Abschnitte der Website
Die Wahl des Herausgebers:
- Einige Eigenschaften von Operationen auf Matrizen
- „Skyrim“: The Elder Scroll
- Öffnen Sie das linke Menü Cayo Coco
- Warum brauchen wir Funkkommunikation und Radiosender?
- Kendall- und Spearman-Rangkorrelationskoeffizienten Beispiel für einen Kendall-Rangkorrelationskoeffizienten
- Programmierfunktionen
- Kinderportfolio – kostenlose Vorlagen herunterladen
- Arten von Computerviren und warum sie gefährlich sind
- Samsung Galaxy A3 auf Werkseinstellungen zurückgesetzt
- BIOS: Von der Festplatte booten
Werbung
Geben Sie eine detaillierte Beschreibung der Serverrichtlinie bezüglich an. Arbeiten mit Administrations- und Routinggruppen |
Vorlesung 4 Netzwerkrichtlinienserver: RADIUS-Server, RADIUS-Proxy und Sicherheitsrichtlinienserver Vorlesung 4 Thema: Netzwerkrichtlinienserver: RADIUS-Server, RADIUS-Proxy und Netzwerkzugriffsschutz-Richtlinienserver Einführung Windows Server 2008 und Windows Server 2008 R2 sind fortschrittliche Windows Server-Betriebssysteme, die eine neue Generation von Netzwerken, Anwendungen und Webdiensten ermöglichen sollen. Mit diesen Betriebssysteme Sie können flexible und umfassende Erlebnisse für Benutzer und Anwendungen entwerfen, bereitstellen und verwalten, hochsichere Netzwerkinfrastrukturen erstellen und die technologische Effizienz und Organisation in Ihrem Unternehmen steigern. Netzwerkrichtlinienserver Mit Network Policy Server können Sie organisationsweite Netzwerkzugriffsrichtlinien erstellen und durchsetzen, um die Clientgesundheit sowie die Authentifizierung und Autorisierung von Verbindungsanfragen sicherzustellen. Darüber hinaus kann NPS als RADIUS-Proxy verwendet werden, um Verbindungsanfragen an NPS oder andere RADIUS-Server weiterzuleiten, die in Remote-RADIUS-Servergruppen konfiguriert sind. Mit Network Policy Server können Sie Client-Authentifizierung, Autorisierung und Integritätsrichtlinien bei der Gewährung von Netzwerkzugriff zentral konfigurieren und verwalten, indem Sie die folgenden drei Funktionen nutzen: Radius-Server. Der Network Policy Server verwaltet zentral die Authentifizierung, Autorisierung und Abrechnung für drahtlose Verbindungen, authentifizierte Switch-Verbindungen, DFÜ-Verbindungen und VPN-Verbindungen (Virtual Private Network). Bei der Verwendung von NPS als RADIUS-Server werden Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte und VPN-Server, als RADIUS-Clients auf NPS konfiguriert. Darüber hinaus konfigurieren Sie die Netzwerkrichtlinien, die NPS zum Autorisieren von Verbindungsanfragen verwendet. Darüber hinaus können Sie die RADIUS-Kontoführung so konfigurieren, dass der NPS Daten in Protokolldateien protokolliert, die auf Ihrer lokalen Festplatte oder in einer Microsoft-Datenbank gespeichert sind SQL Server. RADIUS-Proxy. Wenn NPS als RADIUS-Proxy verwendet wird, müssen Sie Vekonfigurieren, die bestimmen, welche Verbindungsanforderungen NPS an andere RADIUS-Server weiterleitet und an welche spezifischen RADIUS-Server diese Anforderungen weitergeleitet werden. Sie können den Netzwerkrichtlinienserver auch so konfigurieren, dass Anmeldeinformationen umgeleitet werden, um sie auf einem oder mehreren Computern in einer Gruppe von Remote-RADIUS-Servern zu speichern. NAP-Richtlinienserver (Network Access Protection). Wenn NPS als NAP-Richtlinienserver konfiguriert ist, wertet NPS die Integritätszustände aus, die von NAP-fähigen Clientcomputern gesendet werden, die versuchen, eine Verbindung zum Netzwerk herzustellen. Der Netzwerkrichtlinienserver, der mit Netzwerkzugriffsschutz konfiguriert ist, fungiert als RADIUS-Server zur Authentifizierung und Autorisierung von Verbindungsanfragen. Auf dem Netzwerkrichtlinienserver können Sie Nund -einstellungen konfigurieren, einschließlich Systemzustandsprüfern, Zustandsrichtlinien und Aktualisierungsservergruppen, die sicherstellen, dass die Konfiguration von Clientcomputern gemäß der Netzwerkrichtlinie Ihrer Organisation aktualisiert wird. Der Netzwerkrichtlinienserver kann mit einer beliebigen Kombination der oben genannten Optionen konfiguriert werden. Beispielsweise kann ein Netzwerkrichtlinienserver mit einer oder mehreren Durchsetzungsmethoden als Netzwerkzugriffsschutz-Richtlinienserver fungieren und gleichzeitig als RADIUS-Server für Fernzugriffsverbindungen und als RADIUS-Proxy für die Weiterleitung einiger Verbindungsanforderungen an eine Gruppe von Remote-RADIUS dienen Servern. Dadurch können Sie die Authentifizierung und Autorisierung auf einer anderen Domäne durchführen. RADIUS-Server und RADIUS-Proxy Der Netzwerkrichtlinienserver kann als RADIUS-Server, RADIUS-Proxy oder beides gleichzeitig verwendet werden. Radius-Server Microsoft Network Policy Server wird gemäß dem RADIUS-Standard implementiert, wie in IETF RFC 2865 und RFC 2866 beschrieben. Als RADIUS-Server führt Network Policy Server zentral die Authentifizierung, Autorisierung und Abrechnung von Verbindungen für verschiedene Arten von Netzwerkzugriff, einschließlich WLAN, durch Zugriff, Vermittlung authentifizierter, Remote- und VPN-Zugriffe sowie Verbindungen zwischen Routern. Der Netzwerkrichtlinienserver ermöglicht eine Vielzahl von WLAN-, Einwahl-, VPN- und Switching-Geräten. Der Netzwerkrichtlinienserver kann mit dem Routing- und RAS-Dienst verwendet werden, der in Betriebssystemen verfügbar ist. Microsoft-Systeme Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition und Windows Server 2003, Datacenter Edition. Wenn der Computer, auf dem der Netzwerkrichtlinienserver ausgeführt wird, Mitglied ist Domäne Aktiv Directory® Network Policy Server nutzt diesen Verzeichnisdienst als Benutzerkontodatenbank und ist Teil einer Single-Sign-On-Lösung. Dieselben Anmeldeinformationen werden zur Steuerung des Netzwerkzugriffs (Authentifizierung und Autorisierung des Netzwerkzugriffs) und zur Anmeldung bei der Active Directory-Domäne verwendet. Internetdienstanbieter und Organisationen, die Netzwerkzugang bereitstellen, stehen vor größeren Herausforderungen bei der Verwaltung aller Arten von Netzwerken von einem einzigen Verwaltungspunkt aus, unabhängig von der verwendeten Netzwerkzugangsausrüstung. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch heterogenen Umgebungen. Das RADIUS-Protokoll ist ein Client-Server-Protokoll, das es Netzwerkzugriffsgeräten (die als RADIUS-Clients fungieren) ermöglicht, Authentifizierungs- und Abrechnungsanfragen an einen RADIUS-Server zu stellen. Der RADIUS-Server hat Zugriff auf die Kontoinformationen des Benutzers und kann die Anmeldeinformationen während der Authentifizierung validieren, um Netzwerkzugriff zu gewähren. Wenn die Anmeldeinformationen des Benutzers gültig sind und der Verbindungsversuch autorisiert ist, autorisiert der RADIUS-Server den Zugriff des Benutzers basierend auf den angegebenen Bedingungen und protokolliert die Verbindungsinformationen im Protokoll. Mithilfe des RADIUS-Protokolls können Sie Authentifizierungs-, Autorisierungs- und Abrechnungsinformationen an einem einzigen Ort sammeln und verwalten, anstatt diesen Vorgang auf jedem Zugriffsserver durchführen zu müssen. RADIUS-Proxy Als RADIUS-Proxy leitet NPS Authentifizierungs- und Abrechnungsnachrichten an andere RADIUS-Server weiter. Mit Network Policy Server können Unternehmen ihre Fernzugriffsinfrastruktur an einen Dienstanbieter auslagern und gleichzeitig die Kontrolle über Benutzerauthentifizierung, Autorisierung und Buchhaltung behalten. Netzwerkrichtlinienserver-Konfigurationen können für die folgenden Szenarien erstellt werden: Kabelloser Zugang Fernzugriff oder virtuell verbinden privates Netzwerk In der Organisation. Fernzugriff oder drahtloser Zugang, der von einer externen Organisation bereitgestellt wird Internet Zugang Authentifizierter Zugriff auf Ressourcen externes Netzwerk für Geschäftspartner Beispiele für RADIUS-Server- und RADIUS-Proxy-Konfigurationen Die folgenden Konfigurationsbeispiele veranschaulichen, wie NPS als RADIUS-Server und RADIUS-Proxy konfiguriert wird. NPS als RADIUS-Server. In diesem Beispiel ist der NPS-Server als RADIUS-Server konfiguriert, die einzige konfigurierte Richtlinie ist die Standard-Vund alle Verbindungsanforderungen werden vom lokalen NPS-Server verarbeitet. Der Netzwerkrichtlinienserver kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des Servers oder in vertrauenswürdigen Domänen befinden. NPS als RADIUS-Proxy. In diesem Beispiel ist NPS als RADIUS-Proxy konfiguriert, der Verbindungsanfragen an Gruppen von Remote-RADIUS-Servern in zwei verschiedenen nicht vertrauenswürdigen Domänen weiterleitet. Die standardmäßige Vwird entfernt und durch zwei neue Veersetzt, die Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen weiterleiten. In diesem Beispiel verarbeitet NPS keine Verbindungsanfragen auf dem lokalen Server. NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy. Zusätzlich zur standardmäßigen Verbindungsanforderungsrichtlinie, die Anforderungen lokal verarbeitet, wird eine neue Verstellt, die sie an NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weiterleitet. Die zweite Richtlinie heißt Proxy. IN in diesem Beispiel Die Proxy-Richtlinie erscheint zuerst in der geordneten Liste der Richtlinien. Wenn eine Verbindungsanforderung mit der Proxy-Richtlinie übereinstimmt, wird die Verbindungsanforderung an einen RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet. Wenn eine Verbindungsanforderung nicht mit der Proxy-Richtlinie übereinstimmt, aber mit der Standard-Vübereinstimmt, verarbeitet NPS die Verbindungsanforderung für lokaler Server. Wenn eine Verbindungsanfrage keine dieser Richtlinien erfüllt, wird sie abgelehnt. NPS als RADIUS-Server mit Remote-Accounting-Servern. In diesem Beispiel ist der lokale NPS nicht für die Kontoführung konfiguriert und die standardmäßige Vwird so geändert, dass RADIUS-Kontoführungsnachrichten an den NPS oder einen anderen RADIUS-Server in der Gruppe der Remote-RADIUS-Server weitergeleitet werden. Obwohl Abrechnungsnachrichten weitergeleitet werden, werden Authentifizierungs- und Autorisierungsnachrichten nicht weitergeleitet und zugehörige Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen werden vom lokalen NPS-Server ausgeführt. NPS mit Remote-RADIUS-zu-Windows-Benutzerzuordnung. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung, leitet die Authentifizierungsanfrage an einen Remote-RADIUS-Server weiter und führt gleichzeitig die Autorisierung mit dem lokalen Windows-Benutzerkonto durch. Diese Konfiguration wird implementiert, indem das Attribut „Remote-RADIUS-Serverzuordnung zu Windows-Benutzer“ als Bedingung der Vfestgelegt wird. (Darüber hinaus müssen Sie auf dem RADIUS-Server ein lokales Benutzerkonto mit demselben Namen wie das Remote-Konto erstellen, das vom Remote-RADIUS-Server authentifiziert wird.) Richtlinienserver für den Netzwerkzugriffsschutz Der Netzwerkzugriffsschutz ist in Windows Vista®, Windows® 7, Windows Server® 2008 und Windows Server® 2008 R2 enthalten. Es hilft, den Zugriff auf private Netzwerke zu sichern, indem sichergestellt wird, dass Client-Computer die im Netzwerk der Organisation geltenden Gesundheitsrichtlinien einhalten, wenn diesen Clients der Zugriff auf Netzwerkressourcen gestattet wird. Darüber hinaus wird die Einhaltung der vom Administrator definierten Integritätsrichtlinie durch den Client-Computer durch den Netzwerkzugriffsschutz überwacht, während der Client-Computer mit dem Netzwerk verbunden ist. Mit der automatischen Aktualisierungsfunktion des Netzwerkzugriffsschutzes können nicht konforme Computer automatisch auf die Gesundheitsrichtlinie aktualisiert werden, sodass ihnen später Netzwerkzugriff gewährt werden kann. Systemadministratoren definieren Netzwerkgesundheitsrichtlinien und erstellen diese Richtlinien mithilfe von Network Access Protection-Komponenten, die vom Network Policy Server verfügbar sind oder von anderen Unternehmen bereitgestellt werden (abhängig von der Network Access Protection-Implementierung). Integritätsrichtlinien können Merkmale wie Softwareanforderungen, Sicherheitsupdateanforderungen und Konfaufweisen. Der Netzwerkzugriffsschutz erzwingt Integritätsrichtlinien, um den Zustand von Client-Computern zu überprüfen und auszuwerten, wodurch Einschränkungen erzielt werden Netzwerkzugang für Computer, die diese Anforderungen nicht erfüllen, und die Korrektur dieser Diskrepanz, um einen uneingeschränkten Zugriff auf das Netzwerk zu ermöglichen. GPResult-Dienstprogramm.exe– ist eine Konsolenanwendung zur Analyse von Einstellungen und zur Diagnose von Gruppenrichtlinien, die für einen Computer und/oder Benutzer in einer Active Directory-Domäne gelten. Mit GPResult können Sie insbesondere Daten aus dem resultierenden Richtliniensatz (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), deren Einstellungen usw. abrufen genaue Informationüber Fehler in deren Verarbeitung. Das Dienstprogramm ist seit Windows XP Teil des Windows-Betriebssystems. Mit dem GPResult-Dienstprogramm können Sie die folgenden Fragen beantworten: ob eine bestimmte Richtlinie für den Computer gilt, welches GPO diese oder jene Windows-Einstellung geändert hat und die Gründe verstehen. In diesem Artikel betrachten wir die Funktionen der Verwendung des GPResult-Befehls zum Diagnostizieren und Debuggen der Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne. Ursprünglich wurde es zur Diagnose der Anwendung von Gruppenrichtlinien in Windows verwendet grafische Konsole RSOP.msc, das es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in einer grafischen Form ähnlich der GPO-Editor-Konsole abzurufen (unten im Beispiel der RSOP.msc-Konsole). Ansicht können Sie sehen, dass die Update-Einstellungen festgelegt sind). Allerdings ist es nicht ratsam, die RSOP.msc-Konsole in modernen Windows-Versionen zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSEs) wie GPP (Gruppenrichtlinieneinstellungen) angewendet werden, ermöglicht keine Suche und bietet nur wenige Diagnoseinformationen. Daher ist der Befehl GPResult derzeit das Haupttool zur Diagnose der Verwendung von GPO in Windows (in Windows 10 erscheint sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert). Verwenden des Dienstprogramms GPResult.exeDer Befehl GPResult wird auf dem Computer ausgeführt, auf dem Sie die Anwendung von Gruppenrichtlinien überprüfen möchten. Der GPResult-Befehl hat die folgende Syntax: GPRESULT ]] [(/X | /H)<имя_файла> ] Um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) gelten, und zu anderen Einstellungen im Zusammenhang mit der GPO-Infrastruktur (d. h. den resultierenden GPO-Richtlinieneinstellungen – RsoP), führen Sie den folgenden Befehl aus: Die Ergebnisse des Befehls sind in zwei Abschnitte unterteilt:
Lassen Sie uns kurz die wichtigsten Parameter/Abschnitte durchgehen, die uns an der GPResult-Ausgabe interessieren könnten:
In unserem Beispiel sehen Sie, dass das Benutzerobjekt 4 Gruppenrichtlinien unterliegt.
Wenn Sie nicht möchten, dass Informationen zu Benutzer- und Computerrichtlinien gleichzeitig in der Konsole angezeigt werden, können Sie mit der Option /scope nur den Abschnitt anzeigen, der Sie interessiert. Nur resultierende Benutzerrichtlinien: gpresult /r /scope:user oder nur angewendete Computerrichtlinien: gpresult /r /scope:computer Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer praktisch ist; seine Ausgabe kann in die Zwischenablage umgeleitet werden: Gpresult /r |clip oder Textdatei: Gpresult /r > c:\gpresult.txt Um äußerst detaillierte RSOP-Informationen anzuzeigen, müssen Sie den Schalter /z hinzufügen. HTML-RSOP-Bericht mit GPResultDarüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht über die resultierenden angewendeten Richtlinien erstellen (verfügbar unter Windows 7 und höher). Dieser Bericht enthält genaue Information Informationen zu allen Systemparametern, die durch Gruppenrichtlinien festgelegt werden, und zu den Namen bestimmter Gruppenrichtlinienobjekte, die sie festlegen (der resultierende Strukturbericht ähnelt der Registerkarte „Einstellungen“ in der Verwaltungskonsole für Domänengruppenrichtlinien (GPMC). Sie können einen HTML-GPResult-Bericht mit dem folgenden Befehl generieren: GPResult /h c:\gp-report\report.html /f Um einen Bericht zu generieren und ihn automatisch in einem Browser zu öffnen, führen Sie den folgenden Befehl aus: GPResult /h GPResult.html & GPResult.html Der gpresult-HTML-Bericht enthält ziemlich viel nützliche Informationen: Fehler in der GPO-Anwendung, der Verarbeitungszeit (in ms) und der Anwendung bestimmter Richtlinien und CSE sind sichtbar (im Abschnitt Computerdetails -> Komponentenstatus). Im Screenshot oben können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen zum Speichern von 24 Passwörtern von der Standarddomänenrichtlinie angewendet wird (Spalte „Winning GPO“). Wie Sie sehen, ist dieser HTML-Bericht für die Analyse angewendeter Richtlinien viel praktischer als die rsop.msc-Konsole. Empfangen von GPResult-Daten von einem Remote-ComputerGPResult kann auch Daten von einem Remote-Computer sammeln, sodass sich der Administrator nicht mehr lokal oder per RDP beim Remote-Computer anmelden muss. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remotecomputer lautet wie folgt: GPResult /s server-ts1 /r Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien aus der Ferne erfassen. Der Benutzername des Benutzers enthält keine RSOP-DatenWenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Berechtigungen nur die Einstellungen des Abschnitts „Benutzergruppenrichtlinie“ angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn die Befehlszeile auf ein anderes System als den aktuellen Benutzer erhöht wird, gibt das Dienstprogramm eine Warnung aus DIE INFO:DerBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ verfügt nicht über RSOP-Daten. Dies geschieht, weil GPResult versucht, Informationen für den Benutzer zu sammeln, der es gestartet hat, aber weil ... dieser Benutzer hat sich nicht am System angemeldet, es gibt keine RSOP-Informationen dafür. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben: gpresult /r /user:tn\edward Wenn Sie den Namen des Kontos, bei dem Sie angemeldet sind, nicht kennen entfernter Computer, können Sie ein Konto wie folgt erstellen: qwinsta /SERVER:remotePC1 Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen. Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurdenBei der Fehlerbehebung bei Gruppenrichtlinien sollten Sie auch den Abschnitt beachten: Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden. In diesem Abschnitt wird eine Liste von Gruppenrichtlinienobjekten angezeigt, die aus dem einen oder anderen Grund nicht für dieses Objekt gelten. Möglichkeiten für die die Richtlinie möglicherweise nicht gilt: Sie können auch auf der Registerkarte „Effektive Berechtigungen“ (Erweitert -> Effektiver Zugriff) nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll. In diesem Artikel haben wir uns daher mit den Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mithilfe des Dienstprogramms GPResult befasst und uns typische Szenarien für dessen Verwendung angesehen. Bei der Installation von Windows werden die meisten kleineren Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, Systemadministratoren kann sich darauf konzentrieren, ein System zu entwerfen, das ausschließlich die ihm zugewiesenen Funktionen ausführt und nicht mehr. Um Ihnen bei der Aktivierung der benötigten Funktionen zu helfen, fordert Windows Sie auf, eine Serverrolle auszuwählen. RollenEine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Generell weisen alle Rollen die folgenden Merkmale auf.
RollendiensteRollendienste sind Programme, die Folgendes bereitstellen Funktionalität Rollen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen bereitstellt. Einige Rollen, wie z. B. DNS-Server, erfüllen nur eine Funktion, daher gibt es für sie keine Rollendienste. Andere Rollen, wie etwa Remotedesktopdienste, verfügen über mehrere Dienste, die je nach den Fernzugriffsanforderungen Ihres Unternehmens installiert werden können. Eine Rolle kann als eine Sammlung eng miteinander verbundener, sich ergänzender Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste. Komponenten Komponenten sind Programme, die nicht direkt Teil von Rollen sind, sondern die Funktionalität einer oder mehrerer Rollen oder eines gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert die Failover-Cluster-Funktion die Funktionalität anderer Rollen wie Dateidienste und DHCP-Server, indem sie ihnen den Beitritt zu Serverclustern ermöglicht und so für mehr Redundanz und Leistung sorgt. Eine weitere Komponente – „Telnet Client“ – ermöglicht die Fernkommunikation mit dem Telnet-Server über Netzwerkverbindung. Diese Funktion verbessert die Kommunikationsfähigkeiten des Servers. Wenn Windows Server im Basismodus ausgeführt wird Serverkomponenten werden folgende Serverrollen unterstützt:
Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverkomponenten unterstützt:
Installieren von Serverrollen mit dem Server-ManagerÖffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü „Verwalten“ auf „Rollen und Funktionen hinzufügen“: Der Assistent zum Hinzufügen von Rollen und Funktionen wird geöffnet. Weiter klicken Wählen Sie unter Installationstyp Rollenbasierte oder funktionsbasierte Installation aus. Nächste: Serverauswahl – Wählen Sie unseren Server aus. Klicken Sie auf „Nächste Serverrollen – Rollen auswählen“, wählen Sie ggf. Rollendienste aus und klicken Sie auf „Weiter“, um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Funktionen automatisch, wenn auf dem Zielserver Konflikte vorliegen, die möglicherweise die Installation oder ordnungsgemäße Funktion der ausgewählten Rollen oder Funktionen verhindern. Sie werden außerdem aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind. Rollen mit PowerShell installierenÖffnen Sie Windows PowerShell. Geben Sie den Befehl „Get-WindowsFeature“ ein, um eine Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ergebnisse dieses Cmdlets enthalten die Befehlsnamen für die Rollen und Features, die installiert sind und für die Installation verfügbar sind. Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax und gültige Parameter für das Cmdlet Install-WindowsFeature (MAN) anzuzeigen. Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn bei der Installation der Rolle ein Neustart erforderlich ist). Install-WindowsFeature –Name Beschreibung von Rollen und RollendienstenIm Folgenden werden alle Rollen und Rollendienste beschrieben. Schauen wir uns die erweiterte Konfiguration für die in unserer Praxis am häufigsten vorkommenden an: Webserverrolle und Remotedesktopdienste Detaillierte Beschreibung von IIS
Detaillierte Beschreibung von RDS
Schauen wir uns die Installation und Konfiguration eines Terminallizenzservers an. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir „Remotedesktoplizenzierung“ und „Remotedesktopsitzungshost“ auswählen. Nach der Installation erscheint das Element „Terminaldienste“ in den Server Manager-Tools. Terminal Services verfügt über zwei Elemente: RD Licensing Diagnoser, ein Diagnosetool für die Remote-Desktop-Lizenzierung, und Remote Desktop Licensing Manager, ein Lizenzverwaltungstool. Starten wir den RD Licensing Diagnoser Hier sehen wir, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den Remotedesktop-Sitzungshostserver nicht eingestellt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien angegeben. Um den Editor zu starten, führen Sie den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Öffnen wir in der Baumstruktur links die Registerkarten:
Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver Aktivieren Sie im Bearbeitungsfenster der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie den Lizenzserver für Remotedesktopdienste bestimmen. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Wir weisen darauf hin Netzwerkname Geben Sie die IP-Adresse des Lizenzservers ein und klicken Sie auf OK. Wenn Sie den Servernamen in Zukunft ändern, muss der Lizenzserver im selben Abschnitt geändert werden. Danach können Sie im RD-Lizenzierungsdiagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Starten Sie zum Aktivieren den Remote Desktop Licensing Manager Wählen Sie einen Lizenzserver mit dem Status „Nicht aktiviert“ aus. Zum Aktivieren klicken Sie mit der rechten Maustaste darauf und wählen Sie „Server aktivieren“. Der Serveraktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als Nächstes Informationen zur Organisation ein. Anschließend wird der Lizenzserver aktiviert. Active Directory-ZertifikatdiensteAD CS bietet anpassbare digitale Zertifikatsdienste, die in Softwaresicherheitssystemen verwendet werden, die Technologie nutzen öffentliche Schlüssel und die Verwaltung dieser Zertifikate. Von AD CS bereitgestellte digitale Zertifikate können zum Verschlüsseln und digitalen Signieren elektronischer Dokumente und Nachrichten verwendet werden. Mit diesen digitalen Zertifikaten kann die Authentizität von Computer-, Benutzer- und Gerätekonten in einem Netzwerk überprüft werden. Digitale Zertifikate werden verwendet, um Folgendes sicherzustellen:
AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem eine Benutzer-, Geräte- oder Dienstidentität mit der entsprechenden Identität verknüpft wird Privat Schlüssel. Zu den von AD CS unterstützten Anwendungen gehören Secure Multipurpose Internet Mail Extensions (S/MIME), sichere drahtlose Netzwerke, virtuelle private Netzwerke (VPN), IPsec-Protokoll, Encrypting File System (EFS), Smart Card Login, Sicherheitsprotokoll und Transport Layer Security (SSL/TLS) sowie digitale Signaturen. Active Directory-DomänendiensteMit der Serverrolle Active Directory Domain Services (AD DS) können Sie eine skalierbare, sichere und verwaltete Infrastruktur für die Verwaltung von Benutzern und Ressourcen erstellen; Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server unterstützen. Active Directory Domain Services bietet verteilte Datenbank Daten, die Informationen über Netzwerkressourcen und verzeichnisfähige Anwendungsdaten speichern und verwalten. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen, verschachtelten Struktur zu organisieren. Die hierarchisch verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen innerhalb der Gesamtstruktur und die Organisationseinheiten innerhalb jeder Domäne. Sicherheitsfunktionen sind in AD DS in Form von Authentifizierung und Zugriffskontrolle auf Ressourcen im Verzeichnis integriert. Mit der einmaligen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch Netzwerk-Single-Sign-On verwenden, um auf Ressourcen zuzugreifen, die sich überall im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.
Active Directory-VerbunddiensteAD FS bietet Endbenutzern, die auf Anwendungen in einem AD FS-geschützten Unternehmen, einem Verbundpartner oder einer Cloud zugreifen müssen, vereinfachte und sichere Identitätsföderations- und webbasierte Single-Sign-On-Funktionen (SSO). Auf Windows Server umfasst AD FS die Der Rollendienst Federation Services fungiert als Identitätsanbieter (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen). Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das flexible Unterstützung für Verzeichnisanwendungen ohne die Abhängigkeiten und Domänenbeschränkungen der Active Directory-Domänendienste bietet. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS auf einem einzelnen Server mit unabhängig verwalteten Schemas ausführen. Durch die Verwendung der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne den Mehraufwand von Domänen und Gesamtstrukturen und ohne die Notwendigkeit eines einzigen gesamtstrukturweiten Schemas. Active Directory-RechteverwaltungsdiensteAD RMS kann zur Verbesserung der Sicherheitsstrategie eines Unternehmens verwendet werden, indem Dokumente mithilfe von Information Rights Management (IRM) geschützt werden. Mit AD RMS können Benutzer und Administratoren mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuweisen. Dies trägt dazu bei, vertrauliche Informationen vor dem Drucken, Weiterleiten oder Kopieren durch unbefugte Benutzer zu schützen. Sobald Dateiberechtigungen mithilfe von IRM eingeschränkt werden, werden Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen durchgesetzt, da die Dateiberechtigung in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen persönlichen Präferenzen hinsichtlich der Weitergabe persönlicher und sensibler Informationen anwenden. Sie helfen der Organisation auch dabei, Unternehmensrichtlinien anzuwenden, um die Nutzung und Verbreitung vertraulicher und persönlicher Informationen zu regeln. IRM-Lösungen, die von AD RMS-Diensten unterstützt werden, werden verwendet, um die folgenden Funktionen bereitzustellen.
AnwendungsserverApplication Server bietet eine integrierte Umgebung für die Bereitstellung und Ausführung benutzerdefinierter serverbasierter Geschäftsanwendungen. DHCP-ServerDHCP ist eine Client-Server-Technologie, bei der DHCP-Server Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuweisen oder leasen können. Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden Clientcomputern und anderen Netzwerkgeräten automatisch gültige IP-Adressen und IPv4- und IPv6-Adressen bereitgestellt zusätzliche Konfigurationsparameter, die von diesen Clients und Geräten benötigt werden. Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Fehlerbehandlung. DNS ServerDNS-Dienst ist eine hierarchisch verteilte Datenbank, die Zuordnungen von DNS-Domänennamen enthält verschiedene Arten Daten wie IP-Adressen. Mit DNS können Sie benutzerfreundliche Namen wie www.microsoft.com verwenden, um das Auffinden von Computern und anderen Ressourcen in TCP/IP-basierten Netzwerken zu erleichtern. Windows Server DNS bietet zusätzliche, erweiterte Unterstützung für DNS-Sicherheitserweiterungen (DNSSEC), einschließlich Online-Registrierung und automatisierter Einstellungsverwaltung. FAX-ServerDer Faxserver sendet und empfängt Faxe und bietet Ihnen außerdem die Möglichkeit, Faxressourcen wie Aufträge, Einstellungen, Berichte und Faxgeräte auf Ihrem Faxserver zu verwalten. Datei- und SpeicherdiensteAdministratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und deren Speicher zu konfigurieren und diese Server mithilfe des Server-Managers oder von Windows PowerShell zu verwalten. Einige spezifische Apps umfassen die folgenden Funktionen.
Hyper-VMit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Durch die Installation der Hyper-V-Rolle werden Voraussetzungen sowie optionale Verwaltungstools installiert. Zu den erforderlichen Komponenten gehören: Hypervisor Virtueller Windows-Verwaltungsdienst Hyper-V-Maschinen, WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualisierungsdienstanbieter (VSP) und virtueller Infrastrukturtreiber (VID). Netzwerkrichtlinien- und ZugriffsdiensteNetwork Policy and Access Services bietet die folgenden Lösungen für Netzwerkverbindungen:
Druck- und DokumentendiensteMit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben wie eine Windows SharePoint Services-Site oder hochladen Email. FernzugriffDie Rolle des Remotezugriffsservers ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.
Diese Technologien sind Rollendienste Rollen des Fernzugriffsservers. Wenn Sie die Rolle „Remotezugriffsserver“ installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen ausführen. In Windows Server bietet die Rolle „Remotezugriffsserver“ die Möglichkeit, DirectAccess-Remotezugriffsdienste und VPN mit Routing and Remote Access Service (RRAS) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edge-Server bereitgestellt und verwaltet werden Windows-Befehle PowerShell und Remote Access Management Console (MMC). RemotedesktopdiensteRemote Desktop Services beschleunigen und erweitern die Bereitstellung von Desktops und Anwendungen auf jedem Gerät und steigern so die Produktivität von Remote-Mitarbeitern, schützen gleichzeitig kritisches geistiges Eigentum und vereinfachen die Einhaltung gesetzlicher Vorschriften. Remotedesktopdienste umfassen eine virtuelle Desktop-Infrastruktur (VDI), sitzungsbasierte Desktops und Anwendungen, sodass Benutzer von überall aus arbeiten können. VolumenaktivierungsdiensteVolume Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung von Volumenlizenzen für automatisiert und vereinfacht Software Microsoft sowie die Verwaltung solcher Lizenzen in verschiedenen Szenarien und Umgebungen. Zusammen mit den Volumenaktivierungsdiensten können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren. Webserver (IIS)Die Webserverrolle (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Durch den Einsatz eines Webservers werden Informationen für Benutzer im Internet, Intranet und Extranet verfügbar gemacht. Administratoren können die Webserverrolle (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites zu konfigurieren und zu verwalten. Zu den Barrierefreiheitsfunktionen gehören die folgenden.
Windows-BereitstellungsdiensteMit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen. Windows Server Essentials-ErfahrungMit dieser Rolle können Sie folgende Aufgaben lösen:
Windows Server Update-DiensteDer WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Aktualisierungsquelle für andere WSUS-Server in der Organisation sein. Wenn Sie WSUS implementieren, muss mindestens ein WSUS-Server in Ihrem Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von Ihrer Netzwerksicherheit und -konfiguration kann Ihr Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind. Bei der Installation von Windows werden die meisten kleineren Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, können sich Systemadministratoren darauf konzentrieren, ein System zu entwerfen, das genau seine beabsichtigten Funktionen ausführt und nichts anderes. Um Ihnen bei der Aktivierung der benötigten Funktionen zu helfen, fordert Windows Sie auf, eine Serverrolle auszuwählen. RollenEine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Generell weisen alle Rollen die folgenden Merkmale auf.
RollendiensteRollendienste sind Programme, die Rollenfunktionen bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen bereitstellt. Einige Rollen, wie z. B. DNS-Server, erfüllen nur eine Funktion, daher gibt es für sie keine Rollendienste. Andere Rollen, wie etwa Remotedesktopdienste, verfügen über mehrere Dienste, die je nach den Fernzugriffsanforderungen Ihres Unternehmens installiert werden können. Eine Rolle kann als eine Sammlung eng miteinander verbundener, sich ergänzender Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste. Komponenten Komponenten sind Programme, die nicht direkt Teil von Rollen sind, sondern die Funktionalität einer oder mehrerer Rollen oder eines gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert die Failover-Cluster-Funktion die Funktionalität anderer Rollen wie Dateidienste und DHCP-Server, indem sie ihnen den Beitritt zu Serverclustern ermöglicht und so für mehr Redundanz und Leistung sorgt. Eine weitere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion verbessert die Kommunikationsfähigkeiten des Servers. Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverrollen unterstützt:
Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverkomponenten unterstützt:
Installieren von Serverrollen mit dem Server-ManagerÖffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü „Verwalten“ auf „Rollen und Funktionen hinzufügen“: Der Assistent zum Hinzufügen von Rollen und Funktionen wird geöffnet. Weiter klicken Wählen Sie unter Installationstyp Rollenbasierte oder funktionsbasierte Installation aus. Nächste: Serverauswahl – Wählen Sie unseren Server aus. Klicken Sie auf „Nächste Serverrollen – Rollen auswählen“, wählen Sie ggf. Rollendienste aus und klicken Sie auf „Weiter“, um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Funktionen automatisch, wenn auf dem Zielserver Konflikte vorliegen, die möglicherweise die Installation oder ordnungsgemäße Funktion der ausgewählten Rollen oder Funktionen verhindern. Sie werden außerdem aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind. Rollen mit PowerShell installierenÖffnen Sie Windows PowerShell. Geben Sie den Befehl „Get-WindowsFeature“ ein, um eine Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ergebnisse dieses Cmdlets enthalten die Befehlsnamen für die Rollen und Features, die installiert sind und für die Installation verfügbar sind. Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax und gültige Parameter für das Cmdlet Install-WindowsFeature (MAN) anzuzeigen. Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn bei der Installation der Rolle ein Neustart erforderlich ist). Install-WindowsFeature –Name –Restart Beschreibung von Rollen und RollendienstenIm Folgenden werden alle Rollen und Rollendienste beschrieben. Schauen wir uns die erweiterte Konfiguration für die in unserer Praxis am häufigsten vorkommenden an: Webserverrolle und Remotedesktopdienste Detaillierte Beschreibung von IIS
Detaillierte Beschreibung von RDS
Schauen wir uns die Installation und Konfiguration eines Terminallizenzservers an. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir „Remotedesktoplizenzierung“ und „Remotedesktopsitzungshost“ auswählen. Nach der Installation erscheint das Element „Terminaldienste“ in den Server Manager-Tools. Terminal Services verfügt über zwei Elemente: RD Licensing Diagnoser, ein Diagnosetool für die Remote-Desktop-Lizenzierung, und Remote Desktop Licensing Manager, ein Lizenzverwaltungstool. Starten wir den RD Licensing Diagnoser Hier sehen wir, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den Remotedesktop-Sitzungshostserver nicht eingestellt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien angegeben. Um den Editor zu starten, führen Sie den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Öffnen wir in der Baumstruktur links die Registerkarten:
Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver Aktivieren Sie im Bearbeitungsfenster der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie den Lizenzserver für Remotedesktopdienste bestimmen. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Geben Sie den Netzwerknamen oder die IP-Adresse des Lizenzservers an und klicken Sie auf OK. Wenn Sie den Servernamen in Zukunft ändern, muss der Lizenzserver im selben Abschnitt geändert werden. Danach können Sie im RD-Lizenzierungsdiagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Starten Sie zum Aktivieren den Remote Desktop Licensing Manager Wählen Sie einen Lizenzserver mit dem Status „Nicht aktiviert“ aus. Zum Aktivieren klicken Sie mit der rechten Maustaste darauf und wählen Sie „Server aktivieren“. Der Serveraktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als Nächstes Informationen zur Organisation ein. Anschließend wird der Lizenzserver aktiviert. Active Directory-ZertifikatdiensteAD CS bietet anpassbare Dienste für die Ausstellung und Verwaltung digitaler Zertifikate, die in Softwaresicherheitssystemen verwendet werden, die Public-Key-Technologien verwenden. Von AD CS bereitgestellte digitale Zertifikate können zum Verschlüsseln und digitalen Signieren elektronischer Dokumente und Nachrichten verwendet werden. Mit diesen digitalen Zertifikaten kann die Authentizität von Computer-, Benutzer- und Gerätekonten in einem Netzwerk überprüft werden. Digitale Zertifikate werden verwendet, um Folgendes sicherzustellen:
AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem eine Benutzer-, Geräte- oder Dienstidentität einem entsprechenden privaten Schlüssel zugeordnet wird. Zu den von AD CS unterstützten Verwendungszwecken gehören sichere Mehrzweck-Internet-Mail-Erweiterungen (S/MIME), sichere drahtlose Netzwerke, virtuelle private Netzwerke (VPN), IPsec, verschlüsselndes Dateisystem (EFS), Smartcard-Anmeldung, Datenübertragungssicherheit und Transportschicht-Sicherheitsprotokoll ( SSL/TLS) und digitale Signaturen. Active Directory-DomänendiensteMit der Serverrolle Active Directory Domain Services (AD DS) können Sie eine skalierbare, sichere und verwaltete Infrastruktur für die Verwaltung von Benutzern und Ressourcen erstellen; Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server unterstützen. Active Directory Domain Services stellt eine verteilte Datenbank bereit, die Informationen über Netzwerkressourcen und verzeichnisfähige Anwendungsdaten speichert und verwaltet. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen, verschachtelten Struktur zu organisieren. Die hierarchisch verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen innerhalb der Gesamtstruktur und die Organisationseinheiten innerhalb jeder Domäne. Sicherheitsfunktionen sind in AD DS in Form von Authentifizierung und Zugriffskontrolle auf Ressourcen im Verzeichnis integriert. Mit der einmaligen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch Netzwerk-Single-Sign-On verwenden, um auf Ressourcen zuzugreifen, die sich überall im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.
Active Directory-VerbunddiensteAD FS bietet Endbenutzern, die auf Anwendungen in einem AD FS-geschützten Unternehmen, einem Verbundpartner oder einer Cloud zugreifen müssen, vereinfachte und sichere Identitätsföderations- und webbasierte Single-Sign-On-Funktionen (SSO). Auf Windows Server umfasst AD FS die Der Rollendienst Federation Services fungiert als Identitätsanbieter (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen). Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das flexible Unterstützung für Verzeichnisanwendungen ohne die Abhängigkeiten und Domänenbeschränkungen der Active Directory-Domänendienste bietet. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS auf einem einzelnen Server mit unabhängig verwalteten Schemas ausführen. Durch die Verwendung der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne den Mehraufwand von Domänen und Gesamtstrukturen und ohne die Notwendigkeit eines einzigen gesamtstrukturweiten Schemas. Active Directory-RechteverwaltungsdiensteAD RMS kann zur Verbesserung der Sicherheitsstrategie eines Unternehmens verwendet werden, indem Dokumente mithilfe von Information Rights Management (IRM) geschützt werden. Mit AD RMS können Benutzer und Administratoren mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuweisen. Dies trägt dazu bei, vertrauliche Informationen vor dem Drucken, Weiterleiten oder Kopieren durch unbefugte Benutzer zu schützen. Sobald Dateiberechtigungen mithilfe von IRM eingeschränkt werden, werden Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen durchgesetzt, da die Dateiberechtigung in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen persönlichen Präferenzen hinsichtlich der Weitergabe persönlicher und sensibler Informationen anwenden. Sie helfen der Organisation auch dabei, Unternehmensrichtlinien anzuwenden, um die Nutzung und Verbreitung vertraulicher und persönlicher Informationen zu regeln. IRM-Lösungen, die von AD RMS-Diensten unterstützt werden, werden verwendet, um die folgenden Funktionen bereitzustellen.
AnwendungsserverApplication Server bietet eine integrierte Umgebung für die Bereitstellung und Ausführung benutzerdefinierter serverbasierter Geschäftsanwendungen. DHCP-ServerDHCP ist eine Client-Server-Technologie, bei der DHCP-Server Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuweisen oder leasen können. Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden Clientcomputern und anderen Netzwerkgeräten automatisch gültige IP-Adressen und IPv4- und IPv6-Adressen bereitgestellt zusätzliche Konfigurationsparameter, die von diesen Clients und Geräten benötigt werden. Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Fehlerbehandlung. DNS ServerDer DNS-Dienst ist eine hierarchische, verteilte Datenbank, die Zuordnungen von DNS-Domänennamen zu verschiedenen Datentypen, beispielsweise IP-Adressen, enthält. Mit DNS können Sie benutzerfreundliche Namen wie www.microsoft.com verwenden, um das Auffinden von Computern und anderen Ressourcen in TCP/IP-basierten Netzwerken zu erleichtern. Windows Server DNS bietet zusätzliche, erweiterte Unterstützung für DNS-Sicherheitserweiterungen (DNSSEC), einschließlich Online-Registrierung und automatisierter Einstellungsverwaltung. FAX-ServerDer Faxserver sendet und empfängt Faxe und bietet Ihnen außerdem die Möglichkeit, Faxressourcen wie Aufträge, Einstellungen, Berichte und Faxgeräte auf Ihrem Faxserver zu verwalten. Datei- und SpeicherdiensteAdministratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und deren Speicher zu konfigurieren und diese Server mithilfe des Server-Managers oder von Windows PowerShell zu verwalten. Einige spezifische Apps umfassen die folgenden Funktionen.
Hyper-VMit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Durch die Installation der Hyper-V-Rolle werden Voraussetzungen sowie optionale Verwaltungstools installiert. Zu den erforderlichen Komponenten gehören Windows-Hypervisor und Verwaltungsdienst virtuelle Maschinen Hyper-V, WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualisierungsdienstanbieter (VSP) und virtueller Infrastrukturtreiber (VID). Netzwerkrichtlinien- und ZugriffsdiensteNetwork Policy and Access Services bietet die folgenden Lösungen für Netzwerkverbindungen:
Druck- und DokumentendiensteMit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben wie eine Windows SharePoint Services-Site oder per E-Mail hochladen. FernzugriffDie Rolle des Remotezugriffsservers ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.
Diese Technologien sind Rollendienste Rollen des Fernzugriffsservers. Wenn Sie die Rolle „Remotezugriffsserver“ installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen ausführen. In Windows Server bietet die Rolle „Remotezugriffsserver“ die Möglichkeit, DirectAccess-Remotezugriffsdienste und VPN mit Routing and Remote Access Service (RRAS) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edgeserver bereitgestellt und mithilfe von Windows PowerShell-Befehlen und der Remote Access Management Console (MMC) verwaltet werden. RemotedesktopdiensteRemote Desktop Services beschleunigen und erweitern die Bereitstellung von Desktops und Anwendungen auf jedem Gerät und steigern so die Produktivität von Remote-Mitarbeitern, schützen gleichzeitig kritisches geistiges Eigentum und vereinfachen die Einhaltung gesetzlicher Vorschriften. Remotedesktopdienste umfassen eine virtuelle Desktop-Infrastruktur (VDI), sitzungsbasierte Desktops und Anwendungen, sodass Benutzer von überall aus arbeiten können. VolumenaktivierungsdiensteVolume Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung und Verwaltung von Volumenlizenzen für Microsoft-Software in einer Vielzahl von Szenarien und Umgebungen automatisiert und vereinfacht. Zusammen mit den Volumenaktivierungsdiensten können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren. Webserver (IIS)Die Webserverrolle (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Durch den Einsatz eines Webservers werden Informationen für Benutzer im Internet, Intranet und Extranet verfügbar gemacht. Administratoren können die Webserverrolle (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites zu konfigurieren und zu verwalten. Zu den Barrierefreiheitsfunktionen gehören die folgenden.
Windows-BereitstellungsdiensteMit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen. Windows Server Essentials-ErfahrungMit dieser Rolle können Sie folgende Aufgaben lösen:
Windows Server Update-DiensteDer WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Aktualisierungsquelle für andere WSUS-Server in der Organisation sein. Wenn Sie WSUS implementieren, muss mindestens ein WSUS-Server in Ihrem Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von Ihrer Netzwerksicherheit und -konfiguration kann Ihr Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind. Einführung Mit der Zunahme der Anzahl der Computer in einem Unternehmen wird die Frage nach den Kosten für deren Verwaltung und Wartung immer akuter. Manuelle Einstellung Der Einsatz von Computern nimmt viel Personalzeit in Anspruch und zwingt Sie dazu, mit zunehmender Anzahl von Computern auch die Zahl der sie bedienenden Mitarbeiter zu erhöhen. Darüber hinaus wird es bei einer großen Anzahl von Maschinen immer schwieriger, die Einhaltung der vom Unternehmen übernommenen Anpassungsstandards sicherzustellen. Gruppenrichtlinien sind ein umfassendes Tool zentralisierte Verwaltung Computer mit Windows 2000 und höher in einer Active Directory-Domäne. Gruppenrichtlinien gelten nicht für Computer unter Windows NT4/9x: Sie werden durch Systemrichtlinien gesteuert, die in diesem Artikel nicht behandelt werden. Gruppenrichtlinienobjekte Alle Einstellungen, die Sie innerhalb von Gruppenrichtlinien erstellen, werden in Gruppenrichtlinienobjekten (GPOs) gespeichert. Es gibt zwei Arten von Gruppenrichtlinienobjekten: lokale Gruppenrichtlinienobjekte und Active Directory-Gruppenrichtlinienobjekte. Auf Computern mit Windows 2000 und höher ist ein lokales Gruppenrichtlinienobjekt verfügbar. Es kann nur eines geben, und es ist das einzige GPO, das sich auf einem Nicht-Domänencomputer befinden kann. Ein Gruppenrichtlinienobjekt ist der allgemeine Name für eine Reihe von Dateien, Verzeichnissen und Einträgen in der Active Directory-Datenbank (sofern es sich nicht um ein lokales Objekt handelt), das Ihre Einstellungen speichert und bestimmt, welche anderen Einstellungen Sie mithilfe von Gruppenrichtlinien ändern können. Wenn Sie eine Richtlinie erstellen, erstellen und ändern Sie im Wesentlichen ein Gruppenrichtlinienobjekt. Das lokale Gruppenrichtlinienobjekt wird in %SystemRoot%\System32\GroupPolicy gespeichert. Active Directory-Gruppenrichtlinienobjekte werden auf einem Domänencontroller gespeichert und können einem Standort, einer Domäne oder einer Organisationseinheit (OU) zugeordnet werden. Die Bindung eines Objekts bestimmt seinen Umfang. Standardmäßig werden in einer Domäne zwei Gruppenrichtlinienobjekte erstellt: Standarddomänenrichtlinie und Standarddomänencontrollerrichtlinie. Die erste definiert die Standardrichtlinie für Passwörter und Konten in der Domäne. Der zweite kommuniziert mit der Domänencontroller-Organisationseinheit und verbessert die Sicherheitseinstellungen für die Domänencontroller. Erstellen Sie ein Gruppenrichtlinienobjekt Um eine Richtlinie zu erstellen (d. h. tatsächlich ein neues Gruppenrichtlinienobjekt zu erstellen), öffnen Sie „Active Directory-Benutzer und -Computer“ und wählen Sie aus, wo ein neues Objekt erstellt werden soll. Sie können ein Gruppenrichtlinienobjekt nur erstellen und mit einem Standort, einer Domäne oder einem Organisationseinheitsobjekt verknüpfen. Reis. 1. Erstellen Sie ein Gruppenrichtlinienobjekt. Um ein Gruppenrichtlinienobjekt zu erstellen und es beispielsweise mit der Organisationseinheit des Testers zu verknüpfen, klicken Sie mit der rechten Maustaste auf diese Organisationseinheit und wählen Sie im Kontextmenü Eigenschaften aus. Öffnen Sie im sich öffnenden Eigenschaftenfenster die Registerkarte „Gruppenrichtlinie“ und klicken Sie auf „Neu“. Reis. 2. Erstellen Sie ein Gruppenrichtlinienobjekt. Wir geben dem GP-Objekt einen Namen, danach wird das Objekt erstellt und wir können mit der Konfiguration der Richtlinie beginnen. Doppelklicken Sie auf das erstellte Objekt oder klicken Sie auf die Schaltfläche Bearbeiten. Das Fenster des GPO-Editors wird geöffnet, in dem Sie bestimmte Parameter des Objekts konfigurieren können. Reis. 3. Beschreibung der Einstellungen im Reiter Erweitert. Die meisten Haupteinstellungen sind intuitiv (und verfügen auch über eine Beschreibung, wenn Sie die Registerkarte „Erweitert“ öffnen), und wir werden nicht näher auf jede einzelne eingehen. Wie aus Abb. ersichtlich ist. 3, GPO besteht aus zwei Abschnitten: Computerkonfiguration und Benutzerkonfiguration. Die Einstellungen der ersten Partition werden beim Windows-Start auf Computer in diesem Container und darunter angewendet (es sei denn, die Vererbung ist deaktiviert) und hängen nicht davon ab, welcher Benutzer angemeldet ist. Die Einstellungen im zweiten Abschnitt werden bei der Benutzeranmeldung angewendet. So wenden Sie Gruppenrichtlinienobjekte an Beim Starten des Computers werden die folgenden Aktionen ausgeführt: 1. Die Registrierung wird gelesen und festgestellt, zu welcher Site der Computer gehört. Es wird eine Anfrage gestellt DNS Server um die IP-Adressen der auf dieser Site befindlichen Domänencontroller zu erhalten. Gruppenrichtlinien werden angewendet, wenn das Betriebssystem startet und wenn sich der Benutzer anmeldet. Anschließend werden sie alle 90 Minuten mit einer Abweichung von 30 Minuten angewendet, um sicherzustellen, dass der Domänencontroller nicht überlastet wird, wenn viele gleichzeitige Anfragen von Clients eingehen. Für Domänencontroller beträgt das Aktualisierungsintervall 5 Minuten. Sie können dieses Verhalten im Abschnitt Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie ändern. Das Gruppenrichtlinienobjekt kann sich nur auf Computer- und Benutzerobjekte auswirken. Die Richtlinie gilt nur für Objekte, die sich im Verzeichnisobjekt (Standort, Domäne, Organisationseinheit) befinden, mit dem das Gruppenrichtlinienobjekt verknüpft ist, und weiter unten in der „Struktur“ (es sei denn, die Vererbung ist verboten). Beispiel: Ein Gruppenrichtlinienobjekt wird in der Organisationseinheit des Testers erstellt (wie oben beschrieben). Reis. 4. Vererbung von Einstellungen. Alle in diesem Gruppenrichtlinienobjekt vorgenommenen Einstellungen wirken sich nur auf Benutzer und Computer aus, die sich in den Organisationseinheiten „Tester“ und „InTesters“ befinden. Schauen wir uns die Vorgehensweise bei der Anwendung von Richtlinien anhand eines Beispiels an. Der Testbenutzer, der sich in der Organisationseinheit des Testers befindet, meldet sich am Comp-Computer an, der sich in der Organisationseinheit compOU befindet (siehe Abbildung 5). Reis. 5. Verfahren zur Anwendung von Richtlinien. In einer Domäne gibt es vier Gruppenrichtlinienobjekte: 1. SitePolicy, die dem Site-Container zugeordnet ist; Bei Booten von Windows Auf einer Comp-Workstation werden die in den Abschnitten „Computerkonfiguration“ definierten Parameter in dieser Reihenfolge angewendet: 1. Lokale GPO-Einstellungen; 4. GPO-Richtlinie2-Einstellungen. Wenn sich der Benutzertest beim Computer comp anmeldet – Parameter, die in den Abschnitten „Benutzerkonfiguration“ definiert sind: 1. Lokale GPO-Einstellungen; Das heißt, GPOs werden in dieser Reihenfolge angewendet: lokale Richtlinien, Richtlinien auf Site-Ebene, Richtlinien auf Domänenebene, Richtlinien auf OU-Ebene. Gruppenrichtlinien werden asynchron auf Windows XP-Clients angewendet, aber synchron auf Windows 2000-Clients, was bedeutet, dass der Anmeldebildschirm des Benutzers erst angezeigt wird, nachdem alle Computerrichtlinien angewendet wurden, und dass Benutzerrichtlinien angewendet werden, bevor der Desktop angezeigt wird. Asynchrone Richtliniendurchsetzung bedeutet, dass der Anmeldebildschirm des Benutzers angezeigt wird, bevor alle Richtlinien des Computers angewendet wurden, und der Desktop angezeigt wird, bevor alle Richtlinien des Benutzers angewendet wurden, was zu schnelleren Start- und Anmeldezeiten für den Benutzer führt. 1. Zusammenführen – zuerst wird die Computerrichtlinie angewendet, dann die Benutzerrichtlinie und erneut die Computerrichtlinie. In diesem Fall ersetzt die Computerrichtlinie die ihr widersprechenden Benutzerrichtlinieneinstellungen durch ihre eigenen. Ein Beispiel für die Verwendung der Loopback-Verarbeitungsoption der Benutzergruppenrichtlinie wäre ein öffentlicher Computer, auf dem Sie dieselben eingeschränkten Einstellungen haben möchten, unabhängig davon, welcher Benutzer ihn verwendet. Vorrang, Vererbung und Konfliktlösung Wie Sie vielleicht bemerkt haben, enthalten Gruppenrichtlinienobjekte auf allen Ebenen dieselben Einstellungen, und dieselbe Einstellung kann auf mehreren Ebenen unterschiedlich definiert werden. In diesem Fall ist der tatsächliche Wert der zuletzt angewendete Wert (die Reihenfolge der Anwendung von Gruppenrichtlinienobjekten wurde oben erläutert). Diese Regel gilt für alle Parameter mit Ausnahme derjenigen, die als nicht konfiguriert definiert sind. Für diese Windows-Einstellungen ergreift keine Maßnahmen. Es gibt jedoch eine Ausnahme: Alle Konto- und Passworteinstellungen können nur auf Domänenebene definiert werden; auf anderen Ebenen werden diese Einstellungen ignoriert. Reis. 6. Active Directory-Benutzer und -Computer. Wenn mehrere Gruppenrichtlinienobjekte auf derselben Ebene vorhanden sind, werden diese von unten nach oben angewendet. Durch Ändern der Position eines Richtlinienobjekts in der Liste (mithilfe der Schaltflächen „Nach oben“ und „Nach unten“) können Sie die gewünschte Anwendungsreihenfolge auswählen. Reis. 7. Verfahren zur Anwendung von Richtlinien. Manchmal möchten Sie, dass eine bestimmte Organisationseinheit keine Richtlinieneinstellungen von Gruppenrichtlinienobjekten erhält, die mit Upstream-Containern verknüpft sind. In diesem Fall müssen Sie die Richtlinienvererbung verhindern, indem Sie das Kontrollkästchen „Richtlinienvererbung blockieren“ aktivieren. Alle übernommenen Richtlinieneinstellungen werden blockiert und es gibt keine Möglichkeit, einzelne Einstellungen zu blockieren. Einstellungen auf Domänenebene, die Passwortrichtlinien und Kontorichtlinien definieren, können nicht gesperrt werden. Reis. 9. Vererbung von Richtlinien blockieren. Wenn Sie möchten, dass bestimmte Einstellungen in einem bestimmten Gruppenrichtlinienobjekt nicht überschrieben werden, wählen Sie das gewünschte Gruppenrichtlinienobjekt aus, klicken Sie auf die Schaltfläche „Optionen“ und wählen Sie „Kein Überschreiben“. Diese Option erzwingt die Anwendung von GPO-Einstellungen dort, wo die Richtlinienvererbung blockiert ist. An der Stelle, an der das Gruppenrichtlinienobjekt mit dem Verzeichnisobjekt verknüpft ist, wird keine Überschreibung festgelegt, nicht am Gruppenrichtlinienobjekt selbst. Wenn ein Gruppenrichtlinienobjekt mehreren Containern in einer Domäne zugeordnet ist, wird diese Einstellung für die übrigen Zuordnungen nicht automatisch konfiguriert. Wenn „Keine Überschreibung“ für mehrere Links auf derselben Ebene konfiguriert ist, hat das Gruppenrichtlinienobjekt oben in der Liste Vorrang (und Wirkung). Wenn jedoch für mehrere Gruppenrichtlinienobjekte auf unterschiedlichen Ebenen die Einstellungen „Keine Überschreibung“ konfiguriert sind, gelten die Einstellungen für das Gruppenrichtlinienobjekt weiter oben in der Verzeichnishierarchie. Das heißt, wenn für eine GPO-zu-Domänen-Objektzuordnung und für eine OU-zu-GPO-Zuordnung keine Überschreibungsparameter konfiguriert sind, sind die auf Domänenebene definierten Einstellungen wirksam. Das Kontrollkästchen „Deaktiviert“ hebt die Wirkung dieses Gruppenrichtlinienobjekts auf diesen Container auf. Reis. 10. Keine Optionen zum Überschreiben und Deaktivieren. Wie oben erwähnt, wirken sich Richtlinien nur auf Benutzer und Computer aus. Oft stellt sich die Frage: „Wie kann ich dafür sorgen, dass eine bestimmte Richtlinie für alle Benutzer gilt, die einer bestimmten Sicherheitsgruppe angehören?“ Dazu wird das Gruppenrichtlinienobjekt an ein Domänenobjekt (oder einen beliebigen Container über den Containern oder Organisationseinheiten, die alle Benutzerobjekte enthalten) gebunden die gewünschte Gruppe) und Zugriffseinstellungen konfiguriert sind. Klicken Sie auf „Eigenschaften“, löschen Sie auf der Registerkarte „Sicherheit“ die Gruppe „Authentifizierte Benutzer“ und fügen Sie die erforderliche Gruppe mit den Rechten „Lesen und Anwenden von Gruppenrichtlinien“ hinzu. Bestimmen der Einstellungen, die für den Computer des Benutzers gelten Um die endgültige Konfiguration zu ermitteln und Probleme zu identifizieren, müssen Sie wissen, welche Richtlinieneinstellungen derzeit für einen bestimmten Benutzer oder Computer gelten. Dafür gibt es ein Tool namens Resultant Set of Policy (RSoP). RSoP kann sowohl im Registrierungs- als auch im Planungsmodus betrieben werden. Um RSoP aufzurufen, sollten Sie mit der rechten Maustaste auf das Objekt „Benutzer“ oder „Computer“ klicken und „Alle Aufgaben“ auswählen. Reis. 11. Aufrufen des Tools „Resultant Set of Policy“. Nach dem Start (im Protokollierungsmodus) werden Sie aufgefordert, auszuwählen, für welchen Computer und Benutzer der Ergebnissatz definiert werden soll. Daraufhin wird ein Einstellungsfenster angezeigt, das angibt, welches Gruppenrichtlinienobjekt welche Einstellung angewendet hat. Reis. 12. Resultierender Richtliniensatz. Andere Tools zur Gruppenrichtlinienverwaltung GPResult ist ein Befehlszeilentool, das einige der Funktionen von RSoP bereitstellt. GPResult ist standardmäßig auf allen Computern verfügbar, auf denen Windows XP und Windows Server 2003 ausgeführt wird. GPUpdate erzwingt die Anwendung von Gruppenrichtlinien – sowohl lokal als auch Active Directory-basiert. In Windows XP/2003 ersetzte es die Option /refreshpolicy im Secedit-Tool für Windows 2000. Eine Beschreibung der Befehlssyntax ist verfügbar, wenn sie mit dem Schalter /? ausgeführt werden. Statt einer Schlussfolgerung Dieser Artikel soll nicht alle Aspekte der Arbeit mit Gruppenrichtlinien erläutern und richtet sich nicht an erfahrene Systemadministratoren. All dies sollte meiner Meinung nach nur denjenigen irgendwie dabei helfen, die Grundprinzipien der Zusammenarbeit mit Politikern zu verstehen, die noch nie mit ihnen zusammengearbeitet haben oder gerade erst anfangen, sie zu beherrschen. GPResult-Dienstprogramm.exe– ist eine Konsolenanwendung zur Analyse von Einstellungen und zur Diagnose von Gruppenrichtlinien, die für einen Computer und/oder Benutzer in einer Active Directory-Domäne gelten. Mit GPResult können Sie insbesondere Daten aus dem resultierenden Richtliniensatz (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), ihre Einstellungen und detaillierte Informationen zu Fehlern bei ihrer Verarbeitung abrufen. Das Dienstprogramm ist seit Windows XP Teil des Windows-Betriebssystems. Mit dem GPResult-Dienstprogramm können Sie die folgenden Fragen beantworten: ob eine bestimmte Richtlinie für den Computer gilt, welches GPO diese oder jene Windows-Einstellung geändert hat und die Gründe verstehen. In diesem Artikel betrachten wir die Funktionen der Verwendung des GPResult-Befehls zum Diagnostizieren und Debuggen der Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne. Um die Anwendung von Gruppenrichtlinien in Windows zu diagnostizieren, wurde zunächst die grafische Konsole RSOP.msc verwendet, die es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in ähnlicher grafischer Form abzurufen zur GPO-Editor-Konsole (Sie können unten am Beispiel der RSOP.msc-Konsolenansicht sehen, dass die Update-Einstellungen festgelegt sind). Allerdings ist es nicht ratsam, die RSOP.msc-Konsole in modernen Windows-Versionen zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSEs) wie GPP (Gruppenrichtlinieneinstellungen) angewendet werden, ermöglicht keine Suche und bietet nur wenige Diagnoseinformationen. Daher ist der Befehl GPResult derzeit das Haupttool zur Diagnose der Verwendung von GPO in Windows (in Windows 10 erscheint sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert). Verwenden des Dienstprogramms GPResult.exeDer Befehl GPResult wird auf dem Computer ausgeführt, auf dem Sie die Anwendung von Gruppenrichtlinien überprüfen möchten. Der GPResult-Befehl hat die folgende Syntax: GPRESULT ]] [(/X | /H) ] Um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) gelten, und zu anderen Einstellungen im Zusammenhang mit der GPO-Infrastruktur (d. h. den resultierenden GPO-Richtlinieneinstellungen – RsoP), führen Sie den folgenden Befehl aus: Die Ergebnisse des Befehls sind in zwei Abschnitte unterteilt:
Lassen Sie uns kurz die wichtigsten Parameter/Abschnitte durchgehen, die uns an der GPResult-Ausgabe interessieren könnten:
In unserem Beispiel sehen Sie, dass das Benutzerobjekt 4 Gruppenrichtlinien unterliegt.
Wenn Sie nicht möchten, dass Informationen zu Benutzer- und Computerrichtlinien gleichzeitig in der Konsole angezeigt werden, können Sie mit der Option /scope nur den Abschnitt anzeigen, der Sie interessiert. Nur resultierende Benutzerrichtlinien: gpresult /r /scope:user oder nur angewendete Computerrichtlinien: gpresult /r /scope:computer Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer praktisch ist; seine Ausgabe kann in die Zwischenablage umgeleitet werden: Gpresult /r |clip oder Textdatei: Gpresult /r > c:\gpresult.txt Um äußerst detaillierte RSOP-Informationen anzuzeigen, müssen Sie den Schalter /z hinzufügen. HTML-RSOP-Bericht mit GPResultDarüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht über die resultierenden angewendeten Richtlinien erstellen (verfügbar unter Windows 7 und höher). Dieser Bericht enthält detaillierte Informationen zu allen Systemparametern, die durch Gruppenrichtlinien festgelegt werden, sowie die Namen bestimmter Gruppenrichtlinienobjekte, die sie festlegen (die resultierende Berichtsstruktur ähnelt der Registerkarte „Einstellungen“ in der Domain Group Policy Management Console – GPMC). Sie können einen HTML-GPResult-Bericht mit dem folgenden Befehl generieren: GPResult /h c:\gp-report\report.html /f Um einen Bericht zu generieren und ihn automatisch in einem Browser zu öffnen, führen Sie den folgenden Befehl aus: GPResult /h GPResult.html & GPResult.html Der gpresult-HTML-Bericht enthält viele nützliche Informationen: Fehler in der GPO-Anwendung, Verarbeitungszeit (in ms) und die Anwendung bestimmter Richtlinien und CSE sind sichtbar (im Abschnitt Computerdetails -> Komponentenstatus). Im Screenshot oben können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen zum Speichern von 24 Passwörtern von der Standarddomänenrichtlinie angewendet wird (Spalte „Winning GPO“). Wie Sie sehen, ist dieser HTML-Bericht für die Analyse angewendeter Richtlinien viel praktischer als die rsop.msc-Konsole. Empfangen von GPResult-Daten von einem Remote-ComputerGPResult kann auch Daten von einem Remote-Computer sammeln, sodass sich der Administrator nicht mehr lokal oder per RDP beim Remote-Computer anmelden muss. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remotecomputer lautet wie folgt: GPResult /s server-ts1 /r Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien aus der Ferne erfassen. Der Benutzername des Benutzers enthält keine RSOP-DatenWenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Berechtigungen nur die Einstellungen des Abschnitts „Benutzergruppenrichtlinie“ angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn die Befehlszeile auf ein anderes System als den aktuellen Benutzer erhöht wird, gibt das Dienstprogramm eine Warnung aus DIE INFO:DerBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ verfügt nicht über RSOP-Daten. Dies geschieht, weil GPResult versucht, Informationen für den Benutzer zu sammeln, der es gestartet hat, aber weil ... Dieser Benutzer ist nicht angemeldet und es liegen keine RSOP-Informationen für ihn vor. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben: gpresult /r /user:tn\edward Wenn Sie den Namen des Kontos, mit dem Sie auf dem Remote-Computer angemeldet sind, nicht kennen, können Sie das Konto wie folgt abrufen: qwinsta /SERVER:remotePC1 Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen. Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurdenBei der Fehlerbehebung bei Gruppenrichtlinien sollten Sie auch den Abschnitt beachten: Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden. In diesem Abschnitt wird eine Liste von Gruppenrichtlinienobjekten angezeigt, die aus dem einen oder anderen Grund nicht für dieses Objekt gelten. Mögliche Gründe für die Nichtanwendung der Richtlinie: Sie können auch auf der Registerkarte „Effektive Berechtigungen“ (Erweitert -> Effektiver Zugriff) nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll. In diesem Artikel haben wir uns daher mit den Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mithilfe des Dienstprogramms GPResult befasst und uns typische Szenarien für dessen Verwendung angesehen. Die Funktionalität im Windows Server-Betriebssystem wird von Version zu Version berechnet und verbessert, es gibt immer mehr Rollen und Komponenten, daher werde ich im heutigen Material versuchen, sie kurz zu beschreiben Beschreibung und Zweck jeder Rolle in Windows Server 2016. Bevor wir mit der Beschreibung der Windows Server-Serverrollen fortfahren, wollen wir herausfinden, was „ Serverrolle» im Windows Server-Betriebssystem. Was ist eine „Serverrolle“ in Windows Server?Serverrolle- Das Softwarepaket, wodurch sichergestellt wird, dass der Server eine bestimmte Funktion ausführt, und diese Funktion ist der wichtigste. Mit anderen Worten, " Serverrolle„ist der Zweck des Servers, d.h. wofür ist das? Damit der Server seine Hauptfunktion erfüllen kann, d.h. eine bestimmte Rolle in „ Serverrolle» Die gesamte hierfür notwendige Software ist im Lieferumfang enthalten ( Programme, Dienstleistungen). Der Server kann eine Rolle haben, wenn er aktiv genutzt wird, oder mehrere, wenn jede davon den Server nicht stark belastet und selten genutzt wird. Eine Serverrolle kann mehrere Rollendienste umfassen, die die Funktionalität der Rolle bereitstellen. Beispielsweise in der Serverrolle „ Webserver (IIS)„Eine ziemlich große Anzahl von Diensten ist enthalten, und die Rolle“ DNS Server» Rollendienste sind nicht enthalten, da diese Rolle nur eine Funktion ausführt. Rollendienste können je nach Bedarf gemeinsam oder einzeln installiert werden. Im Kern bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste. In Windows Server gibt es auch „ Komponenten» Server. Serverkomponenten (Feature)- Das Software, bei denen es sich nicht um eine Serverrolle handelt, sondern die Funktionen einer oder mehrerer Rollen erweitern oder eine oder mehrere Rollen verwalten. Einige Rollen können nicht installiert werden, wenn die erforderlichen Dienste oder Komponenten, die für die Funktion dieser Rollen erforderlich sind, nicht auf dem Server installiert sind. Daher zum Zeitpunkt der Installation solcher Rollen „ Assistent zum Hinzufügen von Rollen und Funktionen" selbst fordert Sie automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren. Beschreibung der Serverrollen von Windows Server 2016Viele der Rollen in Windows Server 2016 sind Ihnen wahrscheinlich bereits bekannt, da es sie schon seit geraumer Zeit gibt. lange Zeit, aber wie gesagt, mit jedem neuen Windows-Version Server, es werden neue Rollen hinzugefügt, mit denen Sie möglicherweise noch nicht gearbeitet haben, von denen Sie aber gerne wissen würden, wofür sie gedacht sind. Schauen wir uns sie also an. Notiz! Über die neuen Funktionen des Betriebssystems Windows Server 2016 können Sie im Material „ Windows-Installation Server 2016 und ein Überblick über neue Funktionen ». Denn sehr oft erfolgt die Installation und Verwaltung von Rollen, Diensten und Komponenten mit unter Verwendung von Windows PowerShell, für jede Rolle und ihren Dienst werde ich einen Namen angeben, der in PowerShell verwendet werden kann, um sie zu installieren bzw. zu verwalten. DHCP-ServerMit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle verfügt über keine Rollendienste. Der Name für Windows PowerShell ist DHCP. DNS ServerDiese Rolle ist für die Namensauflösung in TCP/IP-Netzwerken vorgesehen. Die Rolle des DNS-Servers wird bereitgestellt und verwaltet DNS funktioniert. Um die DNS-Serververwaltung zu vereinfachen, wird es normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle verfügt über keine Rollendienste. Der Rollenname für PowerShell ist DNS. Hyper-VMithilfe der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es handelt sich um ein Tool zum Erstellen und Verwalten virtueller Maschinen. Der Rollenname für Windows PowerShell ist Hyper-V. Zertifizierung der GeräteleistungRolle " » ermöglicht Ihnen die Bewertung des Gerätezustands anhand gemessener Sicherheitsparameter, wie z. B. sicherer Startstatus und Bitlocker auf dem Client. Damit diese Rolle funktioniert, sind eine ganze Reihe von Rollendiensten und Komponenten erforderlich, zum Beispiel: mehrere Dienste aus der Rolle „ Webserver (IIS)", Komponente " ", Komponente " .NET Framework 4.6-Funktionen». Bei der Installation werden automatisch alle benötigten Rollendienste und Komponenten ausgewählt. Die Rolle " Zertifizierung der Geräteleistung» Es gibt keine eigenen Dienste. Der Name für PowerShell ist DeviceHealthAttestationService. Webserver (IIS)Bietet eine zuverlässige, verwaltbare und skalierbare Webanwendungsinfrastruktur. Besteht aus einer relativ großen Anzahl von Diensten (43). Der Name für Windows PowerShell ist Web-Server. Enthält die folgenden Rollendienste ( In Klammern gebe ich den Namen für Windows PowerShell an): Webserver (Web-WebServer)– Eine Gruppe von Rollendiensten, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und Webserver bereitstellt. Besteht aus folgenden Leistungen:
FTP-Server (Web-FTP-Server)– Dienste, die das FTP-Protokoll unterstützen. Wir haben ausführlicher über den FTP-Server im Material gesprochen – „Installation und FTP-Setup Server unter Windows Server 2016. Enthält die folgenden Dienste:
Verwaltungstools (Web-Mgmt-Tools)– Dies sind Tools zur Verwaltung des IIS 10-Webservers. Dazu gehören: die IIS-Benutzeroberfläche, Befehlszeilentools und Skripte.
Active Directory-DomänendiensteRolle " Active Directory-Domänendienste» (AD DS) stellt eine verteilte Datenbank bereit, die Informationen über Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen sicheren Shell-Struktur zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen innerhalb der Gesamtstruktur und Organisationseinheiten (OUs) innerhalb jeder Domäne. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Der Rollenname für Windows PowerShell lautet AD-Domain-Services. Windows Server Essentials-ModusDiese Rolle stellt die Computerinfrastruktur dar und bietet praktische und effiziente Funktionen, zum Beispiel: Speicherung von Clientdaten an einem zentralen Ort und Schutz dieser Daten durch Sicherung der Server- und Clientcomputer, Remote-Webzugriff, sodass Sie von fast jedem Gerät aus auf Daten zugreifen können. Für die Funktion dieser Rolle sind mehrere Rollendienste und Komponenten erforderlich, zum Beispiel: BranchCache-Komponenten, Windows Server-Sicherung, Gruppenrichtlinienverwaltung, Rollendienst. DFS-Namespaces». Der Name für PowerShell ist ServerEssentialsRole. Netzwerk-ControllerDiese Rolle wurde in Windows Server 2016 eingeführt und bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs und physische konfigurieren Netzwerkadapter Hyper-V-Hosts verwalten virtuelle Switches, physische Router, Firewall-Einstellungen und VPN-Gateways. Der Name für Windows PowerShell ist NetworkController. KnotenwächterdienstDies ist die Serverrolle „Hosted Guardian Service“ (HGS) und stellt wichtige Nachweis- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, geschützt ausgeführt zu werden virtuelle Maschinen. Damit diese Rolle funktioniert, sind mehrere zusätzliche Rollen und Komponenten erforderlich, zum Beispiel: Active Directory Domain Services, Webserver (IIS), Komponente „ Failover-Clustering" und andere. Der Name für PowerShell ist HostGuardianServiceRole. Active Directory Lightweight Directory ServicesRolle " Active Directory Lightweight Directory Services" (AD LDS) – ist eine schlanke Version von AD DS, die über weniger Funktionalität verfügt, aber keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht über die Abhängigkeiten und Domäneneinschränkungen verfügt, die AD DS-Dienste erfordern. AD LDS funktioniert über das LDAP-Protokoll ( Lightweight Directory Access Protocol). Sie können mehrere AD LDS-Instanzen mit unabhängig verwalteten Schemata auf einem einzelnen Server bereitstellen. Der Name für PowerShell ist ADLDS. MultiPoint-DiensteDies ist auch eine neue Rolle, die in Windows Server 2016 eingeführt wurde. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Dienst Suche, XPS Viewer und andere werden bei der Installation von MPS automatisch ausgewählt. Der Rollenname für PowerShell ist MultiPointServerRole. Windows Server Update-DiensteMit dieser Rolle (WSUS) können Systemadministratoren Microsoft-Updates verwalten. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Update-Sätze und erhalten Sie außerdem Berichte über die Computerkonformität und die zu installierenden Updates. Funktionieren " Windows Server Update-Dienste„Wir benötigen Rollendienste und Komponenten wie: Webserver (IIS), interne Windows-Datenbank, Windows-Prozessaktivierungsdienst. Der Name für Windows PowerShell ist UpdateServices.
VolumenaktivierungsdiensteDiese Serverrolle automatisiert und vereinfacht die Ausstellung von Volumenlizenzen für Microsoft-Software und ermöglicht Ihnen die Verwaltung dieser Lizenzen. Der Name für PowerShell ist VolumeActivation. Druck- und DokumentendiensteDiese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern in einem Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung Netzwerkdrucker und Scanner. Mit Print and Document Services können Sie auch gescannte Dokumente per E-Mail an Shared senden Netzwerkordner oder zu Windows SharePoint Services-Websites. Der Name für PowerShell ist Print-Services.
Netzwerkrichtlinien- und ZugriffsdiensteRolle " » (NPAS) ermöglicht Ihnen die Verwendung des Network Policy Server (NPS), um Richtlinien für den Netzwerkzugriff, die Authentifizierung und Autorisierung sowie den Client-Zustand festzulegen und durchzusetzen, mit anderen Worten, um die Netzwerksicherheit zu gewährleisten. Der Name für Windows PowerShell ist NPAS. Windows-BereitstellungsdiensteMit dieser Rolle können Sie das Windows-Betriebssystem remote über ein Netzwerk installieren. Der Rollenname für PowerShell ist WDS.
Active Directory-ZertifikatdiensteMit dieser Rolle können Zertifizierungsstellen und zugehörige Rollendienste erstellt werden, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können. Der Name für Windows PowerShell ist AD-Zertifikat. Beinhaltet die folgenden Rollendienste:
RemotedesktopdiensteEine Serverrolle, die Ihnen den Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und RemoteApps ermöglicht. Der Rollenname für Windows PowerShell lautet Remote-Desktop-Services. Besteht aus folgenden Leistungen:
Active Directory-RechteverwaltungsdiensteDies ist eine Serverrolle, die es Ihnen ermöglicht, Informationen vor unbefugter Nutzung zu schützen. Es überprüft Benutzeridentitäten und gewährt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Damit diese Rolle funktioniert, sind zusätzliche Dienste und Komponenten erforderlich: „ Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen». Der Name für Windows PowerShell ist ADRMS.
Active Directory-VerbunddiensteDiese Rolle bietet vereinfachte und sichere Identitätsföderationsfunktionen sowie browserbasiertes Single Sign-On (SSO) für Websites. Der Name für PowerShell ist ADFS-Federation. FernzugriffDiese Rolle stellt Konnektivität über DirectAccess, VPN und Webanwendungsproxy bereit. Auch die Rolle von „ Fernzugriff» bietet herkömmliche Routing-Funktionen, einschließlich Konvertierung Netzwerkadressen(NAT) und andere Verbindungsparameter. Diese Rolle erfordert zusätzliche Dienste und Komponenten: „ Webserver (IIS)», « Interne Windows-Datenbank». Der Rollenname für Windows PowerShell lautet RemoteAccess.
Datei- und SpeicherdiensteHierbei handelt es sich um eine Serverrolle, die zum Freigeben von Dateien und Ordnern, zum Verwalten und Kontrollieren von Freigaben, zum Replizieren von Dateien und zum Bereitstellen verwendet werden kann schnelle Suche Dateien und ermöglichen außerdem den Zugriff auf UNIX-Clientcomputer. Wir haben uns im Material „Installieren eines Dateiservers unter Windows Server 2016“ ausführlicher mit Dateidiensten und insbesondere dem Dateiserver befasst. Der Name für Windows PowerShell ist FileAndStorage-Services. Speicherdienste– Dieser Dienst stellt Speicherverwaltungsfunktionen bereit, die immer installiert sind und nicht entfernt werden können. Dateidienste und iSCSI-Dienste (Dateidienste)– Hierbei handelt es sich um Technologien, die die Verwaltung von Dateiservern und -speichern vereinfachen, Speicherplatz sparen, die Replikation und Zwischenspeicherung von Dateien in Zweigen ermöglichen und auch die Dateifreigabe mithilfe des NFS-Protokolls ermöglichen. Beinhaltet die folgenden Rollendienste:
FaxserverDie Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Aufträgen, Einstellungen, Berichten und Faxgeräten auf diesem Computer oder Netzwerk. Um zu arbeiten, brauchst du " Druck Server». Der Rollenname für Windows PowerShell lautet Fax. Damit ist die Überprüfung der Windows Server 2016-Serverrollen abgeschlossen. Ich hoffe, das Material war für Sie nützlich, tschüss! Bevor Sie einen Socket-Server entwickeln, müssen Sie einen Richtlinienserver erstellen, der Silverlight mitteilt, welche Clients eine Verbindung zum Socket-Server herstellen dürfen. Wie oben gezeigt, lässt Silverlight das Laden von Inhalten oder den Aufruf eines Webdienstes nicht zu, es sei denn, die Domäne verfügt über eine clientaccesspolicy .xml- oder Crossdomain-Datei. xml, das diese Operationen explizit zulässt. Eine ähnliche Einschränkung gilt für den Socket-Server. Wenn Sie dem Clientgerät nicht die Möglichkeit geben, die Datei „clientaccesspolicy.xml“ zu laden, die den Fernzugriff ermöglicht, verweigert Silverlight den Verbindungsaufbau. Leider wird die Clientzugriffsrichtlinie bereitgestellt. cml in eine Socket-Anwendung zu übertragen ist eine schwierigere Aufgabe als die Bereitstellung über eine Website. Wenn Sie eine Website verwenden, stellt die Webserver-Software möglicherweise eine clientaccesspolicy .xml-Datei bereit. Sie müssen nur daran denken, diese hinzuzufügen. Wenn Sie jedoch eine Socket-Anwendung verwenden, müssen Sie einen Socket öffnen, an den Client-Anwendungen Richtlinienanforderungen stellen können. Darüber hinaus müssen Sie den Code, der den Socket bedient, manuell erstellen. Um diese Probleme zu lösen, müssen Sie einen Richtlinienserver erstellen. Wie wir als nächstes sehen werden, funktioniert der Richtlinienserver auf die gleiche Weise wie der Nachrichtenserver, er wickelt lediglich etwas einfachere Interaktionen ab. Nachrichten- und Richtlinienserver können separat erstellt oder in einer Anwendung kombiniert werden. Im zweiten Fall müssen sie in verschiedenen Threads auf Anfragen warten. In diesem Beispiel erstellen wir einen Richtlinienserver und kombinieren ihn dann mit einem Nachrichtenserver. Um einen Richtlinienserver zu erstellen, müssen Sie zunächst eine .NET-Anwendung erstellen. Als Richtlinienserver kann jede Art von .NET-Anwendung dienen. Der einfachste Weg ist die Verwendung einer Konsolenanwendung. Sobald Sie Ihre Konsolenanwendung debuggt haben, können Sie den Code in einen Windows-Dienst verschieben, sodass er kontinuierlich im Hintergrund ausgeführt wird. Richtliniendatei Nachfolgend finden Sie die vom Richtlinienserver bereitgestellte Richtliniendatei. Die Richtliniendatei definiert drei Regeln. Ermöglicht den Zugriff auf alle Ports von 4502 bis 4532 (dies ist der gesamte Portbereich, der vom Silverlight-Add-on unterstützt wird). Um den Bereich der verfügbaren Ports zu ändern, müssen Sie den Wert des Portattributs des Elements ändern. Ermöglicht TCP-Zugriff (die Berechtigung wird im Protokollattribut des Elements definiert). Ermöglicht Anrufe von jeder Domäne aus. Daher kann die Silverlight-Anwendung, die die Verbindung herstellt, von jeder Website gehostet werden. Um diese Regel zu ändern, müssen Sie das uri-Attribut des Elements bearbeiten. Um die Aufgabe zu vereinfachen, werden Richtlinienregeln in der Datei clientaccess-ploi.cy.xml platziert, die dem Projekt hinzugefügt wird. In Visual Studio muss die Einstellung „In Ausgabeverzeichnis kopieren“ der Richtliniendatei auf „Immer kopieren“ festgelegt sein. Sie müssen lediglich die Datei auf Ihrer Festplatte finden, sie öffnen und den Inhalt an das Client-Gerät zurückgeben. PolicyServer-Klasse Die Policy Server-Funktionalität basiert auf zwei Schlüsselklassen: PolicyServer und PolicyConnection. Die PolicyServer-Klasse verwaltet das Warten auf Verbindungen. Sobald eine Verbindung hergestellt wird, übergibt es die Steuerung an eine neue Instanz der PoicyConnection-Klasse, die die Richtliniendatei an den Client übergibt. Dieses zweiteilige Verfahren ist in der Netzwerkprogrammierung üblich. Sie werden es mehr als einmal sehen, wenn Sie mit Nachrichtenservern arbeiten. Die PolicyServer-Klasse lädt die Richtliniendatei von der Festplatte und speichert sie in einem Feld als Byte-Array. öffentliche Klasse PolicyServer private Byte-Richtlinie; public PolicyServer(string PolicyFile) ( Um mit dem Abhören zu beginnen, muss die Serveranwendung den PolicyServer aufrufen. Start(). Es erstellt ein TcpListener-Objekt, das auf Anfragen lauscht. Das TcpListener-Objekt ist so konfiguriert, dass es Port 943 überwacht. In Silverlight ist dieser Port für Richtlinienserver reserviert. Wenn Anfragen nach Richtliniendateien gestellt werden, leitet Silverlight diese automatisch an Port 943 weiter. privater TcpListener-Listener; öffentliche Leere Start() // Erstelle ein Listening-Objekt listener = new TcpListener(IPAddress.Any, 943); // Beginne zuzuhören; Die Start()-Methode kehrt sofort zurück, nachdem listener.Start() aufgerufen wurde. // Auf Verbindung warten; die Methode kehrt sofort zurück; II. Das Warten wird in einem separaten Thread durchgeführt Um die angebotene Verbindung zu akzeptieren, ruft der Richtlinienserver die Methode BeginAcceptTcpClient() auf. Wie alle Beginxxx()-Methoden des .NET-Frameworks kehrt sie unmittelbar nach dem Aufruf zurück und führt die erforderlichen Vorgänge in einem separaten Thread aus. Für Netzwerkanwendungen ist dies ein sehr wichtiger Faktor, da dadurch viele Anfragen nach Richtliniendateien gleichzeitig verarbeitet werden können. Notiz. Anfänger im Netzwerkprogrammieren fragen sich oft, wie es möglich ist, mehr als eine Anfrage gleichzeitig zu bearbeiten, und denken, dass dafür mehrere Server erforderlich sind. Dies ist jedoch nicht der Fall. Bei diesem Ansatz würden Client-Anwendungen schnell zur Neige gehen verfügbare Ports. In der Praxis verarbeiten Serveranwendungen viele Anfragen über einen einzigen Port. Dieser Vorgang ist für Anwendungen unsichtbar, da das in Windows integrierte TCP-Subsystem Nachrichten automatisch identifiziert und an die entsprechenden Objekte im Anwendungscode weiterleitet. Jede Verbindung wird anhand von vier Parametern eindeutig identifiziert: Client-IP-Adresse, Client-Portnummer, Server-IP-Adresse und Server-Portnummer. Bei jeder Anfrage wird die Rückrufmethode OnAcceptTcpClient() ausgelöst. Es ruft die BeginAcceptTcpClient-Methode von O erneut auf, um auf die nächste Anforderung in einem anderen Thread zu warten, und beginnt dann mit der Verarbeitung der aktuellen Anforderung. public void OnAcceptTcpClient(IAsyncResult ag) ( if (isStopped) return; Console.WriteLine("Richtlinienanfrage empfangen."); // Warten auf die nächste Verbindung. listener.BeginAcceptTcpClient(OnAcceptTcpClient, null); // Verarbeite die aktuelle Verbindung. TcpClient client = listener.EndAcceptTcpClient(ag); PolicyConnection PolicyConnection = new PolicyConnection(client, Policy); PolicyConnection.HandleRequest() ; Catch (Ausnahmefehler) ( Jedes Mal, wenn eine neue Verbindung empfangen wird, wird ein neues PolicyConnection-Objekt erstellt, um diese zu verarbeiten. Darüber hinaus verwaltet das PolicyConnection-Objekt die Richtliniendatei. Die letzte Komponente der PolicyServer-Klasse ist die Stop()-Methode, die das Warten auf Anfragen beendet. Die Anwendung ruft es auf, wenn sie beendet wird. privater Bool isStopped; öffentliche Nichtigkeit StopO ( isStopped = true; Hörer. Stoppen(); Catch (Ausnahmefehler) ( Console.WriteLine(err.Message); Um den Richtlinienserver zu starten, wird der folgende Code in der Main()-Methode des Anwendungsservers verwendet. static void Main(string args) ( PolicyServer PolicyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start(); Console.WriteLine("Der Richtlinienserver wird ausgeführt."); Console.WriteLine("Drücken Sie die Eingabetaste, um den Vorgang zu beenden."); // Warten auf einen Tastendruck; Mit der // Console.ReadKey()-Methode können Sie die Erwartung für eine bestimmte // Zeile festlegen (z. B. quit) oder durch Drücken einer beliebigen Taste Console.ReadLine(); PolicyServer.Stop(); Console.WriteLine("Richtlinienserver beenden."); PolicyConnection-Klasse Die PolicyConnection-Klasse erledigt eine einfachere Aufgabe. Das PolicyConnection-Objekt speichert einen Verweis auf die Richtliniendateidaten. Anschließend ruft das PolicyConnection-Objekt nach dem Aufruf der HandleRequest()-Methode eine neue Verbindung aus dem Netzwerk-Stream ab und versucht, diese zu lesen. Das Client-Gerät muss eine Zeichenfolge mit dem Text übergeben. Nach dem Lesen dieses Textes schreibt das Client-Gerät die Richtliniendaten in den Stream und schließt die Verbindung. Unten finden Sie den Code für die PolicyConnection-Klasse. öffentliche Klasse PolicyConnection( privater TcpClient-Client; private Byte-Richtlinie; public PolicyConnection(TcpClient-Client, Byte-Richtlinie) ( this.client = client; this.policy = Richtlinie; // Erstellen Sie eine private statische Zeichenfolge für eine Clientanforderung PolicyRequestString = " public void HandleRequest() ( Stream s = client.GetStream(); // Lesen Sie die Richtlinienabfragezeichenfolge Bytepuffer = neues Byte; // Nur 5 Sekunden warten client.ReceiveTimeout = 5000;’ s.Read(buffer, 0, buffer.Length); // Übergabe der Richtlinie (Sie können auch prüfen, ob die Richtlinienanforderung // den erforderlichen Inhalt hat) s.Write(policy, 0, Policy.Length); //Verbindung schließen client.Close(); Console.WriteLine("Richtliniendatei bereitgestellt."); Wir haben also einen voll funktionsfähigen Richtlinienserver. Leider kann es noch nicht getestet werden, da das Silverlight-Add-on das explizite Anfordern von Richtliniendateien nicht zulässt. Stattdessen werden sie automatisch angefordert, wenn Sie versuchen, eine Socket-Anwendung zu verwenden. Bevor Sie eine Clientanwendung für eine bestimmte Socketanwendung erstellen können, müssen Sie einen Server erstellen. Fortsetzung des Themas: Neue Artikel / |
Beliebt:
Neu
- „Skyrim“: The Elder Scroll
- Öffnen Sie das linke Menü Cayo Coco
- Warum brauchen wir Funkkommunikation und Radiosender?
- Kendall- und Spearman-Rangkorrelationskoeffizienten Beispiel für einen Kendall-Rangkorrelationskoeffizienten
- Programmierfunktionen
- Kinderportfolio – kostenlose Vorlagen herunterladen
- Arten von Computerviren und warum sie gefährlich sind
- Samsung Galaxy A3 auf Werkseinstellungen zurückgesetzt
- BIOS: Von der Festplatte booten
- So booten Sie von einer „Installations“-DVD oder einem Flash-Laufwerk – BIOS-Setup in Bildern