удаленный доступДанная роль обеспечивает подключение через DirectAccess, VPN и прокси веб-приложения. Также роль «Удаленный доступ » предоставляет традиционные возможности маршрутизации, включая преобразование сетевых адресов (NAT) и другие параметры подключений. Для работы этой роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Внутренняя база данных Windows ». Название роли для Windows PowerShell – RemoteAccess.
Файловые службы и службы хранилищаЭто роль сервера, с помощью которой можно предоставлять общий доступ к файлам и папкам, управлять общими ресурсами и контролировать их, осуществлять репликацию файлов, обеспечивать быстрый поиск файлов, а также предоставлять доступ для клиентских компьютеров UNIX. Более подробно файловые службы и в частности файловый сервер мы рассматривали в материале «Установка файлового сервера (File Server) на Windows Server 2016 ». Название для Windows PowerShell – FileAndStorage-Services. Службы хранения (Storage-Services) – это служба предоставляет функциональность управления хранилищем, которая устанавливается всегда и не может быть удалена. Файловые службы и службы iSCSI (File-Services) – это технологии, которые упрощают управление файловыми серверами и хранилищами, позволяют экономить место на диске, обеспечивают репликацию и кэширование файлов в филиалах, а также предоставляют общий доступ к файлам по протоколу NFS. Включает следующие службы роли:
Факс-серверРоль отправляет и принимает факсы, а также позволяет управлять ресурсами факса, такими как задания, параметры, отчеты и факсимильные устройства, на этом компьютере или в сети. Для работы необходим «Сервер печати ». Название роли для Windows PowerShell – Fax. На этом обзор серверных ролей Windows Server 2016 закончен, надеюсь, материал был Вам полезен, пока! Перед разработкой сокетного сервера нужно создать сервер политики, сообщающий Silverlight, каким клиентам разрешено устанавливать соединение с сокетным сервером. Как было показано выше, Silverlight не разрешает загружать содержимое или вызывать веб-службу, если в домене нет файла clientaccesspolicy .xml или crossdomain. xml, в котором эти операции явно разрешены. Аналогичное ограничение налбжено и на сокетный сервер. Если не предоставить клиентскому устройству возможность загрузить файл clientaccesspolicy .xml, разрешающий отдаленный доступ, Silverlight откажется устанавливать соединение. К сожалению, предоставление файла clientaccesspolicy. cml сокетному приложению - более сложная задача, чем его предоставление посредством веб-сайта. При использовании веб-сайта программное обеспечение веб-сервера может предоставить файл clientaccesspolicy .xml, нужно лишь не забыть добавить его. В то же время при использовании сокетного приложения нужно открыть сокет, к которому клиентские приложения могут обращаться с запросами политики. Кроме того, нужно вручную создать код, обслуживающий сокет. Для решения этих задач необходимо создать сервер политики. Далее будет показано, что сервер политики работает так же, как сервер сообщений, он лишь обслуживает немного более простые взаимодействия. Серверы сообщений и политики можно создать отдельно или объединить в одном приложении. Во втором случае они должны прослушивать запросы в разных потоках. В рассматриваемом примере мы создадим сервер политики, а затем объединим его с сервером сообщений. Для создания сервера политики нужно сначала создать приложение.NET. В качестве сервера политики может служить приложение.NET любого типа. Проще всего применить консольное приложение. Отладив консольное приложение, можно переместить код в службу Windows, чтобы он постоянно выполнялся в фоновом режиме. Файл политики Ниже приведен файл политики, предоставляемый сервером политики. Файл политики определяет три правила. Разрешает доступ ко всем портам от 4502 до 4532 (это полный диапазон портов, поддерживаемых надстройкой Silverlight). Для изменения диапазона доступных портов нужно изменить значение атрибута port элемента. Разрешает доступ TCP (разрешение определено в атрибуте protocol элемента). Разрешает вызов из любого домена. Следовательно, приложение Silverlight, устанавливающее соединение, может хостироваться любым веб-сайтом. Для изменения этого правила нужно отредактировать атрибут uri элемента. Для облегчения задачи правила политики размещаются в файле clientaccess- ploi.cy.xml, добавляемом в проект. В Visual Studio параметру Copy to Output Directory (Копировать в выходную папку) файла политики нужно присвоить значение Сору Always (Всегда копировать). должен всего лишь найти файл на жестком диске, открыть его и вернуть содержимое клиентскому устройству. Класс PolicyServer Функциональность сервера политики основана на двух ключевых классах: PolicyServer и PolicyConnection. Класс PolicyServer обеспечивает ожидание соединений. Получив соединение, он передает управление новому экземпляру класса PoicyConnection, который передает файл политики клиенту. Такая процедура, состоящая из двух частей, часто встречается в сетевом программировании. Вы еще не раз увидите ее при работе с серверами сообщений. Класс PolicyServer загружает файл политики с жесткого диска и сохраняет его в поле как массив байтов. public class PolicyServer private byte policy; public PolicyServer(string policyFile) { Чтобы начать прослушивание, серверное приложение должно вызвать метод PolicyServer. Start (). Он создает объект TcpListener, который ожидает запросы. Объект TcpListener сконфигурирован на прослушивание порта 943. В Silverlight этот порт зарезервирован для серверов политики. При создании запросов на файлы политики приложение Silverlight автоматически направляет их в порт 943. private TcpListener listener; public void Start () // Создание прослушивающего объекта listener = new TcpListener(IPAddress.Any, 943); // Начало прослушивания; метод Start () возвращается II немедленно после вызова listener.Start(); // Ожидание соединения; метод возвращается немедленно; II ожидание выполняется в отдельном потоке Чтобы принять предлагаемое соединение, сервер политики вызывает метод BeginAcceptTcpClient (). Как все методы Beginxxx () инфраструктуры.NET, он возвращается немедленно после вызова, выполняя необходимые операции в отдельном потоке. Для сетевых приложений это весьма существенный фактор, потому что благодаря ему возможна одновременная обработка многих запросов на файлы политики. Примечание. Начинающие сетевые программисты часто удивляются, как можно обрабатывать более одного запроса одновременно, и думают, что для этого нужно несколько серверов. Однако это не так. При таком подходе клиентские приложений быстро исчерпали бы доступные порты. На практике серверные приложения обрабатывают многие запросы через один порт. Этот процесс невидим для приложений, потому что встроенная в Windows подсистема TCP автоматически идентифицирует сообщения и направляет их в соответствующие объекты в коде приложений. Каждое соединение уникально идентифицируется на основе четырех параметров: ІР-адрес клиента, номер порта клиента, ІР-адрес сервера и номер порта сервера. При каждом запросе запускается метод обратного вызова OnAcceptTcpClient (). Он опять вызывает метод BeginAcceptTcpClient О, чтобы начать ожидание следующего запроса в другом потоке, и после этого начинает обрабатывать текущий запрос. public void OnAcceptTcpClient(IAsyncResult аг) { if (isStopped) return; Console.WriteLine("Получен запрос политики."); // Ожидание следующего соединения. listener.BeginAcceptTcpClient(OnAcceptTcpClient, null); // Обработка текущего соединения. TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = new PolicyConnection(client, policy); policyConnection.HandleRequest() ; catch (Exception err) { Каждый раз при получении нового соединения создается новый объект PolicyConnection, чтобы обработать его. Кроме того, объект PolicyConnection обслуживает файл политики. Последний компонент класса PolicyServer - метод Stop (), который останавливает ожидание запросов. Приложение вызывает его при завершении. private bool isStopped; public void StopO { isStopped = true; listener. Stop () ; catch (Exception err) { Console.WriteLine(err.Message); Для запуска сервера политики в методе Main () сервера приложения используется следующий код. static void Main(string args) { PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start(); Console.WriteLine("Запущен сервер политики."); Console.WriteLine("Нажмите клавишу Enter для выхода."); // Ожидание нажатия клавиши; с помощью метода // Console.ReadKey() можно задать ожидание определенной // строки (например, quit) или нажатия любой клавиши Console.ReadLine(); policyServer.Stop(); Console.WriteLine("Завершение сервера политики."); Класс PolicyConnection Класс PolicyConnection выполняет более простую задачу. Объект PolicyConnection сохраняет ссылку на данные файла политики. Затем, после вызова метода HandleRequest (), объект PolicyConnection извлекает из сетевого потока новое соединение и пытается прочитать его. Клиентское устройство должно передать строку, содержащую текст После чтения этого текста клиентское устройство записывает данные политики в поток и закрывает соединение. Ниже приведен код класса PolicyConnection. public class PolicyConnection ( private TcpClient client; private byte policy; public PolicyConnection(TcpClient client, byte policy) { this.client = client; this.policy = policy; // Создание запроса клиента private static string policyRequestString = " public void HandleRequest () { Stream s = client.GetStream(); // Чтение строки запроса политики byte buffer = new byte; // Ожидание выполняется только 5 секунд client.ReceiveTimeout = 5000;’ s.Read(buffer, 0, buffer.Length); // Передача политики (можно также проверить, есть ли //в запросе политики необходимое содержимое) s.Write(policy, 0, policy.Length); // Закрытие соединения client.Close (); Console.WriteLine("Файл политики обслужен."); Итак, у нас есть полностью работоспособный сервер политики. К сожалению, его пока что нельзя протестировать, потому что надстройка Silverlight не разрешает явно запрашивать файлы политики. Вместо этого она автоматически запрашивает их при попытке использовать сокетное приложение. Перед созданием клиентского приложения для данного сокетного приложения необходимо создать сервер. В продолжение темы: Новые статьи / |
Читайте: |
---|
Популярное:
Новое
- WiMAX – что это такое, и какие преимущества имеет данная технология Wimax оборудование для дома
- Чем открыть файл с расширением dmg?
- Практика PHP: сравнение строк
- «Моя страна» — услуга от Билайн
- Прямые красивые номера билайн
- Тариф экстра от триколор
- Восток — дело тонкое: криптовалюты в Японии Япония легализовала биткоины
- Продаем старые вещи через интернет — где, куда и что можно продать
- Необычное фото — отличный способ вашего продвижения: как сделать интерактивное фото Интерактивные фотографии
- Пишем чат на рнр Чат с отправкой файлов php