Svetainės skyriai
Redaktoriaus pasirinkimas:
- Interneto greičio tikrinimas: metodų apžvalga Kaip sužinoti tikrąjį interneto greitį iš savo teikėjo
- Trys būdai atidaryti „Windows“ registro rengyklę Registro atidarymas naudojant paiešką
- Kaip padalinti standųjį diską
- Kietąjį diską padaliname į skaidinius
- Įjungus kompiuteris pypsi
- Teisingas failų plėtinių keitimas sistemoje Windows Kaip pakeisti archyvo plėtinį
- Skelbimų blokavimas „YouTube“ „YouTube“ be skelbimų
- TeamViewer – nuotolinis kompiuterio valdymas Atsisiųskite programą, kad galėtumėte bendrauti su kitu kompiuteriu
- Kaip sužinoti kompiuterio charakteristikas sistemoje „Windows“: sistemos metodai ir specialios programos
- Atnaujiname naršykles skirtinguose įrenginiuose: kompiuteryje, planšetėje, išmaniajame telefone Įdiekite atnaujintą naršyklę kur ir kaip
Reklama
Pateikite išsamų serverio politikos aprašymą. Darbas su administravimo ir maršruto parinkimo grupėmis |
4 paskaita Tinklo politikos serveris: RADIUS serveris, RADIUS tarpinis serveris ir saugos politikos serveris 4 paskaita Tema: Tinklo strategijos serveris: RADIUS serveris, RADIUS tarpinis serveris ir tinklo prieigos apsaugos strategijos serveris Įvadas „Windows Server 2008“ ir „Windows Server 2008 R2“ yra pažangios „Windows Server“ operacinės sistemos, sukurtos įgalinti naujos kartos tinklus, programas ir žiniatinklio paslaugas. Su šiais Operacinės sistemos Galite kurti, pristatyti ir valdyti lanksčią ir visapusišką patirtį vartotojams ir programoms, sukurti itin saugią tinklo infrastruktūrą ir padidinti technologinį efektyvumą bei organizuotumą savo organizacijoje. Tinklo politikos serveris Tinklo politikos serveris leidžia kurti ir vykdyti visos organizacijos tinklo prieigos strategijas, kad būtų užtikrinta kliento būklė ir prisijungimo užklausų autentifikavimas bei prieigos teisė. Be to, NPS gali būti naudojamas kaip RADIUS tarpinis serveris, persiunčiantis ryšio užklausas į NPS arba kitus RADIUS serverius, sukonfigūruotus nuotolinėse RADIUS serverių grupėse. „Network Policy Server“ leidžia centralizuotai konfigūruoti ir valdyti kliento autentifikavimo, autorizacijos ir sveikatos strategijas suteikiant prieigą prie tinklo, naudojant šias tris galimybes: RADIUS serveris. Tinklo politikos serveris centralizuotai tvarko belaidžių ryšių, autentifikuotų komutatoriaus jungčių, telefono ryšio ir virtualaus privataus tinklo (VPN) jungčių autentifikavimą, autorizavimą ir apskaitą. Naudojant NPS kaip RADIUS serverį, tinklo prieigos serveriai, pvz., belaidžiai prieigos taškai ir VPN serveriai, sukonfigūruojami kaip RADIUS klientai NPS. Be to, konfigūruojate tinklo politiką, kurią NPS naudoja prisijungimo užklausoms įgalioti. Be to, galite sukonfigūruoti RADIUS apskaitą, kad NPS registruotų duomenis į žurnalo failus, saugomus vietiniame standžiajame diske arba Microsoft duomenų bazėje. SQL serveris. RADIUS tarpinis serveris. Jei NPS naudojamas kaip RADIUS tarpinis serveris, turite sukonfigūruoti ryšio užklausų strategijas, kurios nustato, kurias ryšio užklausas NPS persiųs kitiems RADIUS serveriams ir į kuriuos konkrečius RADIUS serverius šios užklausos bus persiunčiamos. Taip pat galite sukonfigūruoti tinklo strategijos serverį, kad kredencialai būtų peradresuojami ir saugomi viename ar keliuose nuotolinių RADIUS serverių grupės kompiuteriuose. Tinklo prieigos apsaugos (NAP) strategijos serveris. Kai NPS sukonfigūruotas kaip NAP strategijos serveris, NPS įvertina būsenas, kurias siunčia NAP įgalinti kliento kompiuteriai, bandantys prisijungti prie tinklo. Tinklo strategijos serveris, sukonfigūruotas su tinklo prieigos apsauga, veikia kaip RADIUS serveris, skirtas autentifikuoti ir įgalioti ryšio užklausas. Tinklo strategijos serveryje galite konfigūruoti prieigos prie tinklo apsaugos strategijas ir parametrus, įskaitant sistemos būklės tikrinimo priemones, sveikatos strategijas ir naujinimo serverių grupes, kurios užtikrina, kad klientų kompiuterių konfigūracija būtų atnaujinta pagal jūsų organizacijos tinklo politiką. Tinklo politikos serverį galima sukonfigūruoti naudojant bet kurį aukščiau paminėtų parinkčių derinį. Pavyzdžiui, tinklo strategijos serveris gali veikti kaip tinklo prieigos apsaugos strategijos serveris, naudodamas vieną ar daugiau vykdymo metodų, tuo pačiu metu tarnaudamas kaip RADIUS serveris nuotolinės prieigos ryšiams ir kaip RADIUS tarpinis serveris, persiunčiantis kai kurias prisijungimo užklausas nuotolinio RADIUS grupei. serveriai. kuri leidžia atlikti autentifikavimą ir autorizavimą kitame domene. RADIUS serveris ir RADIUS tarpinis serveris Tinklo strategijos serverį galima naudoti kaip RADIUS serverį, RADIUS tarpinį serverį arba abu tuo pačiu metu. RADIUS serveris Microsoft Network Policy Server įdiegtas pagal RADIUS standartą, kaip aprašyta IETF RFC 2865 ir RFC 2866. Kaip RADIUS serveris, Network Policy Server centralizuotai atlieka autentifikavimą, autorizavimą ir jungčių apskaitą įvairiems tinklo prieigos tipams, įskaitant belaidę prieigą. prieigą, autentifikuotos, nuotolinės ir VPN prieigos perjungimą ir ryšius tarp maršrutizatorių. Tinklo politikos serveris įgalina įvairų belaidžio ryšio, telefono ryšio, VPN ir perjungimo įrangos rinkinį. Tinklo politikos serverį galima naudoti su maršruto parinkimo ir nuotolinės prieigos paslauga, kuri yra operacinėse sistemose. Microsoft sistemos Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ir Windows Server 2003, Datacenter Edition. Jei kompiuteris, kuriame veikia Network Policy Server, yra narys domenas Aktyvus Directory® Network Policy Server naudoja šią katalogo paslaugą kaip vartotojo abonemento duomenų bazę ir yra vieno prisijungimo sprendimo dalis. Tas pats kredencialų rinkinys naudojamas prieigai prie tinklo valdyti (autentifikacijai ir prieigos prie tinklo suteikimui) ir prisijungimui prie „Active Directory“ domeno. Interneto paslaugų teikėjai ir organizacijos, teikiančios prieigą prie tinklo, susiduria su didesniais iššūkiais valdydami visų tipų tinklus iš vieno administravimo taško, nepriklausomai nuo naudojamos tinklo prieigos įrangos. RADIUS standartas palaiko šią funkciją tiek homogeninėje, tiek nevienalytėje aplinkoje. RADIUS protokolas yra kliento ir serverio protokolas, leidžiantis tinklo prieigos įrangai (veikiančiai kaip RADIUS klientai) pateikti autentifikavimo ir apskaitos užklausas RADIUS serveriui. RADIUS serveris turi prieigą prie vartotojo paskyros informacijos ir autentifikavimo metu gali patvirtinti kredencialus, kad suteiktų prieigą prie tinklo. Jei vartotojo kredencialai galioja ir bandymas prisijungti yra įgaliotas, RADIUS serveris suteikia vartotojo prieigą pagal nurodytas sąlygas ir registruoja prisijungimo informaciją žurnale. Naudodami RADIUS protokolą galite rinkti ir palaikyti autentifikavimo, autorizacijos ir apskaitos informaciją vienoje vietoje, o ne atlikti šią operaciją kiekviename prieigos serveryje. RADIUS tarpinis serveris Kaip RADIUS tarpinis serveris, NPS persiunčia autentifikavimo ir apskaitos pranešimus kitiems RADIUS serveriams. Naudodamos tinklo politikos serverį, organizacijos gali perduoti savo nuotolinės prieigos infrastruktūrą paslaugų teikėjui, kartu kontroliuodamos vartotojo autentifikavimą, autorizavimą ir apskaitą. Tinklo strategijos serverio konfigūracijas galima sukurti šiais atvejais: Belaidė prieiga Prisijungimas prie nuotolinės arba virtualios prieigos privatus tinklas Organizacijoje. Nuotolinis prisijungimas arba išorinės organizacijos teikiama belaidė prieiga Interneto ryšys Autentifikuota prieiga prie išteklių išorinis tinklas verslo partneriams RADIUS serverio ir RADIUS tarpinio serverio konfigūracijų pavyzdžiai Šie konfigūravimo pavyzdžiai parodo, kaip sukonfigūruoti NPS kaip RADIUS serverį ir RADIUS tarpinį serverį. NPS kaip RADIUS serveris. Šiame pavyzdyje NPS serveris sukonfigūruotas kaip RADIUS serveris, vienintelė sukonfigūruota politika yra numatytoji ryšio užklausos politika, o visas ryšio užklausas apdoroja vietinis NPS serveris. Tinklo politikos serveris gali autentifikuoti ir įgalioti vartotojus, kurių paskyros yra serverio domene arba patikimuose domenuose. NPS kaip RADIUS tarpinis serveris. Šiame pavyzdyje NPS sukonfigūruotas kaip RADIUS tarpinis serveris, kuris persiunčia ryšio užklausas nuotolinių RADIUS serverių grupėms dviejuose skirtinguose nepatikimuose domenuose. Numatytoji ryšio užklausos politika pašalinama ir pakeičiama dviem naujomis ryšio užklausos taisyklėmis, kurios persiunčia užklausas į kiekvieną iš dviejų nepatikimų domenų. Šiame pavyzdyje NPS neapdoroja ryšio užklausų vietiniame serveryje. NPS kaip RADIUS serveris ir RADIUS tarpinis serveris. Be numatytosios ryšio užklausos politikos, kuri apdoroja užklausas vietoje, sukuriama nauja ryšio užklausos strategija, kuri persiunčia jas į NPS arba kitą RADIUS serverį nepatikimame domene. Antroji politika pavadinta tarpiniu serveriu. IN šiame pavyzdyjeĮgaliotinio serverio politika rodoma pirma tvarka nustatytame strategijų sąraše. Jei ryšio užklausa atitinka tarpinio serverio politiką, ryšio užklausa persiunčiama į RADIUS serverį, esantį nuotolinėje RADIUS serverių grupėje. Jei ryšio užklausa neatitinka įgaliotojo serverio politikos, bet atitinka numatytąją ryšio užklausos politiką, NPS apdoroja ryšio užklausą vietinis serveris. Jei ryšio užklausa neatitinka nė vienos iš šių strategijų, ji atmetama. NPS kaip RADIUS serveris su nuotoliniais apskaitos serveriais. Šiame pavyzdyje vietinis NPS nesukonfigūruotas apskaitai, o numatytoji ryšio užklausos politika modifikuojama taip, kad RADIUS apskaitos pranešimai būtų persiunčiami į NPS arba kitą RADIUS serverį, esantį nuotolinių RADIUS serverių grupėje. Nors apskaitos pranešimai persiunčiami, autentifikavimo ir autorizacijos pranešimai nepersiunčiami, o susijusias vietinio domeno ir visų patikimų domenų funkcijas atlieka vietinis NPS serveris. NPS su nuotoliniu RADIUS ir Windows vartotojo susiejimu. Šiame pavyzdyje NPS veikia ir kaip RADIUS serveris, ir kaip RADIUS tarpinis serveris kiekvienai atskirai prisijungimo užklausai, persiunčiant autentifikavimo užklausą į nuotolinį RADIUS serverį, tuo pat metu atliekant autorizaciją naudojant vietinę Windows vartotojo abonementą. Ši konfigūracija įgyvendinama nustačius nuotolinio RADIUS serverio susiejimą su Windows vartotojo atributu kaip ryšio užklausos politikos sąlygą. (Be to, RADIUS serveryje turite sukurti vietinę vartotojo abonementą tokiu pačiu pavadinimu kaip ir nuotolinė paskyra, kuri bus autentifikuota nuotolinio RADIUS serverio.) Prieigos prie tinklo apsaugos strategijos serveris Prieigos prie tinklo apsauga įtraukta į „Windows Vista®“, „Windows® 7“, „Windows Server® 2008“ ir „Windows Server® 2008 R2“. Tai padeda apsaugoti prieigą prie privačių tinklų užtikrinant, kad klientų kompiuteriai atitiktų organizacijos tinkle galiojančias sveikatos strategijas, kai leidžia tiems klientams pasiekti tinklo išteklius. Be to, kliento kompiuterio atitiktį administratoriaus nustatytai sveikatos politikai stebi tinklo prieigos apsauga, kai kliento kompiuteris yra prijungtas prie tinklo. Naudojant tinklo prieigos apsaugos automatinio atnaujinimo funkciją, reikalavimų neatitinkantys kompiuteriai gali būti automatiškai atnaujinami pagal sveikatos politiką, kad vėliau jiems būtų suteikta prieiga prie tinklo. Sistemos administratoriai apibrėžia tinklo sveikatos strategijas ir kuria jas naudodami tinklo prieigos apsaugos komponentus, kurie pasiekiami iš tinklo strategijos serverio arba kuriuos teikia kitos įmonės (atsižvelgiant į tinklo prieigos apsaugos diegimą). Sveikatos politika gali turėti tokias charakteristikas kaip programinės įrangos reikalavimai, saugos naujinimo reikalavimai ir konfigūracijos parametrų reikalavimai. Tinklo prieigos apsauga įgyvendina sveikatos politiką, kad patikrintų ir įvertintų klientų kompiuterių būklę, ribodama prieiga prie tinklo kompiuteriams, kurie neatitinka šių reikalavimų, ir ištaisyti šį neatitikimą, kad būtų suteikta neribota prieiga prie tinklo. GPResult įrankis.exe– yra konsolės programa, skirta analizuoti parametrus ir diagnozuoti grupės strategijas, taikomas kompiuteriui ir (arba) vartotojui Active Directory domene. Visų pirma GPResult leidžia gauti duomenis iš gauto strategijų rinkinio (Resultant Set of Policy, RSOP), taikomų domeno strategijų (GPO) sąrašo, jų nustatymų ir Detali informacija apie jų apdorojimo klaidas. Priemonė buvo „Windows“ OS dalis nuo „Windows XP“. GPResult programa leidžia atsakyti į šiuos klausimus: ar kompiuteriui taikoma konkreti politika, kuris GPO pakeitė tą ar kitą Windows nustatymą ir suprasti priežastis. Šiame straipsnyje apžvelgsime GPResult komandos naudojimo ypatybes diagnozuoti ir derinti grupės strategijos taikymą Active Directory domene. Iš pradžių jis buvo naudojamas diagnozuoti grupės strategijos taikymą sistemoje Windows grafinė konsolė RSOP.msc, kuris leido gauti kompiuteriui ir vartotojui taikomų strategijų (domenas + vietinis) parametrus grafine forma, panašia į GPO redaktoriaus pultą (toliau, RSOP.msc konsolės pavyzdyje). matote, kad naujinimo nustatymai nustatyti). Tačiau nepatartina naudoti konsolės RSOP.msc šiuolaikinėse Windows versijose, nes jis neatspindi nustatymų, taikomų įvairių kliento pusės plėtinių (CSE), pvz., GPP (Group Policy Preferences), neleidžia ieškoti ir pateikia mažai diagnostinės informacijos. Todėl šiuo metu komanda GPResult yra pagrindinis įrankis diagnozuoti GPO naudojimą sistemoje Windows (Windows 10 netgi pasirodo įspėjimas, kad RSOP nepateikia visos ataskaitos, skirtingai nei GPResult). Naudodamiesi programa GPResult.exeKomanda GPResult paleidžiama kompiuteryje, kuriame norite patikrinti grupės strategijų taikymą. GPResult komanda turi tokią sintaksę: GPRESULT ]] [(/X | /H)<имя_файла> ] Norėdami gauti išsamios informacijos apie grupės strategijas, taikomas tam tikram AD objektui (vartotojui ir kompiuteriui) ir kitus parametrus, susijusius su GPO infrastruktūra (ty gautus GPO politikos parametrus – RsoP), paleiskite komandą: Komandos rezultatai suskirstyti į 2 dalis:
Trumpai apžvelgsime pagrindinius parametrus / skyrius, kurie gali sudominti GPResult išvestį:
Mūsų pavyzdyje matote, kad vartotojo objektui taikomos 4 grupės strategijos.
Jei nenorite, kad informacija apie vartotojo ir kompiuterio politiką būtų rodoma konsolėje vienu metu, galite naudoti parinktį /scope, kad būtų rodoma tik jus dominanti skiltis. Tik gautos naudotojo strategijos: gpresult /r /scope:user arba taikoma tik kompiuterio politika: gpresult /r /scope:computer Nes „Gpresult“ programa išveda savo duomenis tiesiai į komandų eilutės konsolę, o tai ne visada patogu tolesnei analizei; jos išvestis gali būti nukreipta į mainų sritį: Gpresult /r |klipas arba tekstinis failas: Gpresult /r > c:\gpresult.txt Norėdami rodyti itin išsamią RSOP informaciją, turite pridėti jungiklį /z. HTML RSOP ataskaita naudojant GPResultBe to, programa GPResult gali sugeneruoti HTML ataskaitą apie taikytas strategijas (galima naudoti „Windows 7“ ir naujesnėse versijose). Šioje ataskaitoje bus Detali informacija apie visus sistemos parametrus, kuriuos nustato grupės strategijos, ir konkrečių jas nustatančių GPO pavadinimus (gauta struktūros ataskaita primena skirtuką Parametrai domeno grupės strategijos valdymo konsolėje – GPMC). Galite sugeneruoti HTML GPResult ataskaitą naudodami komandą: GPResult /h c:\gp-report\report.html /f Norėdami sukurti ataskaitą ir automatiškai atidaryti ją naršyklėje, paleiskite komandą: GPResult /h GPResult.html & GPResult.html „gpresult“ HTML ataskaitoje yra gana daug Naudinga informacija: matomos klaidos GPO programoje, apdorojimo laikas (ms) ir konkrečios strategijos bei TPP taikymas (skiltyje Kompiuterio informacija -> Komponento būsena). Pavyzdžiui, aukščiau esančioje ekrano kopijoje matote, kad politika su 24 slaptažodžiais atsiminti nustatymus taikoma pagal numatytąją domeno politiką (stulpelis Laimėjęs GPO). Kaip matote, ši HTML ataskaita yra daug patogesnė taikomai politikai analizuoti nei rsop.msc pultas. GPResult duomenų gavimas iš nuotolinio kompiuterioGPResult taip pat gali rinkti duomenis iš nuotolinio kompiuterio, todėl administratoriui nereikia prisijungti vietoje arba RDP prie nuotolinio kompiuterio. RSOP duomenų rinkimo iš nuotolinio kompiuterio komandos formatas yra toks: GPResult /s serveris-ts1 /r Taip pat galite nuotoliniu būdu rinkti duomenis iš naudotojų politikos ir kompiuterio politikos. Vartotojo vartotojo vardas neturi RSOP duomenųKai UAC įjungtas, paleidus GPResult be padidintų teisių, rodomi tik vartotojų grupės strategijos skyriaus nustatymai. Jei reikia vienu metu rodyti abu skyrius (VARTOTOJO NUSTATYMAI ir KOMPIUTERIO NUSTATYMAI), komanda turi būti paleista. Jei komandų eilutė yra padidinta į kitą sistemą nei dabartinis vartotojas, programa pateiks įspėjimą INFORMACIJA: TheVartotojas"domenas\Vartotojas“ daroneturėtiRSOPduomenis ( Vartotojas "domain\user" neturi RSOP duomenų). Taip nutinka todėl, kad GPResult bando rinkti informaciją vartotojui, kuris jį paleido, bet todėl, kad... šis vartotojas neprisijungė prie sistemos, RSOP informacijos jai nėra. Norėdami rinkti RSOP informaciją vartotojui, turinčiam aktyvią sesiją, turite nurodyti jo paskyrą: gpresult /r /user:tn\edward Jei nežinote paskyros, prie kurios esate prisijungę, pavadinimo nuotolinis kompiuteris, galite gauti tokią paskyrą: qwinsta /SERVER:remotePC1 Taip pat patikrinkite kliento laiką (-us). Laikas turi sutapti su PDC (pagrindinio domeno valdiklio) laiku. Šios GPO strategijos nebuvo pritaikytos, nes buvo išfiltruotosŠalindami grupės politikos triktis, taip pat turėtumėte atkreipti dėmesį į skyrių: Šie GPO nebuvo pritaikyti, nes buvo išfiltruoti. Šiame skyriuje rodomas GPO, kurie dėl vienokių ar kitokių priežasčių šiam objektui netaikomi, sąrašas. Galimi variantai kuriems politika gali būti netaikoma: Taip pat galite suprasti, ar politika turėtų būti taikoma konkrečiam AD objektui, esančiame efektyvių leidimų skirtuke (Išplėstinė -> Efektyvi prieiga). Taigi, šiame straipsnyje apžvelgėme grupės strategijos taikymo diagnozavimo naudojant GPResult įrankį ypatybes ir apžvelgėme tipiškus jos naudojimo scenarijus. Diegiant „Windows“, dauguma smulkių posistemių nėra aktyvinami arba neįdiegti. Tai daroma saugumo sumetimais. Kadangi pagal numatytuosius nustatymus sistema yra saugi, sistemos administratoriai gali sutelkti dėmesį į sistemos kūrimą, kuri atliks tik jai priskirtas funkcijas ir nieko daugiau. Kad būtų lengviau įjungti reikalingas funkcijas, „Windows“ ragina pasirinkti serverio vaidmenį. VaidmenysServerio vaidmuo yra programų rinkinys, kuris, tinkamai įdiegtas ir sukonfigūruotas, leidžia kompiuteriui atlikti konkrečią funkciją keliems vartotojams arba kitiems tinklo kompiuteriams. Apskritai visi vaidmenys turi šias ypatybes.
Vaidmenų paslaugosVaidmenų paslaugos yra programos, kurios teikia funkcionalumą vaidmenis. Kai įdiegiate vaidmenį, galite pasirinkti, kokias paslaugas jis teikia kitiems įmonės vartotojams ir kompiuteriams. Kai kurie vaidmenys, pvz., DNS serveris, atlieka tik vieną funkciją, todėl jiems nėra jokių vaidmenų paslaugų. Kiti vaidmenys, pvz., nuotolinio darbalaukio paslaugos, turi kelias paslaugas, kurias galima įdiegti atsižvelgiant į jūsų įmonės nuotolinės prieigos poreikius. Vaidmuo gali būti vertinamas kaip glaudžiai susijusių, vienas kitą papildančių vaidmenų paslaugų rinkinys. Daugeliu atvejų vaidmens įdiegimas reiškia vienos ar kelių jo paslaugų įdiegimą. Komponentai Komponentai yra programos, kurios nėra tiesiogiai vaidmenų dalis, bet palaiko arba išplečia vieno ar kelių vaidmenų arba viso serverio funkcionalumą, neatsižvelgiant į tai, kurie vaidmenys yra įdiegti. Pavyzdžiui, „Failover Cluster“ funkcija išplečia kitų vaidmenų, pvz., failų tarnybų ir DHCP serverio, funkcionalumą, leisdama jiems prisijungti prie serverių grupių, taip padidindama dubliavimą ir našumą. Kitas komponentas – „Telnet Client“ – užtikrina nuotolinį ryšį su Telnet serveriu per tinklo prisijungimas. Ši funkcija pagerina serverio ryšio galimybes. Kai „Windows Server“ veikia pagrindiniu režimu serverio komponentai, palaikomi šie serverio vaidmenys:
Kai Windows Server veikia Server Core režimu, palaikomi šie serverio komponentai:
Serverio vaidmenų diegimas naudojant serverio tvarkyklęNorėdami pridėti, atidarykite Serverio tvarkyklę ir meniu Tvarkyti spustelėkite Pridėti vaidmenis ir funkcijas: Atsidaro vaidmenų ir funkcijų pridėjimo vedlys. Spustelėkite Kitas Diegimo tipas, pasirinkite Vaidmenų arba funkcijų diegimas. Kitas: Serverio pasirinkimas – pasirinkite mūsų serverį. Spustelėkite Kitas serverio vaidmenys – pasirinkite vaidmenis, jei reikia, pasirinkite vaidmenų paslaugas ir spustelėkite Pirmyn, kad pasirinktumėte komponentus. Šios procedūros metu vaidmenų ir funkcijų pridėjimo vedlys automatiškai informuos jus, jei paskirties serveryje yra kokių nors konfliktų, dėl kurių pasirinkti vaidmenys ar funkcijos gali būti neįdiegti arba tinkamai veikti. Taip pat būsite paraginti įtraukti vaidmenis, vaidmenų paslaugas ir funkcijas, kurių reikia pasirinktiems vaidmenims ar funkcijoms. Vaidmenų diegimas naudojant „PowerShell“.Atidarykite Windows PowerShell Įveskite komandą Get-WindowsFeature, kad peržiūrėtumėte galimų ir įdiegtų vaidmenų ir funkcijų sąrašą vietiniame serveryje. Šios cmdlet rezultatuose yra įdiegtų ir įdiegtų funkcijų ir funkcijų komandų pavadinimai. Įveskite Get-Help Install-WindowsFeature, kad peržiūrėtumėte cmdlet Install-WindowsFeature (MAN) sintaksę ir galiojančius parametrus. Įveskite šią komandą (-Restart iš naujo paleis serverį, jei diegiant vaidmenį reikės paleisti iš naujo). Įdiegti-WindowsFeature-pavadinimas Vaidmenų ir vaidmenų paslaugų aprašymasVisi vaidmenys ir vaidmenų paslaugos aprašytos toliau. Pažvelkime į išplėstinę konfigūraciją, kuri dažniausiai naudojama mūsų praktikoje: žiniatinklio serverio vaidmuo ir nuotolinio darbalaukio paslaugos Išsamus IIS aprašymas
Išsamus RDS aprašymas
Pažiūrėkime, kaip įdiegti ir konfigūruoti terminalo licencijos serverį. Aukščiau aprašyta, kaip įdiegti vaidmenis, RDS diegimas nesiskiria nuo kitų vaidmenų diegimo; Role Services turėsime pasirinkti nuotolinio darbalaukio licencijavimą ir nuotolinio darbalaukio seanso prieglobą. Įdiegę elementas Terminal Services bus rodomas Serverio tvarkytuvės įrankiuose. Terminalo paslaugos turi du elementus: RD Licensing Diagnoser, kuris yra nuotolinio darbalaukio licencijavimo diagnostikos įrankis, ir Remote Desktop Licensing Manager, kuris yra licencijų valdymo įrankis. Paleiskite RD licencijavimo diagnostiką Čia matome, kad dar nėra galimų licencijų, nes nenustatytas nuotolinio darbalaukio seanso prieglobos serverio licencijavimo režimas. Licencijavimo serveris nurodytas vietinės grupės strategijose. Norėdami paleisti rengyklę, paleiskite komandą gpedit.msc. Atsidarys vietinės grupės strategijos redaktorius. Kairėje esančiame medyje atidarykime skirtukus:
Atidarykite parametrus Naudokite nurodytus nuotolinio darbalaukio licencijų serverius Politikos nustatymų redagavimo lange įgalinkite licencijavimo serverį (įjungta). Tada turite nustatyti nuotolinio darbalaukio paslaugų licencijavimo serverį. Mano pavyzdyje licencijavimo serveris yra tame pačiame fiziniame serveryje. Mes nurodome tinklo pavadinimas arba licencijos serverio IP adresą ir spustelėkite Gerai. Jei ateityje pakeisite serverio pavadinimą, licencijos serverį reikės pakeisti tame pačiame skyriuje. Po to RD licencijavimo diagnostikoje galite pamatyti, kad terminalo licencijos serveris sukonfigūruotas, bet neįjungtas. Norėdami įjungti, paleiskite nuotolinio darbalaukio licencijavimo tvarkyklę Pasirinkite licencijavimo serverį, kurio būsena Neaktyvinta. Norėdami suaktyvinti, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite Aktyvuoti serverį. Bus paleistas serverio aktyvinimo vedlys. Skirtuke Prisijungimo būdas pasirinkite Automatinis prisijungimas. Tada užpildykite informaciją apie organizaciją, po kurios suaktyvinamas licencijų serveris. „Active Directory“ sertifikatų paslaugosAD CS teikia tinkinamas skaitmeninių sertifikatų paslaugas, kurios naudojamos programinės įrangos saugos sistemose, kurios naudoja technologijas viešieji raktai, ir šių sertifikatų valdymas. AD CS teikiami skaitmeniniai sertifikatai gali būti naudojami elektroniniams dokumentams ir pranešimams šifruoti ir skaitmeniniu būdu pasirašyti. Šiuos skaitmeninius sertifikatus galima naudoti kompiuterių, naudotojų ir įrenginių paskyrų autentiškumui tinkle patikrinti. Skaitmeniniai sertifikatai naudojami siekiant užtikrinti:
AD CS gali būti naudojama siekiant pagerinti saugumą, susiejant vartotoją, įrenginį arba paslaugos tapatybę su atitinkama privatus raktas. AD CS palaikomos programos apima saugius daugiafunkcinius interneto pašto plėtinius (S/MIME), saugius belaidžius tinklus, virtualius privačius tinklus (VPN), IPsec protokolas, šifravimo failų sistema (EFS), prisijungimas prie intelektualiosios kortelės, saugos protokolo ir transportavimo lygmens sauga (SSL/TLS) ir skaitmeniniai parašai. „Active Directory“ domeno paslaugosNaudodami „Active Directory Domain Services“ (AD DS) serverio vaidmenį, galite sukurti keičiamo dydžio, saugią ir valdomą infrastruktūrą, skirtą vartotojams ir ištekliams valdyti; Taip pat galite palaikyti katalogą žinančias programas, tokias kaip Microsoft Exchange Server. „Active Directory“ domeno paslaugos teikia paskirstyta duomenų bazė duomenys, kuriuose saugoma ir tvarkoma informacija apie tinklo išteklius ir katalogų įgalintų programų duomenis. Serveris, kuriame veikia AD DS, vadinamas domeno valdikliu. Administratoriai gali naudoti AD DS, kad sutvarkytų tinklo elementus, tokius kaip vartotojai, kompiuteriai ir kiti įrenginiai, į hierarchinę, įdėtą struktūrą. Hierarchinė įdėta struktūra apima Active Directory mišką, miško domenus ir kiekvieno domeno organizacinius vienetus. Saugos funkcijos yra integruotos į AD DS autentifikavimo ir prieigos prie katalogo išteklių kontrolės forma. Naudodami vienkartinį prisijungimą prie tinklo, administratoriai gali valdyti katalogų duomenis ir organizavimą visame tinkle. Įgalioti tinklo vartotojai taip pat gali naudoti vieną tinklo prisijungimą, kad pasiektų išteklius, esančius bet kurioje tinklo vietoje. „Active Directory Domain Services“ teikia šias papildomas funkcijas.
„Active Directory“ susiejimo paslaugosAD FS suteikia supaprastintas ir saugias tapatybės susiejimo ir žiniatinklio vienkartinio prisijungimo (SSO) galimybes galutiniams vartotojams, kuriems reikia pasiekti programas AD FS apsaugotoje įmonėje, susiejimo partneryje arba debesyje. „Windows Server“ AD FS apima vaidmenų paslauga „Federation Services“, veikianti kaip tapatybės teikėjas (autentifikuoja vartotojus, kad jie teiktų saugos prieigos raktus programoms, kurios pasitiki AD FS) arba kaip federacijos teikėjas (taiko kitų tapatybės teikėjų prieigos raktus, o tada teikia saugos prieigos raktus programoms, kurios pasitiki AD FS). „Active Directory“ lengvosios katalogų paslaugos„Active Directory Lightweight Directory Services“ (AD LDS) yra LDAP protokolas, suteikiantis lankstų katalogų programų palaikymą be „Active Directory“ domeno paslaugų priklausomybių ir domeno apribojimų. AD LDS gali būti paleistas narių arba atskiruose serveriuose. Galite paleisti kelis AD LDS egzempliorius viename serveryje su nepriklausomai valdomomis schemomis. Naudodami AD LDS paslaugos vaidmenį, galite teikti katalogų paslaugas katalogą žinančioms programoms be papildomų domenų ir miškų išlaidų ir nereikalaujant vienos miško schemos. „Active Directory“ teisių valdymo paslaugosAD RMS gali būti naudojamas siekiant pagerinti organizacijos saugumo strategiją, apsaugant dokumentus naudojant informacijos teisių valdymą (IRM). AD RMS leidžia vartotojams ir administratoriams priskirti prieigos leidimus dokumentams, darbaknygėms ir pristatymams naudojant IRM politiką. Tai padeda apsaugoti konfidencialią informaciją, kad neteisėti vartotojai negalėtų spausdinti, persiųsti ar kopijuoti. Kai failo leidimai yra apriboti naudojant IRM, prieigos ir naudojimo apribojimai taikomi neatsižvelgiant į informacijos vietą, nes failo leidimas saugomas pačiame dokumento faile. Naudodami AD RMS ir IRM, individualūs vartotojai gali taikyti savo asmenines nuostatas, susijusias su asmenine ir neskelbtina informacija. Jie taip pat padės organizacijai taikyti įmonės politiką, reglamentuojančią konfidencialios ir asmeninės informacijos naudojimą ir platinimą. AD RMS paslaugų palaikomi IRM sprendimai naudojami toliau nurodytoms funkcijoms suteikti.
Programų serveris„Application Server“ suteikia integruotą aplinką, skirtą tinkintoms serverio verslo programoms diegti ir paleisti. DHCP serverisDHCP yra kliento ir serverio technologija, kurią naudojant DHCP serveriai gali priskirti arba išsinuomoti IP adresus kompiuteriams ir kitiems įrenginiams, kurie yra DHCP klientai. Diegiant DHCP serverius tinkle, kliento kompiuteriai ir kiti tinklo įrenginiai automatiškai suteikiami pagal galiojančius IPv4 ir IPv6 IP adresus ir papildomų konfigūracijos parametrų, kurių reikia šiems klientams ir įrenginiams. DHCP serverio paslauga sistemoje Windows Server apima politika pagrįstų priskyrimų ir DHCP gedimų valdymo palaikymą. DNS serverisDNS paslauga yra hierarchinė paskirstyta duomenų bazė, kurioje yra DNS domenų vardų susiejimas su įvairių tipų duomenis, tokius kaip IP adresai. DNS leidžia naudoti draugiškus pavadinimus, pvz., www.microsoft.com, kad būtų lengviau rasti kompiuterius ir kitus išteklius TCP/IP tinkluose. „Windows Server DNS“ teikia papildomą patobulintą DNS saugos plėtinių (DNSSEC) palaikymą, įskaitant internetinę registraciją ir automatinį nustatymų valdymą. Fakso serverisFakso serveris siunčia ir priima faksogramas, taip pat suteikia galimybę tvarkyti fakso išteklius, pvz., užduotis, nustatymus, ataskaitas ir fakso serverio fakso įrenginius. Failų ir saugojimo paslaugosAdministratoriai gali naudoti failų ir saugyklos paslaugų vaidmenį, norėdami konfigūruoti kelis failų serverius ir jų saugyklą bei valdyti tuos serverius naudodami serverio tvarkyklę arba „Windows PowerShell“. Kai kurios konkrečios programos turi šias funkcijas.
Hiper-V„Hyper-V“ vaidmuo leidžia kurti ir valdyti virtualizuotą skaičiavimo aplinką naudojant „Windows Server“ integruotą virtualizacijos technologiją. Diegiant „Hyper-V“ vaidmenį įdiegiamos būtinos sąlygos ir pasirenkami valdymo įrankiai. Reikalingi komponentai apima hipervizorius„Windows“ virtualaus valdymo paslauga Hyper-V mašinos, WMI virtualizacijos teikėjas ir virtualizacijos komponentai, tokie kaip VMbus, virtualizacijos paslaugų teikėjas (VSP) ir virtualios infrastruktūros tvarkyklė (VID). Tinklo politika ir prieigos paslaugosTinklo politika ir prieigos paslaugos teikia šiuos tinklo jungčių sprendimus:
Spausdinimo ir dokumentų paslaugosSpausdinimo ir dokumentų paslaugos leidžia centralizuoti spausdinimo serverio ir tinklo spausdintuvo užduotis. Šis vaidmuo taip pat leidžia gauti nuskaitytus dokumentus iš tinklo skaitytuvų ir įkelti dokumentus į tinklo bendrinamus elementus, pvz., „Windows SharePoint Services“ svetainę arba paštu. Nuotolinis prisijungimasNuotolinės prieigos serverio vaidmuo yra logiška toliau nurodytų tinklo prieigos technologijų grupuotė.
Šios technologijos yra vaidmenų paslaugos Nuotolinės prieigos serverio vaidmenys. Kai įdiegiate nuotolinės prieigos serverio vaidmenį, galite įdiegti vieną ar daugiau vaidmenų paslaugų, paleisdami vaidmenų ir funkcijų įtraukimo vedlį. „Windows Server“ nuotolinės prieigos serverio vaidmuo suteikia galimybę centralizuotai administruoti, konfigūruoti ir stebėti „DirectAccess“ nuotolinės prieigos paslaugas ir VPN su maršruto parinkimo ir nuotolinės prieigos paslauga (RRAS). „DirectAccess“ ir RRAS gali būti diegiami tame pačiame krašto serveryje ir valdomi naudojant „Windows“ komandos PowerShell ir nuotolinės prieigos valdymo pultas (MMC). Nuotolinio darbalaukio paslaugosNuotolinio darbalaukio paslaugos pagreitina ir išplečia stalinių kompiuterių ir programų diegimą bet kuriame įrenginyje, padidindamos nuotolinio darbuotojo produktyvumą, tuo pačiu užtikrindamos svarbiausią intelektinę nuosavybę ir supaprastindamos atitiktį reikalavimams. Nuotolinio darbalaukio paslaugos apima virtualiojo darbalaukio infrastruktūrą (VDI), seanso pagrindu veikiančius stalinius kompiuterius ir programas, suteikiančias vartotojams galimybę dirbti iš bet kurios vietos. Apimties aktyvinimo paslaugosVolume Activation Services yra serverio vaidmuo sistemoje Windows Server, pradedant nuo Windows Server 2012, kuris automatizuoja ir supaprastina bendrųjų licencijų išdavimą. programinė įranga Microsoft, taip pat valdyti tokias licencijas įvairiuose scenarijuose ir aplinkose. Kartu su apimties aktyvinimo paslaugomis galite įdiegti ir konfigūruoti raktų valdymo paslaugą (KMS) ir aktyvinimą Active Directory. žiniatinklio serveris (IIS)„Windows Server“ žiniatinklio serverio (IIS) vaidmuo suteikia platformą svetainėms, paslaugoms ir programoms priglobti. Naudojant žiniatinklio serverį informacija tampa prieinama vartotojams internete, intranete ir ekstranete. Administratoriai gali naudoti žiniatinklio serverio (IIS) vaidmenį, norėdami konfigūruoti ir valdyti kelias svetaines, žiniatinklio programas ir FTP svetaines. Pritaikymo neįgaliesiems funkcijos apima šias funkcijas.
„Windows“ diegimo paslaugos„Windows Deployment Services“ leidžia diegti „Windows“ operacines sistemas tinkle, o tai reiškia, kad jums nereikia diegti kiekvienos operacinės sistemos tiesiai iš kompaktinio disko ar DVD. „Windows Server Essentials“ patirtisŠis vaidmuo leidžia išspręsti šias užduotis:
„Windows Server“ naujinimo paslaugosWSUS serveryje yra komponentų, kurių administratoriams reikia tvarkyti ir platinti naujinimus per valdymo pultą. Be to, WSUS serveris gali būti kitų organizacijos WSUS serverių naujinimų šaltinis. Kai įdiegiate WSUS, bent vienas WSUS serveris jūsų tinkle turi būti prijungtas prie „Microsoft Update“, kad gautų informaciją apie galimus naujinimus. Atsižvelgdamas į jūsų tinklo saugą ir konfigūraciją, jūsų administratorius gali nustatyti, kiek kitų serverių yra tiesiogiai prijungtas prie „Microsoft Update“. Diegiant „Windows“, dauguma smulkių posistemių nėra aktyvinami arba neįdiegti. Tai daroma saugumo sumetimais. Kadangi pagal numatytuosius nustatymus sistema yra saugi, sistemos administratoriai gali sutelkti dėmesį į sistemos sukūrimą, kuri atliks tiksliai numatytas funkcijas ir nieko daugiau. Kad būtų lengviau įjungti reikalingas funkcijas, „Windows“ ragina pasirinkti serverio vaidmenį. VaidmenysServerio vaidmuo yra programų rinkinys, kuris, tinkamai įdiegtas ir sukonfigūruotas, leidžia kompiuteriui atlikti konkrečią funkciją keliems vartotojams arba kitiems tinklo kompiuteriams. Apskritai visi vaidmenys turi šias ypatybes.
Vaidmenų paslaugosVaidmenų paslaugos – tai programos, teikiančios vaidmens funkcionalumą. Kai įdiegiate vaidmenį, galite pasirinkti, kokias paslaugas jis teikia kitiems įmonės vartotojams ir kompiuteriams. Kai kurie vaidmenys, pvz., DNS serveris, atlieka tik vieną funkciją, todėl jiems nėra jokių vaidmenų paslaugų. Kiti vaidmenys, pvz., nuotolinio darbalaukio paslaugos, turi kelias paslaugas, kurias galima įdiegti atsižvelgiant į jūsų įmonės nuotolinės prieigos poreikius. Vaidmuo gali būti vertinamas kaip glaudžiai susijusių, vienas kitą papildančių vaidmenų paslaugų rinkinys. Daugeliu atvejų vaidmens įdiegimas reiškia vienos ar kelių jo paslaugų įdiegimą. Komponentai Komponentai yra programos, kurios nėra tiesiogiai vaidmenų dalis, bet palaiko arba išplečia vieno ar kelių vaidmenų arba viso serverio funkcionalumą, neatsižvelgiant į tai, kurie vaidmenys yra įdiegti. Pavyzdžiui, „Failover Cluster“ funkcija išplečia kitų vaidmenų, pvz., failų tarnybų ir DHCP serverio, funkcionalumą, leisdama jiems prisijungti prie serverių grupių, taip padidindama dubliavimą ir našumą. Kitas komponentas, Telnet Client, užtikrina nuotolinį ryšį su Telnet serveriu per tinklo ryšį. Ši funkcija pagerina serverio ryšio galimybes. Kai Windows Server veikia Server Core režimu, palaikomi šie serverio vaidmenys:
Kai Windows Server veikia Server Core režimu, palaikomi šie serverio komponentai:
Serverio vaidmenų diegimas naudojant serverio tvarkyklęNorėdami pridėti, atidarykite Serverio tvarkyklę ir meniu Tvarkyti spustelėkite Pridėti vaidmenis ir funkcijas: Atsidaro vaidmenų ir funkcijų pridėjimo vedlys. Spustelėkite Kitas Diegimo tipas, pasirinkite Vaidmenų arba funkcijų diegimas. Kitas: Serverio pasirinkimas – pasirinkite mūsų serverį. Spustelėkite Kitas serverio vaidmenys – pasirinkite vaidmenis, jei reikia, pasirinkite vaidmenų paslaugas ir spustelėkite Pirmyn, kad pasirinktumėte komponentus. Šios procedūros metu vaidmenų ir funkcijų pridėjimo vedlys automatiškai informuos jus, jei paskirties serveryje yra kokių nors konfliktų, dėl kurių pasirinkti vaidmenys ar funkcijos gali būti neįdiegti arba tinkamai veikti. Taip pat būsite paraginti įtraukti vaidmenis, vaidmenų paslaugas ir funkcijas, kurių reikia pasirinktiems vaidmenims ar funkcijoms. Vaidmenų diegimas naudojant „PowerShell“.Atidarykite Windows PowerShell Įveskite komandą Get-WindowsFeature, kad peržiūrėtumėte galimų ir įdiegtų vaidmenų ir funkcijų sąrašą vietiniame serveryje. Šios cmdlet rezultatuose yra įdiegtų ir įdiegtų funkcijų ir funkcijų komandų pavadinimai. Įveskite Get-Help Install-WindowsFeature, kad peržiūrėtumėte cmdlet Install-WindowsFeature (MAN) sintaksę ir galiojančius parametrus. Įveskite šią komandą (-Restart iš naujo paleis serverį, jei diegiant vaidmenį reikės paleisti iš naujo). Įdiegti-WindowsFeature-Vardas-Paleisti iš naujo Vaidmenų ir vaidmenų paslaugų aprašymasVisi vaidmenys ir vaidmenų paslaugos aprašytos toliau. Pažvelkime į išplėstinę konfigūraciją, kuri dažniausiai naudojama mūsų praktikoje: žiniatinklio serverio vaidmuo ir nuotolinio darbalaukio paslaugos Išsamus IIS aprašymas
Išsamus RDS aprašymas
Pažiūrėkime, kaip įdiegti ir konfigūruoti terminalo licencijos serverį. Aukščiau aprašyta, kaip įdiegti vaidmenis, RDS diegimas nesiskiria nuo kitų vaidmenų diegimo; Role Services turėsime pasirinkti nuotolinio darbalaukio licencijavimą ir nuotolinio darbalaukio seanso prieglobą. Įdiegę elementas Terminal Services bus rodomas Serverio tvarkytuvės įrankiuose. Terminalo paslaugos turi du elementus: RD Licensing Diagnoser, kuris yra nuotolinio darbalaukio licencijavimo diagnostikos įrankis, ir Remote Desktop Licensing Manager, kuris yra licencijų valdymo įrankis. Paleiskite RD licencijavimo diagnostiką Čia matome, kad dar nėra galimų licencijų, nes nenustatytas nuotolinio darbalaukio seanso prieglobos serverio licencijavimo režimas. Licencijavimo serveris nurodytas vietinės grupės strategijose. Norėdami paleisti rengyklę, paleiskite komandą gpedit.msc. Atsidarys vietinės grupės strategijos redaktorius. Kairėje esančiame medyje atidarykime skirtukus:
Atidarykite parametrus Naudokite nurodytus nuotolinio darbalaukio licencijų serverius Politikos nustatymų redagavimo lange įgalinkite licencijavimo serverį (įjungta). Tada turite nustatyti nuotolinio darbalaukio paslaugų licencijavimo serverį. Mano pavyzdyje licencijavimo serveris yra tame pačiame fiziniame serveryje. Nurodykite licencijos serverio tinklo pavadinimą arba IP adresą ir spustelėkite Gerai. Jei ateityje pakeisite serverio pavadinimą, licencijos serverį reikės pakeisti tame pačiame skyriuje. Po to RD licencijavimo diagnostikoje galite pamatyti, kad terminalo licencijos serveris sukonfigūruotas, bet neįjungtas. Norėdami įjungti, paleiskite nuotolinio darbalaukio licencijavimo tvarkyklę Pasirinkite licencijavimo serverį, kurio būsena Neaktyvinta. Norėdami suaktyvinti, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite Aktyvuoti serverį. Bus paleistas serverio aktyvinimo vedlys. Skirtuke Prisijungimo būdas pasirinkite Automatinis prisijungimas. Tada užpildykite informaciją apie organizaciją, po kurios suaktyvinamas licencijų serveris. „Active Directory“ sertifikatų paslaugosAD CS teikia pritaikomus skaitmeninių sertifikatų, naudojamų programinės įrangos saugos sistemose, kuriose naudojamos viešojo rakto technologijos, išdavimo ir valdymo paslaugas. AD CS teikiami skaitmeniniai sertifikatai gali būti naudojami elektroniniams dokumentams ir pranešimams šifruoti ir skaitmeniniu būdu pasirašyti. Šiuos skaitmeninius sertifikatus galima naudoti kompiuterių, naudotojų ir įrenginių paskyrų autentiškumui tinkle patikrinti. Skaitmeniniai sertifikatai naudojami siekiant užtikrinti:
AD CS gali būti naudojama siekiant pagerinti saugumą, susiejant vartotojo, įrenginio ar paslaugos tapatybę su atitinkamu privačiu raktu. AD CS palaikomas naudojimas apima saugų daugiafunkcinį interneto pašto plėtinį (S/MIME), saugų belaidžią tinklą, virtualius privačius tinklus (VPN), IPsec, šifruojančią failų sistemą (EFS), prisijungimą prie intelektualiosios kortelės, duomenų perdavimo saugą ir transportavimo lygmens saugos protokolą ( SSL/TLS) ir skaitmeninius parašus. „Active Directory“ domeno paslaugosNaudodami „Active Directory Domain Services“ (AD DS) serverio vaidmenį, galite sukurti keičiamo dydžio, saugią ir valdomą infrastruktūrą, skirtą vartotojams ir ištekliams valdyti; Taip pat galite palaikyti katalogą žinančias programas, tokias kaip Microsoft Exchange Server. „Active Directory Domain Services“ teikia paskirstytą duomenų bazę, kurioje saugoma ir tvarkoma informacija apie tinklo išteklius ir katalogų įgalintų programų duomenis. Serveris, kuriame veikia AD DS, vadinamas domeno valdikliu. Administratoriai gali naudoti AD DS, kad sutvarkytų tinklo elementus, tokius kaip vartotojai, kompiuteriai ir kiti įrenginiai, į hierarchinę, įdėtą struktūrą. Hierarchinė įdėta struktūra apima Active Directory mišką, miško domenus ir kiekvieno domeno organizacinius vienetus. Saugos funkcijos yra integruotos į AD DS autentifikavimo ir prieigos prie katalogo išteklių kontrolės forma. Naudodami vienkartinį prisijungimą prie tinklo, administratoriai gali valdyti katalogų duomenis ir organizavimą visame tinkle. Įgalioti tinklo vartotojai taip pat gali naudoti vieną tinklo prisijungimą, kad pasiektų išteklius, esančius bet kurioje tinklo vietoje. „Active Directory Domain Services“ teikia šias papildomas funkcijas.
„Active Directory“ susiejimo paslaugosAD FS suteikia supaprastintas ir saugias tapatybės susiejimo ir žiniatinklio vienkartinio prisijungimo (SSO) galimybes galutiniams vartotojams, kuriems reikia pasiekti programas AD FS apsaugotoje įmonėje, susiejimo partneryje arba debesyje. „Windows Server“ AD FS apima vaidmenų paslauga „Federation Services“, veikianti kaip tapatybės teikėjas (autentifikuoja vartotojus, kad jie teiktų saugos prieigos raktus programoms, kurios pasitiki AD FS) arba kaip federacijos teikėjas (taiko kitų tapatybės teikėjų prieigos raktus, o tada teikia saugos prieigos raktus programoms, kurios pasitiki AD FS). „Active Directory“ lengvosios katalogų paslaugos„Active Directory Lightweight Directory Services“ (AD LDS) yra LDAP protokolas, suteikiantis lankstų katalogų programų palaikymą be „Active Directory“ domeno paslaugų priklausomybių ir domeno apribojimų. AD LDS gali būti paleistas narių arba atskiruose serveriuose. Galite paleisti kelis AD LDS egzempliorius viename serveryje su nepriklausomai valdomomis schemomis. Naudodami AD LDS paslaugos vaidmenį, galite teikti katalogų paslaugas katalogą žinančioms programoms be papildomų domenų ir miškų išlaidų ir nereikalaujant vienos miško schemos. „Active Directory“ teisių valdymo paslaugosAD RMS gali būti naudojamas siekiant pagerinti organizacijos saugumo strategiją, apsaugant dokumentus naudojant informacijos teisių valdymą (IRM). AD RMS leidžia vartotojams ir administratoriams priskirti prieigos leidimus dokumentams, darbaknygėms ir pristatymams naudojant IRM politiką. Tai padeda apsaugoti konfidencialią informaciją, kad neteisėti vartotojai negalėtų spausdinti, persiųsti ar kopijuoti. Kai failo leidimai yra apriboti naudojant IRM, prieigos ir naudojimo apribojimai taikomi neatsižvelgiant į informacijos vietą, nes failo leidimas saugomas pačiame dokumento faile. Naudodami AD RMS ir IRM, individualūs vartotojai gali taikyti savo asmenines nuostatas, susijusias su asmenine ir neskelbtina informacija. Jie taip pat padės organizacijai taikyti įmonės politiką, reglamentuojančią konfidencialios ir asmeninės informacijos naudojimą ir platinimą. AD RMS paslaugų palaikomi IRM sprendimai naudojami toliau nurodytoms funkcijoms suteikti.
Programų serveris„Application Server“ suteikia integruotą aplinką, skirtą tinkintoms serverio verslo programoms diegti ir paleisti. DHCP serverisDHCP yra kliento ir serverio technologija, kurią naudojant DHCP serveriai gali priskirti arba išsinuomoti IP adresus kompiuteriams ir kitiems įrenginiams, kurie yra DHCP klientai. Diegiant DHCP serverius tinkle, kliento kompiuteriai ir kiti tinklo įrenginiai automatiškai suteikiami pagal galiojančius IPv4 ir IPv6 IP adresus ir papildomų konfigūracijos parametrų, kurių reikia šiems klientams ir įrenginiams. DHCP serverio paslauga sistemoje Windows Server apima politika pagrįstų priskyrimų ir DHCP gedimų valdymo palaikymą. DNS serverisDNS paslauga yra hierarchinė, paskirstyta duomenų bazė, kurioje yra DNS domenų vardų susiejimas su įvairių tipų duomenimis, pvz., IP adresais. DNS leidžia naudoti draugiškus pavadinimus, pvz., www.microsoft.com, kad būtų lengviau rasti kompiuterius ir kitus išteklius TCP/IP tinkluose. „Windows Server DNS“ teikia papildomą patobulintą DNS saugos plėtinių (DNSSEC) palaikymą, įskaitant internetinę registraciją ir automatinį nustatymų valdymą. Fakso serverisFakso serveris siunčia ir priima faksogramas, taip pat suteikia galimybę tvarkyti fakso išteklius, pvz., užduotis, nustatymus, ataskaitas ir fakso serverio fakso įrenginius. Failų ir saugojimo paslaugosAdministratoriai gali naudoti failų ir saugyklos paslaugų vaidmenį, norėdami konfigūruoti kelis failų serverius ir jų saugyklą bei valdyti tuos serverius naudodami serverio tvarkyklę arba „Windows PowerShell“. Kai kurios konkrečios programos turi šias funkcijas.
Hiper-V„Hyper-V“ vaidmuo leidžia kurti ir valdyti virtualizuotą skaičiavimo aplinką naudojant „Windows Server“ integruotą virtualizacijos technologiją. Diegiant „Hyper-V“ vaidmenį įdiegiamos būtinos sąlygos ir pasirenkami valdymo įrankiai. Reikalingi komponentai apima „Windows“ hipervizorių, valdymo paslaugą virtualios mašinos Hyper-V, WMI virtualizacijos teikėjas ir virtualizacijos komponentai, tokie kaip VMbus, virtualizacijos paslaugų teikėjas (VSP) ir virtualios infrastruktūros tvarkyklė (VID). Tinklo politika ir prieigos paslaugosTinklo politika ir prieigos paslaugos teikia šiuos tinklo jungčių sprendimus:
Spausdinimo ir dokumentų paslaugosSpausdinimo ir dokumentų paslaugos leidžia centralizuoti spausdinimo serverio ir tinklo spausdintuvo užduotis. Šis vaidmuo taip pat leidžia gauti nuskaitytus dokumentus iš tinklo skaitytuvų ir įkelti dokumentus į bendrai naudojamus tinklus, pvz., „Windows SharePoint Services“ svetainę arba el. paštu. Nuotolinis prisijungimasNuotolinės prieigos serverio vaidmuo yra logiška toliau nurodytų tinklo prieigos technologijų grupuotė.
Šios technologijos yra vaidmenų paslaugos Nuotolinės prieigos serverio vaidmenys. Kai įdiegiate nuotolinės prieigos serverio vaidmenį, galite įdiegti vieną ar daugiau vaidmenų paslaugų, paleisdami vaidmenų ir funkcijų įtraukimo vedlį. „Windows Server“ nuotolinės prieigos serverio vaidmuo suteikia galimybę centralizuotai administruoti, konfigūruoti ir stebėti „DirectAccess“ nuotolinės prieigos paslaugas ir VPN su maršruto parinkimo ir nuotolinės prieigos paslauga (RRAS). „DirectAccess“ ir RRAS galima įdiegti tame pačiame krašto serveryje ir valdyti naudojant „Windows PowerShell“ komandas ir nuotolinės prieigos valdymo konsolę (MMC). Nuotolinio darbalaukio paslaugosNuotolinio darbalaukio paslaugos pagreitina ir išplečia stalinių kompiuterių ir programų diegimą bet kuriame įrenginyje, padidindamos nuotolinio darbuotojo produktyvumą, tuo pačiu užtikrindamos svarbiausią intelektinę nuosavybę ir supaprastindamos atitiktį reikalavimams. Nuotolinio darbalaukio paslaugos apima virtualiojo darbalaukio infrastruktūrą (VDI), seanso pagrindu veikiančius stalinius kompiuterius ir programas, suteikiančias vartotojams galimybę dirbti iš bet kurios vietos. Apimties aktyvinimo paslaugosVolume Activation Services yra serverio vaidmuo sistemoje Windows Server, pradedant nuo Windows Server 2012, kuris automatizuoja ir supaprastina Microsoft programinės įrangos bendrųjų licencijų išdavimą ir valdymą įvairiais scenarijais ir aplinkomis. Kartu su apimties aktyvinimo paslaugomis galite įdiegti ir konfigūruoti raktų valdymo paslaugą (KMS) ir aktyvinimą Active Directory. žiniatinklio serveris (IIS)„Windows Server“ žiniatinklio serverio (IIS) vaidmuo suteikia platformą svetainėms, paslaugoms ir programoms priglobti. Naudojant žiniatinklio serverį informacija tampa prieinama vartotojams internete, intranete ir ekstranete. Administratoriai gali naudoti žiniatinklio serverio (IIS) vaidmenį, norėdami konfigūruoti ir valdyti kelias svetaines, žiniatinklio programas ir FTP svetaines. Pritaikymo neįgaliesiems funkcijos apima šias funkcijas.
„Windows“ diegimo paslaugos„Windows Deployment Services“ leidžia diegti „Windows“ operacines sistemas tinkle, o tai reiškia, kad jums nereikia diegti kiekvienos operacinės sistemos tiesiai iš kompaktinio disko ar DVD. „Windows Server Essentials“ patirtisŠis vaidmuo leidžia išspręsti šias užduotis:
„Windows Server“ naujinimo paslaugosWSUS serveryje yra komponentų, kurių administratoriams reikia tvarkyti ir platinti naujinimus per valdymo pultą. Be to, WSUS serveris gali būti kitų organizacijos WSUS serverių naujinimų šaltinis. Kai įdiegiate WSUS, bent vienas WSUS serveris jūsų tinkle turi būti prijungtas prie „Microsoft Update“, kad gautų informaciją apie galimus naujinimus. Atsižvelgdamas į jūsų tinklo saugą ir konfigūraciją, jūsų administratorius gali nustatyti, kiek kitų serverių yra tiesiogiai prijungtas prie „Microsoft Update“. Įvadas Didėjant kompiuterių skaičiui įmonėje, vis aktualesnis tampa jų valdymo ir priežiūros išlaidų klausimas. Rankinis nustatymas kompiuteriams reikia daug darbuotojų laiko ir jėgų, didėjant kompiuterių skaičiui, siekiant padidinti juos aptarnaujančio personalo skaičių. Be to, esant dideliam mašinų skaičiui, tampa vis sunkiau užtikrinti, kad būtų laikomasi įmonės priimtų pritaikymo standartų. Grupės politika yra visapusiškas įrankis centralizuotas valdymas kompiuteriuose, kuriuose veikia „Windows 2000“ ir naujesnė versija „Active Directory“ domene. Grupės strategijos netaikomos kompiuteriams, kuriuose veikia Windows NT4/9x: jas valdo sistemos politika, kuri šiame straipsnyje nebus aptariama. Grupės politikos objektai Visi nustatymai, kuriuos sukuriate grupės strategijose, bus saugomi grupės strategijos objektuose (GPO). Yra dviejų tipų GPO: vietiniai GPO ir Active Directory GPO. Vietinis grupės strategijos objektas pasiekiamas kompiuteriuose, kuriuose veikia „Windows 2000“ ir naujesnė versija. Gali būti tik vienas, ir tai yra vienintelis GPO, kuris gali būti ne domeno kompiuteryje. Grupės strategijos objektas yra bendras failų, katalogų ir įrašų rinkinio Active Directory duomenų bazėje (jei tai nėra vietinis objektas), kuriame saugomi jūsų parametrai ir nustatoma, kokius kitus parametrus galite pakeisti naudodami grupės strategijas, pavadinimas. Kai kuriate politiką, iš esmės kuriate ir modifikuojate GPO. Vietinis GPO saugomas %SystemRoot%\System32\GroupPolicy. Active Directory GPO saugomi domeno valdiklyje ir gali būti susieti su svetaine, domenu arba OU (organizaciniu vienetu). Objekto įrišimas nustato jo apimtį. Pagal numatytuosius nustatymus domene sukuriami du GPO: numatytoji domeno politika ir numatytoji domeno valdiklio politika. Pirmasis apibrėžia numatytąją slaptažodžių ir paskyrų politiką domene. Antrasis palaiko ryšį su Domain Controllers OU ir pagerina domeno valdiklių saugos parametrus. Sukurkite GPO Norėdami sukurti strategiją (ty iš tikrųjų sukurti naują grupės strategijos objektą), atidarykite „Active Directory“ naudotojai ir kompiuteriai ir pasirinkite, kur sukurti naują objektą. Galite sukurti ir susieti GPO tik su svetaine, domenu arba OU objektu. Ryžiai. 1. Sukurkite grupės strategijos objektą. Norėdami sukurti GPO ir susieti jį, pavyzdžiui, su bandytojų OU, dešiniuoju pelės mygtuku spustelėkite šią OU ir kontekstiniame meniu pasirinkite ypatybes. Atsidariusiame ypatybių lange atidarykite skirtuką Grupės politika ir spustelėkite Naujas. Ryžiai. 2. Sukurkite grupės strategijos objektą. Suteikiame GP objektui pavadinimą, po kurio sukuriamas objektas, ir galime pradėti konfigūruoti politiką. Dukart spustelėkite sukurtą objektą arba paspauskite mygtuką Edit, atsivers GPO redaktoriaus langas, kuriame galėsite sukonfigūruoti konkrečius objekto parametrus. Ryžiai. 3. Išplėstinio skirtuko nustatymų aprašymas. Dauguma pagrindinių nustatymų yra intuityvūs (jie taip pat turi aprašymą, jei atidarote skirtuką Išplėstinė), ir mes nenagrinėsime kiekvieno iš jų. Kaip matyti iš fig. 3, GPO susideda iš dviejų skyrių: Kompiuterio konfigūracija ir Vartotojo konfigūracija. Pirmojo skaidinio nustatymai taikomi Windows įkrovos metu kompiuteriams, esantiems šiame konteineryje ir žemiau (nebent paveldėjimas išjungtas), ir nepriklauso nuo to, kuris vartotojas yra prisijungęs. Antroje skiltyje esantys nustatymai taikomi vartotojo prisijungimo metu. Kaip taikyti grupės strategijos objektus Kai kompiuteris paleidžiamas, atliekami šie veiksmai: 1. Nuskaitomas registras ir nustatoma, kuriai svetainei priklauso kompiuteris. Pateikiamas prašymas DNS serveris norėdami gauti šioje svetainėje esančių domeno valdiklių IP adresus. Grupės strategijos taikomos, kai OS paleidžiama ir kai vartotojas prisijungia. Tada jie taikomi kas 90 minučių su 30 minučių pokyčiu, siekiant užtikrinti, kad domeno valdiklis nebūtų perkrautas, jei vienu metu yra daug klientų užklausų. Domeno valdikliams atnaujinimo intervalas yra 5 minutės. Šį elgesį galite pakeisti skyriuje Kompiuterio konfigūracija\Administravimo šablonai\Sistema\Grupės strategija. GPO gali paveikti tik kompiuterį ir vartotojo objektus. Politika taikoma tik objektams, esantiems katalogo objekte (svetainėje, domene, organizaciniame vienete), su kuriuo susietas GPO, ir esantiems žemiau „medyje“ (nebent paveldėjimas draudžiamas). Pavyzdžiui: bandytojų OU sukuriamas GPO (kaip padarėme aukščiau). Ryžiai. 4. Nustatymų paveldėjimas. Visi nustatymai, atlikti šiame GPO, turės įtakos tik naudotojams ir kompiuteriams, esantiems testuotojų OU ir InTesters OU. Pažvelkime į politikos taikymo procedūrą naudodami pavyzdį. Bandomasis vartotojas, esantis testuotojų OU, prisijungia prie kompo kompiuterio, esančio compOU OU (žr. 5 pav.). Ryžiai. 5. Politikos taikymo tvarka. Domene yra keturi GPO: 1. „SitePolicy“, susieta su svetainės sudėtiniu rodiniu; At paleidžiant „Windows“. Kompiuterio darbo vietoje parametrai, apibrėžti skyriuose Kompiuterio konfigūracija, taikomi tokia tvarka: 1. Vietiniai GPO nustatymai; 4. GPO Policy2 nustatymai. Kai vartotojas bando prisijungti prie kompiuterio comp - parametrai, apibrėžti Vartotojo konfigūracijos skyriuose: 1. Vietiniai GPO nustatymai; Tai yra, GPO taikomi tokia tvarka: vietos politika, svetainės lygio politika, domeno lygio politika, OU lygio politika. Grupės strategijos taikomos asinchroniškai „Windows XP“ klientams, bet sinchroniškai „Windows 2000“ klientams, o tai reiškia, kad vartotojo prisijungimo ekranas pasirodo tik pritaikius visas kompiuterio strategijas, o vartotojo strategijos taikomos prieš pasirodant darbalaukiui. Asinchroninis politikos vykdymas reiškia, kad vartotojo prisijungimo ekranas pasirodo prieš taikant visas kompiuterio strategijas, o darbalaukis pasirodo prieš taikant visas vartotojo strategijas, todėl vartotojas greičiau paleidžiamas ir prisijungia. 1. Sujungti – pirmiausia taikoma kompiuterio politika, tada vartotojo politika ir vėl kompiuterio politika. Tokiu atveju kompiuterio strategija pakeičia jai prieštaraujančius vartotojo politikos parametrus savo pačios. Vartotojų grupės politikos grįžtamojo ryšio apdorojimo parinkties naudojimo pavyzdys būtų viešajame kompiuteryje, kur norėtumėte turėti tuos pačius ribotus nustatymus, nesvarbu, kuris vartotojas jį naudoja. Pirmenybė, paveldėjimas ir konfliktų sprendimas Kaip tikriausiai pastebėjote, GPO visuose lygiuose yra tie patys nustatymai ir tas pats nustatymas gali būti apibrėžtas skirtingai keliuose lygiuose. Šiuo atveju veiksminga reikšmė bus taikoma paskutinė (GPO taikymo tvarka buvo aptarta aukščiau). Ši taisyklė taikoma visiems parametrams, išskyrus tuos, kurie apibrėžti kaip nesukonfigūruoti. Dėl šių „Windows“ nustatymai nesiima jokių veiksmų. Tačiau yra viena išimtis: visus paskyros ir slaptažodžio nustatymus galima apibrėžti tik domeno lygiu, kituose lygiuose į šiuos nustatymus bus nepaisoma. Ryžiai. 6. Active Directory vartotojai ir kompiuteriai. Jei tame pačiame lygyje yra keli GPO, jie taikomi iš apačios į viršų. Pakeitę politikos objekto vietą sąraše (naudodami mygtukus Aukštyn ir Žemyn), galite pasirinkti reikiamą taikymo tvarką. Ryžiai. 7. Politikos taikymo tvarka. Kartais norite, kad konkreti OU negautų politikos nustatymų iš GPO, susietų su aukštesnio srauto sudėtiniais rodiniais. Tokiu atveju turite uždrausti politikos paveldėjimą, pažymėdami žymės langelį Blokuoti politikos paveldėjimą. Visi paveldėti politikos nustatymai yra užblokuoti ir nėra galimybės blokuoti atskirų nustatymų. Domeno lygio parametrai, apibrėžiantys slaptažodžio politiką ir paskyros politiką, negali būti užrakinti. Ryžiai. 9. Polisų paveldėjimo blokavimas. Jei norite, kad tam tikri GPO nustatymai nebūtų perrašyti, turėtumėte pasirinkti norimą GPO, spustelėkite mygtuką Parinktys ir pasirinkite No Override. Ši parinktis priverčia taikyti GPO nustatymus, kai užblokuotas politikos paveldėjimas. Nepaisymas nenustatytas toje vietoje, kur GPO susietas su katalogo objektu, o ne pačiame GPO. Jei GPO yra susietas su keliais domeno sudėtiniais rodiniais, likusioms asociacijoms šis nustatymas nebus automatiškai sukonfigūruotas. Jei nepaisymas sukonfigūruotas kelioms nuorodoms tame pačiame lygyje, sąrašo viršuje esantis GPO bus viršesnis (ir veiksmas). Tačiau, jei nepaisymo parametrai sukonfigūruoti keliems GPO skirtinguose lygiuose, galios aukščiau katalogų hierarchijoje esančio GPO parametrai. Tai yra, jei GPO-domeno objektų susiejimui ir OU-GPO susiejimui nesukonfigūruoti nepaisymo parametrai, galios domeno lygiu nustatyti parametrai. Žymimasis laukelis Išjungta atšaukia šio GPO poveikį šiam sudėtiniam rodiniui. Ryžiai. 10. Jokių nepaisymo ir išjungtų parinkčių. Kaip minėta pirmiau, politika turi įtakos tik vartotojams ir kompiuteriams. Dažnai kyla klausimas: „kaip galiu padaryti, kad tam tikra politika būtų taikoma visiems vartotojams, priklausantiems tam tikrai saugos grupei? Norėdami tai padaryti, GPO yra susietas su domeno objektu (arba bet kokiu konteineriu virš konteinerių ar OU, kuriuose yra visi vartotojo objektai iš norimą grupę) ir prieigos nustatymai sukonfigūruoti. Skirtuke Sauga spustelėkite Ypatybės, ištrinkite grupę Autentifikuoti vartotojai ir pridėkite reikiamą grupę su skaitymo ir taikymo grupės strategijos teisėmis. Nustatymų, taikomų vartotojo kompiuteriui, nustatymas Norėdami nustatyti galutinę konfigūraciją ir nustatyti problemas, turėsite žinoti, kokie politikos parametrai šiuo metu galioja konkrečiam vartotojui ar kompiuteriui. Norėdami tai padaryti, yra įrankis, vadinamas „Resultant Set of Policy“ (RSoP). RSoP gali veikti tiek registracijos, tiek planavimo režimais. Norėdami iškviesti RSoP, dešiniuoju pelės mygtuku spustelėkite objektą „vartotojas“ arba „kompiuteris“ ir pasirinkite Visos užduotys. Ryžiai. 11. Įrankio „Resultant Set of Policy“ iškvietimas. Paleidus (registravimo režimu), jūsų bus paprašyta pasirinkti, kuriam kompiuteriui ir vartotojui nustatyti rezultatų rinkinį, ir atsiras nustatymų langas, nurodantis, kuris GPO kurį nustatymą taikė. Ryžiai. 12. Gautas politikos rinkinys. Kiti grupės strategijos valdymo įrankiai GPResult yra komandų eilutės įrankis, teikiantis kai kurias RSoP funkcijas. Pagal numatytuosius nustatymus „GPResult“ pasiekiama visuose kompiuteriuose, kuriuose veikia „Windows XP“ ir „Windows Server 2003“. „GPUpdate“ verčia taikyti grupės politiką – tiek vietinę, tiek „Active Directory“ pagrindu. Sistemoje Windows XP/2003 ji pakeitė parinktį /refreshpolicy Windows 2000 įrankyje secedit. Komandų sintaksės aprašymą galima rasti paleidus jas klavišu /?. Vietoj išvados Šis straipsnis nėra skirtas paaiškinti visus darbo su grupės strategijomis aspektus; jis nėra skirtas patyrusiems sistemos administratoriams. Visa tai, kas išdėstyta aukščiau, mano nuomone, turėtų tik kažkaip padėti suprasti pagrindinius darbo su politikais principus tiems, kurie niekada su jais nedirbo arba tik pradeda juos įvaldyti. GPResult įrankis.exe– yra konsolės programa, skirta analizuoti parametrus ir diagnozuoti grupės strategijas, taikomas kompiuteriui ir (arba) vartotojui Active Directory domene. Visų pirma, GPResult leidžia gauti duomenis iš gauto strategijų rinkinio (Resultant Set of Policy, RSOP), taikomų domeno strategijų (GPO) sąrašą, jų nustatymus ir išsamią informaciją apie jų apdorojimo klaidas. Priemonė buvo „Windows“ OS dalis nuo „Windows XP“. GPResult programa leidžia atsakyti į šiuos klausimus: ar kompiuteriui taikoma konkreti politika, kuris GPO pakeitė tą ar kitą Windows nustatymą ir suprasti priežastis. Šiame straipsnyje apžvelgsime GPResult komandos naudojimo ypatybes diagnozuoti ir derinti grupės strategijos taikymą Active Directory domene. Iš pradžių, norint diagnozuoti grupės strategijų taikymą sistemoje Windows, buvo naudojama grafinė konsolė RSOP.msc, kuri leido gauti gautų strategijų (domenas + vietinė) nustatymus, taikomus kompiuteriui ir vartotojui panašia grafine forma. į GPO redaktoriaus pultą (žemiau RSOP.msc konsolės rodinio pavyzdyje galite pamatyti, kad nustatyti naujinimo parametrai). Tačiau nepatartina naudoti konsolės RSOP.msc šiuolaikinėse Windows versijose, nes jis neatspindi nustatymų, taikomų įvairių kliento pusės plėtinių (CSE), pvz., GPP (Group Policy Preferences), neleidžia ieškoti ir pateikia mažai diagnostinės informacijos. Todėl šiuo metu komanda GPResult yra pagrindinis įrankis diagnozuoti GPO naudojimą sistemoje Windows (Windows 10 netgi pasirodo įspėjimas, kad RSOP nepateikia visos ataskaitos, skirtingai nei GPResult). Naudodamiesi programa GPResult.exeKomanda GPResult paleidžiama kompiuteryje, kuriame norite patikrinti grupės strategijų taikymą. GPResult komanda turi tokią sintaksę: GPRESULT ]] [(/X | /H) ] Norėdami gauti išsamios informacijos apie grupės strategijas, taikomas tam tikram AD objektui (vartotojui ir kompiuteriui) ir kitus parametrus, susijusius su GPO infrastruktūra (ty gautus GPO politikos parametrus – RsoP), paleiskite komandą: Komandos rezultatai suskirstyti į 2 dalis:
Trumpai apžvelgsime pagrindinius parametrus / skyrius, kurie gali sudominti GPResult išvestį:
Mūsų pavyzdyje matote, kad vartotojo objektui taikomos 4 grupės strategijos.
Jei nenorite, kad informacija apie vartotojo ir kompiuterio politiką būtų rodoma konsolėje vienu metu, galite naudoti parinktį /scope, kad būtų rodoma tik jus dominanti skiltis. Tik gautos naudotojo strategijos: gpresult /r /scope:user arba taikoma tik kompiuterio politika: gpresult /r /scope:computer Nes „Gpresult“ programa išveda savo duomenis tiesiai į komandų eilutės konsolę, o tai ne visada patogu tolesnei analizei; jos išvestis gali būti nukreipta į mainų sritį: Gpresult /r |klipas arba tekstinis failas: Gpresult /r > c:\gpresult.txt Norėdami rodyti itin išsamią RSOP informaciją, turite pridėti jungiklį /z. HTML RSOP ataskaita naudojant GPResultBe to, programa GPResult gali sugeneruoti HTML ataskaitą apie taikytas strategijas (galima naudoti „Windows 7“ ir naujesnėse versijose). Šioje ataskaitoje bus pateikta išsami informacija apie visus sistemos parametrus, kuriuos nustato grupės strategijos, ir konkrečių juos nustatančių GPO pavadinimus (gauta ataskaitos struktūra primena skirtuką Parametrai domeno grupės strategijos valdymo pulte – GPMC). Galite sugeneruoti HTML GPResult ataskaitą naudodami komandą: GPResult /h c:\gp-report\report.html /f Norėdami sukurti ataskaitą ir automatiškai atidaryti ją naršyklėje, paleiskite komandą: GPResult /h GPResult.html & GPResult.html Gpresult HTML ataskaitoje yra gana daug naudingos informacijos: matomos klaidos GPO programoje, apdorojimo laikas (ms) ir specifinių strategijų bei TPP taikymas (skiltyje Kompiuterio informacija -> Komponento būsena). Pavyzdžiui, aukščiau esančioje ekrano kopijoje matote, kad politika su 24 slaptažodžiais atsiminti nustatymus taikoma pagal numatytąją domeno politiką (stulpelis Laimėjęs GPO). Kaip matote, ši HTML ataskaita yra daug patogesnė taikomai politikai analizuoti nei rsop.msc pultas. GPResult duomenų gavimas iš nuotolinio kompiuterioGPResult taip pat gali rinkti duomenis iš nuotolinio kompiuterio, todėl administratoriui nereikia prisijungti vietoje arba RDP prie nuotolinio kompiuterio. RSOP duomenų rinkimo iš nuotolinio kompiuterio komandos formatas yra toks: GPResult /s serveris-ts1 /r Taip pat galite nuotoliniu būdu rinkti duomenis iš naudotojų politikos ir kompiuterio politikos. Vartotojo vartotojo vardas neturi RSOP duomenųKai UAC įjungtas, paleidus GPResult be padidintų teisių, rodomi tik vartotojų grupės strategijos skyriaus nustatymai. Jei reikia vienu metu rodyti abu skyrius (VARTOTOJO NUSTATYMAI ir KOMPIUTERIO NUSTATYMAI), komanda turi būti paleista. Jei komandų eilutė yra padidinta į kitą sistemą nei dabartinis vartotojas, programa pateiks įspėjimą INFORMACIJA: TheVartotojas"domenas\Vartotojas“ daroneturėtiRSOPduomenis ( Vartotojas "domain\user" neturi RSOP duomenų). Taip nutinka todėl, kad GPResult bando rinkti informaciją vartotojui, kuris jį paleido, bet todėl, kad... Šis vartotojas neprisijungęs ir jam nėra RSOP informacijos. Norėdami rinkti RSOP informaciją vartotojui, turinčiam aktyvią sesiją, turite nurodyti jo paskyrą: gpresult /r /user:tn\edward Jei nežinote paskyros, prie kurios prisijungėte nuotoliniame kompiuteryje, pavadinimo, paskyrą galite gauti taip: qwinsta /SERVER:remotePC1 Taip pat patikrinkite kliento laiką (-us). Laikas turi sutapti su PDC (pagrindinio domeno valdiklio) laiku. Šios GPO strategijos nebuvo pritaikytos, nes buvo išfiltruotosŠalindami grupės politikos triktis, taip pat turėtumėte atkreipti dėmesį į skyrių: Šie GPO nebuvo pritaikyti, nes buvo išfiltruoti. Šiame skyriuje rodomas GPO, kurie dėl vienokių ar kitokių priežasčių šiam objektui netaikomi, sąrašas. Galimi būdai, kuriais politika gali būti netaikoma: Taip pat galite suprasti, ar politika turėtų būti taikoma konkrečiam AD objektui, esančiame efektyvių leidimų skirtuke (Išplėstinė -> Efektyvi prieiga). Taigi, šiame straipsnyje apžvelgėme grupės strategijos taikymo diagnozavimo naudojant GPResult įrankį ypatybes ir apžvelgėme tipiškus jos naudojimo scenarijus. Funkcionalumas Windows Server operacinėje sistemoje yra skaičiuojamas ir tobulinamas nuo versijos iki versijos, atsiranda vis daugiau vaidmenų ir komponentų, todėl šiandieninėje medžiagoje pabandysiu trumpai apibūdinti kiekvieno vaidmens Windows Server 2016 aprašymas ir tikslas. Prieš pereidami prie „Windows Server“ serverio vaidmenų aprašymo, išsiaiškinkime, ką „ Serverio vaidmuo» operacinėje sistemoje Windows Server. Kas yra „serverio vaidmuo“ sistemoje „Windows Server“?Serverio vaidmuo- Tai programinės įrangos paketą, kuri užtikrina, kad serveris atliktų tam tikrą funkciją, ir šią funkciją yra pagrindinis. Kitaip tariant, " Serverio vaidmuo“ yra serverio paskirtis, t.y. Kam tai? Kad serveris galėtų atlikti pagrindinę savo funkciją, t.y. tam tikras vaidmuo " Serverio vaidmuo» įtraukta visa tam reikalinga programinė įranga ( programos, paslaugos). Serveris gali turėti vieną vaidmenį, jei jis yra aktyviai naudojamas, arba kelis, jei kiekvienas iš jų neapkrauna serverio ir yra retai naudojamas. Serverio vaidmuo gali apimti kelias vaidmens paslaugas, teikiančias vaidmens funkcijas. Pavyzdžiui, serverio vaidmenyje " Žiniatinklio serveris (IIS)„Įtraukta gana daug paslaugų, o vaidmuo“ DNS serveris» vaidmenų paslaugos neįtrauktos, nes šis vaidmuo atlieka tik vieną funkciją. Vaidmenų paslaugos gali būti diegiamos kartu arba atskirai, atsižvelgiant į jūsų poreikius. Iš esmės vaidmens įdiegimas reiškia vienos ar kelių jo paslaugų įdiegimą. „Windows Server“ taip pat yra „ Komponentai» serveriai. Serverio komponentai (ypatybė)- Tai programinė įranga, kurios nėra serverio vaidmuo, bet išplečia vieno ar kelių vaidmenų galimybes arba valdo vieną ar daugiau vaidmenų. Kai kurių vaidmenų negalima įdiegti, jei serveryje nėra įdiegtos reikalingos paslaugos arba komponentai, kurių reikia šiems vaidmenims veikti. Todėl diegiant tokius vaidmenis “ Pridėti vaidmenų ir funkcijų vedlį“, automatiškai paragins įdiegti reikiamas papildomas vaidmens paslaugas arba komponentus. „Windows Server 2016“ serverio vaidmenų aprašymasTikriausiai jau esate susipažinę su daugeliu „Windows Server 2016“ vaidmenų, nes jie jau egzistuoja gana ilgą laiką. ilgam laikui, bet kaip jau sakiau, su kiekviena nauja Windows versija Serveris, pridedami nauji vaidmenys, su kuriais galbūt dar nedirbote, bet norėtumėte sužinoti, kam jie skirti, todėl pradėkime juos žiūrėti. Pastaba! Apie naujas Windows Server 2016 operacinės sistemos funkcijas galite perskaityti medžiagoje “ Windows diegimas Serveris 2016 ir naujų funkcijų apžvalga ». Kadangi labai dažnai vaidmenų, paslaugų ir komponentų diegimas ir administravimas vyksta su naudojant Windows„PowerShell“, kiekvienam vaidmeniui ir jo paslaugai nurodysiu pavadinimą, kurį atitinkamai galima naudoti „PowerShell“ jį įdiegti ar valdyti. DHCP serverisŠis vaidmuo leidžia centralizuotai konfigūruoti dinaminius IP adresus ir susijusius tinklo kompiuterių ir įrenginių nustatymus. DHCP serverio vaidmuo neturi vaidmens paslaugų. „Windows PowerShell“ pavadinimas yra DHCP. DNS serverisŠis vaidmuo skirtas vardų skyrimui TCP/IP tinkluose. DNS serverio vaidmuo teikia ir prižiūri DNS veikimas. Kad DNS serverio valdymas būtų lengvesnis, jis paprastai įdiegiamas tame pačiame serveryje kaip ir Active Directory domeno paslaugos. DNS serverio vaidmuo neturi vaidmens paslaugų. „PowerShell“ vaidmens pavadinimas yra DNS. Hiper-VNaudodami „Hyper-V“ vaidmenį galite kurti ir valdyti virtualizuotą aplinką. Kitaip tariant, tai virtualių mašinų kūrimo ir valdymo įrankis. „Windows PowerShell“ vaidmens pavadinimas yra „Hyper-V“. Įrenginio veikimo sertifikatasVaidmuo" » leidžia įvertinti įrenginio būklę pagal išmatuotus saugos parametrus, pvz., saugaus įkrovos būseną ir kliento „Bitlocker“. Kad šis vaidmuo veiktų, reikia gana daug vaidmens paslaugų ir komponentų, pavyzdžiui: kelių paslaugų iš vaidmens " Žiniatinklio serveris (IIS)", komponentas " ", komponentas " .NET Framework 4.6 funkcijos». Diegimo metu visos reikalingos vaidmens paslaugos ir komponentai bus parenkami automatiškai. Vaidmuo " Įrenginio veikimo sertifikatas» nėra savo paslaugų. „PowerShell“ pavadinimas yra „DeviceHealthAttestationService“. Žiniatinklio serveris (IIS)Suteikia patikimą, valdomą ir keičiamo dydžio žiniatinklio taikomųjų programų infrastruktūrą. Susideda iš gana daug paslaugų (43). „Windows PowerShell“ pavadinimas yra žiniatinklio serveris. Apima šias vaidmenų paslaugas ( skliausteliuose nurodysiu Windows PowerShell pavadinimą): Žiniatinklio serveris (Web-WebServer)– Vaidmenų paslaugų grupė, teikianti HTML svetainių, ASP.NET plėtinių, ASP ir žiniatinklio serverio palaikymą. Susideda iš šių paslaugų:
FTP serveris (Web-Ftp-Server)– paslaugos, teikiančios FTP protokolo palaikymą. Plačiau apie FTP serverį kalbėjome medžiagoje – „Įdiegimas ir FTP sąranka serveriuose „Windows Server 2016“. Sudėtyje yra šios paslaugos:
Valdymo įrankiai (Web-Mgmt-Tools)- Tai IIS 10 žiniatinklio serverio valdymo įrankiai, įskaitant: IIS vartotojo sąsają, komandų eilutės įrankius ir scenarijus.
„Active Directory“ domeno paslaugosVaidmuo" „Active Directory“ domeno paslaugos» (AD DS) suteikia paskirstytą duomenų bazę, kurioje saugoma ir apdorojama informacija apie tinklo išteklius. Šis vaidmuo naudojamas tinklo elementams, pvz., vartotojams, kompiuteriams ir kitiems įrenginiams, suskirstyti į hierarchinę saugią apvalkalo struktūrą. Hierarchinė struktūra apima miškus, miško domenus ir kiekvienos srities organizacinius vienetus (OU). Serveris, kuriame veikia AD DS, vadinamas domeno valdikliu. „Windows PowerShell“ vaidmens pavadinimas yra AD-Domain-Services. „Windows Server Essentials“ režimasŠis vaidmuo reprezentuoja kompiuterio infrastruktūrą ir suteikia patogias bei efektyvias funkcijas, pavyzdžiui: kliento duomenų saugojimas centralizuotoje vietoje ir šių duomenų apsauga sukuriant atsargines serverio ir klientų kompiuterių kopijas, nuotolinė žiniatinklio prieiga, leidžianti pasiekti duomenis beveik iš bet kurio įrenginio. Šiam vaidmeniui veikti reikia kelių vaidmenų paslaugų ir komponentų, pavyzdžiui: „BranchCache“ komponentų, „Windows Server“ atsarginės kopijos, grupės strategijos valdymo, vaidmenų tarnybos. DFS vardų erdvės». „PowerShell“ pavadinimas yra „ServerEssentialsRole“. Tinklo valdiklisŠis vaidmuo buvo įdiegtas „Windows Server 2016“ ir suteikia vieną automatizavimo tašką, skirtą valdyti, stebėti ir diagnozuoti fizinę ir virtualiąją tinklo infrastruktūrą duomenų centre. Naudodami šį vaidmenį galite konfigūruoti IP potinklius, VLAN, fizinius tinklo adapteriai„Hyper-V“ priegloba, tvarkykite virtualius jungiklius, fizinius maršruto parinktuvus, ugniasienės nustatymus ir VPN šliuzus. „Windows PowerShell“ pavadinimas yra „NetworkController“. Mazgo globėjo tarnybaTai yra Hosted Guardian Service (HGS) serverio vaidmuo ir teikia pagrindines atestavimo ir pagrindines apsaugos paslaugas, leidžiančias apsaugotiems pagrindiniams kompiuteriams veikti ekranuotai. virtualios mašinos. Kad šis vaidmuo veiktų, reikalingi keli papildomi vaidmenys ir komponentai, pavyzdžiui: Active Directory domeno paslaugos, žiniatinklio serveris (IIS), komponentas " Failover Clustering" ir kiti. „PowerShell“ pavadinimas yra „HostGuardianServiceRole“. „Active Directory“ lengvosios katalogų paslaugosVaidmuo" „Active Directory“ lengvosios katalogų paslaugos" (AD LDS) – tai lengva AD DS versija, kuri turi mažiau funkcijų, tačiau nereikalauja diegti domenų ar domeno valdiklių ir neturi priklausomybių bei domeno apribojimų, kurių reikalauja AD DS paslaugos. AD LDS veikia per LDAP protokolą ( Lengvasis katalogų prieigos protokolas). Viename serveryje galite įdiegti kelis AD LDS egzempliorius su nepriklausomai valdomomis schemomis. „PowerShell“ pavadinimas yra ADLDS. MultiPoint paslaugosTai taip pat naujas vaidmuo, kuris buvo pristatytas sistemoje Windows Server 2016. MultiPoint Services (MPS) teikia pagrindines nuotolinio darbalaukio funkcijas, kurios leidžia keliems vartotojams vienu metu ir nepriklausomai dirbti tame pačiame kompiuteryje. Norėdami įdiegti ir naudoti šį vaidmenį, turite įdiegti keletą papildomų paslaugų ir komponentų, pavyzdžiui: Spausdinimo serveris, „Windows“ paslauga Paieška, XPS Viewer ir kiti bus automatiškai parinkti, kai bus įdiegta MPS. „PowerShell“ vaidmens pavadinimas yra „MultiPointServerRole“. „Windows Server“ naujinimo paslaugosNaudodami šį vaidmenį (WSUS), sistemos administratoriai gali valdyti „Microsoft“ naujinimus. Pavyzdžiui, sukurkite atskiras kompiuterių grupes skirtingiems naujinimų rinkiniams, taip pat gaukite ataskaitas apie kompiuterio atitiktį ir naujinimus, kuriuos reikia įdiegti. funkcionuoti" „Windows Server“ naujinimo paslaugos„Mums reikalingos tokios rolės paslaugos ir komponentai kaip: žiniatinklio serveris (IIS), Windows vidinė duomenų bazė, Windows procesų aktyvinimo paslauga. „Windows PowerShell“ pavadinimas yra „UpdateServices“.
Apimties aktyvinimo paslaugosŠis serverio vaidmuo automatizuoja ir supaprastina „Microsoft“ programinės įrangos bendrųjų licencijų išdavimą ir leidžia valdyti šias licencijas. „PowerShell“ pavadinimas yra „VolumeActivation“. Spausdinimo ir dokumentų paslaugosŠis serverio vaidmuo skirtas bendrai naudoti spausdintuvus ir skaitytuvus tinkle, centralizuotai konfigūruoti ir valdyti spausdinimo ir nuskaitymo serverius bei valdyti tinklo spausdintuvai ir skaitytuvai. Spausdinimo ir dokumentų paslaugos taip pat leidžia siųsti nuskaitytus dokumentus el. paštu į bendrinamą tinklo aplankus arba į Windows SharePoint Services svetaines. „PowerShell“ pavadinimas yra „Print-Services“.
Tinklo politika ir prieigos paslaugosVaidmuo" » (NPAS) leidžia naudoti tinklo politikos serverį (NPS), kad nustatytumėte ir vykdytumėte prieigos prie tinklo, autentifikavimo ir autorizavimo bei kliento sveikatos strategijas, kitaip tariant, užtikrintumėte tinklo saugumą. „Windows PowerShell“ pavadinimas yra NPAS. „Windows“ diegimo paslaugosNaudodami šį vaidmenį galite nuotoliniu būdu per tinklą įdiegti "Windows" operacinę sistemą. „PowerShell“ vaidmens pavadinimas yra WDS.
„Active Directory“ sertifikatų paslaugosŠis vaidmuo skirtas sukurti sertifikatų institucijas ir susijusias vaidmenų paslaugas, leidžiančias išduoti ir valdyti įvairių programų sertifikatus. „Windows PowerShell“ pavadinimas yra AD sertifikatas. Apima šias vaidmenų paslaugas:
Nuotolinio darbalaukio paslaugosServerio vaidmuo, leidžiantis suteikti prieigą prie virtualių stalinių kompiuterių, seansu pagrįstų stalinių kompiuterių ir „RemoteApps“. „Windows PowerShell“ vaidmens pavadinimas yra Remote-Desktop-Services. Susideda iš šių paslaugų:
„Active Directory“ teisių valdymo paslaugosTai yra serverio vaidmuo, kuris leis jums apsaugoti informaciją nuo neteisėto naudojimo. Ji patikrina vartotojų tapatybes ir suteikia įgaliotiems vartotojams licencijas pasiekti apsaugotus duomenis. Kad šis vaidmuo veiktų, reikalingos papildomos paslaugos ir komponentai: Žiniatinklio serveris (IIS)», « „Windows“ procesų aktyvinimo paslauga», « .NET Framework 4.6 funkcijos». „Windows PowerShell“ pavadinimas yra ADRMS.
„Active Directory“ susiejimo paslaugosŠis vaidmuo suteikia supaprastintas ir saugias tapatybės susiejimo galimybes, taip pat naršykle pagrįstą vienkartinį prisijungimą (SSO) į svetaines. „PowerShell“ pavadinimas yra ADFS federacija. Nuotolinis prisijungimasŠis vaidmuo užtikrina ryšį per „DirectAccess“, VPN ir žiniatinklio programos tarpinį serverį. Taip pat vaidmuo " Nuotolinis prisijungimas» suteikia tradicines maršruto parinkimo galimybes, įskaitant konvertavimą tinklo adresus(NAT) ir kitus ryšio parametrus. Šiam vaidmeniui reikia papildomų paslaugų ir komponentų: Žiniatinklio serveris (IIS)», « „Windows“ vidinė duomenų bazė». „Windows PowerShell“ vaidmens pavadinimas yra RemoteAccess.
Failų ir saugojimo paslaugosTai serverio vaidmuo, kurį galima naudoti failams ir aplankams bendrinti, bendrinti ir valdyti, kopijuoti failus, teikti Greita paieška failus, taip pat suteikia prieigą prie UNIX klientų kompiuterių. Mes išsamiau apžvelgėme failų paslaugas ir ypač failų serverį medžiagoje „Failų serverio diegimas sistemoje Windows Server 2016“. „Windows PowerShell“ pavadinimas yra „FileAndStorage-Services“. Sandėliavimo paslaugos– Ši paslauga suteikia saugyklos valdymo funkciją, kuri visada įdiegiama ir kurios negalima pašalinti. Failų paslaugos ir iSCSI paslaugos (failų paslaugos)– tai technologijos, kurios supaprastina failų serverių ir saugyklų valdymą, taupo vietos diske, užtikrina failų replikaciją ir talpyklą filialuose, taip pat dalijimąsi failais naudojant NFS protokolą. Apima šias vaidmenų paslaugas:
Fakso serverisŠis vaidmuo siunčia ir priima faksogramas ir leidžia valdyti fakso išteklius, pvz., užduotis, nustatymus, ataskaitas ir fakso įrenginius šiame kompiuteryje arba tinkle. Norint dirbti jums reikia" Spausdinimo serveris». „Windows PowerShell“ vaidmens pavadinimas yra Faksas. Tai baigia „Windows Server 2016“ serverio vaidmenų apžvalgą. Tikiuosi, kad medžiaga jums buvo naudinga, iki! Prieš kurdami sujungimo serverį, turite sukurti strategijos serverį, kuris nurodytų „Silverlight“, kuriems klientams leidžiama prisijungti prie lizdo serverio. Kaip parodyta aukščiau, „Silverlight“ neleidžia įkelti turinio ar iškviesti žiniatinklio paslaugos, nebent domene yra „clientaccesspolicy .xml“ arba „crossdomain“ failas. xml, kuri aiškiai leidžia atlikti šias operacijas. Panašus apribojimas taikomas ir lizdo serveriui. Jei nesuteiksite kliento įrenginiui galimybės įkelti clientaccesspolicy .xml failą, leidžiantį nuotolinę prieigą, „Silverlight“ atsisakys užmegzti ryšį. Deja, suteikiant kliento prieigos politiką. cml į lizdo programą yra sunkesnė užduotis nei pateikti ją per svetainę. Kai naudojatės svetaine, žiniatinklio serverio programinė įranga gali pateikti clientaccesspolicy .xml failą, jums tereikia nepamiršti jo pridėti. Tačiau, kai naudojate lizdo programą, turite atidaryti lizdą, į kurį kliento programos gali pateikti politikos užklausas. Be to, turite rankiniu būdu sukurti kodą, kuris aptarnauja lizdą. Norėdami išspręsti šias problemas, turite sukurti strategijos serverį. Kaip matysime toliau, politikos serveris veikia taip pat, kaip ir pranešimų serveris, tik tvarko šiek tiek paprastesnes sąveikas. Pranešimų ir politikos serverius galima sukurti atskirai arba sujungti vienoje programoje. Antruoju atveju jie turi klausytis užklausų skirtingose gijose. Šiame pavyzdyje sukursime politikos serverį ir sujungsime jį su pranešimų serveriu. Norėdami sukurti strategijos serverį, pirmiausia turite sukurti .NET programą. Bet kokio tipo .NET programa gali būti politikos serveris. Lengviausias būdas yra naudoti konsolės programą. Suderinę konsolės programą, galite perkelti kodą į „Windows“ paslaugą, kad ji nuolat veiktų fone. Politikos failas Toliau pateikiamas politikos serverio pateiktas politikos failas. Politikos failas apibrėžia tris taisykles. Leidžia pasiekti visus prievadus nuo 4502 iki 4532 (tai yra visas prievadų diapazonas, palaikomas Silverlight priedo). Norėdami pakeisti galimų prievadų diapazoną, turite pakeisti elemento prievado atributo reikšmę. Leidžia TCP prieigą (leidimas apibrėžtas elemento protokolo atribute). Leidžia skambinti iš bet kurio domeno. Todėl „Silverlight“ programą, kuri sukuria ryšį, gali priglobti bet kuri svetainė. Norėdami pakeisti šią taisyklę, turite redaguoti elemento uri atributą. Kad būtų lengviau atlikti užduotį, politikos taisyklės įdedamos į clientaccess-ploi.cy.xml failą, kuris pridedamas prie projekto. Programoje „Visual Studio“ strategijos failo parametras Kopijuoti į išvesties katalogą turi būti nustatytas į Kopijuoti visada. Viskas, ką jums reikia padaryti, tai rasti failą standžiajame diske, atidaryti jį ir grąžinti turinį į kliento įrenginį. PolicyServer klasė Policy Server funkcionalumas grindžiamas dviem pagrindinėmis klasėmis: PolicyServer ir PolicyConnection. „PolicyServer“ klasė laukia prisijungimo. Gavęs ryšį, jis perduoda valdymą naujam „PoicyConnection“ klasės egzemplioriui, kuris perduoda politikos failą klientui. Ši dviejų dalių procedūra yra įprasta tinklo programavimui. Dirbdami su pranešimų serveriais tai pamatysite ne vieną kartą. „PolicyServer“ klasė įkelia strategijos failą iš standžiojo disko ir išsaugo jį lauke kaip baitų masyvą. viešosios klasės PolicyServer privačių baitų politika; viešas politikos serveris (eilutės politikos failas) ( Norėdami pradėti klausytis, serverio programa turi iškviesti PolicyServer. Pradėti (). Jis sukuria TcpListener objektą, kuris klauso užklausų. Objektas „TcpListener“ sukonfigūruotas klausytis 943 prievade. „Silverlight“ šis prievadas rezervuotas politikos serveriams. Kai pateikiamos užklausos dėl politikos failų, „Silverlight“ automatiškai persiunčia juos į 943 prievadą. privatus TcpListener klausytojas; public void Pradžia() // Sukurkite klausymosi objektą klausytojas = new TcpListener(IPAddress.Any, 943); // Pradėti klausytis; metodas Start() grįžta iš karto po klausytojo.Start() iškvietimo; // Laukiama prisijungimo; metodas grįžta iš karto; II laukimas atliekamas atskiru siūlu Kad priimtų siūlomą ryšį, politikos serveris iškviečia BeginAcceptTcpClient() metodą. Kaip ir visi Beginxxx() .NET framework metodai, iškvietimas grįžta iš karto, atlikdamas reikiamas operacijas atskiroje gijoje. Tinklo programoms tai yra labai svarbus veiksnys, nes leidžia vienu metu apdoroti daug užklausų dėl politikos failų. Pastaba. Pradedantieji tinklo programuotojai dažnai stebisi, kaip galima vienu metu apdoroti daugiau nei vieną užklausą, ir mano, kad tam reikia kelių serverių. Tačiau taip nėra. Taikant šį metodą, klientų programos greitai pasibaigtų galimi prievadai. Praktiškai serverio programos apdoroja daug užklausų per vieną prievadą. Šis procesas yra nematomas programoms, nes Windows integruotas TCP posistemis automatiškai identifikuoja pranešimus ir nukreipia juos į atitinkamus programos kode esančius objektus. Kiekvienas ryšys yra unikaliai identifikuojamas pagal keturis parametrus: kliento IP adresą, kliento prievado numerį, serverio IP adresą ir serverio prievado numerį. Gavus kiekvieną užklausą, suaktyvinamas OnAcceptTcpClient() atgalinio skambinimo metodas. Jis vėl iškviečia O metodą BeginAcceptTcpClient, kad pradėtų laukti kitos užklausos kitoje gijoje, o tada pradeda apdoroti dabartinę užklausą. public void OnAcceptTcpClient(IAsyncResult ag) ( if (isStopped) grįžti; Console.WriteLine("Gauta politikos užklausa."); // Laukiama kito prisijungimo. klausytojas.BeginAcceptTcpClient(OnAcceptTcpClient, null); // Apdorokite esamą ryšį. TcpClient klientas = klausytojas.EndAcceptTcpClient(ag); PolicyConnection policyConnection = new PolicyConnection(klientas, politika); policyConnection.HandleRequest() ; sugauti (išimties klaida) ( Kiekvieną kartą, kai gaunamas naujas ryšys, jam tvarkyti sukuriamas naujas PolicyConnection objektas. Be to, PolicyConnection objektas palaiko politikos failą. Paskutinis PolicyServer klasės komponentas yra Stop() metodas, kuris nustoja laukti užklausų. Programa ją iškviečia, kai ji išeina. privati bool isStopped; public void StopO ( isStopped = tiesa; klausytojas. Sustabdyti(); sugauti (išimties klaida) ( Console.WriteLine(err.Message); Norint paleisti strategijos serverį, programos serverio metodu Main() naudojamas šis kodas. static void Main(styling args) ( PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start(); Console.WriteLine("Taikos serveris veikia."); Console.WriteLine("Paspauskite Enter, kad išeitumėte."); // Laukiama klavišo paspaudimo; naudodamiesi // Console.ReadKey() metodu galite nustatyti konkrečios // eilutės lūkesčius (pavyzdžiui, quit) arba paspaudę bet kurį klavišą Console.ReadLine(); policyServer.Stop(); Console.WriteLine("Pabaigti politikos serverį."); PolicyConnection klasė „PolicyConnection“ klasė atlieka paprastesnį darbą. „PolicyConnection“ objektas saugo nuorodą į politikos failo duomenis. Tada, iškvietęs HandleRequest() metodą, PolicyConnection objektas paima naują ryšį iš tinklo srauto ir bando jį nuskaityti. Kliento įrenginys turi perduoti eilutę su tekstu. Perskaičius šį tekstą, kliento įrenginys įrašo politikos duomenis į srautą ir uždaro ryšį. Žemiau yra PolicyConnection klasės kodas. viešoji klasė PolicyConnection( privatus TcpClient klientas; privačių baitų politika; vieša PolicyConnection (TcpClient klientas, baitų politika) ( this.client = klientas; this.policy = politika; // Sukurkite kliento užklausą privačios statinės eilutės politikaRequestString = " public void HandleRequest() ( Srautas s = klientas.GetStream(); // Skaitykite politikos užklausos eilutę baitų buferis = naujas baitas; // Palaukite tik 5 sekundes klientas.ReceiveTimeout = 5000;' s.Read(buferis, 0, buferis.Ilgis); // Politikos perdavimas (taip pat galite patikrinti, ar politikos // užklausa turi reikiamą turinį) s.Write(policy, 0, policy.Length); //Uždaryti ryšį klientą.Close(); Console.WriteLine("Pateiktas politikos failas."); Taigi turime visiškai funkcionalų politikos serverį. Deja, jo dar negalima išbandyti, nes „Silverlight“ priedas neleidžia aiškiai pateikti užklausų dėl politikos failų. Vietoj to, ji automatiškai jų prašo, kai bandote naudoti lizdo programą. Prieš kurdami kliento programą tam tikrai lizdo programai, turite sukurti serverį. Tęsiant temą: Nauji straipsniai / |
Nauja
- Trys būdai atidaryti „Windows“ registro rengyklę Registro atidarymas naudojant paiešką
- Kaip padalinti standųjį diską
- Kietąjį diską padaliname į skaidinius
- Įjungus kompiuteris pypsi
- Teisingas failų plėtinių keitimas sistemoje Windows Kaip pakeisti archyvo plėtinį
- Skelbimų blokavimas „YouTube“ „YouTube“ be skelbimų
- TeamViewer – nuotolinis kompiuterio valdymas Atsisiųskite programą, kad galėtumėte bendrauti su kitu kompiuteriu
- Kaip sužinoti kompiuterio charakteristikas sistemoje „Windows“: sistemos metodai ir specialios programos
- Atnaujiname naršykles skirtinguose įrenginiuose: kompiuteryje, planšetėje, išmaniajame telefone Įdiekite atnaujintą naršyklę kur ir kaip
- Kaip sutepti procesoriaus, vaizdo plokštės, maitinimo šaltinio ir kompiuterio aušintuvą