Разделы сайта
Выбор редакции:
- Вывод части изображения html спрайт
- Настройка дополнительных реквизитов и дополнительных сведений номенклатуры 1с дополнительные реквизиты и сведения отличия
- Что делать, когда нет регистрационных данных
- Запрос на выборку данных (формулы) в MS EXCEL Эксель выборка по условию макрос
- Временная временная одноразовая электронная почта Temp Email, mail sites, регистрация в социальных сетях
- Что делать, если компьютер не видит телефон через USB-порт
- Как установить Windows на Mac?
- Asus rt n16 настройка прошивка
- Как узнать разрядность операционной системы и процессора в Windows
- Как выключить брандмауэр Windows: полная деактивация и отключение для отдельных программ Как полностью отключить брандмауэр windows 7
Реклама
Дайте подробное описание политики сервера в отношении. Работа с группами администрирования и маршрутизации |
Лекция 4 Сервер политики сети: RADIUS-сервер, RADIUS-прокси и сервер политик защиты Лекция 4 Тема: Сервер политики сети: RADIUS-сервер, RADIUS-прокси и сервер политик защиты доступа к сети Введение Windows Server 2008 и Windows Server 2008 R2 -высокотехнологичные операционные системы Windows Server, разработанные, чтобы дать начало новому поколению сетей, приложений и веб-служб. С помощью этих операционных систем можно разрабатывать, доставлять и управлять гибким и всеобъемлющим взаимодействием с пользователями и приложениями, создавать сетевые инфраструктуры с высоким уровнем безопасности и увеличивать технологическую эффективность и организованность в своей организации. Сервер сетевых политик Сервер политики сети позволяет создавать и применять политики доступа к сети на уровне организации для обеспечения работоспособности клиентов, а также выполнения проверки подлинности и авторизации запросов на подключение. Кроме того, сервер политики сети можно использовать в качестве RADIUS-прокси для перенаправления запросов на подключение на сервер политики сети или другие RADIUS-серверы, настроенные в группах удаленных RADIUS-серверов. Сервер политики сети позволяет централизованно настраивать политики проверки подлинности, авторизации и работоспособности клиента при предоставлении доступа к сети и управлять этими политиками с помощью следующих трех возможностей: RADIUS server. Сервер политики сети централизованно выполняет проверку подлинности, авторизацию и учет для беспроводных подключений, подключений по коммутаторам с проверкой подлинности, подключений удаленного доступа и подключений по виртуальной частной сети (VPN). При использовании сервера политики сети в качестве RADIUS-сервера, серверы доступа к сети, такие как точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети. Кроме того, настраиваются политики сети, используемые сервером политики сети для авторизации запросов на подключение. В дополнение к этому можно настроить RADIUS-учет, чтобы данные заносились сервером политики сети в файлы журнала, хранящиеся на локальном жестком диске или в базе данных Microsoft SQL Server. RADIUS proxy. Если сервер политики сети используется в качестве RADIUS-прокси, необходимо настроить политики запросов на подключение, которые определяют, какие запросы на подключение сервер политики сети будет перенаправлять на другие RADIUS-серверы, а также на какие конкретно RADIUS-серверы будут перенаправляться эти запросы. На сервере политики сети можно также настроить перенаправление учетных данных для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов. Network Access Protection (NAP) policy server. Если сервер политики сети настроен в качестве сервера политик защиты доступа к сети, сервер политики сети оценивает состояния работоспособности, направляемые клиентскими компьютерами с поддержкой защиты доступа к сети, которые пытаются подключиться к сети. Сервер сетевых политик, на котором настроена защита доступа к сети, выступает в качестве RADIUS-сервера, выполняя проверку подлинности и авторизацию запросов на подключение. На сервере политики сети можно настроить политики и параметры защиты доступа к сети, в том числе устройства проверки работоспособности системы, политику работоспособности и группы серверов обновлений, которые обеспечивают обновление конфигурации клиентских компьютеров в соответствии с сетевой политикой организации. На сервере политики сети можно настроить любое сочетание перечисленных выше возможностей. Например, сервер политики сети может выступать в качестве сервера политик защиты доступа к сети с использованием одного или нескольких методов применения, одновременно выполняя функции RADIUS-сервера для подключений удаленного доступа и функции RADIUS-прокси для перенаправления некоторых запросов на подключение группе удаленных RADIUS-серверов, что позволяет выполнять проверку подлинности и авторизацию в другом домене. RADIUS-сервер и RADIUS-прокси Сервер политики сети может использоваться в качестве RADIUS-сервера, RADIUS-прокси или обоих этих устройств одновременно. RADIUS-сервер Сервер политики сети Майкрософт реализован в соответствии со стандартом RADIUS, описанным в документах IETF RFC 2865 и RFC 2866. В качестве RADIUS-сервера сервер политики сети централизованно выполняет проверку подлинности, авторизацию и учет подключений для разных типов доступа к сети, включая беспроводной доступ, коммутирование с проверкой подлинности, удаленный доступ и доступ к VPN, а также подключения между маршрутизаторами. Сервер политики сети позволяет использовать разнородный набор оборудования для беспроводного доступа, удаленного доступа, сетей VPN и коммутирования. Сервер политики сети можно использовать со службой маршрутизации и удаленного доступа, которая доступны в операционных системах Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition. Если компьютер с сервером политики сети является членом домена Active Directory®, сервер политики сети использует эту службу каталогов в качестве базы данных учетных записей пользователей и является частью решения для единого входа. Тот же набор учетных данных используется для управления доступом к сети (проверка подлинности и авторизация доступа к сети) и для входа в домен Active Directory. Поставщики услуг Интернета и организации, которые обеспечивают доступ к сети, сталкиваются с более сложными задачами, связанными с необходимостью осуществлять управление любыми типами сетей из единой точки администрирования независимо от используемого оборудования доступа к сети. Стандарт RADIUS поддерживает такую функциональность как в однородных, так и в разнородных средах. Протокол RADIUS является клиент-серверным протоколом, который позволяет оборудованию доступа к сети (выступающему в качестве RADIUS-клиентов) направлять RADIUS-серверу запросы на проверку подлинности и учета. RADIUS-сервер имеет доступ к сведениям учетной записи пользователя и может проверять учетные данные при проверке подлинности для предоставления доступа к сети. Если учетные данные пользователя являются подлинными, и попытка подключения прошла авторизацию, RADIUS-сервер авторизует доступ данного пользователя с учетом указанных условий и заносит сведения о подключении в журнал учета. Использование протокола RADIUS позволяет собирать и обслуживать данные о проверке подлинности, авторизации и учете в едином расположении вместо выполнения этой операции на каждом сервере доступа. RADIUS-прокси В качестве RADIUS-прокси сервер политики сети перенаправляет сообщения проверки подлинности и учета на другие RADIUS-серверы. С помощью сервера политики сети организации могут передать инфраструктуру удаленного доступа на внешнее управление поставщику услуг, в то же время сохраняя контроль над проверкой подлинности, авторизацией и учетом пользователей. Конфигурации сервера политики сети могут создаваться для следующих сценариев: Беспроводной доступ Подключение удаленного доступа или виртуальной частной сети в организации. Удаленный доступ или беспроводной доступ, обеспечиваемый внешней организацией Доступ к Интернету Доступ с проверкой подлинности к ресурсам внешней сети для деловых партнеров Примеры конфигураций RADIUS-сервера и RADIUS-прокси В следующих примерах конфигурации демонстрируется настройка сервера политики сети в качестве RADIUS-сервера и RADIUS-прокси. NPS as a RADIUS server. В этом примере сервер политики сети настроен как RADIUS-сервер, единственной настроенной политикой является установленная по умолчанию политика запросов на подключение, а все запросы на подключение обрабатываются локальным сервером политики сети. Сервер политики сети может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене данного сервера или в доверенных доменах. NPS as a RADIUS proxy. В этом примере сервер политики сети настроен как RADIUS-прокси, который перенаправляет запросы на подключение в группы удаленных RADIUS-серверов в двух разных доменах без доверия. Установленная по умолчанию политика запросов на подключение удаляется, а вместо нее создаются две новые политики запросов на подключение, предусматривающие перенаправление запросов в каждый из двух доменов без доверия. В этом примере сервер политики сети не обрабатывает запросы на подключение на локальном сервере. NPS as both RADIUS server and RADIUS proxy. В дополнение к установленной по умолчанию политике запросов на подключение, которая предусматривает локальную обработку запросов, создается новая политика запросов на подключение, предусматривающая их перенаправление на сервер политики сети или другой RADIUS-сервер, находящийся в домене без доверия. Вторая политика имеет имя Прокси. В данном примере политика "Прокси" отображается первой в упорядоченном списке политик. Если запрос на подключение соответствует политике "Прокси", данный запрос на подключение перенаправляется на RADIUS-сервер в группе удаленных RADIUS-серверов. Если запрос на подключение не соответствует политике "Прокси", но соответствует установленной по умолчанию политике запросов на подключение, сервер политики сети обрабатывает данный запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни одной из этих политик, он отклоняется. NPS as a RADIUS server with remote accounting servers. В этом примере локальный сервер политики сети не настроен на ведение учета, а установленная по умолчанию политика запросов на подключение изменена таким образом, чтобы RADIUS-сообщения учета перенаправлялись на сервер политики сети или иной RADIUS-сервер в группе удаленных RADIUS-серверов. Несмотря на то, что сообщения учета перенаправляются, сообщения проверки подлинности и авторизации не перенаправляются, а соответствующие функции для локального домена и всех доверенных доменов осуществляются локальным сервером политики сети. NPS with remote RADIUS to Windows user mapping. В этом примере сервер политики сети выступает как в качестве RADIUS-сервера, так и в качестве RADIUS-прокси для каждого отдельного запроса на подключение, перенаправляя запрос на проверку подлинности на удаленный RADIUS-сервер и одновременно выполняя авторизацию с использованием локальной учетной записи пользователя Windows. Такая конфигурация реализуется путем установки атрибута Сопоставление удаленного сервера RADIUS пользователю Windows в качестве условия политики запросов на подключение. (Кроме того, на RADIUS-сервере необходимо создать локальную учетную запись пользователя с тем же именем, что и удаленная учетная запись, по которой будет выполняться проверка подлинности удаленным RADIUS-сервером.) Сервер политики защиты доступа к сети Компонент защиты доступа к сети включен в Windows Vista®, Windows® 7, Windows Server® 2008 и Windows Server® 2008 R2. Он помогает обеспечить защиту доступа к частным сетям, гарантируя соответствие параметров клиентских компьютеров действующим в сети организации политикам работоспособности при разрешении этим клиентам доступа к сетевым ресурсам. Кроме того, соответствие клиентского компьютера политике работоспособности, определяемой администратором, отслеживается компонентом защиты доступа к сети в период, когда этот компьютер подключен к сети. Благодаря возможности автоматического обновления защиты доступа к сети может выполняться автоматическое обновление несоответствующих компьютеров в соответствии с политикой работоспособности, что позволяет впоследствии предоставить им доступ к сети. Системные администраторы определяют политики работоспособности сети и создают эти политики с использованием компонентов защиты доступа к сети, которые доступны на сервере политики сети или поставляются другими компаниями (в зависимости от реализации защиты доступа к сети). Политики работоспособности могут иметь такие характеристики, как требования к программному обеспечению, требования к обновлениям системы безопасности и требования к параметрам конфигурации. Защита доступа к сети применяет политики работоспособности, проверяя и оценивая работоспособность клиентских компьютеров, ограничивая сетевой доступ для компьютеров, не соответствующих этим требованиям и исправляя это несоответствие с целью предоставления неограниченного доступа к сети. Утилита GPResult .exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами . В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory. Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы ). Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions — CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult). Использование утилиты GPResult.exeКоманда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис: GPRESULT ]] [(/X | /H) <имя_файла> ] Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду: Результаты выполнения команды разделены на 2 секции:
Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:
В нашем примере видно, что на объект пользователя действуют 4 групповые политики.
Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя: gpresult /r /scope:user или только примененные политики компьютера: gpresult /r /scope:computer Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена: Gpresult /r |clip или текстовый файл: Gpresult /r > c:\gpresult.txt Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z. HTML отчет RSOP с помощью GPResultКроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды: GPResult /h c:\gp-report\report.html /f Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду: GPResult /h GPResult.html & GPResult.html В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время обработки (в мс.) и применения конкретных политик и CSE (в разделе Computer Details -> Component Status). Например, на скриншоте выше видно, что политика с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO). Как вы видите, такой отчет HTML намного удобнее для анализа применённых политик, чем консоль rsop.msc. Получение данных GPResult с удаленного компьютераGPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой: GPResult /s server-ts1 /r Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера. Пользователь username не имеет данных RSOPПри включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать . Если командная строка с повышенными привилегиями отличной от текущего пользователя системы, утилита выдаст предупреждение INFO : The user “domain \user ” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись: gpresult /r /user:tn\edward Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так: qwinsta /SERVER:remotePC1 Также проверьте время (и ) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller). Следующие политики GPO не были применены, так как они отфильтрованыПри траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться: ![]() Также вы можете понять должна ли применяться политика к конкретному объекту AD на вкладке эффективных разрешений (Advanced -> Effective Access). Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования. При установке Windows большая часть второстепенных подсистем не активируется или не устанавливается. Это сделано по причинам безопасности. Поскольку система по умолчанию защищена, системные администраторы могут сосредоточиться на проектировании системы, которая будет выполнять исключительно возложенные на нее функции и ничего лишнего. Для помощи при включении нужных функций, Windows предлагает выбрать роль сервера (Server Role). РолиРоль сервера - это набор программ, которые при правильной установке и настройке позволяют компьютеру выполнять определенную функцию для нескольких пользователей или других компьютеров в сети. В общих случаях все роли имеют следующие характеристики.
Службы ролейСлужбы ролей - это программы, которые обеспечивают функциональные возможности роли. При установке роли можно выбрать, какие службы она предоставляет другим пользователям и компьютерам на предприятии. Некоторые роли, такие как DNS-сервер, выполняют только одну функцию, поэтому для них нет служб ролей. Другие роли, такие как службы удаленных рабочих столов, имеют несколько служб, которые можно установить в зависимости от потребностей предприятия в удаленном доступе. Роль можно рассматривать как совокупность тесно связанных, взаимодополняющих служб ролей. В большинстве случаев установка роли означает установку одной или нескольких ее служб. Компоненты Компоненты - это программы, которые не являются непосредственно частями ролей, но поддерживают или расширяют функции одной или нескольких ролей либо целого сервера независимо от того, какие роли установлены. Например, компонент «Средство отказоустойчивости кластеров» расширяет функции других ролей, таких как Файловые службы и DHCP-сервер, позволяя им присоединяться к серверным кластерам, что обеспечивает повышенную избыточность и производительность. Другой компонент - «Клиент Telnet» - обеспечивает удаленную связь с сервером Telnet через сетевое подключение. Эта функция расширяет возможности связи для сервера. Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие роли сервера:
Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие компоненты сервера:
Установка ролей сервера с помощью Server ManagerДля добавления открываем Server Manager, и в меню Manage жмем Add Roles and features: Откроется мастер добавления ролей и компонентов. Жмем Next Installation Type, выбираем Role-based or feature-based installation. Next: Server Selection - выбираем наш сервер. Жмем Next Server Roles - Выберите роли, если необходимо, выберите службы ролей и нажмите кнопку Next, чтобы выбрать компоненты. В ходе этой процедуры Мастер добавления ролей и компонентов автоматически информирует о возникших конфликтах на конечном сервере, которые могут помешать установке или нормальной работе выбранных ролей или компонентов. Также появляется запрос на добавление ролей, служб ролей и компонентов, необходимых для выбранных ролей или компонентов. Установка ролей с помощью PowerShellОткрываем Windows PowerShell Вводим команду Get-WindowsFeature, чтобы просмотреть список доступных и установленных ролей и компонентов на локальном сервере. Результаты выполнения этого командлета содержат имена команд для ролей и компонентов, установленных и доступных для установки. Введите Get-Help Install-WindowsFeature для просмотра синтаксиса и допустимых параметров командлета Install-WindowsFeature (MAN). Вводим следующую команду (-Restart перезагрузит сервер, если при установке роли требуется перезагрузка). Install-WindowsFeature –Name Описание ролей и служб ролейНиже описаны все роли и службы ролей. Расширенную настройку посмотрим для самых часто встречающихся в нашей практике Web Server Role и Remote Desktop Services Подробное описание IIS
Подробное описание RDS
Рассмотрим установку и настройку сервера терминальных лицензий. Выше рассказано как устанавливать роли, установка RDS не отличается от установки других ролей, в Role Services нам потребуется выбрать Remote Desktop Licensing и Remote Desktop Session Host. После установки в Server Manager-Tools появится пункт Terminal Services. В Terminal Services есть два пункта RD Licensing Diagnoser, это средство диагностики работы лицензирования удаленных рабочих столов, и Remote Desktop Licensing Manager, это средство управления лицензиями. Запустим RD Licensing Diagnoser Здесь мы видим, что доступных лицензий пока нет, т. к. не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов. Сервер лицензирования указывается в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc. Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:
Откроем параметры Use the specified Remote Desktop license servers В окне редактирования параметров политики включаем сервер лицензирования (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем OK. Если в дальнейшем будет изменяться имя сервера, сервер лицензий, то потребуется изменить в этом же разделе. После этого в RD Licensing Diagnoser можно увидеть, что сервер терминальных лицензий настроен, но не включен. Для включения запускаем Remote Desktop Licensing Manager Выбираем сервер лицензирования, со статусом Not Activated . Для активации кликаем по нему правой кнопкой мыши и выбираем Activate Server. Запустится Мастер активации сервера. На вкладке Connection Method выбираем Automatic Connection. Далее заполняем информация об организации, после этого сервер лицензий активирован. Active Directory Certificate ServicesСлужбы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами. Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:
AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу. В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи. Active Directory Domain ServicesИспользуя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server. Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене. Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Доменные службы Active Directory предоставляют следующие дополнительные возможности.
Active Directory Federation ServicesAD FS предоставляют конечным пользователям, которым требуется доступ к приложениям на защищенном с помощью AD FS предприятии, в партнерских организациях федерации или в облаке, возможности упрощенной и безопасной федерации удостоверений и веб-службы единого входа (SSO) В Windows Server AD FS включают службу роли службы федерации, действующую в качестве поставщика удостоверений (выполняет проверку подлинности пользователей для предоставления маркеров безопасности для приложений, доверяющих AD FS) или в качестве поставщика федерации (применяет маркеры от других поставщиков удостоверений и затем предоставляет маркеры безопасности для приложений, доверяющих AD FS). Active Directory Lightweight Directory ServicesСлужбы Active Directory облегченного доступа к каталогам (AD LDS) - это протокол LDAP, который обеспечивает гибкую поддержку приложений, работающих с каталогами, без зависимостей и связанных с доменами ограничений доменных служб Active Directory. AD LDS можно запускать на рядовых или изолированных серверах. На одном сервере можно запустить несколько экземпляров AD LDS с независимо управляемыми схемами. С помощью роли службы AD LDS можно предоставить службы каталогов для приложений с поддержкой каталогов, не используя служебные данные доменов и лесов и не требуя единой схемы для всего леса. Active Directory Rights Management ServicesСлужбы AD RMS можно использовать, чтобы расширить стратегию безопасности в организации, обеспечив защиту документов с помощью управления правами на доступ к данным (IRM). AD RMS позволяет пользователям и администраторам назначать разрешения доступа к документам, рабочим книгам и презентациям с помощью политик IRM. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. С помощью AD RMS и IRM отдельные пользователи могут применять свои личные настройки, касающиеся передачи личных и конфиденциальных сведений. Они также помогут организации применять корпоративную политику для управления использованием и распространением конфиденциальных и личных сведений. Решения IRM, поддерживаемые службами AD RMS, используются для обеспечения следующих возможностей.
Application ServerСервер приложений предоставляет интегрированную среду для развертывания и выполнения пользовательских бизнес-приложений на базе сервера. DHCP ServerDHCP - это технология "клиент-сервер", с помощью которой DHCP-серверы могут назначать или сдавать в аренду IP-адреса компьютерам и другим устройствам, являющимся DHCP-клиентами.Развертывание в сети DHCP-серверов обеспечивает автоматическое предоставление клиентским компьютерам и другим сетевым устройствам на базе IPv4 и IPv6 действительных IP-адресов и дополнительных конфигурационных параметров, необходимых данным клиентам и устройствам.Служба DHCP-сервера в Windows Server включает поддержку основанных на политике назначений и обработку отказов протокола DHCP. DNS ServerСлужба DNS - это иерархическая распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, таких как IP-адреса. Служба DNS позволяет использовать понятные имена, такие как www.microsoft.com, для облегчения нахождения компьютеров и других ресурсов в сетях, работающих на базе протокола TCP/IP. Служба DNS в Windows Server обеспечивает дополнительную улучшенную поддержку Модулей безопасности DNS (DNSSEC), включая регистрацию в сети и автоматизированное управление параметрами. FAX ServerФакс-сервер отправляет и получает факсы, а также дает возможность управлять ресурсами факса, такими как задания, настройки, отчеты и факс-устройства на вашем факс-сервере. File and Storage ServicesАдминистраторы могут использовать роль "Файловые службы и службы хранилища" для настройки нескольких файловых серверов и их хранилищ, а также для управления этими серверами с помощью диспетчера серверов или Windows PowerShell. Некоторые конкретные приложения включают следующие функции.
Hyper-VРоль Hyper-V позволяет создавать виртуализованную вычислительную среду с помощью технологии виртуализации, встроенной в Windows Server, и управлять ею. При установке роли Hyper-V выполняется установка необходимых компонентов, а также необязательных средств управления. В число необходимых компонентов входят низкоуровневая оболочка Windows, служба управления виртуальными машинами Hyper-V, поставщик виртуализации WMI и компоненты виртуализации, такие как шина VMbus, поставщик службы виртуализации (VSP) и драйвер виртуальной инфраструктуры (VID). Network Policy and Access ServicesСлужбы сетевой политики и доступа предоставляют следующие решения для сетевых подключений:
Print and Document ServicesСлужбы печати и документов позволяют централизовать задачи сервера печати и сетевого принтера. Эта роль также позволяет получать отсканированные документы с сетевых сканеров и передавать документы в общие сетевые ресурсы - на сайт Windows SharePoint Services или по электронной почте. Remote AccessРоль сервера удаленного доступа представляет собой логическую группу следующих технологий сетевого доступа.
Эти технологии являются службами ролей роли сервера удаленного доступа. При установке роли сервера удаленного доступа можно установить одну или несколько служб ролей, запустив мастер добавления ролей и компонентов. В Windows Server роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN со службой маршрутизации и удаленного доступа (RRAS). DirectAccess и RRAS можно развернуть на одном пограничном сервере и управлять ими с помощью команд Windows PowerShell и консоли управления (MMC) удаленного доступа. Remote Desktop ServicesСлужбы удаленных рабочих столов ускоряют и расширяют развертывание рабочих столов и приложений на любом устройстве, повышая эффективность удаленного работника, одновременно обеспечивая безопасность критически важной интеллектуальной собственности и упрощая соответствие нормативным требованиям. Службы удаленных рабочих столов включают инфраструктуру виртуальных рабочих столов (VDI), рабочие столы на основе сеансов и приложения, предоставляя пользователям возможность работать в любом месте. Volume Activation ServicesСлужбы активации корпоративных лицензий - это роль сервера в Windows Server начиная с Windows Server 2012, которая позволяет автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение Microsoft, а также управление такими лицензиями в различных сценариях и средах. Вместе со службами активации корпоративных лицензий можно установить и настроить службу управления ключами (KMS) и активацию с помощью Active Directory. Web Server (IIS)Роль веб-сервера (IIS) в Windows Server обеспечивает платформу для размещения веб-узлов, служб и приложений. Использование веб-сервера обеспечивает доступ к информации пользователям в Интернете, интрасети и экстрасети. Администраторы могут использовать роль веб-сервера (IIS) для настройки и управления несколькими веб-сайтами, веб-приложениями и FTP-сайтами. В число специальных возможностей входят следующие.
Windows Deployment ServicesСлужбы развертывания Windows позволяют развертывать операционные системы Windows по сети, что означает возможность не устанавливать каждую операционную систему непосредственно с компакт-диска или DVD-диска. Windows Server Essentials ExperienceДанная роль позволяет решать следующие задачи:
Windows Server Update ServicesСервер WSUS предоставляет компоненты, которые необходимы администраторам для управления обновлениями и их распространения через консоль управления. Кроме того, сервер WSUS может быть источником обновлений для других серверов WSUS в организации. При реализации служб WSUS хотя бы один сервер служб WSUS в сети должен быть подключен к Центру обновления Майкрософт для получения информации о доступных обновлениях. В зависимости от безопасности сети и ее конфигурации администратор может определить, сколько других серверов напрямую подключено к Центру обновления Майкрософт. При установке Windows большая часть второстепенных подсистем не активируется или не устанавливается. Это сделано по причинам безопасности. Поскольку система по умолчанию защищена, системные администраторы могут сосредоточиться на проектировании системы, которая будет выполнять исключительно возложенные на нее функции и ничего лишнего. Для помощи при включении нужных функций, Windows предлагает выбрать роль сервера (Server Role). РолиРоль сервера - это набор программ, которые при правильной установке и настройке позволяют компьютеру выполнять определенную функцию для нескольких пользователей или других компьютеров в сети. В общих случаях все роли имеют следующие характеристики.
Службы ролейСлужбы ролей - это программы, которые обеспечивают функциональные возможности роли. При установке роли можно выбрать, какие службы она предоставляет другим пользователям и компьютерам на предприятии. Некоторые роли, такие как DNS-сервер, выполняют только одну функцию, поэтому для них нет служб ролей. Другие роли, такие как службы удаленных рабочих столов, имеют несколько служб, которые можно установить в зависимости от потребностей предприятия в удаленном доступе. Роль можно рассматривать как совокупность тесно связанных, взаимодополняющих служб ролей. В большинстве случаев установка роли означает установку одной или нескольких ее служб. Компоненты Компоненты - это программы, которые не являются непосредственно частями ролей, но поддерживают или расширяют функции одной или нескольких ролей либо целого сервера независимо от того, какие роли установлены. Например, компонент «Средство отказоустойчивости кластеров» расширяет функции других ролей, таких как Файловые службы и DHCP-сервер, позволяя им присоединяться к серверным кластерам, что обеспечивает повышенную избыточность и производительность. Другой компонент - «Клиент Telnet» - обеспечивает удаленную связь с сервером Telnet через сетевое подключение. Эта функция расширяет возможности связи для сервера. Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие роли сервера:
Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие компоненты сервера:
Установка ролей сервера с помощью Server ManagerДля добавления открываем Server Manager, и в меню Manage жмем Add Roles and features: Откроется мастер добавления ролей и компонентов. Жмем Next Installation Type, выбираем Role-based or feature-based installation. Next: Server Selection - выбираем наш сервер. Жмем Next Server Roles - Выберите роли, если необходимо, выберите службы ролей и нажмите кнопку Next, чтобы выбрать компоненты. В ходе этой процедуры Мастер добавления ролей и компонентов автоматически информирует о возникших конфликтах на конечном сервере, которые могут помешать установке или нормальной работе выбранных ролей или компонентов. Также появляется запрос на добавление ролей, служб ролей и компонентов, необходимых для выбранных ролей или компонентов. Установка ролей с помощью PowerShellОткрываем Windows PowerShell Вводим команду Get-WindowsFeature, чтобы просмотреть список доступных и установленных ролей и компонентов на локальном сервере. Результаты выполнения этого командлета содержат имена команд для ролей и компонентов, установленных и доступных для установки. Введите Get-Help Install-WindowsFeature для просмотра синтаксиса и допустимых параметров командлета Install-WindowsFeature (MAN). Вводим следующую команду (-Restart перезагрузит сервер, если при установке роли требуется перезагрузка). Install-WindowsFeature –Name -Restart Описание ролей и служб ролейНиже описаны все роли и службы ролей. Расширенную настройку посмотрим для самых часто встречающихся в нашей практике Web Server Role и Remote Desktop Services Подробное описание IIS
Подробное описание RDS
Рассмотрим установку и настройку сервера терминальных лицензий. Выше рассказано как устанавливать роли, установка RDS не отличается от установки других ролей, в Role Services нам потребуется выбрать Remote Desktop Licensing и Remote Desktop Session Host. После установки в Server Manager-Tools появится пункт Terminal Services. В Terminal Services есть два пункта RD Licensing Diagnoser, это средство диагностики работы лицензирования удаленных рабочих столов, и Remote Desktop Licensing Manager, это средство управления лицензиями. Запустим RD Licensing Diagnoser Здесь мы видим, что доступных лицензий пока нет, т. к. не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов. Сервер лицензирования указывается в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc. Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:
Откроем параметры Use the specified Remote Desktop license servers В окне редактирования параметров политики включаем сервер лицензирования (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем OK. Если в дальнейшем будет изменяться имя сервера, сервер лицензий, то потребуется изменить в этом же разделе. После этого в RD Licensing Diagnoser можно увидеть, что сервер терминальных лицензий настроен, но не включен. Для включения запускаем Remote Desktop Licensing Manager Выбираем сервер лицензирования, со статусом Not Activated . Для активации кликаем по нему правой кнопкой мыши и выбираем Activate Server. Запустится Мастер активации сервера. На вкладке Connection Method выбираем Automatic Connection. Далее заполняем информация об организации, после этого сервер лицензий активирован. Active Directory Certificate ServicesСлужбы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами. Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:
AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу. В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи. Active Directory Domain ServicesИспользуя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server. Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене. Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Доменные службы Active Directory предоставляют следующие дополнительные возможности.
Active Directory Federation ServicesAD FS предоставляют конечным пользователям, которым требуется доступ к приложениям на защищенном с помощью AD FS предприятии, в партнерских организациях федерации или в облаке, возможности упрощенной и безопасной федерации удостоверений и веб-службы единого входа (SSO) В Windows Server AD FS включают службу роли службы федерации, действующую в качестве поставщика удостоверений (выполняет проверку подлинности пользователей для предоставления маркеров безопасности для приложений, доверяющих AD FS) или в качестве поставщика федерации (применяет маркеры от других поставщиков удостоверений и затем предоставляет маркеры безопасности для приложений, доверяющих AD FS). Active Directory Lightweight Directory ServicesСлужбы Active Directory облегченного доступа к каталогам (AD LDS) - это протокол LDAP, который обеспечивает гибкую поддержку приложений, работающих с каталогами, без зависимостей и связанных с доменами ограничений доменных служб Active Directory. AD LDS можно запускать на рядовых или изолированных серверах. На одном сервере можно запустить несколько экземпляров AD LDS с независимо управляемыми схемами. С помощью роли службы AD LDS можно предоставить службы каталогов для приложений с поддержкой каталогов, не используя служебные данные доменов и лесов и не требуя единой схемы для всего леса. Active Directory Rights Management ServicesСлужбы AD RMS можно использовать, чтобы расширить стратегию безопасности в организации, обеспечив защиту документов с помощью управления правами на доступ к данным (IRM). AD RMS позволяет пользователям и администраторам назначать разрешения доступа к документам, рабочим книгам и презентациям с помощью политик IRM. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. С помощью AD RMS и IRM отдельные пользователи могут применять свои личные настройки, касающиеся передачи личных и конфиденциальных сведений. Они также помогут организации применять корпоративную политику для управления использованием и распространением конфиденциальных и личных сведений. Решения IRM, поддерживаемые службами AD RMS, используются для обеспечения следующих возможностей.
Application ServerСервер приложений предоставляет интегрированную среду для развертывания и выполнения пользовательских бизнес-приложений на базе сервера. DHCP ServerDHCP - это технология "клиент-сервер", с помощью которой DHCP-серверы могут назначать или сдавать в аренду IP-адреса компьютерам и другим устройствам, являющимся DHCP-клиентами.Развертывание в сети DHCP-серверов обеспечивает автоматическое предоставление клиентским компьютерам и другим сетевым устройствам на базе IPv4 и IPv6 действительных IP-адресов и дополнительных конфигурационных параметров, необходимых данным клиентам и устройствам.Служба DHCP-сервера в Windows Server включает поддержку основанных на политике назначений и обработку отказов протокола DHCP. DNS ServerСлужба DNS - это иерархическая распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, таких как IP-адреса. Служба DNS позволяет использовать понятные имена, такие как www.microsoft.com, для облегчения нахождения компьютеров и других ресурсов в сетях, работающих на базе протокола TCP/IP. Служба DNS в Windows Server обеспечивает дополнительную улучшенную поддержку Модулей безопасности DNS (DNSSEC), включая регистрацию в сети и автоматизированное управление параметрами. FAX ServerФакс-сервер отправляет и получает факсы, а также дает возможность управлять ресурсами факса, такими как задания, настройки, отчеты и факс-устройства на вашем факс-сервере. File and Storage ServicesАдминистраторы могут использовать роль "Файловые службы и службы хранилища" для настройки нескольких файловых серверов и их хранилищ, а также для управления этими серверами с помощью диспетчера серверов или Windows PowerShell. Некоторые конкретные приложения включают следующие функции.
Hyper-VРоль Hyper-V позволяет создавать виртуализованную вычислительную среду с помощью технологии виртуализации, встроенной в Windows Server, и управлять ею. При установке роли Hyper-V выполняется установка необходимых компонентов, а также необязательных средств управления. В число необходимых компонентов входят низкоуровневая оболочка Windows, служба управления виртуальными машинами Hyper-V, поставщик виртуализации WMI и компоненты виртуализации, такие как шина VMbus, поставщик службы виртуализации (VSP) и драйвер виртуальной инфраструктуры (VID). Network Policy and Access ServicesСлужбы сетевой политики и доступа предоставляют следующие решения для сетевых подключений:
Print and Document ServicesСлужбы печати и документов позволяют централизовать задачи сервера печати и сетевого принтера. Эта роль также позволяет получать отсканированные документы с сетевых сканеров и передавать документы в общие сетевые ресурсы - на сайт Windows SharePoint Services или по электронной почте. Remote AccessРоль сервера удаленного доступа представляет собой логическую группу следующих технологий сетевого доступа.
Эти технологии являются службами ролей роли сервера удаленного доступа. При установке роли сервера удаленного доступа можно установить одну или несколько служб ролей, запустив мастер добавления ролей и компонентов. В Windows Server роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN со службой маршрутизации и удаленного доступа (RRAS). DirectAccess и RRAS можно развернуть на одном пограничном сервере и управлять ими с помощью команд Windows PowerShell и консоли управления (MMC) удаленного доступа. Remote Desktop ServicesСлужбы удаленных рабочих столов ускоряют и расширяют развертывание рабочих столов и приложений на любом устройстве, повышая эффективность удаленного работника, одновременно обеспечивая безопасность критически важной интеллектуальной собственности и упрощая соответствие нормативным требованиям. Службы удаленных рабочих столов включают инфраструктуру виртуальных рабочих столов (VDI), рабочие столы на основе сеансов и приложения, предоставляя пользователям возможность работать в любом месте. Volume Activation ServicesСлужбы активации корпоративных лицензий - это роль сервера в Windows Server начиная с Windows Server 2012, которая позволяет автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение Microsoft, а также управление такими лицензиями в различных сценариях и средах. Вместе со службами активации корпоративных лицензий можно установить и настроить службу управления ключами (KMS) и активацию с помощью Active Directory. Web Server (IIS)Роль веб-сервера (IIS) в Windows Server обеспечивает платформу для размещения веб-узлов, служб и приложений. Использование веб-сервера обеспечивает доступ к информации пользователям в Интернете, интрасети и экстрасети. Администраторы могут использовать роль веб-сервера (IIS) для настройки и управления несколькими веб-сайтами, веб-приложениями и FTP-сайтами. В число специальных возможностей входят следующие.
Windows Deployment ServicesСлужбы развертывания Windows позволяют развертывать операционные системы Windows по сети, что означает возможность не устанавливать каждую операционную систему непосредственно с компакт-диска или DVD-диска. Windows Server Essentials ExperienceДанная роль позволяет решать следующие задачи:
Windows Server Update ServicesСервер WSUS предоставляет компоненты, которые необходимы администраторам для управления обновлениями и их распространения через консоль управления. Кроме того, сервер WSUS может быть источником обновлений для других серверов WSUS в организации. При реализации служб WSUS хотя бы один сервер служб WSUS в сети должен быть подключен к Центру обновления Майкрософт для получения информации о доступных обновлениях. В зависимости от безопасности сети и ее конфигурации администратор может определить, сколько других серверов напрямую подключено к Центру обновления Майкрософт. Введение С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут. Объекты групповых политик Все настройки, которые вы создадите в рамках групповых политик, будут храниться в объектах групповой политики (Group Policy Object, GPO). Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен. Объект групповой политики - это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: Default Domain Policy и Default Domain Controller Policy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU Domain Controllers и повышает настройки безопасности для контроллеров домена. Создание объекта групповой политики Для того чтобы создать политику (то есть фактически создать новый объект групповой политики), открываем Active Directory Users & Computers и выбираем, где создать новый объект. Создавать и привязывать объект групповой политики можно только к объекту сайта, домена или OU. Рис. 1. Создание объекта групповой политики. Чтобы создать GPO и связать его, например, с OU testers щёлкаем правой кнопкой мыши на этом OU и в контекстном меню выбираем properties. В открывшемся окне свойств открываем вкладку Group Policy и нажимаем New. Рис. 2. Создание объекта групповой политики. Даём название объекту GP, после чего объект создан, и можно приступать к конфигурированию политики. Дважды щёлкаем на созданном объекте или нажимаем кнопку Edit, откроется окно редактора GPO, где вы можете настроить конкретные параметры объекта. Рис. 3. Описание настроек во вкладке Extended. Большинство основных настроек интуитивно понятны (к тому же имеют описание, если открыть вкладку Extended), и мы не будем подробно останавливаться на каждой. Как видно из рис. 3, GPO состоит из двух разделов: Computer Configuration и User Configuration. Настройки первого раздела применяются во время загрузки Windows к компьютерам, находящимся в этом контейнере и ниже (если не отменено наследование), и не зависят от того, какой пользователь вошел в систему. Настройки второго раздела применяются во время входа пользователя в систему. Порядок применения объектов групповой политики Когда компьютер запускается, происходят следующие действия: 1. Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте. Групповые политики применяются при загрузке OC и при входе пользователя в систему. Затем они применяются каждые 90 минут, с вариацией в 30 минут для исключения перегрузки контроллера домена в случае одновременного запроса большого количества клиентов. Для контроллеров домена интервал обновления составляет 5 минут. Изменить это поведение можно в разделе Computer Configuration\Administrative Templates\System\Group Policy. Объект групповой политики может действовать только на объекты «компьютер» и «пользователь». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). Например: Объект GPO создан в OU testers (как мы сделали выше). Рис. 4. Наследование настроек. Все настройки, сделанные в этом GPO, будут действовать только на пользователей и компьютеры, находящиеся в OU testers и OU InTesters. Рассмотрим порядок применения политик на примере. Пользователь test, расположенный в OU testers, входит на компьютер comp, находящийся в OU compOU (см. рис. 5). Рис. 5. Порядок применения политик. В домене существуют четыре GPO: 1. SitePolicy, связанный с контейнером сайта; При загрузке Windows на рабочей станции comp, параметры, определённые в разделах Computer Configuration, применяются в таком порядке: 1. Параметры локального GPO; 4. Параметры GPO Policy2. При входе пользователя test на компьютер comp - параметры, определенные в разделах User Configuration: 1. Параметры локального GPO; То есть GPO применяются в таком порядке: локальные политики, политики уровня сайта, политики уровня домена, политики уровня OU. Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 - синхронно, то есть пользовательский экран входа появляется только после применения всех политик компьютера, а политики пользователя применяются до того, как появился рабочий стол. Асинхронное применение политик означает, что пользовательский экран входа появляется раньше, чем успевают примениться все политики компьютера, а рабочий стол - раньше, чем применятся все пользовательские политики, что приводит к ускорению загрузки и входа пользователя. 1. Merge (соединить) - сначала применяется компьютерная политика, затем пользовательская и снова компьютерная. При этом компьютерная политика заменяет противоречащие ей параметры пользовательской политики своими. Проиллюстрировать применение параметра User Group policy loopback processing можно, например, на общедоступном компьютере, на котором необходимо иметь одни и те же ограниченные настройки, независимо от того, какой пользователь им пользуется. Приоритетность, наследование и разрешение конфликтов Как вы уже заметили, на всех уровнях объекты групповой политики содержат одинаковые параметры настройки, и один и тот же параметр может быть определён на нескольких уровнях по-разному. В таком случае действующим значением будет применившееся последним (о порядке применения объектов групповой политики говорилось выше). Это правило распространяется на все параметры, кроме определённых как not configured. Для этих параметров Windows не предпринимает никаких действий. Но есть одно исключение: все параметры настройки учётных записей и паролей могут быть определены только на уровне домена, на остальных уровнях эти настройки будут проигнорированы. Рис. 6. Active Directory Users and Computers. Если на одном уровне расположены несколько GPO, то они применяются «снизу вверх». Изменяя положение объекта политик в списке (кнопками Up и Down), можно выбрать необходимый порядок применения. Рис. 7. Порядок применения политик. Иногда нужно, чтобы определённая OU не получала параметры политик от GPO, связанных с вышестоящими контейнерами. В этом случае нужно запретить наследование политик, поставив флажок Block Policy inheritance (Блокировать наследование политик). Блокируются все наследуемые параметры политик, и нет способа блокировать отдельные параметры. Параметры настройки уровня домена, определяющие политику паролей и политику учетных записей, не могут быть заблокированы. Рис. 9. Блокирование наследования политик. В случае если требуется, чтобы определённые настройки в данном GPO не перезаписывались, следует выбрать нужный GPO, нажать кнопку Options и выбрать No Override. Эта опция предписывает применять параметры GPO там, где заблокировано наследование политик. No Override устанавливается в том месте, где GPO связывается с объектом каталога, а не в самом GPO. Если GPO связан с несколькими контейнерами в домене, то для остальных связей этот параметр не будет сконфигурирован автоматически. В случае если параметр No Override сконфигурирован для нескольких связей на одном уровне, приоритетными (и действующими) будут параметры GPO, находящегося вверху списка. Если же параметры No Override сконфигурированы для нескольких GPO, находящихся на разных уровнях, действующими будут параметры GPO, находящегося выше в иерархии каталога. То есть, если параметры No override сконфигурированы для связи GPO с объектом домена и для связи с GPO объектом OU, действующими будут параметры, определённые на уровне домена. Галочка Disabled отменяет действие этого GPO на данный контейнер. Рис. 10. Опции No Override и Disabled. Как уже было сказано выше, политики действуют только на пользователей и компьютеры. Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на всех пользователей, входящих в определенную группу безопасности?». Для этого GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы) и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group Policy. Определение настроек, действующих на компьютер пользователя Для определения конечной конфигурации и выявления проблем вам потребуется знать, какие настройки политик действуют на данного пользователя или компьютер в данный момент. Для этого существует инструмент Resultant Set of Policy (результирующий набор политик, RSoP). RSoP может работать как в режиме регистрации, так и в режиме планирования. Для того чтобы вызвать RSoP, следует нажать правой кнопкой на объекте «пользователь» или «компьютер» и выбрать All Tasks. Рис. 11. Вызов инструмента Resultant Set of Policy. После запуска (в режиме регистрации, logging) вас попросят выбрать, для какого компьютера и пользователя определить результирующий набор, и появится окно результирующих настроек с указанием, из какого GPO какой параметр применился. Рис. 12. Resultant Set of Policy. Другие инструменты управления групповыми политиками GPResult - это инструмент командной строки, обеспечивающий часть функционала RSoP. GPResult есть по умолчанию на всех компьютерах с Windows XP и Windows Server 2003. GPUpdate принудительно запускает применение групповых политик - как локальных, так и основанных на Active Directory. В Windows XP/2003 пришла на смену параметру /refreshpolicy в инструменте secedit для Windows 2000. Описание синтаксиса команд доступно при запуске их с ключём /?. Вместо заключения Данная статья не преследует цели объяснить все аспекты работы с групповыми политиками, она не ориентирована на опытных системных администраторов. Все вышеизложенное, по моему мнению, лишь должно как-то помочь понять основные принципы работы с политиками тем, кто никогда не работал с ними, либо только начинает осваивать. Утилита GPResult .exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами. В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory. Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы). Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions - CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult). Использование утилиты GPResult.exeКоманда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис: GPRESULT ]] [(/X | /H) ] Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду: Результаты выполнения команды разделены на 2 секции:
Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:
В нашем примере видно, что на объект пользователя действуют 4 групповые политики.
Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя: gpresult /r /scope:user или только примененные политики компьютера: gpresult /r /scope:computer Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена: Gpresult /r |clip или текстовый файл: Gpresult /r > c:\gpresult.txt Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z. HTML отчет RSOP с помощью GPResultКроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды: GPResult /h c:\gp-report\report.html /f Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду: GPResult /h GPResult.html & GPResult.html В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время обработки (в мс.) и применения конкретных политик и CSE (в разделе Computer Details -> Component Status). Например, на скриншоте выше видно, что политика с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO). Как вы видите, такой отчет HTML намного удобнее для анализа применённых политик, чем консоль rsop.msc. Получение данных GPResult с удаленного компьютераGPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой: GPResult /s server-ts1 /r Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера. Пользователь username не имеет данных RSOPПри включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать. Если командная строка с повышенными привилегиями отличной от текущего пользователя системы, утилита выдаст предупреждение INFO : The user “domain \user ” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись: gpresult /r /user:tn\edward Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так: qwinsta /SERVER:remotePC1 Также проверьте время (и) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller). Следующие политики GPO не были применены, так как они отфильтрованыПри траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться: ![]() Также вы можете понять должна ли применяться политика к конкретному объекту AD на вкладке эффективных разрешений (Advanced -> Effective Access). Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования. Функционал в операционной системе Windows Server расчет и улучшается от версии к версии, ролей и компонентов становится все больше, поэтому в сегодняшнем материале я попытаюсь кратко рассказать описание и назначение каждой роли в Windows Server 2016 . Прежде чем переходить к описанию серверных ролей Windows Server, давайте узнаем, что же вообще такое «Роль сервера » в операционной системе Windows Server. Что такое «Роль сервера» в Windows Server?Роль сервера (Server Role) – это программный комплекс, который обеспечивает выполнение сервером определённой функции, и данная функция является основной. Другими словами, «Роль сервера » - это назначение сервера, т.е. для чего он нужен. Чтобы сервер мог выполнять свою основную функцию, т.е. определённую роль, в «Роль сервера » включено все необходимое для этого программное обеспечение (программы, службы ). У сервера может быть одна роль, если она активно используется, или несколько, если каждая из них не сильно нагружает сервер и используется редко. В роль сервера может включаться несколько служб роли, которые и обеспечивают функциональные возможности роли. Например, в роль сервера «Веб-сервер (IIS) » включено достаточно большое количество служб, а в роль «DNS-сервер » не входят службы роли, так как данная роль выполняет только одну функцию. Службы ролей могут быть установлены все вместе или по отдельности в зависимости от Ваших потребностей. По своей сути установка роли означает установку одной или нескольких ее служб. В Windows Server также существуют и «Компоненты » сервера. Компоненты сервера (Feature) – это программные средства, которые не являются ролью сервера, но расширяют возможности одной или нескольких ролей, или управляют одной или несколькими ролями. Некоторые роли не могут быть установлены, если на сервере не установлены обязательные службы или компоненты, которые необходимы для функционирования данных ролей. Поэтому в момент установки таких ролей «Мастер добавления ролей и компонентов » сам, автоматически предложит Вам установить нужные, дополнительные службы ролей или компоненты. Описание серверных ролей Windows Server 2016Со многими ролями, которые есть в Windows Server 2016, наверное, Вы уже знакомы, так как они существуют уже достаточно долгое время, но как я уже сказал, с каждой новой версией Windows Server добавляются новые роли, с которыми возможно Вы еще не работали, но хотели бы узнать, для чего они нужны, поэтому давайте приступать к их рассмотрению. Примечание! О новых возможностях операционной системы Windows Server 2016 можете прочитать в материале «Установка Windows Server 2016 и обзор новых возможностей » . Так как очень часто установка и администрирование ролей, служб и компонентов происходит с использованием Windows PowerShell , я для каждой роли и ее службы буду указывать название, которое можно использовать в PowerShell, соответственно для ее установки или для управления. DHCP-серверЭта роль позволяет централизованно настраивать динамические IP-адреса и связанные с ними параметры компьютерам и устройствам в сети. У роли DHCP-сервер нет служб роли. Название для Windows PowerShell – DHCP. DNS-серверДанная роль предназначена для разрешения имен в сетях TCP/IP. Роль DNS-сервер обеспечивает и поддерживает работу DNS. Для упрощения управления DNS-сервером его обычно устанавливают на том же сервере, что и доменные службы Active Directory. У роли DNS-сервер нет служб роли. Название роли для PowerShell - DNS. Hyper-VС помощью роли Hyper-V можно создавать виртуализованную среду и управлять ею. Другими словами, это инструмент для создания и управления виртуальными машинами. Название роли для Windows PowerShell - Hyper-V. Аттестация работоспособности устройствРоль « » позволяет оценивать работоспособность устройства на основе измеренных показателей параметров безопасности, например, показатели состояния безопасной загрузки и средства Bitlocker на клиенте. Для функционирования данной роли необходимо достаточно много служб ролей и компонентов, например: несколько служб из роли «Веб-сервер (IIS) », компонент « », компонент «Функции.NET Framework 4.6 ». Во время установки все необходимые службы ролей и компоненты будут выбраны автоматически. У роли «Аттестация работоспособности устройств » своих служб роли нет. Название для PowerShell – DeviceHealthAttestationService. Веб-сервер (IIS)Предоставляет надежную, управляемую и масштабируемую инфраструктуру веб-приложений. Состоит из достаточно большого количества служб (43). Название для Windows PowerShell - Web-Server. Включает следующие службы роли (в скобочках я буду указывать название для Windows PowerShell ): Веб – сервер (Web-WebServer) – группа служб роли, которая предоставляет поддержку веб-сайтов HTML, расширений ASP.NET, ASP и веб-сервера. Состоит из следующих служб:
FTP - сервер (Web-Ftp-Server) – службы, которые обеспечивают поддержку протокола FTP. Более подробно о FTP сервере мы говорили в материале – «Установка и настройка FTP сервера на Windows Server 2016 ». Содержит следующие службы:
Средства управления (Web-Mgmt-Tools) – это средства управления веб-сервером IIS 10. К ним можно отнести: пользовательский интерфейс IIS, средства командной строки и скрипты.
Доменные службы Active DirectoryРоль «Доменные службы Active Directory » (AD DS) обеспечивает распределенную базу данных, которая хранит и обрабатывает информацию о сетевых ресурсах. Данную роль используют для организации элементов сети, таких как пользователи, компьютеры и другие устройства, в иерархическую структуру защитной оболочки. Иерархическая структура включает в себя леса, домены в лесу, а также организационные единицы (OU) в каждом домене. Сервер, работающий под управлением AD DS, называется контроллером домена. Название роли для Windows PowerShell - AD-Domain-Services. Режим Windows Server EssentialsДанная роль представляет собой компьютерную инфраструктуру и предоставляет удобные и эффективные функции, например: хранение данных клиента в централизованном месте и защита этих данных за счет резервного копирования сервера и клиентских компьютеров, удаленный веб-доступ, позволяющий получать доступ к данным практически с любого устройства. Для работы данной роли необходимо несколько служб ролей и компонентов, например: компоненты BranchCache, система архивации Windows Server, управление групповой политикой, служба роли «Пространства имен DFS ». Название для PowerShell – ServerEssentialsRole. Сетевой контроллерЭто роль появилась в Windows Server 2016, она представляет собой единую точку автоматизации для управления, мониторинга и диагностики, физической и виртуальной сетевой инфраструктуры в центре обработки данных. С помощью данной роли можно из одной точки настраивать IP-подсети, VLAN, физические сетевые адаптеры Hyper-V хостов, управлять виртуальными коммутаторами, физическими маршрутизаторами, настройками файрвола и VPN-шлюзами. Название для Windows PowerShell – NetworkController. Служба опекуна узлаЭто роль сервера размещенной службы Guardian (HGS), она предоставляет службы аттестации и защиты ключей, которые позволяют защищенным узлам запускать экранированные виртуальные машины. Для функционирования данной роли необходимо несколько дополнительных ролей и компонентов, например: доменные службы Active Directory, Веб-сервер (IIS), компонент «Отказоустойчивая кластеризация » и другие. Название для PowerShell – HostGuardianServiceRole. Службы Active Directory облегченного доступа к каталогамРоль «Службы Active Directory облегченного доступа к каталогам » (AD LDS) – представляет собой облегченную версию AD DS, которая обладает меньшей функциональностью, но не требует развертывания доменов или контроллеров доменов, а также не имеет зависимостей и доменных ограничений, которые требуются для служб AD DS. AD LDS работает по протоколу LDAP (Lightweight Directory Access Protocol ). На одном сервере можно развернуть несколько экземпляров AD LDS с независимо управляемыми схемами. Название для PowerShell – ADLDS. Службы MultiPointЭто также новая роль, которая появилась в Windows Server 2016. Службы MultiPoint (MPS) предоставляют базовую функциональность удаленных рабочих столов, что позволяет нескольким пользователям одновременно и независимо друг от друга работать на одном и том же компьютере. Для установки и функционирования данной роли нужно установить несколько дополнительных служб и компонентов, например: Сервер печати, службу Windows Search, средство просмотра XPS и другие, все они будут выбраны автоматически в момент установки MPS. Название роли для PowerShell – MultiPointServerRole. Службы Windows Server Update ServicesС помощью этой роли (WSUS) системные администраторы могут управлять обновлениями Microsoft. Например, создавать отдельные группы компьютеров для разных наборов обновлений, а также получать отчеты о соответствии компьютеров требованиям и обновлениях, которые требуется установить. Для функционирования «Службы Windows Server Update Services » нужны такие службы ролей и компоненты как: Веб-сервер (IIS), внутренняя база данных Windows, служба активации процессов Windows. Название для Windows PowerShell – UpdateServices.
Службы активации корпоративных лицензийС помощью этой роли сервера можно автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение от компании Microsoft, а также она позволяет управлять этими лицензиями. Название для PowerShell – VolumeActivation. Службы печати и документовЭта роль сервера предназначена для предоставления общего доступа к принтерам и сканерам в сети, для централизованной настройки и управления серверами печати и сканирования, а также управления сетевыми принтерами и сканерами. Службы печати и документов также позволяет отправлять отсканированные документы по электронной почте, в общие сетевые папки или на сайты Windows SharePoint Services. Название для PowerShell – Print-Services.
Службы политики сети и доступаРоль « » (NPAS) позволяет с помощью сервера политики сети (NPS) задавать и применять политики доступа к сети, проверки подлинности и авторизации, а также работоспособности клиента, другими словами, обеспечивать безопасность сети. Название для Windows PowerShell – NPAS. Службы развертывания WindowsС помощью этой роли можно удаленно устанавливать операционной системы Windows по сети. Название роли для PowerShell – WDS.
Службы сертификатов Active DirectoryЭта роль предназначена для создания центров сертификации и связанных служб ролей, которые позволяют выдавать сертификаты для различных приложений и управлять такими сертификатами. Название для Windows PowerShell – AD-Certificate. Включает следующие службы роли:
Службы удаленных рабочих столовРоль сервера, с помощью которой можно организовать доступ к виртуальным рабочим столам, к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp. Название роли для Windows PowerShell – Remote-Desktop-Services. Состоит из следующих служб:
Службы управления правами Active DirectoryЭто роль сервера, которая позволит Вам защитить информацию от несанкционированного использования. Она проверяет удостоверения пользователей и предоставляет авторизованным пользователям лицензии на доступ к защищенным данным. Для работы данной роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Служба активации процессов Windows », «Функции.NET Framework 4.6 ». Название для Windows PowerShell – ADRMS.
Службы федерации Active DirectoryДанная роль предоставляет упрощенные и безопасные возможности федерации удостоверений, а также функцию единого входа (SSO) на веб-сайты с помощью браузера. Название для PowerShell – ADFS-Federation. Удаленный доступДанная роль обеспечивает подключение через DirectAccess, VPN и прокси веб-приложения. Также роль «Удаленный доступ » предоставляет традиционные возможности маршрутизации, включая преобразование сетевых адресов (NAT) и другие параметры подключений. Для работы этой роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Внутренняя база данных Windows ». Название роли для Windows PowerShell – RemoteAccess.
Файловые службы и службы хранилищаЭто роль сервера, с помощью которой можно предоставлять общий доступ к файлам и папкам, управлять общими ресурсами и контролировать их, осуществлять репликацию файлов, обеспечивать быстрый поиск файлов, а также предоставлять доступ для клиентских компьютеров UNIX. Более подробно файловые службы и в частности файловый сервер мы рассматривали в материале «Установка файлового сервера (File Server) на Windows Server 2016 ». Название для Windows PowerShell – FileAndStorage-Services. Службы хранения (Storage-Services) – это служба предоставляет функциональность управления хранилищем, которая устанавливается всегда и не может быть удалена. Файловые службы и службы iSCSI (File-Services) – это технологии, которые упрощают управление файловыми серверами и хранилищами, позволяют экономить место на диске, обеспечивают репликацию и кэширование файлов в филиалах, а также предоставляют общий доступ к файлам по протоколу NFS. Включает следующие службы роли:
Факс-серверРоль отправляет и принимает факсы, а также позволяет управлять ресурсами факса, такими как задания, параметры, отчеты и факсимильные устройства, на этом компьютере или в сети. Для работы необходим «Сервер печати ». Название роли для Windows PowerShell – Fax. На этом обзор серверных ролей Windows Server 2016 закончен, надеюсь, материал был Вам полезен, пока! Перед разработкой сокетного сервера нужно создать сервер политики, сообщающий Silverlight, каким клиентам разрешено устанавливать соединение с сокетным сервером. Как было показано выше, Silverlight не разрешает загружать содержимое или вызывать веб-службу, если в домене нет файла clientaccesspolicy .xml или crossdomain. xml, в котором эти операции явно разрешены. Аналогичное ограничение налбжено и на сокетный сервер. Если не предоставить клиентскому устройству возможность загрузить файл clientaccesspolicy .xml, разрешающий отдаленный доступ, Silverlight откажется устанавливать соединение. К сожалению, предоставление файла clientaccesspolicy. cml сокетному приложению - более сложная задача, чем его предоставление посредством веб-сайта. При использовании веб-сайта программное обеспечение веб-сервера может предоставить файл clientaccesspolicy .xml, нужно лишь не забыть добавить его. В то же время при использовании сокетного приложения нужно открыть сокет, к которому клиентские приложения могут обращаться с запросами политики. Кроме того, нужно вручную создать код, обслуживающий сокет. Для решения этих задач необходимо создать сервер политики. Далее будет показано, что сервер политики работает так же, как сервер сообщений, он лишь обслуживает немного более простые взаимодействия. Серверы сообщений и политики можно создать отдельно или объединить в одном приложении. Во втором случае они должны прослушивать запросы в разных потоках. В рассматриваемом примере мы создадим сервер политики, а затем объединим его с сервером сообщений. Для создания сервера политики нужно сначала создать приложение.NET. В качестве сервера политики может служить приложение.NET любого типа. Проще всего применить консольное приложение. Отладив консольное приложение, можно переместить код в службу Windows, чтобы он постоянно выполнялся в фоновом режиме. Файл политики Ниже приведен файл политики, предоставляемый сервером политики. Файл политики определяет три правила. Разрешает доступ ко всем портам от 4502 до 4532 (это полный диапазон портов, поддерживаемых надстройкой Silverlight). Для изменения диапазона доступных портов нужно изменить значение атрибута port элемента. Разрешает доступ TCP (разрешение определено в атрибуте protocol элемента). Разрешает вызов из любого домена. Следовательно, приложение Silverlight, устанавливающее соединение, может хостироваться любым веб-сайтом. Для изменения этого правила нужно отредактировать атрибут uri элемента. Для облегчения задачи правила политики размещаются в файле clientaccess- ploi.cy.xml, добавляемом в проект. В Visual Studio параметру Copy to Output Directory (Копировать в выходную папку) файла политики нужно присвоить значение Сору Always (Всегда копировать). должен всего лишь найти файл на жестком диске, открыть его и вернуть содержимое клиентскому устройству. Класс PolicyServer Функциональность сервера политики основана на двух ключевых классах: PolicyServer и PolicyConnection. Класс PolicyServer обеспечивает ожидание соединений. Получив соединение, он передает управление новому экземпляру класса PoicyConnection, который передает файл политики клиенту. Такая процедура, состоящая из двух частей, часто встречается в сетевом программировании. Вы еще не раз увидите ее при работе с серверами сообщений. Класс PolicyServer загружает файл политики с жесткого диска и сохраняет его в поле как массив байтов. public class PolicyServer private byte policy; public PolicyServer(string policyFile) { Чтобы начать прослушивание, серверное приложение должно вызвать метод PolicyServer. Start (). Он создает объект TcpListener, который ожидает запросы. Объект TcpListener сконфигурирован на прослушивание порта 943. В Silverlight этот порт зарезервирован для серверов политики. При создании запросов на файлы политики приложение Silverlight автоматически направляет их в порт 943. private TcpListener listener; public void Start () // Создание прослушивающего объекта listener = new TcpListener(IPAddress.Any, 943); // Начало прослушивания; метод Start () возвращается II немедленно после вызова listener.Start(); // Ожидание соединения; метод возвращается немедленно; II ожидание выполняется в отдельном потоке Чтобы принять предлагаемое соединение, сервер политики вызывает метод BeginAcceptTcpClient (). Как все методы Beginxxx () инфраструктуры.NET, он возвращается немедленно после вызова, выполняя необходимые операции в отдельном потоке. Для сетевых приложений это весьма существенный фактор, потому что благодаря ему возможна одновременная обработка многих запросов на файлы политики. Примечание. Начинающие сетевые программисты часто удивляются, как можно обрабатывать более одного запроса одновременно, и думают, что для этого нужно несколько серверов. Однако это не так. При таком подходе клиентские приложений быстро исчерпали бы доступные порты. На практике серверные приложения обрабатывают многие запросы через один порт. Этот процесс невидим для приложений, потому что встроенная в Windows подсистема TCP автоматически идентифицирует сообщения и направляет их в соответствующие объекты в коде приложений. Каждое соединение уникально идентифицируется на основе четырех параметров: ІР-адрес клиента, номер порта клиента, ІР-адрес сервера и номер порта сервера. При каждом запросе запускается метод обратного вызова OnAcceptTcpClient (). Он опять вызывает метод BeginAcceptTcpClient О, чтобы начать ожидание следующего запроса в другом потоке, и после этого начинает обрабатывать текущий запрос. public void OnAcceptTcpClient(IAsyncResult аг) { if (isStopped) return; Console.WriteLine("Получен запрос политики."); // Ожидание следующего соединения. listener.BeginAcceptTcpClient(OnAcceptTcpClient, null); // Обработка текущего соединения. TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = new PolicyConnection(client, policy); policyConnection.HandleRequest() ; catch (Exception err) { Каждый раз при получении нового соединения создается новый объект PolicyConnection, чтобы обработать его. Кроме того, объект PolicyConnection обслуживает файл политики. Последний компонент класса PolicyServer - метод Stop (), который останавливает ожидание запросов. Приложение вызывает его при завершении. private bool isStopped; public void StopO { isStopped = true; listener. Stop () ; catch (Exception err) { Console.WriteLine(err.Message); Для запуска сервера политики в методе Main () сервера приложения используется следующий код. static void Main(string args) { PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start(); Console.WriteLine("Запущен сервер политики."); Console.WriteLine("Нажмите клавишу Enter для выхода."); // Ожидание нажатия клавиши; с помощью метода // Console.ReadKey() можно задать ожидание определенной // строки (например, quit) или нажатия любой клавиши Console.ReadLine(); policyServer.Stop(); Console.WriteLine("Завершение сервера политики."); Класс PolicyConnection Класс PolicyConnection выполняет более простую задачу. Объект PolicyConnection сохраняет ссылку на данные файла политики. Затем, после вызова метода HandleRequest (), объект PolicyConnection извлекает из сетевого потока новое соединение и пытается прочитать его. Клиентское устройство должно передать строку, содержащую текст После чтения этого текста клиентское устройство записывает данные политики в поток и закрывает соединение. Ниже приведен код класса PolicyConnection. public class PolicyConnection ( private TcpClient client; private byte policy; public PolicyConnection(TcpClient client, byte policy) { this.client = client; this.policy = policy; // Создание запроса клиента private static string policyRequestString = " public void HandleRequest () { Stream s = client.GetStream(); // Чтение строки запроса политики byte buffer = new byte; // Ожидание выполняется только 5 секунд client.ReceiveTimeout = 5000;’ s.Read(buffer, 0, buffer.Length); // Передача политики (можно также проверить, есть ли //в запросе политики необходимое содержимое) s.Write(policy, 0, policy.Length); // Закрытие соединения client.Close (); Console.WriteLine("Файл политики обслужен."); Итак, у нас есть полностью работоспособный сервер политики. К сожалению, его пока что нельзя протестировать, потому что надстройка Silverlight не разрешает явно запрашивать файлы политики. Вместо этого она автоматически запрашивает их при попытке использовать сокетное приложение. Перед созданием клиентского приложения для данного сокетного приложения необходимо создать сервер. В продолжение темы: Новые статьи / |
Популярное:
Новое
- Настройка дополнительных реквизитов и дополнительных сведений номенклатуры 1с дополнительные реквизиты и сведения отличия
- Что делать, когда нет регистрационных данных
- Запрос на выборку данных (формулы) в MS EXCEL Эксель выборка по условию макрос
- Временная временная одноразовая электронная почта Temp Email, mail sites, регистрация в социальных сетях
- Что делать, если компьютер не видит телефон через USB-порт
- Как установить Windows на Mac?
- Asus rt n16 настройка прошивка
- Как узнать разрядность операционной системы и процессора в Windows
- Как выключить брандмауэр Windows: полная деактивация и отключение для отдельных программ Как полностью отключить брандмауэр windows 7
- Мощный конвертер HTML файлов в Doc, PDF, Excel, JPEG, Text Использование программы Total HTML Converter