Geben Sie eine detaillierte Beschreibung der Serverrichtlinie bezüglich an. Arbeiten mit Administrations- und Routinggruppen

Abschnitte der Website

Die Wahl des Herausgebers:

Windows Server 2008 und Windows Server 2008 R2 sind fortschrittliche Windows Server-Betriebssysteme, die eine neue Generation von Netzwerken, Anwendungen und Webdiensten ermöglichen sollen. Mit diesen Betriebssysteme Sie können flexible und umfassende Erlebnisse für Benutzer und Anwendungen entwerfen, bereitstellen und verwalten, hochsichere Netzwerkinfrastrukturen erstellen und die technologische Effizienz und Organisation in Ihrem Unternehmen steigern.

Netzwerkrichtlinienserver

Mit Network Policy Server können Sie organisationsweite Netzwerkzugriffsrichtlinien erstellen und durchsetzen, um die Clientgesundheit sowie die Authentifizierung und Autorisierung von Verbindungsanfragen sicherzustellen. Darüber hinaus kann NPS als RADIUS-Proxy verwendet werden, um Verbindungsanfragen an NPS oder andere RADIUS-Server weiterzuleiten, die in Remote-RADIUS-Servergruppen konfiguriert sind.

Mit Network Policy Server können Sie Client-Authentifizierung, Autorisierung und Integritätsrichtlinien bei der Gewährung von Netzwerkzugriff zentral konfigurieren und verwalten, indem Sie die folgenden drei Funktionen nutzen:

Radius-Server. Der Network Policy Server verwaltet zentral die Authentifizierung, Autorisierung und Abrechnung für drahtlose Verbindungen, authentifizierte Switch-Verbindungen, DFÜ-Verbindungen und VPN-Verbindungen (Virtual Private Network). Bei der Verwendung von NPS als RADIUS-Server werden Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte und VPN-Server, als RADIUS-Clients auf NPS konfiguriert. Darüber hinaus konfigurieren Sie die Netzwerkrichtlinien, die NPS zum Autorisieren von Verbindungsanfragen verwendet. Darüber hinaus können Sie die RADIUS-Kontoführung so konfigurieren, dass der NPS Daten in Protokolldateien protokolliert, die auf Ihrer lokalen Festplatte oder in einer Microsoft-Datenbank gespeichert sind SQL Server.

RADIUS-Proxy. Wenn NPS als RADIUS-Proxy verwendet wird, müssen Sie Vekonfigurieren, die bestimmen, welche Verbindungsanforderungen NPS an andere RADIUS-Server weiterleitet und an welche spezifischen RADIUS-Server diese Anforderungen weitergeleitet werden. Sie können den Netzwerkrichtlinienserver auch so konfigurieren, dass Anmeldeinformationen umgeleitet werden, um sie auf einem oder mehreren Computern in einer Gruppe von Remote-RADIUS-Servern zu speichern.

NAP-Richtlinienserver (Network Access Protection). Wenn NPS als NAP-Richtlinienserver konfiguriert ist, wertet NPS die Integritätszustände aus, die von NAP-fähigen Clientcomputern gesendet werden, die versuchen, eine Verbindung zum Netzwerk herzustellen. Der Netzwerkrichtlinienserver, der mit Netzwerkzugriffsschutz konfiguriert ist, fungiert als RADIUS-Server zur Authentifizierung und Autorisierung von Verbindungsanfragen. Auf dem Netzwerkrichtlinienserver können Sie Nund -einstellungen konfigurieren, einschließlich Systemzustandsprüfern, Zustandsrichtlinien und Aktualisierungsservergruppen, die sicherstellen, dass die Konfiguration von Clientcomputern gemäß der Netzwerkrichtlinie Ihrer Organisation aktualisiert wird.

Der Netzwerkrichtlinienserver kann mit einer beliebigen Kombination der oben genannten Optionen konfiguriert werden. Beispielsweise kann ein Netzwerkrichtlinienserver mit einer oder mehreren Durchsetzungsmethoden als Netzwerkzugriffsschutz-Richtlinienserver fungieren und gleichzeitig als RADIUS-Server für Fernzugriffsverbindungen und als RADIUS-Proxy für die Weiterleitung einiger Verbindungsanforderungen an eine Gruppe von Remote-RADIUS dienen Servern. Dadurch können Sie die Authentifizierung und Autorisierung auf einer anderen Domäne durchführen.

RADIUS-Server und RADIUS-Proxy

Der Netzwerkrichtlinienserver kann als RADIUS-Server, RADIUS-Proxy oder beides gleichzeitig verwendet werden.

Radius-Server

Microsoft Network Policy Server wird gemäß dem RADIUS-Standard implementiert, wie in IETF RFC 2865 und RFC 2866 beschrieben. Als RADIUS-Server führt Network Policy Server zentral die Authentifizierung, Autorisierung und Abrechnung von Verbindungen für verschiedene Arten von Netzwerkzugriff, einschließlich WLAN, durch Zugriff, Vermittlung authentifizierter, Remote- und VPN-Zugriffe sowie Verbindungen zwischen Routern.

Der Netzwerkrichtlinienserver ermöglicht eine Vielzahl von WLAN-, Einwahl-, VPN- und Switching-Geräten. Der Netzwerkrichtlinienserver kann mit dem Routing- und RAS-Dienst verwendet werden, der in Betriebssystemen verfügbar ist. Microsoft-Systeme Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition und Windows Server 2003, Datacenter Edition.

Wenn der Computer, auf dem der Netzwerkrichtlinienserver ausgeführt wird, Mitglied ist Domäne Aktiv Directory® Network Policy Server nutzt diesen Verzeichnisdienst als Benutzerkontodatenbank und ist Teil einer Single-Sign-On-Lösung. Dieselben Anmeldeinformationen werden zur Steuerung des Netzwerkzugriffs (Authentifizierung und Autorisierung des Netzwerkzugriffs) und zur Anmeldung bei der Active Directory-Domäne verwendet.

Internetdienstanbieter und Organisationen, die Netzwerkzugang bereitstellen, stehen vor größeren Herausforderungen bei der Verwaltung aller Arten von Netzwerken von einem einzigen Verwaltungspunkt aus, unabhängig von der verwendeten Netzwerkzugangsausrüstung. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch heterogenen Umgebungen. Das RADIUS-Protokoll ist ein Client-Server-Protokoll, das es Netzwerkzugriffsgeräten (die als RADIUS-Clients fungieren) ermöglicht, Authentifizierungs- und Abrechnungsanfragen an einen RADIUS-Server zu stellen.

Der RADIUS-Server hat Zugriff auf die Kontoinformationen des Benutzers und kann die Anmeldeinformationen während der Authentifizierung validieren, um Netzwerkzugriff zu gewähren. Wenn die Anmeldeinformationen des Benutzers gültig sind und der Verbindungsversuch autorisiert ist, autorisiert der RADIUS-Server den Zugriff des Benutzers basierend auf den angegebenen Bedingungen und protokolliert die Verbindungsinformationen im Protokoll. Mithilfe des RADIUS-Protokolls können Sie Authentifizierungs-, Autorisierungs- und Abrechnungsinformationen an einem einzigen Ort sammeln und verwalten, anstatt diesen Vorgang auf jedem Zugriffsserver durchführen zu müssen.

RADIUS-Proxy

Als RADIUS-Proxy leitet NPS Authentifizierungs- und Abrechnungsnachrichten an andere RADIUS-Server weiter.

Mit Network Policy Server können Unternehmen ihre Fernzugriffsinfrastruktur an einen Dienstanbieter auslagern und gleichzeitig die Kontrolle über Benutzerauthentifizierung, Autorisierung und Buchhaltung behalten.

Netzwerkrichtlinienserver-Konfigurationen können für die folgenden Szenarien erstellt werden:

Kabelloser Zugang

Fernzugriff oder virtuell verbinden privates Netzwerk In der Organisation.

Fernzugriff oder drahtloser Zugang, der von einer externen Organisation bereitgestellt wird

Internet Zugang

Authentifizierter Zugriff auf Ressourcen externes Netzwerk für Geschäftspartner

Beispiele für RADIUS-Server- und RADIUS-Proxy-Konfigurationen

Die folgenden Konfigurationsbeispiele veranschaulichen, wie NPS als RADIUS-Server und RADIUS-Proxy konfiguriert wird.

NPS als RADIUS-Server. In diesem Beispiel ist der NPS-Server als RADIUS-Server konfiguriert, die einzige konfigurierte Richtlinie ist die Standard-Vund alle Verbindungsanforderungen werden vom lokalen NPS-Server verarbeitet. Der Netzwerkrichtlinienserver kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des Servers oder in vertrauenswürdigen Domänen befinden.

NPS als RADIUS-Proxy. In diesem Beispiel ist NPS als RADIUS-Proxy konfiguriert, der Verbindungsanfragen an Gruppen von Remote-RADIUS-Servern in zwei verschiedenen nicht vertrauenswürdigen Domänen weiterleitet. Die standardmäßige Vwird entfernt und durch zwei neue Veersetzt, die Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen weiterleiten. In diesem Beispiel verarbeitet NPS keine Verbindungsanfragen auf dem lokalen Server.

NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy. Zusätzlich zur standardmäßigen Verbindungsanforderungsrichtlinie, die Anforderungen lokal verarbeitet, wird eine neue Verstellt, die sie an NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weiterleitet. Die zweite Richtlinie heißt Proxy. IN in diesem Beispiel Die Proxy-Richtlinie erscheint zuerst in der geordneten Liste der Richtlinien. Wenn eine Verbindungsanforderung mit der Proxy-Richtlinie übereinstimmt, wird die Verbindungsanforderung an einen RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet. Wenn eine Verbindungsanforderung nicht mit der Proxy-Richtlinie übereinstimmt, aber mit der Standard-Vübereinstimmt, verarbeitet NPS die Verbindungsanforderung für lokaler Server. Wenn eine Verbindungsanfrage keine dieser Richtlinien erfüllt, wird sie abgelehnt.

NPS als RADIUS-Server mit Remote-Accounting-Servern. In diesem Beispiel ist der lokale NPS nicht für die Kontoführung konfiguriert und die standardmäßige Vwird so geändert, dass RADIUS-Kontoführungsnachrichten an den NPS oder einen anderen RADIUS-Server in der Gruppe der Remote-RADIUS-Server weitergeleitet werden. Obwohl Abrechnungsnachrichten weitergeleitet werden, werden Authentifizierungs- und Autorisierungsnachrichten nicht weitergeleitet und zugehörige Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen werden vom lokalen NPS-Server ausgeführt.

NPS mit Remote-RADIUS-zu-Windows-Benutzerzuordnung. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung, leitet die Authentifizierungsanfrage an einen Remote-RADIUS-Server weiter und führt gleichzeitig die Autorisierung mit dem lokalen Windows-Benutzerkonto durch. Diese Konfiguration wird implementiert, indem das Attribut „Remote-RADIUS-Serverzuordnung zu Windows-Benutzer“ als Bedingung der Vfestgelegt wird. (Darüber hinaus müssen Sie auf dem RADIUS-Server ein lokales Benutzerkonto mit demselben Namen wie das Remote-Konto erstellen, das vom Remote-RADIUS-Server authentifiziert wird.)

Richtlinienserver für den Netzwerkzugriffsschutz

Der Netzwerkzugriffsschutz ist in Windows Vista®, Windows® 7, Windows Server® 2008 und Windows Server® 2008 R2 enthalten. Es hilft, den Zugriff auf private Netzwerke zu sichern, indem sichergestellt wird, dass Client-Computer die im Netzwerk der Organisation geltenden Gesundheitsrichtlinien einhalten, wenn diesen Clients der Zugriff auf Netzwerkressourcen gestattet wird. Darüber hinaus wird die Einhaltung der vom Administrator definierten Integritätsrichtlinie durch den Client-Computer durch den Netzwerkzugriffsschutz überwacht, während der Client-Computer mit dem Netzwerk verbunden ist. Mit der automatischen Aktualisierungsfunktion des Netzwerkzugriffsschutzes können nicht konforme Computer automatisch auf die Gesundheitsrichtlinie aktualisiert werden, sodass ihnen später Netzwerkzugriff gewährt werden kann.

Systemadministratoren definieren Netzwerkgesundheitsrichtlinien und erstellen diese Richtlinien mithilfe von Network Access Protection-Komponenten, die vom Network Policy Server verfügbar sind oder von anderen Unternehmen bereitgestellt werden (abhängig von der Network Access Protection-Implementierung).

Integritätsrichtlinien können Merkmale wie Softwareanforderungen, Sicherheitsupdateanforderungen und Konfaufweisen. Der Netzwerkzugriffsschutz erzwingt Integritätsrichtlinien, um den Zustand von Client-Computern zu überprüfen und auszuwerten, wodurch Einschränkungen erzielt werden Netzwerkzugang für Computer, die diese Anforderungen nicht erfüllen, und die Korrektur dieser Diskrepanz, um einen uneingeschränkten Zugriff auf das Netzwerk zu ermöglichen.

GPResult-Dienstprogramm.exe– ist eine Konsolenanwendung zur Analyse von Einstellungen und zur Diagnose von Gruppenrichtlinien, die für einen Computer und/oder Benutzer in einer Active Directory-Domäne gelten. Mit GPResult können Sie insbesondere Daten aus dem resultierenden Richtliniensatz (Resultant Set of Policy, RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), deren Einstellungen usw. abrufen genaue Informationüber Fehler in deren Verarbeitung. Das Dienstprogramm ist seit Windows XP Teil des Windows-Betriebssystems. Mit dem GPResult-Dienstprogramm können Sie die folgenden Fragen beantworten: ob eine bestimmte Richtlinie für den Computer gilt, welches GPO diese oder jene Windows-Einstellung geändert hat und die Gründe verstehen.

In diesem Artikel betrachten wir die Funktionen der Verwendung des GPResult-Befehls zum Diagnostizieren und Debuggen der Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne.

Ursprünglich wurde es zur Diagnose der Anwendung von Gruppenrichtlinien in Windows verwendet grafische Konsole RSOP.msc, das es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in einer grafischen Form ähnlich der GPO-Editor-Konsole abzurufen (unten im Beispiel der RSOP.msc-Konsole). Ansicht können Sie sehen, dass die Update-Einstellungen festgelegt sind).

Allerdings ist es nicht ratsam, die RSOP.msc-Konsole in modernen Windows-Versionen zu verwenden, weil Es spiegelt nicht die Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSEs) wie GPP (Gruppenrichtlinieneinstellungen) angewendet werden, ermöglicht keine Suche und bietet nur wenige Diagnoseinformationen. Daher ist der Befehl GPResult derzeit das Haupttool zur Diagnose der Verwendung von GPO in Windows (in Windows 10 erscheint sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht liefert).

Verwenden des Dienstprogramms GPResult.exe

Der Befehl GPResult wird auf dem Computer ausgeführt, auf dem Sie die Anwendung von Gruppenrichtlinien überprüfen möchten. Der GPResult-Befehl hat die folgende Syntax:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) gelten, und zu anderen Einstellungen im Zusammenhang mit der GPO-Infrastruktur (d. h. den resultierenden GPO-Richtlinieneinstellungen – RsoP), führen Sie den folgenden Befehl aus:

Die Ergebnisse des Befehls sind in zwei Abschnitte unterteilt:

COMPUTER EINSTELLUNGEN (Computerkonfiguration) – der Abschnitt enthält Informationen über GPO-Objekte, die auf dem Computer wirken (als Active Directory-Objekt);
BENUTZER EINSTELLUNGEN – Abschnitt „Benutzerrichtlinien“ (Richtlinien, die für ein Benutzerkonto in AD gelten).

Lassen Sie uns kurz die wichtigsten Parameter/Abschnitte durchgehen, die uns an der GPResult-Ausgabe interessieren könnten:

WebsiteName(Site-Name:) – Name der AD-Site, in der sich der Computer befindet;
CN– vollständiger kanonischer Benutzer/Computer, für den die RSoP-Daten generiert wurden;
ZuletztZeitGruppePolitikWarangewandt(Zuletzt angewendete Gruppenrichtlinie) – Zeitpunkt, zu dem Gruppenrichtlinien zuletzt angewendet wurden;
GruppePolitikWarangewandtaus(Gruppenrichtlinie wurde angewendet von) – der Domänencontroller, von dem sie geladen wurde letzte Version Gruppenrichtlinienobjekt;
DomainNameund DomäneTyp(Domänenname, Domänentyp) – Name und Version des Active Directory-Domänenschemas;
AngewandtGruppePolitikObjekte(Angewandte Gruppenrichtlinienobjekte)– Listen aktiver Gruppenrichtlinienobjekte;
DerfolgendeGruppenrichtlinienobjektewarnichtangewandtWeilSiewargefiltertaus(Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie gefiltert wurden) – nicht angewendete (gefilterte) GPOs;
DerBenutzer/ComputerIstATeilvonDiefolgendeSicherheitGruppen(Der Benutzer/Computer ist Mitglied der folgenden Sicherheitsgruppen) – Domänengruppen, in denen der Benutzer Mitglied ist.

In unserem Beispiel sehen Sie, dass das Benutzerobjekt 4 Gruppenrichtlinien unterliegt.

Standarddomänenrichtlinie;
Aktivieren Sie die Windows-Firewall;
DNS-Suffix-Suchliste;

Wenn Sie nicht möchten, dass Informationen zu Benutzer- und Computerrichtlinien gleichzeitig in der Konsole angezeigt werden, können Sie mit der Option /scope nur den Abschnitt anzeigen, der Sie interessiert. Nur resultierende Benutzerrichtlinien:

gpresult /r /scope:user

oder nur angewendete Computerrichtlinien:

gpresult /r /scope:computer

Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer praktisch ist; seine Ausgabe kann in die Zwischenablage umgeleitet werden:

Gpresult /r |clip

oder Textdatei:

Gpresult /r > c:\gpresult.txt

Um äußerst detaillierte RSOP-Informationen anzuzeigen, müssen Sie den Schalter /z hinzufügen.

HTML-RSOP-Bericht mit GPResult

Darüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht über die resultierenden angewendeten Richtlinien erstellen (verfügbar unter Windows 7 und höher). Dieser Bericht enthält genaue Information Informationen zu allen Systemparametern, die durch Gruppenrichtlinien festgelegt werden, und zu den Namen bestimmter Gruppenrichtlinienobjekte, die sie festlegen (der resultierende Strukturbericht ähnelt der Registerkarte „Einstellungen“ in der Verwaltungskonsole für Domänengruppenrichtlinien (GPMC). Sie können einen HTML-GPResult-Bericht mit dem folgenden Befehl generieren:

GPResult /h c:\gp-report\report.html /f

Um einen Bericht zu generieren und ihn automatisch in einem Browser zu öffnen, führen Sie den folgenden Befehl aus:

GPResult /h GPResult.html & GPResult.html

Der gpresult-HTML-Bericht enthält ziemlich viel nützliche Informationen: Fehler in der GPO-Anwendung, der Verarbeitungszeit (in ms) und der Anwendung bestimmter Richtlinien und CSE sind sichtbar (im Abschnitt Computerdetails -> Komponentenstatus). Im Screenshot oben können Sie beispielsweise sehen, dass die Richtlinie mit den Einstellungen zum Speichern von 24 Passwörtern von der Standarddomänenrichtlinie angewendet wird (Spalte „Winning GPO“). Wie Sie sehen, ist dieser HTML-Bericht für die Analyse angewendeter Richtlinien viel praktischer als die rsop.msc-Konsole.

Empfangen von GPResult-Daten von einem Remote-Computer

GPResult kann auch Daten von einem Remote-Computer sammeln, sodass sich der Administrator nicht mehr lokal oder per RDP beim Remote-Computer anmelden muss. Das Befehlsformat zum Sammeln von RSOP-Daten von einem Remotecomputer lautet wie folgt:

GPResult /s server-ts1 /r

Ebenso können Sie Daten sowohl von Benutzerrichtlinien als auch von Computerrichtlinien aus der Ferne erfassen.

Der Benutzername des Benutzers enthält keine RSOP-Daten

Wenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Berechtigungen nur die Einstellungen des Abschnitts „Benutzergruppenrichtlinie“ angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen müssen, muss der Befehl ausgeführt werden. Wenn die Befehlszeile auf ein anderes System als den aktuellen Benutzer erhöht wird, gibt das Dienstprogramm eine Warnung aus DIE INFO:DerBenutzer"Domain\Benutzer"tutnichthabenRSOPDaten ( Der Benutzer „Domäne\Benutzer“ verfügt nicht über RSOP-Daten. Dies geschieht, weil GPResult versucht, Informationen für den Benutzer zu sammeln, der es gestartet hat, aber weil ... dieser Benutzer hat sich nicht am System angemeldet, es gibt keine RSOP-Informationen dafür. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben:

gpresult /r /user:tn\edward

Wenn Sie den Namen des Kontos, bei dem Sie angemeldet sind, nicht kennen entfernter Computer, können Sie ein Konto wie folgt erstellen:

qwinsta /SERVER:remotePC1

Überprüfen Sie auch die Uhrzeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen.

Die folgenden GPO-Richtlinien wurden nicht angewendet, da sie herausgefiltert wurden

Bei der Fehlerbehebung bei Gruppenrichtlinien sollten Sie auch den Abschnitt beachten: Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden. In diesem Abschnitt wird eine Liste von Gruppenrichtlinienobjekten angezeigt, die aus dem einen oder anderen Grund nicht für dieses Objekt gelten. Möglichkeiten für die die Richtlinie möglicherweise nicht gilt:

Sie können auch auf der Registerkarte „Effektive Berechtigungen“ (Erweitert -> Effektiver Zugriff) nachvollziehen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll.

In diesem Artikel haben wir uns daher mit den Funktionen zur Diagnose der Anwendung von Gruppenrichtlinien mithilfe des Dienstprogramms GPResult befasst und uns typische Szenarien für dessen Verwendung angesehen.

Bei der Installation von Windows werden die meisten kleineren Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, Systemadministratoren kann sich darauf konzentrieren, ein System zu entwerfen, das ausschließlich die ihm zugewiesenen Funktionen ausführt und nicht mehr. Um Ihnen bei der Aktivierung der benötigten Funktionen zu helfen, fordert Windows Sie auf, eine Serverrolle auszuwählen.

Rollen

Eine Serverrolle ist eine Reihe von Programmen, die es einem Computer bei ordnungsgemäßer Installation und Konfiguration ermöglichen, eine bestimmte Funktion für mehrere Benutzer oder andere Computer in einem Netzwerk auszuführen. Generell weisen alle Rollen die folgenden Merkmale auf.

Sie definieren die Hauptfunktion, den Zweck oder Zweck der Nutzung eines Computers. Sie können einem Computer eine einzelne Rolle zuweisen, die in Ihrem Unternehmen häufig genutzt wird, oder mehrere Rollen übernehmen, wenn jede nur gelegentlich verwendet wird.
Rollen gewähren Benutzern in Ihrer gesamten Organisation Zugriff auf Ressourcen, die von anderen Computern verwaltet werden, z. B. Websites, Drucker oder auf anderen Computern gespeicherte Dateien.
Sie verfügen in der Regel über eigene Datenbanken, in denen Benutzer- oder Computeranfragen in eine Warteschlange gestellt oder Informationen über Netzwerkbenutzer und Computer aufgezeichnet werden, die für die Rolle relevant sind. Beispielsweise enthalten die Active Directory-Domänendienste eine Datenbank zum Speichern der Namen und hierarchischen Beziehungen aller Computer in einem Netzwerk.
Nach korrekte Installation und Rolleneinstellungen funktionieren automatisch. Dadurch können die Computer, auf denen sie installiert sind, zugewiesene Aufgaben mit eingeschränkter Benutzerinteraktion ausführen.

Rollendienste

Rollendienste sind Programme, die Folgendes bereitstellen Funktionalität Rollen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen bereitstellt. Einige Rollen, wie z. B. DNS-Server, erfüllen nur eine Funktion, daher gibt es für sie keine Rollendienste. Andere Rollen, wie etwa Remotedesktopdienste, verfügen über mehrere Dienste, die je nach den Fernzugriffsanforderungen Ihres Unternehmens installiert werden können. Eine Rolle kann als eine Sammlung eng miteinander verbundener, sich ergänzender Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Komponenten

Komponenten sind Programme, die nicht direkt Teil von Rollen sind, sondern die Funktionalität einer oder mehrerer Rollen oder eines gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert die Failover-Cluster-Funktion die Funktionalität anderer Rollen wie Dateidienste und DHCP-Server, indem sie ihnen den Beitritt zu Serverclustern ermöglicht und so für mehr Redundanz und Leistung sorgt. Eine weitere Komponente – „Telnet Client“ – ermöglicht die Fernkommunikation mit dem Telnet-Server über Netzwerkverbindung. Diese Funktion verbessert die Kommunikationsfähigkeiten des Servers.

Wenn Windows Server im Basismodus ausgeführt wird Serverkomponenten werden folgende Serverrollen unterstützt:

Active Directory-Zertifikatdienste;
Active Directory-Domänendienste;
DHCP-Server;
DNS Server;
Dateidienste (einschließlich Ressourcenmanager). Dateiserver);
Active Directory Lightweight Directory Services;
Hyper-V;
Druck- und Dokumentendienste;
Streaming-Mediendienste;
Webserver (einschließlich einer Teilmenge von ASP.NET);
Server Windows-Updates Server;
Active Directory-Rechteverwaltungsserver;
Routing- und RAS-Server und die folgenden untergeordneten Rollen:
- Verbindungsbroker für Remotedesktopdienste;
- Lizenzierung;
- Virtualisierung.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverkomponenten unterstützt:

Microsoft. NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
Intelligenter Hintergrundübertragungsdienst (BITS);
BitLocker-Festplattenverschlüsselung;
BitLocker-Netzwerk-Entsperrung;
BranchCache
Rechenzentrumsbrücke;
Erweiterter Speicher;
Failover-Clustering;
Multipath-I/O;
Netzwerklastausgleich;
PNRP-Protokoll;
qWave;
Remote-Differenzialkomprimierung;
einfache TCP/IP-Dienste;
RPC über HTTP-Proxy;
SMTP-Server;
SNMP-Dienst;
Telnet-Client;
Telnet-Server;
TFTP-Client;
Windows-interne Datenbank;
Windows PowerShell-Webzugriff;
Windows-Aktivierungsdienst;
standardisierte Windows-Speicherverwaltung;
IIS WinRM-Erweiterung;
WINS-Server;
WoW64-Unterstützung.

Installieren von Serverrollen mit dem Server-Manager

Öffnen Sie zum Hinzufügen den Server-Manager und klicken Sie im Menü „Verwalten“ auf „Rollen und Funktionen hinzufügen“:

Der Assistent zum Hinzufügen von Rollen und Funktionen wird geöffnet. Weiter klicken

Wählen Sie unter Installationstyp Rollenbasierte oder funktionsbasierte Installation aus. Nächste:

Serverauswahl – Wählen Sie unseren Server aus. Klicken Sie auf „Nächste Serverrollen – Rollen auswählen“, wählen Sie ggf. Rollendienste aus und klicken Sie auf „Weiter“, um Komponenten auszuwählen. Während dieses Vorgangs informiert Sie der Assistent zum Hinzufügen von Rollen und Funktionen automatisch, wenn auf dem Zielserver Konflikte vorliegen, die möglicherweise die Installation oder ordnungsgemäße Funktion der ausgewählten Rollen oder Funktionen verhindern. Sie werden außerdem aufgefordert, die Rollen, Rollendienste und Features hinzuzufügen, die für die ausgewählten Rollen oder Features erforderlich sind.

Rollen mit PowerShell installieren

Öffnen Sie Windows PowerShell. Geben Sie den Befehl „Get-WindowsFeature“ ein, um eine Liste der verfügbaren und installierten Rollen und Features auf dem lokalen Server anzuzeigen. Die Ergebnisse dieses Cmdlets enthalten die Befehlsnamen für die Rollen und Features, die installiert sind und für die Installation verfügbar sind.

Geben Sie Get-Help Install-WindowsFeature ein, um die Syntax und gültige Parameter für das Cmdlet Install-WindowsFeature (MAN) anzuzeigen.

Geben Sie den folgenden Befehl ein (-Restart startet den Server neu, wenn bei der Installation der Rolle ein Neustart erforderlich ist).

Install-WindowsFeature –Name -Neu starten

Beschreibung von Rollen und Rollendiensten

Im Folgenden werden alle Rollen und Rollendienste beschrieben. Schauen wir uns die erweiterte Konfiguration für die in unserer Praxis am häufigsten vorkommenden an: Webserverrolle und Remotedesktopdienste

Detaillierte Beschreibung von IIS

Allgemeine HTTP-Funktionen – Grundlegende HTTP-Komponenten
- Standarddokument – ermöglicht Ihnen das Festlegen einer Indexseite für die Site.
- Durchsuchen von Verzeichnissen – Ermöglicht Benutzern, den Inhalt eines Verzeichnisses auf einem Webserver anzuzeigen. Verwenden Sie die Verzeichnissuche, um automatisch eine Liste aller in einem Verzeichnis vorhandenen Verzeichnisse und Dateien zu erstellen, wenn Benutzer keine Datei in der URL angeben und die Indexseite deaktiviert oder nicht konfiguriert ist
- HTTP-Fehler – ermöglicht Ihnen die Konfiguration von Fehlermeldungen, die an Clients im Browser zurückgegeben werden.
- Statischer Inhalt – ermöglicht Ihnen das Posten statischer Inhalte, zum Beispiel Bilder oder HTML-Dateien.
- HTTP-Umleitung – bietet Unterstützung für die Umleitung von Benutzeranfragen.
- Mit WebDAV Publishing können Sie Dateien von einem Webserver mithilfe des HTTP-Protokolls veröffentlichen.
Gesundheits- und Diagnosefunktionen – Diagnosekomponenten
- HTTP-Protokollierung ermöglicht die Protokollierung der Website-Aktivität für einen bestimmten Server.
- Die benutzerdefinierte Protokollierung bietet Unterstützung für die Erstellung benutzerdefinierter Protokolle, die sich von „herkömmlichen“ Protokollen unterscheiden.
- Logging Tools bietet eine Infrastruktur zur Verwaltung von Webserverprotokollen und zur Automatisierung allgemeiner Protokollierungsaufgaben.
- ODBC Logging bietet eine Infrastruktur, die die Protokollierung von Webserveraktivitäten in einer ODBC-kompatiblen Datenbank unterstützt.
- Request Monitor bietet eine Infrastruktur zur Überwachung des Zustands von Webanwendungen durch das Sammeln von Informationen über HTTP-Anfragen im IIS-Workerprozess.
- Die Ablaufverfolgung bietet einen Rahmen für die Diagnose und Fehlerbehebung von Webanwendungen. Mithilfe der Nachverfolgung fehlgeschlagener Anfragen können Sie schwer zu erfassende Ereignisse wie schlechte Leistung oder Authentifizierungsfehler verfolgen.
Leistungskomponenten erhöhen die Leistung des Webservers.
- Die Komprimierung statischer Inhalte stellt die Infrastruktur zum Einrichten der HTTP-Komprimierung statischer Inhalte bereit
- Die dynamische Inhaltskomprimierung stellt die Infrastruktur zum Einrichten der HTTP-Komprimierung dynamischer Inhalte bereit.
Sicherheitskomponenten
- Mit der Anforderungsfilterung können Sie alle eingehenden Anforderungen aufzeichnen und sie basierend auf vom Administrator festgelegten Regeln filtern.
- Mit der Standardauthentifizierung können Sie eine zusätzliche Autorisierung festlegen
- Die zentralisierte SSL-Zertifikatsunterstützung ist eine Funktion, die es Ihnen ermöglicht, Zertifikate an einem zentralen Ort, z. B. einer Dateifreigabe, zu speichern.
- Die Client-Zertiverwendet Client-Zertifikate zur Authentifizierung von Benutzern.
- Bei der Digest-Authentifizierung wird ein Kennwort-Hash an einen Windows-Domänencontroller gesendet, um Benutzer zu authentifizieren. Wenn Sie ein höheres Maß an Sicherheit als die normale Authentifizierung benötigen, sollten Sie die Verwendung der Digest-Authentifizierung in Betracht ziehen
- Die IIS-Clientzertiverwendet Clientzertifikate zur Authentifizierung von Benutzern. Ein Client-Zertifikat ist eine digitale ID, die von einer vertrauenswürdigen Quelle stammt.
- Mit IP- und Domänenbeschränkungen können Sie den Zugriff basierend auf der angeforderten IP-Adresse oder dem angeforderten Domänennamen zulassen/verweigern.
- Mit der URL-Autorisierung können Sie Regeln erstellen, die den Zugriff auf Webinhalte einschränken.
- Windows-Authentifizierung Mit diesem Authentifizierungsschema können Windows-Domänenadministratoren die Domäneninfrastruktur zur Authentifizierung von Benutzern nutzen.
Anwendungsentwicklung bietet Anwendungsentwicklungskomponenten
FTP-Server
- FTP-Dienst Ermöglicht die FTP-Veröffentlichung auf dem Webserver.
- FTP-Erweiterbarkeit Beinhaltet Unterstützung für FTP-Funktionen, die die Fähigkeiten von erweitern
Management-Tools
- Die IIS-Verwaltungskonsole installiert den IIS-Manager, der Ihnen die Verwaltung des Webservers über eine grafische Oberfläche ermöglicht
- IIS 6.0 Management Compatibility bietet Vorwärtskompatibilität für Anwendungen und Skripts, die die APIs Admin Base Object (ABO) und Active Directory Directory Service Interface (ADSI) verwenden. Dadurch können vorhandene IIS 6.0-Skripte von einem IIS 8.0-Webserver verwendet werden
- IIS-Verwaltungsskripts und -Tools stellen die Infrastruktur für die programmgesteuerte Verwaltung des IIS-Webservers mithilfe von Befehlen in einem Eingabeaufforderungsfenster oder durch die Ausführung von Skripts bereit.
- Der Verwaltungsdienst stellt die Infrastruktur zum Konfigurieren der IIS-Manager-Benutzeroberfläche bereit.

Detaillierte Beschreibung von RDS

Remotedesktop-Verbindungsbroker – Ermöglicht die erneute Verbindung des Clientgeräts mit Programmen basierend auf Desktop-Computersitzungen und virtuellen Desktops.
Remote Desktop Gateway – Ermöglicht autorisierten Benutzern die Verbindung zu virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops in Firmennetzwerk oder über das Internet.
Remotedesktoplizenzierung – RDP-Lizenzverwaltungstool
Remotedesktop-Sitzungshost – Ermöglicht einem Server das Hosten von RemoteApp-Programmen oder einer Desktop-basierten Sitzung.
Remotedesktop-Virtualisierungshost – ermöglicht Ihnen die Konfiguration von RDP auf virtuellen Maschinen
Remote Desktop WebAccess – Ermöglicht Benutzern die Verbindung mit Desktop-Ressourcen über das Startmenü oder einen Webbrowser.

Schauen wir uns die Installation und Konfiguration eines Terminallizenzservers an. Oben wird beschrieben, wie Rollen installiert werden. Die Installation von RDS unterscheidet sich nicht von der Installation anderer Rollen. In den Rollendiensten müssen wir „Remotedesktoplizenzierung“ und „Remotedesktopsitzungshost“ auswählen. Nach der Installation erscheint das Element „Terminaldienste“ in den Server Manager-Tools. Terminal Services verfügt über zwei Elemente: RD Licensing Diagnoser, ein Diagnosetool für die Remote-Desktop-Lizenzierung, und Remote Desktop Licensing Manager, ein Lizenzverwaltungstool.

Starten wir den RD Licensing Diagnoser

Hier sehen wir, dass noch keine Lizenzen verfügbar sind, da der Lizenzierungsmodus für den Remotedesktop-Sitzungshostserver nicht eingestellt ist. Der Lizenzserver wird in lokalen Gruppenrichtlinien angegeben. Um den Editor zu starten, führen Sie den Befehl gpedit.msc aus. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Öffnen wir in der Baumstruktur links die Registerkarten:

Computerkonfiguration
Administrative Vorlagen
Windows-Komponenten
„Remotedesktopdienste“
„Remotedesktop-Sitzungshost“
„Lizenzierung“

Öffnen Sie die Parameter Verwenden Sie die angegebenen Remotedesktop-Lizenzserver

Aktivieren Sie im Bearbeitungsfenster der Richtlinieneinstellungen den Lizenzserver (Aktiviert). Als Nächstes müssen Sie den Lizenzserver für Remotedesktopdienste bestimmen. In meinem Beispiel befindet sich der Lizenzserver auf demselben physischen Server. Wir weisen darauf hin Netzwerkname Geben Sie die IP-Adresse des Lizenzservers ein und klicken Sie auf OK. Wenn Sie den Servernamen in Zukunft ändern, muss der Lizenzserver im selben Abschnitt geändert werden.

Danach können Sie im RD-Lizenzierungsdiagnoser sehen, dass der Terminallizenzserver konfiguriert, aber nicht aktiviert ist. Starten Sie zum Aktivieren den Remote Desktop Licensing Manager

Wählen Sie einen Lizenzserver mit dem Status „Nicht aktiviert“ aus. Zum Aktivieren klicken Sie mit der rechten Maustaste darauf und wählen Sie „Server aktivieren“. Der Serveraktivierungsassistent wird gestartet. Wählen Sie auf der Registerkarte Verbindungsmethode die Option Automatische Verbindung aus. Geben Sie als Nächstes Informationen zur Organisation ein. Anschließend wird der Lizenzserver aktiviert.

Active Directory-Zertifikatdienste

AD CS bietet anpassbare digitale Zertifikatsdienste, die in Softwaresicherheitssystemen verwendet werden, die Technologie nutzen öffentliche Schlüssel und die Verwaltung dieser Zertifikate. Von AD CS bereitgestellte digitale Zertifikate können zum Verschlüsseln und digitalen Signieren elektronischer Dokumente und Nachrichten verwendet werden. Mit diesen digitalen Zertifikaten kann die Authentizität von Computer-, Benutzer- und Gerätekonten in einem Netzwerk überprüft werden. Digitale Zertifikate werden verwendet, um Folgendes sicherzustellen:

Privatsphäre durch Verschlüsselung;
Integrität durch digitale Signaturen;
Authentifizierung durch Zuordnung von Zertifikatschlüsseln zu Computer-, Benutzer- und Gerätekonten im Netzwerk.

AD CS kann zur Verbesserung der Sicherheit verwendet werden, indem eine Benutzer-, Geräte- oder Dienstidentität mit der entsprechenden Identität verknüpft wird Privat Schlüssel. Zu den von AD CS unterstützten Anwendungen gehören Secure Multipurpose Internet Mail Extensions (S/MIME), sichere drahtlose Netzwerke, virtuelle private Netzwerke (VPN), IPsec-Protokoll, Encrypting File System (EFS), Smart Card Login, Sicherheitsprotokoll und Transport Layer Security (SSL/TLS) sowie digitale Signaturen.

Active Directory-Domänendienste

Mit der Serverrolle Active Directory Domain Services (AD DS) können Sie eine skalierbare, sichere und verwaltete Infrastruktur für die Verwaltung von Benutzern und Ressourcen erstellen; Sie können auch verzeichnisfähige Anwendungen wie Microsoft Exchange Server unterstützen. Active Directory Domain Services bietet verteilte Datenbank Daten, die Informationen über Netzwerkressourcen und verzeichnisfähige Anwendungsdaten speichern und verwalten. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen, verschachtelten Struktur zu organisieren. Die hierarchisch verschachtelte Struktur umfasst die Active Directory-Gesamtstruktur, die Domänen innerhalb der Gesamtstruktur und die Organisationseinheiten innerhalb jeder Domäne. Sicherheitsfunktionen sind in AD DS in Form von Authentifizierung und Zugriffskontrolle auf Ressourcen im Verzeichnis integriert. Mit der einmaligen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch Netzwerk-Single-Sign-On verwenden, um auf Ressourcen zuzugreifen, die sich überall im Netzwerk befinden. Active Directory-Domänendienste bieten die folgenden zusätzlichen Funktionen.

Ein Regelsatz ist ein Schema, das die in einem Verzeichnis enthaltenen Objektklassen und -attribute, die Einschränkungen und Beschränkungen für Instanzen dieser Objekte sowie das Format ihrer Namen definiert.
Ein globaler Katalog, der Informationen zu jedem Objekt im Katalog enthält. Benutzer und Administratoren können den globalen Katalog verwenden, um nach Verzeichnisdaten zu suchen, unabhängig davon, welche Domäne im Verzeichnis tatsächlich die gesuchten Daten enthält.
Eine Abfrage- und Indexierungs-Engine, über die Objekte und ihre Eigenschaften von Netzwerkbenutzern und -anwendungen veröffentlicht und gefunden werden können.
Ein Replikationsdienst, der Verzeichnisdaten über ein Netzwerk verteilt. Alle beschreibbaren Domänencontroller in der Domäne nehmen an der Replikation teil und enthalten vollständige Kopie alle Verzeichnisdaten für Ihre Domain. Alle Änderungen an Verzeichnisdaten werden in der gesamten Domäne auf alle Domänencontroller repliziert.
Operations-Master-Rollen (auch bekannt als flexible Single-Master-Operationen oder FSMO). Domänencontroller, die als Betriebsmaster fungieren, sollen bestimmte Aufgaben ausführen, um die Datenkonsistenz sicherzustellen und widersprüchliche Verzeichniseinträge zu beseitigen.

Active Directory-Verbunddienste

AD FS bietet Endbenutzern, die auf Anwendungen in einem AD FS-geschützten Unternehmen, einem Verbundpartner oder einer Cloud zugreifen müssen, vereinfachte und sichere Identitätsföderations- und webbasierte Single-Sign-On-Funktionen (SSO). Auf Windows Server umfasst AD FS die Der Rollendienst Federation Services fungiert als Identitätsanbieter (authentifiziert Benutzer, um Sicherheitstoken für Anwendungen bereitzustellen, die AD FS vertrauen) oder als Verbundanbieter (wendet Token von anderen Identitätsanbietern an und stellt dann Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Protokoll, das flexible Unterstützung für Verzeichnisanwendungen ohne die Abhängigkeiten und Domänenbeschränkungen der Active Directory-Domänendienste bietet. AD LDS kann auf Mitglieds- oder eigenständigen Servern ausgeführt werden. Sie können mehrere Instanzen von AD LDS auf einem einzelnen Server mit unabhängig verwalteten Schemas ausführen. Durch die Verwendung der AD LDS-Dienstrolle können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen, ohne den Mehraufwand von Domänen und Gesamtstrukturen und ohne die Notwendigkeit eines einzigen gesamtstrukturweiten Schemas.

Active Directory-Rechteverwaltungsdienste

AD RMS kann zur Verbesserung der Sicherheitsstrategie eines Unternehmens verwendet werden, indem Dokumente mithilfe von Information Rights Management (IRM) geschützt werden. Mit AD RMS können Benutzer und Administratoren mithilfe von IRM-Richtlinien Zugriffsberechtigungen für Dokumente, Arbeitsmappen und Präsentationen zuweisen. Dies trägt dazu bei, vertrauliche Informationen vor dem Drucken, Weiterleiten oder Kopieren durch unbefugte Benutzer zu schützen. Sobald Dateiberechtigungen mithilfe von IRM eingeschränkt werden, werden Zugriffs- und Nutzungsbeschränkungen unabhängig vom Speicherort der Informationen durchgesetzt, da die Dateiberechtigung in der Dokumentdatei selbst gespeichert ist. Mit AD RMS und IRM können einzelne Benutzer ihre eigenen persönlichen Präferenzen hinsichtlich der Weitergabe persönlicher und sensibler Informationen anwenden. Sie helfen der Organisation auch dabei, Unternehmensrichtlinien anzuwenden, um die Nutzung und Verbreitung vertraulicher und persönlicher Informationen zu regeln. IRM-Lösungen, die von AD RMS-Diensten unterstützt werden, werden verwendet, um die folgenden Funktionen bereitzustellen.

Permanente Nutzungsrichtlinien, die bei den Informationen verbleiben, unabhängig davon, ob sie verschoben, gesendet oder weitergeleitet werden.
Eine zusätzliche Datenschutzebene, um sensible Daten – wie Berichte, Produktspezifikationen, Kundeninformationen und E-Mail-Nachrichten – davor zu schützen, absichtlich oder versehentlich in die falschen Hände zu geraten.
Verhindern Sie, dass autorisierte Empfänger unbefugte Weiterleitungen, Kopien, Änderungen, Drucke, Faxe oder Einfügungen eingeschränkter Inhalte vornehmen.
Verhindern, dass eingeschränkte Inhalte mit der Funktion „BILDSCHIRM DRUCKEN“ kopiert werden Microsoft Windows.
Unterstützung für den Dateiablauf, der verhindert, dass der Inhalt von Dokumenten nach einem bestimmten Zeitraum angezeigt wird.
Implementieren Sie Unternehmensrichtlinien, die die Nutzung und Verteilung von Inhalten innerhalb der Organisation regeln

Anwendungsserver

Application Server bietet eine integrierte Umgebung für die Bereitstellung und Ausführung benutzerdefinierter serverbasierter Geschäftsanwendungen.

DHCP-Server

DHCP ist eine Client-Server-Technologie, bei der DHCP-Server Computern und anderen Geräten, die DHCP-Clients sind, IP-Adressen zuweisen oder leasen können. Durch die Bereitstellung von DHCP-Servern in einem Netzwerk werden Clientcomputern und anderen Netzwerkgeräten automatisch gültige IP-Adressen und IPv4- und IPv6-Adressen bereitgestellt zusätzliche Konfigurationsparameter, die von diesen Clients und Geräten benötigt werden. Der DHCP-Serverdienst in Windows Server umfasst Unterstützung für richtlinienbasierte Zuweisungen und DHCP-Fehlerbehandlung.

DNS Server

DNS-Dienst ist eine hierarchisch verteilte Datenbank, die Zuordnungen von DNS-Domänennamen enthält verschiedene Arten Daten wie IP-Adressen. Mit DNS können Sie benutzerfreundliche Namen wie www.microsoft.com verwenden, um das Auffinden von Computern und anderen Ressourcen in TCP/IP-basierten Netzwerken zu erleichtern. Windows Server DNS bietet zusätzliche, erweiterte Unterstützung für DNS-Sicherheitserweiterungen (DNSSEC), einschließlich Online-Registrierung und automatisierter Einstellungsverwaltung.

FAX-Server

Der Faxserver sendet und empfängt Faxe und bietet Ihnen außerdem die Möglichkeit, Faxressourcen wie Aufträge, Einstellungen, Berichte und Faxgeräte auf Ihrem Faxserver zu verwalten.

Datei- und Speicherdienste

Administratoren können die Rolle „Datei- und Speicherdienste“ verwenden, um mehrere Dateiserver und deren Speicher zu konfigurieren und diese Server mithilfe des Server-Managers oder von Windows PowerShell zu verwalten. Einige spezifische Apps umfassen die folgenden Funktionen.

Arbeitsordner. Wird verwendet, um Benutzern das Speichern und Zugreifen auf Arbeitsdateien auf Privatcomputern und anderen Geräten als Unternehmens-PCs zu ermöglichen. Benutzer erhalten einen bequemen Ort zum Speichern von Arbeitsdateien und zum Zugriff darauf von überall. Organisationen kontrollieren Unternehmensdaten, indem sie Dateien auf zentral verwalteten Dateiservern speichern und optional Richtlinien für Benutzergeräte festlegen (z. B. Verschlüsselung und Passwörter für die Bildschirmsperre).
Datendeduplizierung. Verwenden Sie diese Option, um den Speicherplatzbedarf für die Speicherung von Dateien zu reduzieren und so Speicherkosten zu sparen.
iSCSI-Zielserver. Zur Erstellung zentralisierter, software- und hardwareunabhängiger iSCSI-Festplattensubsysteme in Storage Area Networks (SAN).
Festplattenspeicher. Verwenden Sie diese Option, um hochverfügbaren Speicher bereitzustellen, der unter Verwendung kostengünstiger Festplatten nach Industriestandard stabil und skalierbar ist.
Server Administrator. Verwenden für Fernbedienung mehrere Dateiserver aus einem Fenster.
Windows PowerShell. Zur Automatisierung der Verwaltung der meisten Dateiserver-Verwaltungsaufgaben.

Hyper-V

Mit der Hyper-V-Rolle können Sie mithilfe der in Windows Server integrierten Virtualisierungstechnologie eine virtualisierte Computerumgebung erstellen und verwalten. Durch die Installation der Hyper-V-Rolle werden Voraussetzungen sowie optionale Verwaltungstools installiert. Zu den erforderlichen Komponenten gehören: Hypervisor Virtueller Windows-Verwaltungsdienst Hyper-V-Maschinen, WMI-Virtualisierungsanbieter und Virtualisierungskomponenten wie VMbus, Virtualisierungsdienstanbieter (VSP) und virtueller Infrastrukturtreiber (VID).

Netzwerkrichtlinien- und Zugriffsdienste

Network Policy and Access Services bietet die folgenden Lösungen für Netzwerkverbindungen:

Network Access Protection ist eine Technologie zum Erstellen, Durchsetzen und Reparieren von Client-Gesundheitsrichtlinien. Mit Network Access Protection können Systemadministratoren Gesundheitsrichtlinien festlegen und automatisch durchsetzen, die Softwareanforderungen, Sicherheitsupdates und andere Einstellungen umfassen. Clientcomputern, die die Anforderungen der Gesundheitsrichtlinie nicht erfüllen, kann der Zugriff auf das Netzwerk verweigert werden, bis ihre Konfiguration aktualisiert wird, um die Anforderungen der Gesundheitsrichtlinie zu erfüllen.
Wenn Sie 802.1X-fähige drahtlose Zugangspunkte bereitgestellt haben, können Sie Network Policy Server (NPS) verwenden, um zertifikatbasierte Authentifizierungsmethoden bereitzustellen, die sicherer sind als die kennwortbasierte Authentifizierung. Durch die Bereitstellung 802.1X-fähiger Hardware mit einem NPS-Server können Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung zum Netzwerk herstellen oder eine IP-Adresse von einem DHCP-Server erhalten können.
Anstatt auf jedem Netzwerkzugriffsserver eine Netzwerkzugriffsrichtlinie zu konfigurieren, können Sie zentral alle Richtlinien erstellen, die alle Aspekte von Netzwerkverbindungsanforderungen definieren (wer kann eine Verbindung herstellen, wann die Verbindung zulässig ist, die Sicherheitsstufe, die für die Verbindung verwendet werden muss). Netzwerk).

Druck- und Dokumentendienste

Mit Print and Document Services können Sie Druckserver- und Netzwerkdruckeraufgaben zentralisieren. Mit dieser Rolle können Sie auch gescannte Dokumente von Netzwerkscannern empfangen und Dokumente auf Netzwerkfreigaben wie eine Windows SharePoint Services-Site oder hochladen Email.

Fernzugriff

Die Rolle des Remotezugriffsservers ist eine logische Gruppierung der folgenden Netzwerkzugriffstechnologien.

Direkter Zugang
Routing und Fernzugriff
Webanwendungs-Proxy

Diese Technologien sind Rollendienste Rollen des Fernzugriffsservers. Wenn Sie die Rolle „Remotezugriffsserver“ installieren, können Sie einen oder mehrere Rollendienste installieren, indem Sie den Assistenten zum Hinzufügen von Rollen und Funktionen ausführen.

In Windows Server bietet die Rolle „Remotezugriffsserver“ die Möglichkeit, DirectAccess-Remotezugriffsdienste und VPN mit Routing and Remote Access Service (RRAS) zentral zu verwalten, zu konfigurieren und zu überwachen. DirectAccess und RRAS können auf demselben Edge-Server bereitgestellt und verwaltet werden Windows-Befehle PowerShell und Remote Access Management Console (MMC).

Remotedesktopdienste

Remote Desktop Services beschleunigen und erweitern die Bereitstellung von Desktops und Anwendungen auf jedem Gerät und steigern so die Produktivität von Remote-Mitarbeitern, schützen gleichzeitig kritisches geistiges Eigentum und vereinfachen die Einhaltung gesetzlicher Vorschriften. Remotedesktopdienste umfassen eine virtuelle Desktop-Infrastruktur (VDI), sitzungsbasierte Desktops und Anwendungen, sodass Benutzer von überall aus arbeiten können.

Volumenaktivierungsdienste

Volume Activation Services ist eine Serverrolle in Windows Server ab Windows Server 2012, die die Ausstellung von Volumenlizenzen für automatisiert und vereinfacht Software Microsoft sowie die Verwaltung solcher Lizenzen in verschiedenen Szenarien und Umgebungen. Zusammen mit den Volumenaktivierungsdiensten können Sie den Key Management Service (KMS) und die Active Directory-Aktivierung installieren und konfigurieren.

Webserver (IIS)

Die Webserverrolle (IIS) in Windows Server bietet eine Plattform zum Hosten von Websites, Diensten und Anwendungen. Durch den Einsatz eines Webservers werden Informationen für Benutzer im Internet, Intranet und Extranet verfügbar gemacht. Administratoren können die Webserverrolle (IIS) verwenden, um mehrere Websites, Webanwendungen und FTP-Sites zu konfigurieren und zu verwalten. Zu den Barrierefreiheitsfunktionen gehören die folgenden.

Verwenden Sie Internet Information Services Manager, um IIS-Komponenten zu konfigurieren und Websites zu verwalten.
Verwendung FTP-Protokoll um Websitebesitzern das Senden und Hochladen von Dateien zu ermöglichen.
Verwenden Sie Website-Isolation, um zu verhindern, dass eine Website auf einem Server andere beeinträchtigt.
Anpassung von Webanwendungen, die mit verschiedenen Technologien wie Classic ASP, ASP.NET und PHP entwickelt wurden.
Verwenden von Windows PowerShell, um automatische Kontrolle die meisten Verwaltungsaufgaben des Webservers.
Kombinieren Sie mehrere Webserver zu einer Serverfarm, die mit IIS verwaltet werden kann.

Windows-Bereitstellungsdienste

Mit den Windows-Bereitstellungsdiensten können Sie Windows-Betriebssysteme über ein Netzwerk bereitstellen, sodass Sie nicht jedes Betriebssystem direkt von einer CD oder DVD installieren müssen.

Windows Server Essentials-Erfahrung

Mit dieser Rolle können Sie folgende Aufgaben lösen:

Schützen Sie Server- und Clientdaten durch Erstellen Backups Server und alle Client-Computer im Netzwerk;
Verwalten Sie Benutzer und Benutzergruppen über ein vereinfachtes Server-Dashboard. Darüber hinaus bietet die Integration mit Windows Azure Active Directory *Benutzern mithilfe ihrer Domänenanmeldeinformationen einfachen Zugriff auf Online-Microsoft-Onlinedienste (z. B. Office 365, Exchange Online und SharePoint Online).
Unternehmensdaten an einem zentralen Ort speichern;
Integrieren Sie den Server mit Microsoft Online Services (z. B. Office 365, Exchange Online, SharePoint Online und Windows Intune):
Nutzen Sie allgegenwärtige Zugriffsfunktionen auf dem Server (z. B. Remote-Webzugriff und virtuelle private Netzwerke), um von entfernten Standorten aus mit einem hohen Maß an Sicherheit auf den Server, Netzwerkcomputer und Daten zuzugreifen.
Zugriff auf Daten von überall und von jedem Gerät über das organisationseigene Webportal (über Remote-Webzugriff);
verwalten mobile Geräte, von dem aus über das Dashboard mit Office 365 über das Active Sync-Protokoll auf die E-Mails der Organisation zugegriffen wird;
Überwachen Sie den Netzwerkzustand und erhalten Sie benutzerdefinierte Gesundheitsberichte. Berichte können bei Bedarf erstellt, angepasst und per E-Mail an bestimmte Empfänger gesendet werden.

Windows Server Update-Dienste

Der WSUS-Server stellt die Komponenten bereit, die Administratoren zum Verwalten und Verteilen von Updates über die Verwaltungskonsole benötigen. Darüber hinaus kann der WSUS-Server die Aktualisierungsquelle für andere WSUS-Server in der Organisation sein. Wenn Sie WSUS implementieren, muss mindestens ein WSUS-Server in Ihrem Netzwerk mit Microsoft Update verbunden sein, um Informationen über verfügbare Updates zu erhalten. Abhängig von Ihrer Netzwerksicherheit und -konfiguration kann Ihr Administrator bestimmen, wie viele andere Server direkt mit Microsoft Update verbunden sind.

Bei der Installation von Windows werden die meisten kleineren Subsysteme nicht aktiviert oder installiert. Dies geschieht aus Sicherheitsgründen. Da das System standardmäßig sicher ist, können sich Systemadministratoren darauf konzentrieren, ein System zu entwerfen, das genau seine beabsichtigten Funktionen ausführt und nichts anderes. Um Ihnen bei der Aktivierung der benötigten Funktionen zu helfen, fordert Windows Sie auf, eine Serverrolle auszuwählen.

Rollen

Sie definieren die Hauptfunktion, den Zweck oder Zweck der Nutzung eines Computers. Sie können einem Computer eine einzelne Rolle zuweisen, die in Ihrem Unternehmen häufig genutzt wird, oder mehrere Rollen übernehmen, wenn jede nur gelegentlich verwendet wird.
Rollen gewähren Benutzern in Ihrer gesamten Organisation Zugriff auf Ressourcen, die von anderen Computern verwaltet werden, z. B. Websites, Drucker oder auf anderen Computern gespeicherte Dateien.
Sie verfügen in der Regel über eigene Datenbanken, in denen Benutzer- oder Computeranfragen in eine Warteschlange gestellt oder Informationen über Netzwerkbenutzer und Computer aufgezeichnet werden, die für die Rolle relevant sind. Beispielsweise enthalten die Active Directory-Domänendienste eine Datenbank zum Speichern der Namen und hierarchischen Beziehungen aller Computer in einem Netzwerk.
Sobald die Rollen ordnungsgemäß installiert und konfiguriert sind, funktionieren sie automatisch. Dadurch können die Computer, auf denen sie installiert sind, zugewiesene Aufgaben mit eingeschränkter Benutzerinteraktion ausführen.

Rollendienste

Rollendienste sind Programme, die Rollenfunktionen bereitstellen. Wenn Sie eine Rolle installieren, können Sie auswählen, welche Dienste sie anderen Benutzern und Computern im Unternehmen bereitstellt. Einige Rollen, wie z. B. DNS-Server, erfüllen nur eine Funktion, daher gibt es für sie keine Rollendienste. Andere Rollen, wie etwa Remotedesktopdienste, verfügen über mehrere Dienste, die je nach den Fernzugriffsanforderungen Ihres Unternehmens installiert werden können. Eine Rolle kann als eine Sammlung eng miteinander verbundener, sich ergänzender Rollendienste betrachtet werden. In den meisten Fällen bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.

Komponenten

Komponenten sind Programme, die nicht direkt Teil von Rollen sind, sondern die Funktionalität einer oder mehrerer Rollen oder eines gesamten Servers unterstützen oder erweitern, unabhängig davon, welche Rollen installiert sind. Beispielsweise erweitert die Failover-Cluster-Funktion die Funktionalität anderer Rollen wie Dateidienste und DHCP-Server, indem sie ihnen den Beitritt zu Serverclustern ermöglicht und so für mehr Redundanz und Leistung sorgt. Eine weitere Komponente, der Telnet-Client, ermöglicht die Fernkommunikation mit dem Telnet-Server über eine Netzwerkverbindung. Diese Funktion verbessert die Kommunikationsfähigkeiten des Servers.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverrollen unterstützt:

Active Directory-Zertifikatdienste;
Active Directory-Domänendienste;
DHCP-Server;
DNS Server;
Dateidienste (einschließlich Dateiserver-Ressourcenmanager);
Active Directory Lightweight Directory Services;
Hyper-V;
Druck- und Dokumentendienste;
Streaming-Mediendienste;
Webserver (einschließlich einer Teilmenge von ASP.NET);
Windows Server-Updateserver;
Active Directory-Rechteverwaltungsserver;
Routing- und RAS-Server und die folgenden untergeordneten Rollen:
- Verbindungsbroker für Remotedesktopdienste;
- Lizenzierung;
- Virtualisierung.

Wenn Windows Server im Server Core-Modus ausgeführt wird, werden die folgenden Serverkomponenten unterstützt:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
Intelligenter Hintergrundübertragungsdienst (BITS);
BitLocker-Festplattenverschlüsselung;
BitLocker-Netzwerk-Entsperrung;
BranchCache
Rechenzentrumsbrücke;
Erweiterter Speicher;
Failover-Clustering;
Multipath-I/O;
Netzwerklastausgleich;
PNRP-Protokoll;
qWave;
Remote-Differenzialkomprimierung;
einfache TCP/IP-Dienste;
RPC über HTTP-Proxy;
SMTP-Server;
SNMP-Dienst;
Telnet-Client;
Telnet-Server;
TFTP-Client;
Windows-interne Datenbank;
Windows PowerShell-Webzugriff;
Windows-Aktivierungsdienst;
standardisierte Windows-Speicherverwaltung;
IIS WinRM-Erweiterung;
WINS-Server;
WoW64-Unterstützung.