Abschnitte der Website
Die Wahl des Herausgebers:
- Warum braucht ein Laptop eine kleine SSD und lohnt es sich, Windows darauf zu installieren?
- Einen Rahmen einfügen. Rahmen erstellen. Bereitstellung eines Noframes-Fallbacks
- Windows-Systemwiederherstellung Endlose automatische Wiederherstellungsvorbereitung
- Reparieren eines Flash-Laufwerks mit Programmen So reparieren Sie einen USB-Anschluss an einem Laptop
- Die Festplattenstruktur ist beschädigt; Lesen ist nicht möglich, was soll ich tun?
- Was ist Festplatten-Cache-Speicher und warum wird er benötigt? Wofür ist die Cache-Größe verantwortlich?
- Woraus besteht ein Computer?
- Die Struktur der Systemeinheit – welche Komponenten für den Betrieb des Computers verantwortlich sind. Merkmale der internen Geräte der Systemeinheit
- So wandeln Sie eine Festplatte in eine SSD um
- Eingabegeräte umfassen
Werbung
| Geben Sie eine detaillierte Beschreibung der Serverrichtlinie an. GPResult-Befehl: Diagnose der resultierenden Gruppenrichtlinien |
|
Die Funktionalität im Windows Server-Betriebssystem wird von Version zu Version berechnet und verbessert, es gibt immer mehr Rollen und Komponenten, daher werde ich im heutigen Material versuchen, sie kurz zu beschreiben Beschreibung und Zweck jeder Rolle in Windows Server 2016. Bevor wir mit der Beschreibung der Windows Server-Serverrollen fortfahren, wollen wir herausfinden, was „ Serverrolle» im Windows Server-Betriebssystem. Was ist eine „Serverrolle“ in Windows Server?Serverrolle- Das Softwarepaket, wodurch sichergestellt wird, dass der Server eine bestimmte Funktion ausführt, und diese Funktion ist der wichtigste. Mit anderen Worten, " Serverrolle„ist der Zweck des Servers, d.h. wofür ist das? Damit der Server seine Hauptfunktion erfüllen kann, d.h. eine bestimmte Rolle in „ Serverrolle» Alles, was Sie dazu benötigen, ist im Lieferumfang enthalten Software (Programme, Dienstleistungen). Der Server kann eine Rolle haben, wenn er aktiv genutzt wird, oder mehrere, wenn jede davon den Server nicht stark belastet und selten genutzt wird. Eine Serverrolle kann mehrere Rollendienste umfassen, die Folgendes bereitstellen Funktionalität Rollen. Beispielsweise in der Serverrolle „ Webserver (IIS)„Eine ziemlich große Anzahl von Diensten ist enthalten, und die Rolle“ DNS Server» Rollendienste sind nicht enthalten, da diese Rolle nur eine Funktion ausführt. Rollendienste können je nach Bedarf gemeinsam oder einzeln installiert werden. Im Kern bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste. In Windows Server gibt es auch „ Komponenten» Server. Serverkomponenten (Feature)– Hierbei handelt es sich um Softwaretools, die keine Serverrolle darstellen, sondern die Funktionen einer oder mehrerer Rollen erweitern oder eine oder mehrere Rollen verwalten. Einige Rollen können nicht installiert werden, wenn die erforderlichen Dienste oder Komponenten, die für die Funktion dieser Rollen erforderlich sind, nicht auf dem Server installiert sind. Daher zum Zeitpunkt der Installation solcher Rollen „ Assistent zum Hinzufügen von Rollen und Funktionen" selbst fordert Sie automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren. Beschreibung der Serverrollen von Windows Server 2016Viele der Rollen in Windows Server 2016 sind Ihnen wahrscheinlich bereits bekannt, da es sie schon seit geraumer Zeit gibt. lange Zeit, aber wie gesagt, mit jeder neuen Version von Windows Server kommen neue Rollen hinzu, mit denen Sie vielleicht noch nicht gearbeitet haben, von denen Sie aber gerne wissen würden, wozu sie dienen, also schauen wir uns diese an. Notiz! Über die neuen Funktionen des Betriebssystems Windows Server 2016 können Sie im Material „Windows Server 2016 installieren und eine Übersicht über neue Funktionen“ nachlesen.. Da die Installation und Verwaltung von Rollen, Diensten und Komponenten sehr häufig über Windows PowerShell erfolgt, werde ich für jede Rolle und ihren Dienst einen Namen angeben, der in PowerShell verwendet werden kann, um sie zu installieren bzw. zu verwalten. DHCP-ServerMit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle verfügt über keine Rollendienste. Der Name für Windows PowerShell ist DHCP. DNS ServerDiese Rolle ist für die Namensauflösung in TCP/IP-Netzwerken vorgesehen. Die Rolle des DNS-Servers wird bereitgestellt und verwaltet DNS funktioniert. Um die DNS-Serververwaltung zu vereinfachen, wird es normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle verfügt über keine Rollendienste. Der Rollenname für PowerShell ist DNS. Hyper-VMithilfe der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es handelt sich um ein Tool zum Erstellen und Verwalten virtueller Maschinen. Der Rollenname für Windows PowerShell ist Hyper-V. Zertifizierung der GeräteleistungRolle " » ermöglicht Ihnen die Bewertung des Gerätezustands anhand gemessener Sicherheitsparameter, wie z. B. sicherer Startstatus und Bitlocker auf dem Client. Damit diese Rolle funktioniert, sind eine ganze Reihe von Rollendiensten und Komponenten erforderlich, zum Beispiel: mehrere Dienste aus der Rolle „ Webserver (IIS)", Komponente " ", Komponente " Funktionen. NET Framework 4.6 ». Bei der Installation werden automatisch alle benötigten Rollendienste und Komponenten ausgewählt. Die Rolle " Zertifizierung der Geräteleistung» Es gibt keine eigenen Dienste. Der Name für PowerShell ist DeviceHealthAttestationService. Webserver (IIS)Bietet eine zuverlässige, verwaltbare und skalierbare Webanwendungsinfrastruktur. Besteht aus einer relativ großen Anzahl von Diensten (43). Der Name für Windows PowerShell ist Web-Server. Enthält die folgenden Rollendienste ( In Klammern gebe ich den Namen für Windows PowerShell an): Webserver (Web-WebServer)– Eine Gruppe von Rollendiensten, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und Webserver bereitstellt. Besteht aus folgenden Leistungen:
FTP - Server (Web-FTP-Server)– Dienste, die das FTP-Protokoll unterstützen. Wir haben ausführlicher über den FTP-Server im Material „Installieren und Konfigurieren eines FTP-Servers unter Windows Server 2016“ gesprochen. Enthält die folgenden Dienste:
Verwaltungstools (Web-Mgmt-Tools)– Dies sind Tools zur Verwaltung des IIS 10-Webservers. Dazu gehören: die IIS-Benutzeroberfläche, Befehlszeilentools und Skripte.
Active Directory-DomänendiensteRolle " Active Directory-Domänendienste» (AD DS) stellt eine verteilte Datenbank bereit, die Informationen über Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen sicheren Shell-Struktur zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen innerhalb der Gesamtstruktur und Organisationseinheiten (OUs) innerhalb jeder Domäne. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Der Rollenname für Windows PowerShell lautet AD-Domain-Services. Windows Server Essentials-ModusDiese Rolle stellt die Computerinfrastruktur dar und bietet praktische und effiziente Funktionen, zum Beispiel: Speicherung von Kundendaten an einem zentralen Ort und Schutz dieser Daten durch Exemplar reservieren Server- und Client-Computer, Remote-Webzugriff, sodass Sie von fast jedem Gerät aus auf Daten zugreifen können. Diese Rolle erfordert mehrere Rollendienste und Komponenten, wie zum Beispiel: BranchCache-Komponenten, Windows Server-Sicherung, Verwaltung Gruppenrichtlinie, Rollendienst“ DFS-Namespaces». Der Name für PowerShell ist ServerEssentialsRole. Netzwerk-ControllerDiese Rolle wurde in Windows Server 2016 eingeführt und bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs, physische Netzwerkadapter von Hyper-V-Hosts konfigurieren, virtuelle Switches, physische Router, Firewall-Einstellungen und VPN-Gateways von einem Punkt aus verwalten. Der Name für Windows PowerShell ist NetworkController. KnotenwächterdienstDies ist die Serverrolle „Hosted Guardian Service“ (HGS) und stellt wichtige Nachweis- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, geschützt ausgeführt zu werden virtuelle Maschinen. Damit diese Rolle funktioniert, sind mehrere zusätzliche Rollen und Komponenten erforderlich, zum Beispiel: Active Directory Domain Services, Webserver (IIS), Komponente „ Failover-Clustering" und andere. Der Name für PowerShell ist HostGuardianServiceRole. Active Directory Lightweight Directory ServicesRolle " Active Directory Lightweight Directory Services" (AD LDS) – ist eine schlanke Version von AD DS, die über weniger Funktionalität verfügt, aber keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht über die Abhängigkeiten und Domäneneinschränkungen verfügt, die AD DS-Dienste erfordern. AD LDS funktioniert über das LDAP-Protokoll ( Lightweight Directory Access Protocol). Sie können mehrere AD LDS-Instanzen mit unabhängig verwalteten Schemata auf einem einzelnen Server bereitstellen. Der Name für PowerShell ist ADLDS. MultiPoint-DiensteDies ist ebenfalls eine neue Rolle, die in Windows Server 2016 eingeführt wurde. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Suchdienst, XPS Viewer und andere, die alle automatisch ausgewählt werden, wenn MPS installiert wird. Der Rollenname für PowerShell ist MultiPointServerRole. Windows Server Update-DiensteVerwenden dieser Rolle (WSUS) Systemadministratoren kann Microsoft-Updates verwalten. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Update-Sätze und erhalten Sie außerdem Berichte über die Computerkonformität und die zu installierenden Updates. Funktionieren " Windows Server Update-Dienste» Wir benötigen Rollendienste und Komponenten wie: Webserver (IIS), interne Datenbank Windows-Daten, Aktivierungsdienst Windows-Prozesse. Der Name für Windows PowerShell ist UpdateServices.
VolumenaktivierungsdiensteDiese Serverrolle automatisiert und vereinfacht die Ausstellung von Volumenlizenzen für Microsoft-Software und ermöglicht Ihnen die Verwaltung dieser Lizenzen. Der Name für PowerShell ist VolumeActivation. Druck- und DokumentendiensteDiese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern in einem Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung Netzwerkdrucker und Scanner. Mit Print and Document Services können Sie auch gescannte Dokumente per E-Mail an Shared senden Netzwerkordner oder zu Windows SharePoint Services-Websites. Der Name für PowerShell ist Print-Services.
Netzwerkrichtlinien- und ZugriffsdiensteRolle " » (NPAS) ermöglicht Ihnen die Verwendung des Network Policy Server (NPS), um Richtlinien für den Netzwerkzugriff, die Authentifizierung und Autorisierung sowie den Client-Zustand festzulegen und durchzusetzen, mit anderen Worten, um die Netzwerksicherheit zu gewährleisten. Der Name für Windows PowerShell ist NPAS. Windows-BereitstellungsdiensteMit dieser Rolle können Sie das Windows-Betriebssystem remote über ein Netzwerk installieren. Der Rollenname für PowerShell ist WDS.
Active Directory-ZertifikatdiensteMit dieser Rolle können Zertifizierungsstellen und zugehörige Rollendienste erstellt werden, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können. Der Name für Windows PowerShell ist AD-Zertifikat. Beinhaltet die folgenden Rollendienste:
RemotedesktopdiensteEine Serverrolle, die Ihnen den Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und RemoteApps ermöglicht. Der Rollenname für Windows PowerShell lautet Remote-Desktop-Services. Besteht aus folgenden Leistungen:
Active Directory-RechteverwaltungsdiensteDies ist eine Serverrolle, die es Ihnen ermöglicht, Informationen vor unbefugter Nutzung zu schützen. Es überprüft Benutzeridentitäten und gewährt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Damit diese Rolle funktioniert, sind zusätzliche Dienste und Komponenten erforderlich: „ Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen». Der Name für Windows PowerShell ist ADRMS.
Active Directory-VerbunddiensteDiese Rolle bietet vereinfachte und sichere Identitätsföderationsfunktionen sowie browserbasiertes Single Sign-On (SSO) für Websites. Der Name für PowerShell ist ADFS-Federation. FernzugriffDiese Rolle stellt Konnektivität über DirectAccess, VPN und Webanwendungsproxy bereit. Auch die Rolle von „ Fernzugriff » bietet traditionelle Routing-Funktionen, einschließlich Network Address Translation (NAT) und andere Verbindungsoptionen. Diese Rolle erfordert zusätzliche Dienste und Komponenten: „ Webserver (IIS)», « Interne Windows-Datenbank». Der Rollenname für Windows PowerShell lautet RemoteAccess.
Datei- und SpeicherdiensteDies ist eine Serverrolle, die zur Bereitstellung verwendet werden kann allgemeiner Zugang auf Dateien und Ordner zugreifen, gemeinsame Ressourcen verwalten und steuern, Dateien replizieren, bereitstellen schnelle Suche Dateien und ermöglichen außerdem den Zugriff auf UNIX-Clientcomputer. Ausführlicher Dateidienste und insbesondere haben wir uns im Material „Installieren eines Dateiservers unter Windows Server 2016“ mit dem Dateiserver befasst. Der Name für Windows PowerShell ist FileAndStorage-Services. Speicherdienste– Dieser Dienst stellt Speicherverwaltungsfunktionen bereit, die immer installiert sind und nicht entfernt werden können. Dateidienste und iSCSI-Dienste (Dateidienste)– Hierbei handelt es sich um Technologien, die die Verwaltung von Dateiservern und -speichern vereinfachen, Speicherplatz sparen, die Replikation und Zwischenspeicherung von Dateien in Zweigen ermöglichen und auch die Dateifreigabe mithilfe des NFS-Protokolls ermöglichen. Beinhaltet die folgenden Rollendienste:
FaxserverDie Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf diesem Computer oder Netzwerk. Um zu arbeiten, brauchst du " Druck Server». Der Rollenname für Windows PowerShell lautet Fax. Damit ist die Überprüfung der Windows Server 2016-Serverrollen abgeschlossen. Ich hoffe, das Material war für Sie nützlich, tschüss! Bei der Installation von Windows werden die meisten kleineren Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, können sich Systemadministratoren darauf konzentrieren, ein System zu entwerfen, das genau seine beabsichtigten Funktionen ausführt und nichts anderes. Um Ihnen bei der Aktivierung der benötigten Funktionen zu helfen, fordert Windows Sie auf, eine Serverrolle auszuwählen. RollenEine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Generell weisen alle Rollen die folgenden Merkmale auf.
RollendiensteRollendienste sind Programme, die Rollenfunktionen bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen bereitstellt. Einige Rollen, wie z. B. DNS-Server, erfüllen nur eine Funktion, daher gibt es für sie keine Rollendienste. Andere Rollen, wie etwa Remotedesktopdienste, verfügen über mehrere Dienste, die je nach den Fernzugriffsanforderungen Ihres Unternehmens installiert werden können. Eine Rolle kann als eine Sammlung eng miteinander verbundener, sich ergänzender Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste. Komponenten Komponenten sind Programme, die nicht direkt Teil von Rollen sind, sondern die Funktionalität einer oder mehrerer Rollen oder eines gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert die Failover-Cluster-Funktion die Funktionalität anderer Rollen wie Dateidienste und DHCP-Server, indem sie ihnen den Beitritt zu Serverclustern ermöglicht und so für mehr Redundanz und Leistung sorgt. Eine weitere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion verbessert die Kommunikationsfähigkeiten des Servers. Wenn Windows Server im Basismodus ausgeführt wird Serverkomponenten werden folgende Serverrollen unterstützt:
Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverkomponenten unterstützt:
Installieren von Serverrollen mit dem Server-ManagerÖffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü „Verwalten“ auf „Rollen und Funktionen hinzufügen“: Der Assistent zum Hinzufügen von Rollen und Funktionen wird geöffnet. Weiter klicken
Wählen Sie unter Installationstyp Rollenbasierte oder funktionsbasierte Installation aus. Nächste:
Serverauswahl – Wählen Sie unseren Server aus. Klicken Sie auf „Nächste Serverrollen – Rollen auswählen“, wählen Sie ggf. Rollendienste aus und klicken Sie auf „Weiter“, um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Funktionen automatisch, wenn auf dem Zielserver Konflikte vorliegen, die die Installation verhindern könnten normale Operation ausgewählte Rollen oder Komponenten. Sie werden außerdem aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind. Rollen mit PowerShell installierenÖffnen Sie Windows PowerShell. Geben Sie den Befehl „Get-WindowsFeature“ ein, um die Liste der verfügbaren und installierten Rollen und Features anzuzeigen lokaler Server. Die Ergebnisse dieses Cmdlets enthalten die Befehlsnamen für die Rollen und Features, die installiert sind und für die Installation verfügbar sind.
Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax anzuzeigen akzeptable Parameter Cmdlet Install-WindowsFeature (MAN).
Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn bei der Installation der Rolle ein Neustart erforderlich ist). Install-WindowsFeature –Name Beschreibung von Rollen und RollendienstenIm Folgenden werden alle Rollen und Rollendienste beschrieben. Schauen wir uns die erweiterte Konfiguration für die in unserer Praxis am häufigsten vorkommenden an: Webserverrolle und Remotedesktop Dienstleistungen Detaillierte Beschreibung von IIS
Detaillierte Beschreibung von RDS
Schauen wir uns die Installation und Konfiguration eines Terminallizenzservers an. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir „Remotedesktoplizenzierung“ und „Remotedesktopsitzungshost“ auswählen. Nach der Installation erscheint das Element „Terminaldienste“ in den Server Manager-Tools. Terminal Services verfügt über zwei Elemente: RD Licensing Diagnoser, ein Diagnosetool für die Remote-Desktop-Lizenzierung, und Remote Desktop Licensing Manager, ein Lizenzverwaltungstool. Starten wir den RD Licensing Diagnoser
Hier sehen wir, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den Remotedesktop-Sitzungshostserver nicht eingestellt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien angegeben. Um den Editor zu starten, führen Sie den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Öffnen wir in der Baumstruktur links die Registerkarten:
Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver
Aktivieren Sie im Bearbeitungsfenster der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie den Lizenzserver für Remotedesktopdienste ermitteln. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Wir weisen darauf hin Netzwerkname Geben Sie die IP-Adresse des Lizenzservers ein und klicken Sie auf OK. Wenn Sie den Servernamen in Zukunft ändern, muss der Lizenzserver im selben Abschnitt geändert werden.
Danach können Sie im RD-Lizenzierungsdiagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Starten Sie zum Aktivieren den Remote Desktop Licensing Manager
Wählen Sie einen Lizenzserver mit dem Status „Nicht aktiviert“ aus. Zum Aktivieren klicken Sie mit der rechten Maustaste darauf und wählen Sie „Server aktivieren“. Der Serveraktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als Nächstes Informationen zur Organisation ein. Anschließend wird der Lizenzserver aktiviert. Active Directory-ZertifikatdiensteAD CS bietet anpassbare digitale Zertifikatsdienste, die in Softwaresicherheitssystemen verwendet werden, die Technologie nutzen öffentliche Schlüssel und die Verwaltung dieser Zertifikate. Von AD CS bereitgestellte digitale Zertifikate können zur Verschlüsselung und digitalen Signatur verwendet werden elektronische Dokumente und Nachrichten. Diese digitalen Zertifikate können verwendet werden, um die Authentizität von Computer-, Benutzer- und Gerätekonten online zu überprüfen. Digitale Zertifikate werden verwendet, um Folgendes sicherzustellen:
AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem eine Benutzer-, Geräte- oder Dienstidentität mit der entsprechenden Identität verknüpft wird Privat Schlüssel. Zu den von AD CS unterstützten Verwendungszwecken gehören geschützte Secure Multipurpose Internet Mail Extensions (S/MIME). drahtloses Netzwerk, virtuelle private Netzwerke (VPN), IPsec-Protokoll, Encrypting File System (EFS), Smart Card Login, Sicherheitsprotokoll und Transport Layer Security (SSL/TLS) sowie digitale Signaturen. Active Directory-DomänendiensteMit der Serverrolle Active Directory Domain Services (AD DS) können Sie eine skalierbare, sichere und verwaltete Infrastruktur für die Verwaltung von Benutzern und Ressourcen erstellen; Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server unterstützen. Active Directory Domain Services stellt eine verteilte Datenbank bereit, die Informationen über Netzwerkressourcen und verzeichnisfähige Anwendungsdaten speichert und verwaltet. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen, verschachtelten Struktur zu organisieren. Die hierarchisch verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen innerhalb der Gesamtstruktur und die Organisationseinheiten innerhalb jeder Domäne. Sicherheitsfunktionen sind in AD DS in Form von Authentifizierung und Zugriffskontrolle auf Ressourcen im Verzeichnis integriert. Mit der einmaligen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch Netzwerk-Single-Sign-On verwenden, um auf Ressourcen zuzugreifen, die sich überall im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.
Active Directory-VerbunddiensteAD FS bietet Endbenutzern, die auf Anwendungen in einem AD FS-geschützten Unternehmen, einem Verbundpartner oder einer Cloud zugreifen müssen, vereinfachte und sichere Identitätsföderations- und webbasierte Single-Sign-On-Funktionen (SSO). Auf Windows Server umfasst AD FS die Der Rollendienst Federation Services fungiert als Identitätsanbieter (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen). Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das flexible Unterstützung für Verzeichnisanwendungen ohne die Abhängigkeiten und Domänenbeschränkungen der Active Directory-Domänendienste bietet. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS auf einem einzelnen Server mit unabhängig verwalteten Schemas ausführen. Durch die Verwendung der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne den Mehraufwand von Domänen und Gesamtstrukturen und ohne die Notwendigkeit eines einzigen gesamtstrukturweiten Schemas. Active Directory-RechteverwaltungsdiensteAD RMS kann zur Verbesserung der Sicherheitsstrategie eines Unternehmens verwendet werden, indem Dokumente mithilfe von Information Rights Management (IRM) geschützt werden. Mit AD RMS können Benutzer und Administratoren mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuweisen. Dadurch können Sie sich schützen vertrauliche Informationen vor dem Ausdrucken, Weiterleiten oder Kopieren durch unbefugte Benutzer. Sobald Dateiberechtigungen mithilfe von IRM eingeschränkt werden, werden Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen durchgesetzt, da die Dateiberechtigung in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen persönlichen Präferenzen hinsichtlich der Weitergabe persönlicher und sensibler Informationen anwenden. Sie helfen der Organisation auch dabei, Unternehmensrichtlinien anzuwenden, um die Nutzung und Verbreitung vertraulicher und persönlicher Informationen zu regeln. IRM-Lösungen, die von AD RMS-Diensten unterstützt werden, werden verwendet, um die folgenden Funktionen bereitzustellen.
AnwendungsserverApplication Server bietet eine integrierte Umgebung für die Bereitstellung und Ausführung benutzerdefinierter serverbasierter Geschäftsanwendungen. DHCP-ServerDHCP ist eine Client-Server-Technologie, bei der DHCP-Server Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuweisen oder leasen können. Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden Clientcomputern und anderen Netzwerkgeräten automatisch gültige IP-Adressen und IPv4- und IPv6-Adressen bereitgestellt zusätzliche Konfigurationsparameter, die von diesen Clients und Geräten benötigt werden. Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Fehlerbehandlung. DNS ServerDNS-Dienst ist eine hierarchisch verteilte Datenbank, die Zuordnungen von DNS-Domänennamen enthält verschiedene Arten Daten wie IP-Adressen. Mit DNS können Sie benutzerfreundliche Namen wie www.microsoft.com verwenden, um das Auffinden von Computern und anderen Ressourcen in TCP/IP-basierten Netzwerken zu erleichtern. Windows Server DNS bietet zusätzliche und verbesserte Unterstützung für DNS-Sicherheitserweiterungen (DNSSEC), einschließlich Netzwerkregistrierung und automatisierte Steuerung Parameter. FAX-ServerDer Faxserver sendet und empfängt Faxe und bietet Ihnen außerdem die Möglichkeit, Faxressourcen wie Aufträge, Einstellungen, Berichte und Faxgeräte auf Ihrem Faxserver zu verwalten. Datei- und SpeicherdiensteAdministratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und deren Speicher zu konfigurieren und diese Server mithilfe des Server-Managers oder von Windows PowerShell zu verwalten. Einige spezifische Apps umfassen die folgenden Funktionen.
Hyper-VMit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Durch die Installation der Hyper-V-Rolle werden Voraussetzungen sowie optionale Verwaltungstools installiert. Zu den erforderlichen Komponenten gehören: Hypervisor Virtueller Windows-Verwaltungsdienst Hyper-V-Maschinen, WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualisierungsdienstanbieter (VSP) und virtueller Infrastrukturtreiber (VID). Netzwerkrichtlinien- und ZugriffsdiensteNetwork Policy and Access Services bietet die folgenden Lösungen für Netzwerkverbindungen:
Druck- und DokumentendiensteMit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben wie eine Windows SharePoint Services-Site oder per E-Mail hochladen. FernzugriffDie Rolle des Remotezugriffsservers ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.
Diese Technologien sind Rollendienste Rollen des Fernzugriffsservers. Wenn Sie die Rolle „Remotezugriffsserver“ installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen ausführen.
In Windows Server bietet die Rolle „Remotezugriffsserver“ die Möglichkeit, DirectAccess-Remotezugriffsdienste und VPN mit Routing and Remote Access Service (RRAS) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edge-Server bereitgestellt und verwaltet werden Windows-Befehle PowerShell und Remote Access Management Console (MMC). RemotedesktopdiensteRemote Desktop Services beschleunigen und erweitern die Bereitstellung von Desktops und Anwendungen auf jedem Gerät und steigern so die Produktivität von Remote-Mitarbeitern, schützen gleichzeitig kritisches geistiges Eigentum und vereinfachen die Einhaltung gesetzlicher Vorschriften. Remotedesktopdienste umfassen eine virtuelle Desktop-Infrastruktur (VDI), sitzungsbasierte Desktops und Anwendungen, sodass Benutzer von überall aus arbeiten können. VolumenaktivierungsdiensteVolume Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung und Verwaltung von Volumenlizenzen für Microsoft-Software in einer Vielzahl von Szenarien und Umgebungen automatisiert und vereinfacht. Zusammen mit den Volumenaktivierungsdiensten können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren. Webserver (IIS)Die Webserverrolle (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Durch den Einsatz eines Webservers werden Informationen für Benutzer im Internet, Intranet und Extranet verfügbar gemacht. Administratoren können die Webserverrolle (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites zu konfigurieren und zu verwalten. Zu den Barrierefreiheitsfunktionen gehören die folgenden.
Windows-BereitstellungsdiensteMit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen. Windows Server Essentials-ErfahrungMit dieser Rolle können Sie folgende Aufgaben lösen:
Windows Server Update-DiensteDer WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Aktualisierungsquelle für andere WSUS-Server in der Organisation sein. Wenn Sie WSUS implementieren, muss mindestens ein WSUS-Server in Ihrem Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von Ihrer Netzwerksicherheit und -konfiguration kann Ihr Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind. Hallo. Sie können Ihr Konto nicht selbst registrieren? Haben Sie die Antwort auf Ihre Frage nicht gefunden? Schreiben Sie in die Kommentare und ich gebe Ihnen die Antwort. ) Wofür ist der OOC-Chat gedacht? 2) Was versteht man unter dem Begriff Rollenspiel? 3) Wenn eine Situation nicht zu Ihren Gunsten ist (Mord/Raub). Eure Aktionen? 2) Sie haben Geld von einem Betrüger erhalten, was werden Sie tun? 3) Haben Sie das Recht, einen Polizisten zu töten? 1) Darf man vom Fahrersitz aus vorbeifahren? 4) Sind Spitznamen von Prominenten und Film-/Serien-/Zeichentrickfiguren erlaubt? 5) Während der Schießerei wurden theoretisch drei Charaktere getötet, aber nach einer Weile waren dieselben Charaktere wieder in ihren Rollen. Was für ein Mord ist das? 7) Sie schießen auf dich, aber du willst nicht sterben, und deshalb... 2) Haben Sie das Recht, Bunny-Hop zu nutzen? 7) Was werden Sie tun, wenn Sie einen Vorschlag für die Serverentwicklung haben? 3) Ist das Abmelden von Aktionen beim Einsatz von Kleinwaffen zwingend erforderlich? 2) Dies ist Ihr erstes Mal auf dem Server und Sie kennen die Befehle überhaupt nicht. Was werden Sie tun? 3) Wozu dient der Befehl /coin? 1) Was ist Metagaming? 6) Der Spieler, dessen Charakter während der Schießerei technisch gesehen getötet wurde, beschloss, sich an den Tätern zu rächen, und tötete ohne Rollenspielgründe einen seiner Gegner. Welche Verstöße seitens des Spielers liegen vor? 10) Ist es erlaubt, die Gesundheit während eines Kampfes/einer Schießerei wieder aufzufüllen? 8) Ist Feuer auf LSPD-Mitarbeiter erlaubt und was sind die Konsequenzen? 6) Wie hoch ist der Höchstbetrag für einen Raubüberfall, für den keine Verwaltungskontrollen erforderlich sind? 9) Welche Sprachen können auf unserem Server verwendet werden? 7) Nach langer und sorgfältiger Vorbereitung führte der Mörder den Befehl aus – er tötete. Der Plan wurde bis ins kleinste Detail kalkuliert, wodurch der Kunde großzügig bezahlte. Was wird dem Opfer in diesem Fall gutgeschrieben? 9) Ist es legal, Regierungsfahrzeuge zu stehlen? 8) Wann könnten Sie sexuelle Gewalt und Grausamkeit ausüben? 10) Was sollten Sie tun, wenn Sie glauben, dass das Spiel nicht nach den Regeln verläuft? 7) Wie viele Stunden muss ein Spieler haben, bevor er ausgeraubt werden kann? 8) Geben Sie die korrekte Verwendung des Befehls /coin an. Nach: 8) Geben Sie die korrekte Verwendung des Befehls /me an: VERKAUF VON VIRTUELLER WÄHRUNG AUF DEM PACIFIC COAST-PROJEKT UND GRINCH-ROLLENSPIELSERVERN. Bei der Installation von Windows werden die meisten kleineren Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, können sich Systemadministratoren darauf konzentrieren, ein System zu entwerfen, das genau seine beabsichtigten Funktionen ausführt und nichts anderes. Um Ihnen bei der Aktivierung der benötigten Funktionen zu helfen, fordert Windows Sie auf, eine Serverrolle auszuwählen. RollenEine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Generell weisen alle Rollen die folgenden Merkmale auf.
RollendiensteRollendienste sind Programme, die Rollenfunktionen bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen bereitstellt. Einige Rollen, wie z. B. DNS-Server, erfüllen nur eine Funktion, daher gibt es für sie keine Rollendienste. Andere Rollen, wie etwa Remotedesktopdienste, verfügen über mehrere Dienste, die je nach den Fernzugriffsanforderungen Ihres Unternehmens installiert werden können. Eine Rolle kann als eine Sammlung eng miteinander verbundener, sich ergänzender Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste. Komponenten Komponenten sind Programme, die nicht direkt Teil von Rollen sind, sondern die Funktionalität einer oder mehrerer Rollen oder eines gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert die Failover-Cluster-Funktion die Funktionalität anderer Rollen wie Dateidienste und DHCP-Server, indem sie ihnen den Beitritt zu Serverclustern ermöglicht und so für mehr Redundanz und Leistung sorgt. Eine weitere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion verbessert die Kommunikationsfähigkeiten des Servers. Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverrollen unterstützt:
Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverkomponenten unterstützt:
Installieren von Serverrollen mit dem Server-ManagerÖffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü „Verwalten“ auf „Rollen und Funktionen hinzufügen“: Der Assistent zum Hinzufügen von Rollen und Funktionen wird geöffnet. Weiter klicken Wählen Sie unter Installationstyp Rollenbasierte oder funktionsbasierte Installation aus. Nächste:
Serverauswahl – Wählen Sie unseren Server aus. Klicken Sie auf „Nächste Serverrollen – Rollen auswählen“, wählen Sie ggf. Rollendienste aus und klicken Sie auf „Weiter“, um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Funktionen automatisch, wenn auf dem Zielserver Konflikte vorliegen, die möglicherweise die Installation oder ordnungsgemäße Funktion der ausgewählten Rollen oder Funktionen verhindern. Sie werden außerdem aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind. Rollen mit PowerShell installierenÖffnen Sie Windows PowerShell. Geben Sie den Befehl „Get-WindowsFeature“ ein, um eine Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ergebnisse dieses Cmdlets enthalten die Befehlsnamen für die Rollen und Features, die installiert sind und für die Installation verfügbar sind.
Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax und gültige Parameter für das Cmdlet Install-WindowsFeature (MAN) anzuzeigen.
Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn bei der Installation der Rolle ein Neustart erforderlich ist). Install-WindowsFeature –Name –Restart Beschreibung von Rollen und RollendienstenIm Folgenden werden alle Rollen und Rollendienste beschrieben. Schauen wir uns die erweiterte Konfiguration für die in unserer Praxis am häufigsten vorkommenden an: Webserverrolle und Remotedesktopdienste Detaillierte Beschreibung von IIS
Detaillierte Beschreibung von RDS
Schauen wir uns die Installation und Konfiguration eines Terminallizenzservers an. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir „Remotedesktoplizenzierung“ und „Remotedesktopsitzungshost“ auswählen. Nach der Installation erscheint das Element „Terminaldienste“ in den Server Manager-Tools. Terminal Services verfügt über zwei Elemente: RD Licensing Diagnoser, ein Diagnosetool für die Remote-Desktop-Lizenzierung, und Remote Desktop Licensing Manager, ein Lizenzverwaltungstool. Starten wir den RD Licensing Diagnoser
Hier sehen wir, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den Remotedesktop-Sitzungshostserver nicht eingestellt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien angegeben. Um den Editor zu starten, führen Sie den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Öffnen wir in der Baumstruktur links die Registerkarten:
Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver
Aktivieren Sie im Bearbeitungsfenster der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie den Lizenzserver für Remotedesktopdienste ermitteln. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Geben Sie den Netzwerknamen oder die IP-Adresse des Lizenzservers an und klicken Sie auf OK. Wenn Sie den Servernamen in Zukunft ändern, muss der Lizenzserver im selben Abschnitt geändert werden.
Danach können Sie im RD-Lizenzierungsdiagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Starten Sie zum Aktivieren den Remote Desktop Licensing Manager
Wählen Sie einen Lizenzserver mit dem Status „Nicht aktiviert“ aus. Zum Aktivieren klicken Sie mit der rechten Maustaste darauf und wählen Sie „Server aktivieren“. Der Serveraktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als Nächstes Informationen zur Organisation ein. Anschließend wird der Lizenzserver aktiviert. Active Directory-ZertifikatdiensteAD CS bietet anpassbare Dienste für die Ausstellung und Verwaltung digitaler Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die Public-Key-Technologien verwenden. Von AD CS bereitgestellte digitale Zertifikate können zum Verschlüsseln und digitalen Signieren elektronischer Dokumente und Nachrichten verwendet werden. Mit diesen digitalen Zertifikaten kann die Authentizität von Computer-, Benutzer- und Gerätekonten in einem Netzwerk überprüft werden. Digitale Zertifikate werden verwendet, um Folgendes sicherzustellen:
AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem eine Benutzer-, Geräte- oder Dienstidentität einem entsprechenden privaten Schlüssel zugeordnet wird. Zu den von AD CS unterstützten Verwendungszwecken gehören sichere Mehrzweck-Internet-Mail-Erweiterungen (S/MIME), sichere drahtlose Netzwerke, virtuelle private Netzwerke (VPN), IPsec, verschlüsselndes Dateisystem (EFS), Smartcard-Anmeldung, Datenübertragungssicherheit und Transportschicht-Sicherheitsprotokoll ( SSL/TLS) und digitale Signaturen. Active Directory-DomänendiensteMit der Serverrolle Active Directory Domain Services (AD DS) können Sie eine skalierbare, sichere und verwaltete Infrastruktur für die Verwaltung von Benutzern und Ressourcen erstellen; Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server unterstützen. Active Directory Domain Services stellt eine verteilte Datenbank bereit, die Informationen über Netzwerkressourcen und verzeichnisfähige Anwendungsdaten speichert und verwaltet. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen, verschachtelten Struktur zu organisieren. Die hierarchisch verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen innerhalb der Gesamtstruktur und die Organisationseinheiten innerhalb jeder Domäne. Sicherheitsfunktionen sind in AD DS in Form von Authentifizierung und Zugriffskontrolle auf Ressourcen im Verzeichnis integriert. Mit der einmaligen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch Netzwerk-Single-Sign-On verwenden, um auf Ressourcen zuzugreifen, die sich überall im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.
Active Directory-VerbunddiensteAD FS bietet Endbenutzern, die auf Anwendungen in einem AD FS-geschützten Unternehmen, einem Verbundpartner oder einer Cloud zugreifen müssen, vereinfachte und sichere Identitätsföderations- und webbasierte Single-Sign-On-Funktionen (SSO). Auf Windows Server umfasst AD FS die Der Rollendienst Federation Services fungiert als Identitätsanbieter (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen). Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das flexible Unterstützung für Verzeichnisanwendungen ohne die Abhängigkeiten und Domänenbeschränkungen der Active Directory-Domänendienste bietet. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS auf einem einzelnen Server mit unabhängig verwalteten Schemas ausführen. Durch die Verwendung der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne den Mehraufwand von Domänen und Gesamtstrukturen und ohne die Notwendigkeit eines einzigen gesamtstrukturweiten Schemas. Active Directory-RechteverwaltungsdiensteAD RMS kann zur Verbesserung der Sicherheitsstrategie eines Unternehmens verwendet werden, indem Dokumente mithilfe von Information Rights Management (IRM) geschützt werden. Mit AD RMS können Benutzer und Administratoren mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuweisen. Dies trägt dazu bei, vertrauliche Informationen vor dem Drucken, Weiterleiten oder Kopieren durch unbefugte Benutzer zu schützen. Sobald Dateiberechtigungen mithilfe von IRM eingeschränkt werden, werden Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen durchgesetzt, da die Dateiberechtigung in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen persönlichen Präferenzen hinsichtlich der Weitergabe persönlicher und sensibler Informationen anwenden. Sie helfen der Organisation auch dabei, Unternehmensrichtlinien anzuwenden, um die Nutzung und Verbreitung vertraulicher und persönlicher Informationen zu regeln. IRM-Lösungen, die von AD RMS-Diensten unterstützt werden, werden verwendet, um die folgenden Funktionen bereitzustellen.
AnwendungsserverApplication Server bietet eine integrierte Umgebung für die Bereitstellung und Ausführung benutzerdefinierter serverbasierter Geschäftsanwendungen. DHCP-ServerDHCP ist eine Client-Server-Technologie, bei der DHCP-Server Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuweisen oder leasen können. Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden Clientcomputern und anderen Netzwerkgeräten automatisch gültige IP-Adressen und IPv4- und IPv6-Adressen bereitgestellt zusätzliche Konfigurationsparameter, die von diesen Clients und Geräten benötigt werden. Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Fehlerbehandlung. DNS ServerDer DNS-Dienst ist eine hierarchische, verteilte Datenbank, die Zuordnungen von DNS-Domänennamen zu verschiedenen Datentypen, beispielsweise IP-Adressen, enthält. Mit DNS können Sie benutzerfreundliche Namen wie www.microsoft.com verwenden, um das Auffinden von Computern und anderen Ressourcen in TCP/IP-basierten Netzwerken zu erleichtern. Windows Server DNS bietet zusätzliche, erweiterte Unterstützung für DNS-Sicherheitserweiterungen (DNSSEC), einschließlich Online-Registrierung und automatisierter Einstellungsverwaltung. FAX-ServerDer Faxserver sendet und empfängt Faxe und bietet Ihnen außerdem die Möglichkeit, Faxressourcen wie Aufträge, Einstellungen, Berichte und Faxgeräte auf Ihrem Faxserver zu verwalten. Datei- und SpeicherdiensteAdministratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und deren Speicher zu konfigurieren und diese Server mithilfe des Server-Managers oder von Windows PowerShell zu verwalten. Einige spezifische Apps umfassen die folgenden Funktionen.
Hyper-VMit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Durch die Installation der Hyper-V-Rolle werden Voraussetzungen sowie optionale Verwaltungstools installiert. Zu den erforderlichen Komponenten gehören der Windows-Hypervisor, der Hyper-V Virtual Machine Management Service, der WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualization Service Provider (VSP) und Virtual Infrastructure Driver (VID). Netzwerkrichtlinien- und ZugriffsdiensteNetwork Policy and Access Services bietet die folgenden Lösungen für Netzwerkverbindungen:
Druck- und DokumentendiensteMit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben wie eine Windows SharePoint Services-Site oder per E-Mail hochladen. FernzugriffDie Rolle des Remotezugriffsservers ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.
Diese Technologien sind Rollendienste Rollen des Fernzugriffsservers. Wenn Sie die Rolle „Remotezugriffsserver“ installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen ausführen.
In Windows Server bietet die Rolle „Remotezugriffsserver“ die Möglichkeit, DirectAccess-Remotezugriffsdienste und VPN mit Routing and Remote Access Service (RRAS) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edgeserver bereitgestellt und mithilfe von Windows PowerShell-Befehlen und der Remote Access Management Console (MMC) verwaltet werden. RemotedesktopdiensteRemote Desktop Services beschleunigen und erweitern die Bereitstellung von Desktops und Anwendungen auf jedem Gerät und steigern so die Produktivität von Remote-Mitarbeitern, schützen gleichzeitig kritisches geistiges Eigentum und vereinfachen die Einhaltung gesetzlicher Vorschriften. Remotedesktopdienste umfassen eine virtuelle Desktop-Infrastruktur (VDI), sitzungsbasierte Desktops und Anwendungen, sodass Benutzer von überall aus arbeiten können. VolumenaktivierungsdiensteVolume Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung und Verwaltung von Volumenlizenzen für Microsoft-Software in einer Vielzahl von Szenarien und Umgebungen automatisiert und vereinfacht. Zusammen mit den Volumenaktivierungsdiensten können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren. Webserver (IIS)Die Webserverrolle (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Durch den Einsatz eines Webservers werden Informationen für Benutzer im Internet, Intranet und Extranet verfügbar gemacht. Administratoren können die Webserverrolle (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites zu konfigurieren und zu verwalten. Zu den Barrierefreiheitsfunktionen gehören die folgenden.
Windows-BereitstellungsdiensteMit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen. Windows Server Essentials-ErfahrungMit dieser Rolle können Sie folgende Aufgaben lösen:
Windows Server Update-DiensteDer WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Aktualisierungsquelle für andere WSUS-Server in der Organisation sein. Wenn Sie WSUS implementieren, muss mindestens ein WSUS-Server in Ihrem Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von Ihrer Netzwerksicherheit und -konfiguration kann Ihr Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind. Einführung Mit der Zunahme der Anzahl der Computer in einem Unternehmen wird die Frage nach den Kosten für deren Verwaltung und Wartung immer akuter. Die manuelle Konfiguration von Computern erfordert viel Zeit für das Personal und die Kräfte, da mit zunehmender Anzahl von Computern auch mehr Personal für deren Wartung zuständig ist. Darüber hinaus wird es bei einer großen Anzahl von Maschinen immer schwieriger, die Einhaltung der vom Unternehmen übernommenen Anpassungsstandards sicherzustellen. Gruppenrichtlinien sind ein umfassendes Tool zentralisierte Verwaltung Computer mit Windows 2000 und höher in einer Active Directory-Domäne. Gruppenrichtlinien gelten nicht für Computer unter Windows NT4/9x: Sie werden durch Systemrichtlinien gesteuert, die in diesem Artikel nicht behandelt werden. Gruppenrichtlinienobjekte Alle Einstellungen, die Sie innerhalb von Gruppenrichtlinien erstellen, werden in Gruppenrichtlinienobjekten (GPOs) gespeichert. Es gibt zwei Arten von Gruppenrichtlinienobjekten: lokale Gruppenrichtlinienobjekte und Active Directory-Gruppenrichtlinienobjekte. Auf Computern mit Windows 2000 und höher ist ein lokales Gruppenrichtlinienobjekt verfügbar. Es kann nur eines geben, und es ist das einzige GPO, das sich auf einem Nicht-Domänencomputer befinden kann. Ein Gruppenrichtlinienobjekt ist der allgemeine Name für eine Reihe von Dateien, Verzeichnissen und Einträgen in der Active Directory-Datenbank (sofern es sich nicht um ein lokales Objekt handelt), das Ihre Einstellungen speichert und bestimmt, welche anderen Einstellungen Sie mithilfe von Gruppenrichtlinien ändern können. Wenn Sie eine Richtlinie erstellen, erstellen und ändern Sie im Wesentlichen ein Gruppenrichtlinienobjekt. Das lokale Gruppenrichtlinienobjekt wird in %SystemRoot%\System32\GroupPolicy gespeichert. Active Directory-Gruppenrichtlinienobjekte werden auf einem Domänencontroller gespeichert und können einem Standort, einer Domäne oder einer Organisationseinheit (OU) zugeordnet werden. Die Bindung eines Objekts bestimmt seinen Umfang. Standardmäßig werden in einer Domäne zwei Gruppenrichtlinienobjekte erstellt: Standarddomänenrichtlinie und Standarddomänencontrollerrichtlinie. Die erste definiert die Standardrichtlinie für Passwörter und Konten in der Domäne. Der zweite kommuniziert mit der Domänencontroller-Organisationseinheit und verbessert die Sicherheitseinstellungen für die Domänencontroller. Erstellen Sie ein Gruppenrichtlinienobjekt Um eine Richtlinie zu erstellen (d. h. tatsächlich ein neues Gruppenrichtlinienobjekt zu erstellen), öffnen Sie „Active Directory-Benutzer und -Computer“ und wählen Sie aus, wo ein neues Objekt erstellt werden soll. Sie können ein Gruppenrichtlinienobjekt nur erstellen und mit einem Standort, einer Domäne oder einem Organisationseinheitsobjekt verknüpfen. Reis. 1. Erstellen Sie ein Gruppenrichtlinienobjekt. Um ein Gruppenrichtlinienobjekt zu erstellen und es beispielsweise mit der Organisationseinheit des Testers zu verknüpfen, klicken Sie mit der rechten Maustaste auf diese Organisationseinheit und in Kontextmenü Eigenschaften auswählen. Öffnen Sie im sich öffnenden Eigenschaftenfenster die Registerkarte „Gruppenrichtlinie“ und klicken Sie auf „Neu“. Reis. 2. Erstellen Sie ein Gruppenrichtlinienobjekt. Wir geben dem GP-Objekt einen Namen, danach wird das Objekt erstellt und wir können mit der Konfiguration der Richtlinie beginnen. Doppelklicken Sie auf das erstellte Objekt oder klicken Sie auf die Schaltfläche Bearbeiten. Das Fenster des GPO-Editors wird geöffnet, in dem Sie bestimmte Parameter des Objekts konfigurieren können. Reis. 3. Beschreibung der Einstellungen im Reiter Erweitert. Die meisten Haupteinstellungen sind intuitiv (und verfügen auch über eine Beschreibung, wenn Sie die Registerkarte „Erweitert“ öffnen), und wir werden nicht näher auf jede einzelne eingehen. Wie aus Abb. ersichtlich ist. 3, GPO besteht aus zwei Abschnitten: Computerkonfiguration und Benutzerkonfiguration. Die Einstellungen der ersten Partition werden beim Windows-Start auf Computer in diesem Container und darunter angewendet (es sei denn, die Vererbung ist deaktiviert) und hängen nicht davon ab, welcher Benutzer angemeldet ist. Die Einstellungen im zweiten Abschnitt werden bei der Benutzeranmeldung angewendet. So wenden Sie Gruppenrichtlinienobjekte an Beim Starten des Computers werden die folgenden Aktionen ausgeführt: 1. Die Registrierung wird gelesen und festgestellt, zu welcher Site der Computer gehört. Es wird eine Anfrage gestellt DNS Server um die IP-Adressen der auf dieser Site befindlichen Domänencontroller zu erhalten. Gruppenrichtlinien werden angewendet, wenn das Betriebssystem startet und wenn sich der Benutzer anmeldet. Anschließend werden sie alle 90 Minuten mit einer Abweichung von 30 Minuten angewendet, um sicherzustellen, dass der Domänencontroller nicht überlastet wird, wenn viele gleichzeitige Anfragen von Clients eingehen. Für Domänencontroller beträgt das Aktualisierungsintervall 5 Minuten. Sie können dieses Verhalten im Abschnitt Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie ändern. Das Gruppenrichtlinienobjekt kann sich nur auf Computer- und Benutzerobjekte auswirken. Die Richtlinie gilt nur für Objekte, die sich im Verzeichnisobjekt (Standort, Domäne, Organisationseinheit) befinden, mit dem das Gruppenrichtlinienobjekt verknüpft ist, und weiter unten in der „Struktur“ (es sei denn, die Vererbung ist verboten). Beispiel: Ein Gruppenrichtlinienobjekt wird in der Organisationseinheit des Testers erstellt (wie oben beschrieben). Reis. 4. Vererbung von Einstellungen. Alle in diesem Gruppenrichtlinienobjekt vorgenommenen Einstellungen wirken sich nur auf Benutzer und Computer aus, die sich in den Organisationseinheiten „Tester“ und „InTesters“ befinden. Schauen wir uns die Vorgehensweise bei der Anwendung von Richtlinien anhand eines Beispiels an. Der Testbenutzer, der sich in der Organisationseinheit des Testers befindet, meldet sich am Comp-Computer an, der sich in der Organisationseinheit compOU befindet (siehe Abbildung 5). Reis. 5. Verfahren zur Anwendung von Richtlinien. In einer Domäne gibt es vier Gruppenrichtlinienobjekte: 1. SitePolicy, die dem Site-Container zugeordnet ist; Bei Booten von Windows Auf einer Comp-Workstation werden die in den Abschnitten „Computerkonfiguration“ definierten Parameter in dieser Reihenfolge angewendet: 1. Lokale GPO-Einstellungen; 4. GPO-Richtlinie2-Einstellungen. Wenn sich der Benutzertest beim Computer comp anmeldet – Parameter, die in den Abschnitten „Benutzerkonfiguration“ definiert sind: 1. Lokale GPO-Einstellungen; Das heißt, GPOs werden in dieser Reihenfolge angewendet: lokale Richtlinien, Richtlinien auf Standortebene, Richtlinien auf Domänenebene, Richtlinien auf OU-Ebene. Gruppenrichtlinien werden asynchron auf Windows XP-Clients angewendet, aber synchron auf Windows 2000-Clients, was bedeutet, dass der Anmeldebildschirm des Benutzers erst angezeigt wird, nachdem alle Computerrichtlinien angewendet wurden, und dass Benutzerrichtlinien angewendet werden, bevor der Desktop angezeigt wird. Asynchrone Richtliniendurchsetzung bedeutet, dass der Anmeldebildschirm des Benutzers angezeigt wird, bevor alle Richtlinien des Computers angewendet wurden, und der Desktop angezeigt wird, bevor alle Richtlinien des Benutzers angewendet wurden, was zu schnelleren Start- und Anmeldezeiten für den Benutzer führt. 1. Zusammenführen (verbinden) – zuerst wird die Computerrichtlinie angewendet, dann die Benutzerrichtlinie und erneut die Computerrichtlinie. In diesem Fall ersetzt die Computerrichtlinie die ihr widersprechenden Benutzerrichtlinieneinstellungen durch ihre eigenen. Ein Beispiel für die Verwendung der Loopback-Verarbeitungsoption der Benutzergruppenrichtlinie wäre ein öffentlicher Computer, auf dem Sie dieselben eingeschränkten Einstellungen haben möchten, unabhängig davon, welcher Benutzer ihn verwendet. Vorrang, Vererbung und Konfliktlösung Wie Sie vielleicht bemerkt haben, enthalten Gruppenrichtlinienobjekte auf allen Ebenen dieselben Einstellungen, und dieselbe Einstellung kann auf mehreren Ebenen unterschiedlich definiert werden. In diesem Fall ist der tatsächliche Wert der zuletzt angewendete Wert (die Reihenfolge der Anwendung von Gruppenrichtlinienobjekten wurde oben erläutert). Diese Regel gilt für alle Parameter mit Ausnahme derjenigen, die als nicht konfiguriert definiert sind. Windows ergreift für diese Einstellungen keine Maßnahmen. Es gibt jedoch eine Ausnahme: Alle Konto- und Passworteinstellungen können nur auf Domänenebene definiert werden; auf anderen Ebenen werden diese Einstellungen ignoriert. Reis. 6. Active Directory-Benutzer und -Computer. Wenn mehrere Gruppenrichtlinienobjekte auf derselben Ebene vorhanden sind, werden diese von unten nach oben angewendet. Durch Ändern der Position eines Richtlinienobjekts in der Liste (mithilfe der Schaltflächen „Nach oben“ und „Nach unten“) können Sie die gewünschte Anwendungsreihenfolge auswählen. Reis. 7. Verfahren zur Anwendung von Richtlinien. Manchmal möchten Sie, dass eine bestimmte Organisationseinheit keine Richtlinieneinstellungen von Gruppenrichtlinienobjekten erhält, die mit Upstream-Containern verknüpft sind. In diesem Fall müssen Sie die Richtlinienvererbung verhindern, indem Sie das Kontrollkästchen „Richtlinienvererbung blockieren“ aktivieren. Alle übernommenen Richtlinieneinstellungen werden blockiert und es gibt keine Möglichkeit, einzelne Einstellungen zu blockieren. Einstellungen auf Domänenebene, die Passwortrichtlinien und Kontorichtlinien definieren, können nicht gesperrt werden. Reis. 9. Vererbung von Richtlinien blockieren. Wenn Sie möchten, dass bestimmte Einstellungen in einem bestimmten Gruppenrichtlinienobjekt nicht überschrieben werden, wählen Sie das gewünschte Gruppenrichtlinienobjekt aus, klicken Sie auf die Schaltfläche „Optionen“ und wählen Sie „Kein Überschreiben“. Diese Option erzwingt die Anwendung von GPO-Einstellungen dort, wo die Richtlinienvererbung blockiert ist. An der Stelle, an der das Gruppenrichtlinienobjekt mit dem Verzeichnisobjekt verknüpft ist, wird keine Überschreibung festgelegt, nicht am Gruppenrichtlinienobjekt selbst. Wenn ein Gruppenrichtlinienobjekt mehreren Containern in einer Domäne zugeordnet ist, wird diese Einstellung für die übrigen Zuordnungen nicht automatisch konfiguriert. Wenn „Keine Überschreibung“ für mehrere Links auf derselben Ebene konfiguriert ist, hat das Gruppenrichtlinienobjekt oben in der Liste Vorrang (und Wirkung). Wenn jedoch für mehrere Gruppenrichtlinienobjekte auf unterschiedlichen Ebenen die Einstellungen „Keine Überschreibung“ konfiguriert sind, sind die Einstellungen für das Gruppenrichtlinienobjekt weiter oben in der Verzeichnishierarchie wirksam. Das heißt, wenn für eine GPO-zu-Domänen-Objektzuordnung und für eine OU-zu-GPO-Zuordnung keine Überschreibungsparameter konfiguriert sind, sind die auf Domänenebene definierten Einstellungen wirksam. Das Kontrollkästchen „Deaktiviert“ hebt die Wirkung dieses Gruppenrichtlinienobjekts auf diesen Container auf. Reis. 10. Keine Optionen zum Überschreiben und Deaktivieren. Wie oben erwähnt, wirken sich Richtlinien nur auf Benutzer und Computer aus. Oft stellt sich die Frage: „Wie kann ich dafür sorgen, dass eine bestimmte Richtlinie für alle Benutzer gilt, die einer bestimmten Sicherheitsgruppe angehören?“ Dazu wird das Gruppenrichtlinienobjekt an ein Domänenobjekt (oder einen beliebigen Container über den Containern oder Organisationseinheiten, die alle Benutzerobjekte enthalten) gebunden die gewünschte Gruppe) und Zugriffseinstellungen konfiguriert sind. Klicken Sie auf „Eigenschaften“, löschen Sie auf der Registerkarte „Sicherheit“ die Gruppe „Authentifizierte Benutzer“ und fügen Sie die erforderliche Gruppe mit den Rechten „Lesen und Anwenden von Gruppenrichtlinien“ hinzu. Bestimmen der Einstellungen, die für den Computer des Benutzers gelten Um die endgültige Konfiguration zu ermitteln und Probleme zu identifizieren, müssen Sie wissen, welche Richtlinieneinstellungen derzeit für einen bestimmten Benutzer oder Computer gelten. Dafür gibt es ein Tool namens Resultant Set of Policy (RSoP). RSoP kann sowohl im Registrierungs- als auch im Planungsmodus betrieben werden. Um RSoP aufzurufen, sollten Sie mit der rechten Maustaste auf das Objekt „Benutzer“ oder „Computer“ klicken und „Alle Aufgaben“ auswählen. Reis. 11. Aufrufen des Tools „Resultant Set of Policy“. Nach dem Start (im Protokollierungsmodus) werden Sie aufgefordert, auszuwählen, für welchen Computer und Benutzer der Ergebnissatz definiert werden soll. Daraufhin wird ein Einstellungsfenster angezeigt, das angibt, welches Gruppenrichtlinienobjekt welche Einstellung angewendet hat. Reis. 12. Resultierender Richtliniensatz. Andere Tools zur Gruppenrichtlinienverwaltung GPResult ist ein Befehlszeilentool, das einige der Funktionen von RSoP bereitstellt. GPResult ist standardmäßig auf allen Computern verfügbar, auf denen Windows XP und Windows Server 2003 ausgeführt wird. GPUpdate erzwingt die Anwendung von Gruppenrichtlinien – sowohl lokal als auch Active Directory-basiert. In Windows XP/2003 ersetzte es die Option /refreshpolicy im Secedit-Tool für Windows 2000. Eine Beschreibung der Befehlssyntax ist verfügbar, wenn Sie sie mit der Taste /? ausführen. Statt einer Schlussfolgerung Dieser Artikel soll nicht alle Aspekte der Arbeit mit Gruppenrichtlinien erläutern und richtet sich nicht an erfahrene Systemadministratoren. All dies sollte meiner Meinung nach nur denjenigen irgendwie dabei helfen, die Grundprinzipien der Zusammenarbeit mit Politikern zu verstehen, die noch nie mit ihnen zusammengearbeitet haben oder gerade erst anfangen, sie zu beherrschen. GPResult-Dienstprogramm.exe– ist eine Konsolenanwendung zur Analyse von Einstellungen und zur Diagnose von Gruppenrichtlinien, die für einen Computer und/oder Benutzer in einer Active Directory-Domäne gelten. Mit GPResult können Sie insbesondere Daten aus dem resultierenden Richtliniensatz (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), deren Einstellungen und detaillierte Informationen zu Fehlern bei ihrer Verarbeitung abrufen. Das Dienstprogramm ist seit Windows XP Teil des Windows-Betriebssystems. Mit dem Dienstprogramm GPResult können Sie die folgenden Fragen beantworten: ob eine bestimmte Richtlinie für den Computer gilt, welches GPO dies oder jenes geändert hat Windows Setup, verstehe die Gründe. In diesem Artikel betrachten wir die Funktionen der Verwendung des GPResult-Befehls zum Diagnostizieren und Debuggen der Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne. Ursprünglich wurde es zur Diagnose der Anwendung von Gruppenrichtlinien in Windows verwendet grafische Konsole RSOP.msc, das es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in einer grafischen Form ähnlich der GPO-Editor-Konsole abzurufen (unten im Beispiel der RSOP.msc-Konsole). Ansicht können Sie sehen, dass die Update-Einstellungen festgelegt sind). Allerdings ist es nicht ratsam, die RSOP.msc-Konsole in modernen Windows-Versionen zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSEs) wie GPP (Gruppenrichtlinieneinstellungen) angewendet werden, ermöglicht keine Suche und bietet nur wenige Diagnoseinformationen. Daher ist der Befehl GPResult derzeit das Haupttool zur Diagnose der Verwendung von GPO in Windows (in Windows 10 erscheint sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert). Verwenden des Dienstprogramms GPResult.exeGPResult-Befehl läuft auf dem Computer, auf dem Sie die Anwendung von Gruppenrichtlinien überprüfen möchten. Der GPResult-Befehl hat die folgende Syntax: GPRESULT ]] [(/X | /H) ] Um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) gelten, und zu anderen Einstellungen im Zusammenhang mit der GPO-Infrastruktur (d. h. den resultierenden GPO-Richtlinieneinstellungen – RsoP), führen Sie den folgenden Befehl aus: Die Ergebnisse des Befehls sind in zwei Abschnitte unterteilt:
Lassen Sie uns kurz die wichtigsten Parameter/Abschnitte durchgehen, die uns an der GPResult-Ausgabe interessieren könnten:
In unserem Beispiel sehen Sie, dass das Benutzerobjekt 4 Gruppenrichtlinien unterliegt.
Wenn Sie nicht möchten, dass Informationen zu Benutzer- und Computerrichtlinien gleichzeitig in der Konsole angezeigt werden, können Sie mit der Option /scope nur den Abschnitt anzeigen, der Sie interessiert. Nur resultierende Benutzerrichtlinien: gpresult /r /scope:user oder nur angewendete Computerrichtlinien: gpresult /r /scope:computer Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer praktisch ist; seine Ausgabe kann in die Zwischenablage umgeleitet werden: Gpresult /r |clip oder Textdatei: Gpresult /r > c:\gpresult.txt Um äußerst detaillierte RSOP-Informationen anzuzeigen, müssen Sie den Schalter /z hinzufügen. HTML-RSOP-Bericht mit GPResultDarüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht über die resultierenden angewendeten Richtlinien erstellen (verfügbar unter Windows 7 und höher). Dieser Bericht enthält genaue Information Informationen zu allen Systemparametern, die durch Gruppenrichtlinien festgelegt werden, und zu den Namen bestimmter Gruppenrichtlinienobjekte, die sie festlegen (der resultierende Strukturbericht ähnelt der Registerkarte „Einstellungen“ in der Verwaltungskonsole für Domänengruppenrichtlinien (GPMC). Sie können einen HTML-GPResult-Bericht mit dem folgenden Befehl generieren: GPResult /h c:\gp-report\report.html /f
Um einen Bericht zu generieren und ihn automatisch in einem Browser zu öffnen, führen Sie den folgenden Befehl aus: GPResult /h GPResult.html & GPResult.html Der gpresult-HTML-Bericht enthält ziemlich viel nützliche Informationen: Fehler in der GPO-Anwendung, der Verarbeitungszeit (in ms) und der Anwendung bestimmter Richtlinien und CSE sind sichtbar (im Abschnitt Computerdetails -> Komponentenstatus). Im Screenshot oben können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen zum Speichern von 24 Passwörtern von der Standarddomänenrichtlinie angewendet wird (Spalte „Winning GPO“). Wie Sie sehen, ist dieser HTML-Bericht für die Analyse angewendeter Richtlinien viel praktischer als die rsop.msc-Konsole. Empfangen von GPResult-Daten von einem Remote-ComputerGPResult kann auch Daten von einem Remote-Computer sammeln, sodass sich der Administrator nicht mehr lokal oder per RDP beim Remote-Computer anmelden muss. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remotecomputer lautet wie folgt: GPResult /s server-ts1 /r Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien aus der Ferne erfassen. Der Benutzername des Benutzers enthält keine RSOP-DatenWenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Berechtigungen nur die Einstellungen des Abschnitts „Benutzergruppenrichtlinie“ angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn die Befehlszeile auf ein anderes System als den aktuellen Benutzer erhöht wird, gibt das Dienstprogramm eine Warnung aus DIE INFO:DerBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ verfügt nicht über RSOP-Daten. Dies geschieht, weil GPResult versucht, Informationen für den Benutzer zu sammeln, der es gestartet hat, aber weil ... Dieser Benutzer ist nicht angemeldet und es liegen keine RSOP-Informationen für ihn vor. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben: gpresult /r /user:tn\edward
Wenn Sie den Namen des Kontos, bei dem Sie angemeldet sind, nicht kennen entfernter Computer, können Sie ein Konto wie folgt erstellen: qwinsta /SERVER:remotePC1 Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen. Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurdenBei der Fehlerbehebung bei Gruppenrichtlinien sollten Sie auch den Abschnitt beachten: Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden. In diesem Abschnitt wird eine Liste von Gruppenrichtlinienobjekten angezeigt, die aus dem einen oder anderen Grund nicht für dieses Objekt gelten. Möglichkeiten für die die Richtlinie möglicherweise nicht gilt:  Sie können auch auf der Registerkarte „Effektive Berechtigungen“ (Erweitert -> Effektiver Zugriff) nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll. In diesem Artikel haben wir uns daher mit den Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mithilfe des Dienstprogramms GPResult befasst und uns typische Szenarien für dessen Verwendung angesehen. Die Funktionalität im Windows Server-Betriebssystem wird von Version zu Version berechnet und verbessert, es gibt immer mehr Rollen und Komponenten, daher werde ich im heutigen Material versuchen, sie kurz zu beschreiben Beschreibung und Zweck jeder Rolle in Windows Server 2016. Bevor wir mit der Beschreibung der Windows Server-Serverrollen fortfahren, wollen wir herausfinden, was „ Serverrolle» im Windows Server-Betriebssystem. Was ist eine „Serverrolle“ in Windows Server?Serverrolle ist ein Softwarepaket, das sicherstellt, dass der Server eine bestimmte Funktion ausführt, und diese Funktion ist die wichtigste. Mit anderen Worten, " Serverrolle„ist der Zweck des Servers, d.h. wofür ist das? Damit der Server seine Hauptfunktion erfüllen kann, d.h. eine bestimmte Rolle in „ Serverrolle» Die gesamte hierfür notwendige Software ist im Lieferumfang enthalten ( Programme, Dienstleistungen). Der Server kann eine Rolle haben, wenn er aktiv genutzt wird, oder mehrere, wenn jede davon den Server nicht stark belastet und selten genutzt wird. Eine Serverrolle kann mehrere Rollendienste umfassen, die die Funktionalität der Rolle bereitstellen. Beispielsweise in der Serverrolle „ Webserver (IIS)„Eine ziemlich große Anzahl von Diensten ist enthalten, und die Rolle“ DNS Server» Rollendienste sind nicht enthalten, da diese Rolle nur eine Funktion ausführt. Rollendienste können je nach Bedarf gemeinsam oder einzeln installiert werden. Im Kern bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste. In Windows Server gibt es auch „ Komponenten» Server. Serverkomponenten (Feature)– Hierbei handelt es sich um Softwaretools, die keine Serverrolle darstellen, sondern die Funktionen einer oder mehrerer Rollen erweitern oder eine oder mehrere Rollen verwalten. Einige Rollen können nicht installiert werden, wenn die erforderlichen Dienste oder Komponenten, die für die Funktion dieser Rollen erforderlich sind, nicht auf dem Server installiert sind. Daher zum Zeitpunkt der Installation solcher Rollen „ Assistent zum Hinzufügen von Rollen und Funktionen" selbst fordert Sie automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren. Beschreibung der Serverrollen von Windows Server 2016Sie sind wahrscheinlich bereits mit vielen Rollen in Windows Server 2016 vertraut, da es sie schon recht lange gibt, aber wie gesagt, mit jeder neuen Version von Windows Server kommen neue Rollen hinzu, die Sie möglicherweise nicht haben Wir haben noch nicht mit ihnen gearbeitet. Aber wir würden gerne wissen, wozu sie dienen, also lasst uns anfangen, sie uns anzusehen. Notiz! Über die neuen Funktionen des Betriebssystems Windows Server 2016 können Sie im Material „ Windows-Installation Server 2016 und ein Überblick über neue Funktionen ». Denn sehr oft erfolgt die Installation und Verwaltung von Rollen, Diensten und Komponenten mit unter Verwendung von Windows PowerShell, für jede Rolle und ihren Dienst werde ich einen Namen angeben, der in PowerShell verwendet werden kann, um sie zu installieren bzw. zu verwalten. DHCP-ServerMit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle verfügt über keine Rollendienste. Der Name für Windows PowerShell ist DHCP. DNS ServerDiese Rolle ist für die Namensauflösung in TCP/IP-Netzwerken vorgesehen. Die DNS-Serverrolle stellt DNS bereit und verwaltet es. Um die DNS-Serververwaltung zu vereinfachen, wird es normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle verfügt über keine Rollendienste. Der Rollenname für PowerShell ist DNS. Hyper-VMithilfe der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es handelt sich um ein Tool zum Erstellen und Verwalten virtueller Maschinen. Der Rollenname für Windows PowerShell ist Hyper-V. Zertifizierung der GeräteleistungRolle " » ermöglicht Ihnen die Bewertung des Gerätezustands anhand gemessener Sicherheitsparameter, wie z. B. sicherer Startstatus und Bitlocker auf dem Client. Damit diese Rolle funktioniert, sind eine ganze Reihe von Rollendiensten und Komponenten erforderlich, zum Beispiel: mehrere Dienste aus der Rolle „ Webserver (IIS)", Komponente " ", Komponente " .NET Framework 4.6-Funktionen». Bei der Installation werden automatisch alle benötigten Rollendienste und Komponenten ausgewählt. Die Rolle " Zertifizierung der Geräteleistung» Es gibt keine eigenen Dienste. Der Name für PowerShell ist DeviceHealthAttestationService. Webserver (IIS)Bietet eine zuverlässige, verwaltbare und skalierbare Webanwendungsinfrastruktur. Besteht aus einer relativ großen Anzahl von Diensten (43). Der Name für Windows PowerShell ist Web-Server. Enthält die folgenden Rollendienste ( In Klammern gebe ich den Namen für Windows PowerShell an): Webserver (Web-WebServer)– Eine Gruppe von Rollendiensten, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und Webserver bereitstellt. Besteht aus folgenden Leistungen:
FTP-Server (Web-FTP-Server)– Dienste, die das FTP-Protokoll unterstützen. Wir haben ausführlicher über den FTP-Server im Material gesprochen – „Installation und FTP-Setup Server unter Windows Server 2016. Enthält die folgenden Dienste:
Verwaltungstools (Web-Mgmt-Tools)– Dies sind Tools zur Verwaltung des IIS 10-Webservers. Dazu gehören: die IIS-Benutzeroberfläche, Befehlszeilentools und Skripte.
Active Directory-DomänendiensteRolle " Active Directory-Domänendienste» (AD DS) stellt eine verteilte Datenbank bereit, die Informationen über Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen sicheren Shell-Struktur zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen innerhalb der Gesamtstruktur und Organisationseinheiten (OUs) innerhalb jeder Domäne. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Der Rollenname für Windows PowerShell lautet AD-Domain-Services. Windows Server Essentials-ModusDiese Rolle stellt die Computerinfrastruktur dar und bietet praktische und effiziente Funktionen, zum Beispiel: Speicherung von Clientdaten an einem zentralen Ort und Schutz dieser Daten durch Sicherung der Server- und Clientcomputer, Remote-Webzugriff, sodass Sie von fast jedem Gerät aus auf Daten zugreifen können. Für die Funktion dieser Rolle sind mehrere Rollendienste und Komponenten erforderlich, zum Beispiel: BranchCache-Komponenten, Windows Server-Sicherung, Gruppenrichtlinienverwaltung, Rollendienst. DFS-Namespaces». Der Name für PowerShell ist ServerEssentialsRole. Netzwerk-ControllerDiese Rolle wurde in Windows Server 2016 eingeführt und bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs, physische Netzwerkadapter von Hyper-V-Hosts konfigurieren, virtuelle Switches, physische Router, Firewall-Einstellungen und VPN-Gateways von einem Punkt aus verwalten. Der Name für Windows PowerShell ist NetworkController. KnotenwächterdienstDies ist die Serverrolle Hosted Guardian Service (HGS) und stellt Nachweis- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, abgeschirmte virtuelle Maschinen auszuführen. Damit diese Rolle funktioniert, sind mehrere zusätzliche Rollen und Komponenten erforderlich, zum Beispiel: Active Directory Domain Services, Webserver (IIS), Komponente „ Failover-Clustering" und andere. Der Name für PowerShell ist HostGuardianServiceRole. Active Directory Lightweight Directory ServicesRolle " Active Directory Lightweight Directory Services" (AD LDS) – ist eine schlanke Version von AD DS, die über weniger Funktionalität verfügt, aber keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht über die Abhängigkeiten und Domäneneinschränkungen verfügt, die AD DS-Dienste erfordern. AD LDS funktioniert über das LDAP-Protokoll ( Lightweight Directory Access Protocol). Sie können mehrere AD LDS-Instanzen mit unabhängig verwalteten Schemata auf einem einzelnen Server bereitstellen. Der Name für PowerShell ist ADLDS. MultiPoint-DiensteDies ist ebenfalls eine neue Rolle, die in Windows Server 2016 eingeführt wurde. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Suchdienst, XPS Viewer und andere, die alle automatisch ausgewählt werden, wenn MPS installiert wird. Der Rollenname für PowerShell ist MultiPointServerRole. Windows Server Update-DiensteMit dieser Rolle (WSUS) können Systemadministratoren Microsoft-Updates verwalten. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Update-Sätze und erhalten Sie außerdem Berichte über die Computerkonformität und die zu installierenden Updates. Funktionieren " Windows Server Update-Dienste„Wir benötigen Rollendienste und Komponenten wie: Webserver (IIS), interne Windows-Datenbank, Windows-Prozessaktivierungsdienst. Der Name für Windows PowerShell ist UpdateServices.
VolumenaktivierungsdiensteDiese Serverrolle automatisiert und vereinfacht die Ausstellung von Volumenlizenzen für Microsoft-Software und ermöglicht Ihnen die Verwaltung dieser Lizenzen. Der Name für PowerShell ist VolumeActivation. Druck- und DokumentendiensteDiese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern in einem Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung von Netzwerkdruckern und -scannern. Mit Print and Document Services können Sie außerdem gescannte Dokumente per E-Mail, über Netzwerkfreigaben oder über Windows SharePoint Services-Websites versenden. Der Name für PowerShell ist Print-Services.
Netzwerkrichtlinien- und ZugriffsdiensteRolle " » (NPAS) ermöglicht Ihnen die Verwendung des Network Policy Server (NPS), um Richtlinien für den Netzwerkzugriff, die Authentifizierung und Autorisierung sowie den Client-Zustand festzulegen und durchzusetzen, mit anderen Worten, um die Netzwerksicherheit zu gewährleisten. Der Name für Windows PowerShell ist NPAS. Windows-BereitstellungsdiensteMit dieser Rolle können Sie das Windows-Betriebssystem remote über ein Netzwerk installieren. Der Rollenname für PowerShell ist WDS.
Active Directory-ZertifikatdiensteMit dieser Rolle können Zertifizierungsstellen und zugehörige Rollendienste erstellt werden, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können. Der Name für Windows PowerShell ist AD-Zertifikat. Beinhaltet die folgenden Rollendienste:
RemotedesktopdiensteEine Serverrolle, die Ihnen den Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und RemoteApps ermöglicht. Der Rollenname für Windows PowerShell lautet Remote-Desktop-Services. Besteht aus folgenden Leistungen:
Active Directory-RechteverwaltungsdiensteDies ist eine Serverrolle, die es Ihnen ermöglicht, Informationen vor unbefugter Nutzung zu schützen. Es überprüft Benutzeridentitäten und gewährt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Damit diese Rolle funktioniert, sind zusätzliche Dienste und Komponenten erforderlich: „ Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen». Der Name für Windows PowerShell ist ADRMS.
Active Directory-VerbunddiensteDiese Rolle bietet vereinfachte und sichere Identitätsföderationsfunktionen sowie browserbasiertes Single Sign-On (SSO) für Websites. Der Name für PowerShell ist ADFS-Federation. FernzugriffDiese Rolle stellt Konnektivität über DirectAccess, VPN und Webanwendungsproxy bereit. Auch die Rolle von „ Fernzugriff» bietet traditionelle Routing-Funktionen, einschließlich Network Address Translation (NAT) und andere Verbindungsoptionen. Diese Rolle erfordert zusätzliche Dienste und Komponenten: „ Webserver (IIS)», « Interne Windows-Datenbank». Der Rollenname für Windows PowerShell lautet RemoteAccess.
Datei- und SpeicherdiensteDies ist eine Serverrolle, die zum Freigeben von Dateien und Ordnern, zum Verwalten und Kontrollieren von Freigaben, zum Replizieren von Dateien, zum Bereitstellen schneller Dateisuchen und zum Bereitstellen des Zugriffs auf UNIX-Clientcomputer verwendet werden kann. Wir haben uns im Material „Installieren eines Dateiservers unter Windows Server 2016“ ausführlicher mit Dateidiensten und insbesondere dem Dateiserver befasst. Der Name für Windows PowerShell ist FileAndStorage-Services. Speicherdienste– Dieser Dienst stellt Speicherverwaltungsfunktionen bereit, die immer installiert sind und nicht entfernt werden können. Dateidienste und iSCSI-Dienste (Dateidienste)– Hierbei handelt es sich um Technologien, die die Verwaltung von Dateiservern und -speichern vereinfachen, Speicherplatz sparen, die Replikation und Zwischenspeicherung von Dateien in Zweigen ermöglichen und auch die Dateifreigabe mithilfe des NFS-Protokolls ermöglichen. Beinhaltet die folgenden Rollendienste:
FaxserverDie Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf diesem Computer oder Netzwerk. Um zu arbeiten, brauchst du " Druck Server». Der Rollenname für Windows PowerShell lautet Fax. Damit ist die Überprüfung der Windows Server 2016-Serverrollen abgeschlossen. Ich hoffe, das Material war für Sie nützlich, tschüss! Bevor Sie einen Socket-Server entwickeln, müssen Sie einen Richtlinienserver erstellen, der Silverlight mitteilt, welche Clients eine Verbindung zum Socket-Server herstellen dürfen. Wie oben gezeigt, lässt Silverlight das Laden von Inhalten oder den Aufruf eines Webdienstes nicht zu, es sei denn, die Domäne verfügt über eine clientaccesspolicy .xml- oder Crossdomain-Datei. xml, das diese Operationen explizit zulässt. Eine ähnliche Einschränkung gilt für den Socket-Server. Wenn Sie dem Clientgerät nicht die Möglichkeit geben, die Datei „clientaccesspolicy.xml“ zu laden, die den Fernzugriff ermöglicht, verweigert Silverlight den Verbindungsaufbau. Leider wird die Clientzugriffsrichtlinie bereitgestellt. cml in eine Socket-Anwendung zu übertragen ist eine schwierigere Aufgabe als die Bereitstellung über eine Website. Wenn Sie eine Website verwenden, stellt die Webserver-Software möglicherweise eine clientaccesspolicy .xml-Datei bereit. Sie müssen nur daran denken, diese hinzuzufügen. Wenn Sie jedoch eine Socket-Anwendung verwenden, müssen Sie einen Socket öffnen, an den Client-Anwendungen Richtlinienanforderungen stellen können. Darüber hinaus müssen Sie den Code, der den Socket bedient, manuell erstellen. Um diese Probleme zu lösen, müssen Sie einen Richtlinienserver erstellen. Wie wir als nächstes sehen werden, funktioniert der Richtlinienserver auf die gleiche Weise wie der Nachrichtenserver, er wickelt lediglich etwas einfachere Interaktionen ab. Nachrichten- und Richtlinienserver können separat erstellt oder in einer Anwendung kombiniert werden. Im zweiten Fall müssen sie in verschiedenen Threads auf Anfragen warten. In diesem Beispiel erstellen wir einen Richtlinienserver und kombinieren ihn dann mit einem Nachrichtenserver. Um einen Richtlinienserver zu erstellen, müssen Sie zunächst eine .NET-Anwendung erstellen. Als Richtlinienserver kann jede Art von .NET-Anwendung dienen. Der einfachste Weg ist die Verwendung einer Konsolenanwendung. Sobald Sie Ihre Konsolenanwendung debuggt haben, können Sie den Code in einen Windows-Dienst verschieben, sodass er kontinuierlich im Hintergrund ausgeführt wird. Richtliniendatei Nachfolgend finden Sie die vom Richtlinienserver bereitgestellte Richtliniendatei. Die Richtliniendatei definiert drei Regeln. Ermöglicht den Zugriff auf alle Ports von 4502 bis 4532 (dies ist der gesamte Portbereich, der vom Silverlight-Add-on unterstützt wird). Um den Bereich der verfügbaren Ports zu ändern, müssen Sie den Wert des Portattributs des Elements ändern. Ermöglicht TCP-Zugriff (die Berechtigung wird im Protokollattribut des Elements definiert). Ermöglicht Anrufe von jeder Domäne aus. Daher kann die Silverlight-Anwendung, die die Verbindung herstellt, von jeder Website gehostet werden. Um diese Regel zu ändern, müssen Sie das uri-Attribut des Elements bearbeiten. Um die Aufgabe zu vereinfachen, werden Richtlinienregeln in der Datei clientaccess-ploi.cy.xml platziert, die dem Projekt hinzugefügt wird. In Visual Studio muss die Einstellung „In Ausgabeverzeichnis kopieren“ der Richtliniendatei auf „Immer kopieren“ festgelegt sein. Sie müssen lediglich die Datei auf Ihrer Festplatte finden, sie öffnen und den Inhalt an das Client-Gerät zurückgeben. PolicyServer-Klasse Die Policy Server-Funktionalität basiert auf zwei Schlüsselklassen: PolicyServer und PolicyConnection. Die PolicyServer-Klasse verwaltet das Warten auf Verbindungen. Sobald eine Verbindung hergestellt wird, übergibt es die Steuerung an eine neue Instanz der PoicyConnection-Klasse, die die Richtliniendatei an den Client übergibt. Dieses zweiteilige Verfahren ist in der Netzwerkprogrammierung üblich. Sie werden es mehr als einmal sehen, wenn Sie mit Nachrichtenservern arbeiten. Die PolicyServer-Klasse lädt die Richtliniendatei von der Festplatte und speichert sie in einem Feld als Byte-Array. öffentliche Klasse PolicyServer private Byte-Richtlinie; public PolicyServer(string PolicyFile) ( Um mit dem Abhören zu beginnen, muss die Serveranwendung den PolicyServer aufrufen. Start(). Es erstellt ein TcpListener-Objekt, das auf Anfragen lauscht. Das TcpListener-Objekt ist so konfiguriert, dass es Port 943 überwacht. In Silverlight ist dieser Port für Richtlinienserver reserviert. Wenn Anfragen nach Richtliniendateien gestellt werden, leitet Silverlight diese automatisch an Port 943 weiter. privater TcpListener-Listener; öffentliche Leere Start() // Erstelle ein Listening-Objekt listener = new TcpListener(IPAddress.Any, 943); // Beginne zuzuhören; Die Start()-Methode kehrt sofort zurück, nachdem listener.Start() aufgerufen wurde. // Auf Verbindung warten; die Methode kehrt sofort zurück; II. Das Warten wird in einem separaten Thread durchgeführt Um die angebotene Verbindung zu akzeptieren, ruft der Richtlinienserver die Methode BeginAcceptTcpClient() auf. Wie alle Beginxxx()-Methoden des .NET-Frameworks kehrt sie unmittelbar nach dem Aufruf zurück und führt die erforderlichen Vorgänge in einem separaten Thread aus. Für Netzwerkanwendungen ist dies ein sehr wichtiger Faktor, da dadurch viele Anfragen nach Richtliniendateien gleichzeitig verarbeitet werden können. Notiz. Anfänger im Netzwerkprogrammieren fragen sich oft, wie es möglich ist, mehr als eine Anfrage gleichzeitig zu bearbeiten, und denken, dass dafür mehrere Server erforderlich sind. Dies ist jedoch nicht der Fall. Bei diesem Ansatz würden Clientanwendungen die verfügbaren Ports schnell erschöpfen. In der Praxis verarbeiten Serveranwendungen viele Anfragen über einen einzigen Port. Dieser Vorgang ist für Anwendungen unsichtbar, da das in Windows integrierte TCP-Subsystem Nachrichten automatisch identifiziert und an die entsprechenden Objekte im Anwendungscode weiterleitet. Jede Verbindung wird anhand von vier Parametern eindeutig identifiziert: Client-IP-Adresse, Client-Portnummer, Server-IP-Adresse und Server-Portnummer. Bei jeder Anfrage wird die Rückrufmethode OnAcceptTcpClient() ausgelöst. Es ruft die BeginAcceptTcpClient-Methode von O erneut auf, um auf die nächste Anforderung in einem anderen Thread zu warten, und beginnt dann mit der Verarbeitung der aktuellen Anforderung. public void OnAcceptTcpClient(IAsyncResult ag) ( if (isStopped) return; Console.WriteLine("Richtlinienanfrage empfangen."); // Warten auf die nächste Verbindung. listener.BeginAcceptTcpClient(OnAcceptTcpClient, null); // Verarbeite die aktuelle Verbindung. TcpClient client = listener.EndAcceptTcpClient(ag); PolicyConnection PolicyConnection = new PolicyConnection(client, Policy); PolicyConnection.HandleRequest() ; Catch (Ausnahmefehler) ( Jedes Mal, wenn eine neue Verbindung empfangen wird, wird ein neues PolicyConnection-Objekt erstellt, um diese zu verarbeiten. Darüber hinaus verwaltet das PolicyConnection-Objekt die Richtliniendatei. Die letzte Komponente der PolicyServer-Klasse ist die Stop()-Methode, die das Warten auf Anfragen beendet. Die Anwendung ruft es auf, wenn sie beendet wird. privater Bool isStopped; öffentliche Nichtigkeit StopO ( isStopped = true; Hörer. Stoppen(); Catch (Ausnahmefehler) ( Console.WriteLine(err.Message); Um den Richtlinienserver zu starten, wird der folgende Code in der Main()-Methode des Anwendungsservers verwendet. static void Main(string args) ( PolicyServer PolicyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start(); Console.WriteLine("Der Richtlinienserver wird ausgeführt."); Console.WriteLine("Drücken Sie die Eingabetaste, um den Vorgang zu beenden."); // Warten auf einen Tastendruck; Mit der // Console.ReadKey()-Methode können Sie die Erwartung für eine bestimmte // Zeile festlegen (z. B. quit) oder durch Drücken einer beliebigen Taste Console.ReadLine(); PolicyServer.Stop(); Console.WriteLine("Richtlinienserver beenden."); PolicyConnection-Klasse Die PolicyConnection-Klasse erledigt eine einfachere Aufgabe. Das PolicyConnection-Objekt speichert einen Verweis auf die Richtliniendateidaten. Anschließend ruft das PolicyConnection-Objekt nach dem Aufruf der HandleRequest()-Methode eine neue Verbindung aus dem Netzwerk-Stream ab und versucht, diese zu lesen. Das Client-Gerät muss eine Zeichenfolge mit dem Text übergeben. Nach dem Lesen dieses Textes schreibt das Client-Gerät die Richtliniendaten in den Stream und schließt die Verbindung. Unten finden Sie den Code für die PolicyConnection-Klasse. öffentliche Klasse PolicyConnection( privater TcpClient-Client; private Byte-Richtlinie; public PolicyConnection(TcpClient-Client, Byte-Richtlinie) ( this.client = client; this.policy = Richtlinie; // Erstellen Sie eine private statische Zeichenfolge für eine Clientanforderung PolicyRequestString = " public void HandleRequest() ( Stream s = client.GetStream(); // Lesen Sie die Richtlinienabfragezeichenfolge Bytepuffer = neues Byte; // Nur 5 Sekunden warten client.ReceiveTimeout = 5000;’ s.Read(buffer, 0, buffer.Length); // Übergabe der Richtlinie (Sie können auch prüfen, ob die Richtlinienanforderung // den erforderlichen Inhalt hat) s.Write(policy, 0, Policy.Length); //Verbindung schließen client.Close(); Console.WriteLine("Richtliniendatei bereitgestellt."); Wir haben also einen voll funktionsfähigen Richtlinienserver. Leider kann es noch nicht getestet werden, da das Silverlight-Add-on das explizite Anfordern von Richtliniendateien nicht zulässt. Stattdessen werden sie automatisch angefordert, wenn Sie versuchen, eine Socket-Anwendung zu verwenden. Bevor Sie eine Clientanwendung für eine bestimmte Socketanwendung erstellen können, müssen Sie einen Server erstellen. Fortsetzung des Themas: Neue Artikel / |
Beliebt:
Neu
- Einen Rahmen einfügen. Rahmen erstellen. Bereitstellung eines Noframes-Fallbacks
- Windows-Systemwiederherstellung Endlose automatische Wiederherstellungsvorbereitung
- Reparieren eines Flash-Laufwerks mit Programmen So reparieren Sie einen USB-Anschluss an einem Laptop
- Die Festplattenstruktur ist beschädigt; Lesen ist nicht möglich, was soll ich tun?
- Was ist Festplatten-Cache-Speicher und warum wird er benötigt? Wofür ist die Cache-Größe verantwortlich?
- Woraus besteht ein Computer?
- Die Struktur der Systemeinheit – welche Komponenten für den Betrieb des Computers verantwortlich sind. Merkmale der internen Geräte der Systemeinheit
- So wandeln Sie eine Festplatte in eine SSD um
- Eingabegeräte umfassen
- Typisierte Programmiersprache Was tun mit all diesen Variablentypen?
