uy - Ma'lumotlar
Server siyosatining batafsil tavsifini taqdim eting. GPresult buyrug'i: natijada guruh siyosatlarining diagnostikasi

Windows Server operatsion tizimidagi funksionallik versiyadan versiyaga hisoblab chiqilgan va takomillashtirilgan, ko'proq rollar va komponentlar mavjud, shuning uchun bugungi materialda men qisqacha tavsiflashga harakat qilaman. Windows Server 2016 da har bir rolning tavsifi va maqsadi.

Windows Server server rollarini tavsiflashga o'tishdan oldin, keling, nima ekanligini bilib olaylik. Server roli» Windows Server operatsion tizimida.

Windows Serverda "Server roli" nima?

Server roli- Bu dasturiy ta'minot to'plami, bu serverning muayyan funktsiyani bajarishini ta'minlaydi va bu funksiya asosiy hisoblanadi. Boshqa so'z bilan, " Server roli" bu serverning maqsadi, ya'ni. u nima uchun? Shunday qilib, server o'zining asosiy funktsiyasini bajarishi mumkin, ya'ni. ma'lum bir rol " Server roli» buning uchun kerak bo'lgan hamma narsa kiritilgan dasturiy ta'minot (dasturlar, xizmatlar).

Agar u faol foydalanilsa, server bitta rolga ega bo'lishi mumkin yoki ularning har biri serverni og'ir yuklamasa va kamdan-kam ishlatilsa, bir nechta rolga ega bo'lishi mumkin.

Server roli bir nechta rolli xizmatlarni o'z ichiga olishi mumkin funksionallik rollar. Masalan, server rolida " Veb-server (IIS)"juda katta miqdordagi xizmatlar kiritilgan va roli" DNS server» rol xizmatlari kiritilmagan, chunki bu rol faqat bitta funktsiyani bajaradi.

Rol xizmatlari sizning ehtiyojlaringizga qarab birgalikda yoki alohida o'rnatilishi mumkin. Asosiysi, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi.

Windows Serverda ham bor " Komponentlar» serverlar.

Server komponentlari (xususiyat)- Bular server roli bo'lmagan, lekin bir yoki bir nechta rollarning imkoniyatlarini kengaytiruvchi yoki bir yoki bir nechta rollarni boshqaradigan dasturiy vositalar.

Agar ushbu rollarning ishlashi uchun zarur bo'lgan xizmatlar yoki komponentlar serverda o'rnatilmagan bo'lsa, ba'zi rollarni o'rnatib bo'lmaydi. Shuning uchun, bunday rollarni o'rnatish vaqtida " Rollar va xususiyatlar ustasini qo'shish" o'zi avtomatik ravishda sizga kerakli qo'shimcha rol xizmatlari yoki komponentlarini o'rnatishingizni taklif qiladi.

Windows Server 2016 server rollarining tavsifi

Ehtimol, siz Windows Server 2016-dagi ko'plab rollar bilan allaqachon tanish bo'lgansiz, chunki ular ancha vaqtdan beri mavjud. uzoq vaqt, lekin aytganimdek, Windows Serverning har bir yangi versiyasida siz hali ishlamagan bo'lishingiz mumkin bo'lgan yangi rollar qo'shiladi, lekin ular nima uchun ekanligini bilishni xohlaysiz, shuning uchun ularni ko'rib chiqishni boshlaylik.

Eslatma! Windows Server 2016 operatsion tizimining yangi xususiyatlari haqida “Windows Server 2016 ni oʻrnatish va yangi funksiyalar haqida umumiy maʼlumot” materialida oʻqishingiz mumkin..

Ko'pincha rollar, xizmatlar va komponentlarni o'rnatish va boshqarish Windows PowerShell yordamida amalga oshirilganligi sababli, har bir rol va uning xizmati uchun men uni o'rnatish yoki boshqarish uchun mos ravishda PowerShell-da ishlatilishi mumkin bo'lgan nomni ko'rsataman.

DHCP serveri

Ushbu rol sizning tarmog'ingizdagi kompyuterlar va qurilmalar uchun dinamik IP-manzillar va tegishli sozlamalarni markazlashtirilgan tarzda sozlash imkonini beradi. DHCP server rolida rol xizmatlari mavjud emas.

Windows PowerShell-ning nomi DHCP.

DNS server

Bu rol TCP/IP tarmoqlarida nomlarni aniqlash uchun mo'ljallangan. DNS serverining roli ta'minlaydi va qo'llab-quvvatlaydi DNS ishi. DNS serverini boshqarishni osonlashtirish uchun u odatda Active Directory Domain Services bilan bir xil serverga o'rnatiladi. DNS server rolida rol xizmatlari mavjud emas.

PowerShell uchun rol nomi DNS.

Hyper-V

Hyper-V rolidan foydalanib, siz virtuallashtirilgan muhitni yaratishingiz va boshqarishingiz mumkin. Boshqacha qilib aytganda, bu virtual mashinalarni yaratish va boshqarish uchun vositadir.

Windows PowerShell uchun rol nomi Hyper-V.

Qurilmaning ishlashini sertifikatlash

Rol " » xavfsiz yuklash holati va mijozdagi Bitlocker kabi oʻlchangan xavfsizlik parametrlari asosida qurilmaning holatini baholash imkonini beradi.

Ushbu rolning ishlashi uchun juda ko'p rol xizmatlari va komponentlari talab qilinadi, masalan: roldan bir nechta xizmatlar " Veb-server (IIS)", komponent" ", komponent" Funksiyalar. NET Framework 4.6 ».

O'rnatish vaqtida barcha kerakli rol xizmatlari va komponentlari avtomatik ravishda tanlanadi. Rol " Qurilmaning ishlashini sertifikatlash» o'z xizmatlari yo'q.

PowerShell nomi - DeviceHealthAttestationService.

Veb-server (IIS)

Ishonchli, boshqariladigan va kengaytiriladigan veb-ilovalar infratuzilmasini taqdim etadi. Juda katta miqdordagi xizmatlardan iborat (43).

Windows PowerShell-ning nomi Web-server.

Quyidagi rol xizmatlarini o'z ichiga oladi ( qavs ichida men Windows PowerShell nomini ko'rsataman):

Veb-server (Web-WebServer)- HTML veb-saytlari, ASP.NET kengaytmalari, ASP va veb-serverlarni qo'llab-quvvatlaydigan rol xizmatlari guruhi. Quyidagi xizmatlardan iborat:

  • Xavfsizlik (veb xavfsizligi)— veb-server xavfsizligini ta'minlash bo'yicha xizmatlar to'plami.
    • So'rovlarni filtrlash (Web-filtrlash) - ushbu vositalar yordamida siz serverga kelgan barcha so'rovlarni qayta ishlashingiz va veb-server ma'muri tomonidan o'rnatilgan maxsus qoidalar asosida ushbu so'rovlarni filtrlashingiz mumkin;
    • IP-manzil va domen cheklovlari (Web-IP-Xavfsizlik) - bu vositalar so'rovdagi manbaning IP-manzili yoki domen nomidan kelib chiqqan holda veb-serverdagi tarkibga kirishga ruxsat berish yoki rad etish imkonini beradi;
    • URL avtorizatsiyasi (Web-Url-Auth) - asboblar veb-kontentga kirishni cheklash qoidalarini ishlab chiqish va ularni foydalanuvchilar, guruhlar yoki HTTP sarlavhasi buyruqlari bilan bog'lash imkonini beradi;
    • Digest autentifikatsiyasi (Web-Digest-Auth) - Bu autentifikatsiya asosiy autentifikatsiyaga qaraganda yuqori darajadagi xavfsizlikni ta'minlaydi. Digest tekshiruvi foydalanuvchilarni autentifikatsiya qilish uchun Windows domen boshqaruvchisiga parol xeshini uzatish orqali ishlaydi;
    • Asosiy autentifikatsiya (Web-Basic-Auth) - bu autentifikatsiya usuli kuchli veb-brauzer mosligini ta'minlaydi. Kichik ichki tarmoqlarda foydalanish uchun tavsiya etiladi. Ushbu usulning asosiy kamchiligi shundaki, tarmoq orqali uzatiladigan parollar juda oson tutib olinishi va shifrini ochish mumkin, shuning uchun ushbu usulni SSL bilan birgalikda foydalaning;
    • Imtihon Windowsning haqiqiyligi(Web-Windows-Auth) - Windows domeni autentifikatsiyasiga asoslangan autentifikatsiyani ifodalaydi. Boshqacha aytganda, siz foydalanishingiz mumkin Hisoblar Veb-saytlaringiz foydalanuvchilarini autentifikatsiya qilish uchun Active Directory;
    • Mijoz sertifikatini moslashtirish bilan autentifikatsiya (Web-Client-Auth) - Ushbu autentifikatsiya usuli mijoz sertifikatidan foydalanishni o'z ichiga oladi. Ushbu tur sertifikat xaritasini taqdim etish uchun Active Directory-dan foydalanadi;
    • IIS mijoz sertifikatini xaritalash (Web-Cert-Auth) bilan autentifikatsiya - ichida bu usul Mijoz sertifikatlari autentifikatsiya qilish uchun ham ishlatiladi, ammo IIS sertifikat xaritasini taqdim etish uchun ishlatiladi. Ushbu tur yuqori ishlashni ta'minlaydi;
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash (Web-CertProvider) - bu vositalar SSL server sertifikatlarini markazlashtirilgan tarzda boshqarish imkonini beradi, bu esa ushbu sertifikatlarni boshqarish jarayonini sezilarli darajada osonlashtiradi;
  • Salomatlik va diagnostika (Web-Salomatlik)- veb-serverlar, saytlar va ilovalarni boshqarish, boshqarish va nosozliklarni bartaraf etish bo'yicha xizmatlar to'plami:
    • http logging (Web-Http-Logging) - Asboblar veb-sayt faoliyatini jurnalga yozishni ta'minlaydi bu server, ya'ni. jurnalga kirish;
    • ODBC Logging (Web-ODBC-Logging) – Bu vositalar veb-saytlar faoliyati jurnalini ham taʼminlaydi, lekin ular ushbu faoliyatni ODBC-mos keladigan maʼlumotlar bazasiga yozishni qoʻllab-quvvatlaydi;
    • Request Monitor (Web-Request-Monitor) - bu IIS ishchi jarayonida HTTP so'rovlari haqidagi ma'lumotlarni ushlab turish orqali veb-ilovaning sog'lig'ini kuzatish imkonini beruvchi vosita;
    • Web-Custom-Logging - Ushbu vositalar veb-server faoliyatini standart IIS formatidan sezilarli darajada farq qiladigan formatda ro'yxatga olish uchun sozlash imkonini beradi. Boshqacha qilib aytganda, siz o'zingizning logging modulingizni yaratishingiz mumkin;
    • Jurnalga yozish vositalari (Web-Log-Libraries) veb-server jurnallarini boshqarish va jurnalga yozish vazifalarini avtomatlashtirish vositalari;
    • Tracing (Web-Http-Tracing) veb-ilovalar ishlashidagi muammolarni tashxislash va bartaraf etish vositasidir.
  • Umumiy http funksiyalari (Web-Common-Http)– asosiy HTTP funksiyasini taʼminlovchi xizmatlar toʻplami:
    • Standart hujjat (Web-Default-Doc) – Bu xususiyat foydalanuvchilar so‘rov URL manzilida ma’lum bir hujjatni ko‘rsatmasa, veb-serverni standart hujjatni qaytarish uchun sozlash imkonini beradi, bu esa foydalanuvchilarning veb-saytga kirishini osonlashtiradi, masalan, faylni ko'rsatmasdan domen;
    • Kataloglarni ko'rib chiqish (Web-Dir-Browsing) - Ushbu vositadan foydalanuvchi veb-saytdagi barcha katalog va fayllar ro'yxatini ko'rishi uchun veb-serverni sozlash uchun ishlatilishi mumkin. Masalan, foydalanuvchilar so'rov URL manzilida faylni ko'rsatmagan va hujjatlar o'chirilgan yoki sukut bo'yicha sozlanmagan holatlar uchun;
    • http xatolar (Web-Http-Xatolar) - bu imkoniyat veb-server xatolikni aniqlaganda foydalanuvchilarning veb-brauzerlariga qaytariladigan xato xabarlarini sozlash imkonini beradi. Bu xususiyat foydalanuvchilarga xato xabarlarini yaxshiroq taqdim etish uchun ishlatiladi;
    • Statik tarkib (Web-Static-Content) - Ushbu vosita statik fayl formatlari ko'rinishidagi tarkibni veb-serverda ishlatishga imkon beradi, masalan, HTML fayllar yoki rasm fayllari;
    • http qayta yo'naltirish (Web-Http-Redirect) - bu xususiyatdan foydalanib, foydalanuvchi so'rovini ma'lum bir manzilga yo'naltirishingiz mumkin, ya'ni. bu qayta yo'naltirish;
    • WebDAV Publishing (Web-DAV-Publishing) – IIS WEB serverida WebDAV texnologiyasidan foydalanish imkonini beradi. WebDAV ( Internetda tarqatilgan mualliflik va versiya) foydalanuvchilarga birgalikda ishlash imkonini beruvchi texnologiya ( o'qish, tahrirlash, o'qish xususiyatlarini o'qish, nusxalash, ko'chirish) HTTP protokoli yordamida masofaviy veb-serverlardagi fayllar orqali.
  • Ishlash (veb-ishlash)- Gzip va Deflate kabi chiqish keshlash va umumiy siqish mexanizmlari orqali yuqori veb-server unumdorligiga erishish uchun xizmatlar to'plami:
    • Web-Stat-Compression - bu statik http-kontentni siqishni sozlash uchun vosita bo'lib, u protsessorni keraksiz yuklamasdan tarmoqli kengligidan yanada samarali foydalanish imkonini beradi;
    • Dinamik tarkibni siqish (Web-Dyn-Compression) - bu HTTP dinamik kontentni siqishni sozlash vositasi. Ushbu mahsulot yanada samarali foydalanishni ta'minlaydi tarmoqli kengligi, lekin bu holda, dinamik siqish bilan bog'liq bo'lgan server CPU yuki, agar siqilishsiz CPU yuki yuqori bo'lsa, sayt sekinlashishiga olib kelishi mumkin.
  • Ilovalarni ishlab chiqish (veb-ilova-dev)- veb-ilovalarni ishlab chiqish va joylashtirish uchun xizmatlar va vositalar to'plami, boshqacha aytganda, veb-saytlarni ishlab chiqish texnologiyalari:
    • ASP (Web-ASP) - bu ASP texnologiyasidan foydalangan holda veb-saytlar va veb-ilovalarni qo'llab-quvvatlash va rivojlantirish uchun muhit. Hozirgi vaqtda veb-saytlarni ishlab chiqishning yangi va ilg'or texnologiyasi mavjud - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) - bu ASP.NET texnologiyasidan foydalangan holda veb-saytlar va veb-ilovalar uchun ob'ektga yo'naltirilgan ishlab chiqish muhiti;
    • ASP.NET 4.6 (Web-Asp-Net45) shuningdek, veb-saytlar va veb-ilovalarni ishlab chiqish uchun ob'ektga yo'naltirilgan muhitdir. yangi versiya ASP.NET;
    • CGI (Web-CGI) - veb-serverdan tashqi dasturga ma'lumot uzatish uchun CGI-dan foydalanish qobiliyati. CGI - bu aloqa interfeysining bir turi tashqi dastur veb-server bilan. Salbiy tomoni shundaki, CGI dan foydalanish ishlashga ta'sir qiladi;
    • Server tomoni qo'shimchalari (SSI) (veb-o'z ichiga oladi) SSI skript tilini qo'llab-quvvatlaydi ( server tomoni faollashtiruvchilari), HTML sahifalarini dinamik ravishda yaratish uchun foydalaniladi;
    • Ilovani ishga tushirish (Web-AppInit) - bu vosita veb-sahifani yo'naltirishdan oldin veb-ilovalarni ishga tushirish vazifasini bajaradi;
    • WebSocket Protocol (Web-WebSockets) - WebSocket protokoli yordamida muloqot qiladigan server ilovalarini yaratish qobiliyatini qo'shish. WebSocket - bu brauzer va brauzer o'rtasida bir vaqtning o'zida ma'lumotlarni yuborishi va qabul qilishi mumkin bo'lgan protokol veb-server TCP ulanishining tepasida, HTTP protokoli kengaytmasining bir turi;
    • ISAPI kengaytmalari (Web-ISAPI-Ext) - ISAPI dasturlash interfeysi yordamida veb-kontentni dinamik rivojlantirishni qo'llab-quvvatlash. ISAPI - bu IIS veb-server uchun API. ISAPI ilovalari ASP fayllari yoki COM+ komponentlarini chaqiruvchi fayllardan ancha tezroq;
    • .NET 3.5 Kengaytirish (Web-Net-Ext) - bu .NET 3.5 kengaytma xususiyati boʻlib, soʻrovni qayta ishlash liniyasi, konfiguratsiya va foydalanuvchi interfeysi davomida veb-server funksiyalarini oʻzgartirish, qoʻshish va kengaytirish imkonini beradi;
    • .NET 4.6 Kengaytirish (Web-Net-Ext45) bu .NET 4.6 kengaytma xususiyati boʻlib, u sizga soʻrovlarni qayta ishlash liniyasi, konfiguratsiya va foydalanuvchi interfeysi davomida veb-server funksiyalarini oʻzgartirish, qoʻshish va kengaytirish imkonini beradi;
    • ISAPI filtrlari (Web-ISAPI-Filter) - ISAPI filtrlarini qo'llab-quvvatlash. ISAPI filtrlari veb-server filtr tomonidan qayta ishlanishi kerak bo'lgan maxsus HTTP so'rovini olganida chaqiriladigan dasturlardir.

FTP - server (Web-Ftp-Server)- FTP protokolini qo'llab-quvvatlaydigan xizmatlar. Biz FTP serveri haqida batafsilroq materialda gaplashdik - "Windows Server 2016 da FTP serverini o'rnatish va sozlash". Quyidagi xizmatlarni o'z ichiga oladi:

  • FTP xizmati (Web-Ftp-Service) - veb-serverda FTP protokolini qo'llab-quvvatlaydi;
  • FTP kengaytirilishi (Web-Ftp-Ext) - kengaytiriladi standart xususiyatlar FTP, masalan, maxsus provayderlar, ASP.NET foydalanuvchilari yoki IIS menejeri foydalanuvchilari kabi xususiyatlarni qo'llab-quvvatlaydi.

Boshqaruv vositalari (Web-Mgmt-Tools)- Bular IIS 10 veb-serverini boshqarish vositalaridir.Bularga quyidagilar kiradi: IIS foydalanuvchi interfeysi, buyruq qatori vositalari va skriptlar.

  • IIS boshqaruv konsoli (Web-Mgmt-Console) IISni boshqarish uchun foydalanuvchi interfeysi;
  • IIS belgilar to'plami va vositalari (Web-Scripting-Tools) - bu buyruq satri yoki skriptlardan foydalangan holda IISni boshqarish uchun vositalar va skriptlar. Ular, masalan, boshqaruvni avtomatlashtirish uchun ishlatilishi mumkin;
  • Boshqaruv xizmati (Web-Mgmt-Service) - bu xizmat IIS menejeri yordamida boshqa kompyuterdan veb-serverni masofadan boshqarish imkoniyatini qo'shadi;
  • IIS 6 muvofiqlikni boshqarish (Web-Mgmt-Compat) - ikkita IIS API-dan foydalanadigan ilovalar va skriptlar o'rtasidagi muvofiqlikni ta'minlaydi. IIS 10 veb-serverini boshqarish uchun mavjud IIS 6 skriptlaridan foydalanish mumkin:
    • IIS 6 Moslik Metabazasi (Web-Metabase) bu moslik vositasi boʻlib, eskilaridan koʻchirilgan ilovalar va belgilar toʻplamini ishga tushirishga imkon beradi. oldingi versiyalar IIS;
    • IIS 6 skript vositalari (Web-Lgcy-Scripting) - Bu vositalar IIS 10 da IIS 6 ni boshqarish uchun yaratilgan bir xil IIS 6 skript xizmatlaridan foydalanish imkonini beradi;
    • IIS 6 Xizmatlarni boshqarish konsoli (Web-Lgcy-Mgmt-Console) - Boshqaruv vositasi masofaviy serverlar IIS 6.0;
    • IIS 6 WMI muvofiqligi (Web-WMI) bu WMI provayderida yaratilgan skriptlar to'plamidan foydalangan holda IIS 10.0 veb-server vazifalarini dasturiy jihatdan boshqarish va avtomatlashtirish uchun Windows boshqaruv asboblari (WMI) skript interfeyslari.

Active Directory domen xizmatlari

Rol " Active Directory domen xizmatlari» (AD DS) tarmoq resurslari haqidagi ma'lumotlarni saqlaydigan va qayta ishlaydigan taqsimlangan ma'lumotlar bazasini taqdim etadi. Bu rol foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik xavfsiz qobiq tuzilishiga joylashtirish uchun ishlatiladi. Ierarxik tuzilma o'rmonlarni, o'rmon ichidagi domenlarni va har bir domen ichidagi tashkiliy birliklarni (OU) o'z ichiga oladi. AD DS bilan ishlaydigan server domen boshqaruvchisi deb ataladi.

Windows PowerShell uchun rol nomi AD-Domain-Services.

Windows Server Essentials Mode

Ushbu rol kompyuter infratuzilmasini ifodalaydi va qulay va samarali funktsiyalarni ta'minlaydi, masalan: mijoz ma'lumotlarini markazlashtirilgan joyda saqlash va ushbu ma'lumotlarni himoya qilish Zaxira nusxasi server va mijoz kompyuterlari, Internetga masofaviy kirish, deyarli har qanday qurilmadan ma'lumotlarga kirish imkonini beradi. Bu rol bir nechta rol xizmatlari va komponentlarini talab qiladi, masalan: BranchCache komponentlari, Windows Serverning zaxira nusxasi, boshqaruv guruh siyosati, rol xizmati " DFS nom maydonlari».

PowerShell nomi ServerEssentialsRole.

Tarmoq boshqaruvchisi

Ushbu rol Windows Server 2016 da taqdim etilgan va ma'lumotlar markazidagi jismoniy va virtual tarmoq infratuzilmasini boshqarish, monitoring qilish va diagnostika qilish uchun yagona avtomatlashtirish nuqtasini ta'minlaydi. Ushbu roldan foydalanib, siz IP quyi tarmoqlarini, VLAN-larni, Hyper-V xostlarining jismoniy tarmoq adapterlarini sozlashingiz, virtual kalitlarni, jismoniy routerlarni, xavfsizlik devori sozlamalarini va VPN shlyuzlarini bir nuqtadan boshqarishingiz mumkin.

Windows PowerShell-ning nomi NetworkController.

Node Guardian xizmati

Bu Hosted Guardian Service (HGS) server roli boʻlib, himoyalangan xostlarga himoyalangan holda ishlash imkonini beruvchi asosiy attestatsiya va asosiy himoya xizmatlarini taqdim etadi. virtual mashinalar. Ushbu rolning ishlashi uchun bir nechta qo'shimcha rollar va komponentlar talab qilinadi, masalan: Active Directory Domain Services, Web Server (IIS), komponent " Failover klasterlash" va boshqalar.

PowerShell nomi - HostGuardianServiceRole.

Active Directory engil katalog xizmatlari

Rol " Active Directory engil katalog xizmatlari" (AD LDS) - AD DS ning engil versiyasi bo'lib, u kamroq funksionallikka ega, lekin domenlar yoki domen kontrollerlarini joylashtirishni talab qilmaydi va AD DS xizmatlari talab qiladigan bog'liqliklar va domen cheklovlariga ega emas. AD LDS LDAP protokoli orqali ishlaydi ( Yengil vaznli katalogga kirish protokoli). Siz bitta serverda mustaqil ravishda boshqariladigan sxemalar bilan bir nechta AD LDS misollarini joylashtirishingiz mumkin.

PowerShell nomi ADLDS.

Ko'p nuqtali xizmatlar

Bu, shuningdek, Windows Server 2016 da joriy qilingan yangi roldir. MultiPoint Services (MPS) bir nechta foydalanuvchilarga bir vaqtda va bir xil kompyuterda mustaqil ishlash imkonini beruvchi asosiy masofaviy ish stoli funksiyasini taʼminlaydi. Ushbu rolni o'rnatish va ishlatish uchun siz bir nechta qo'shimcha xizmatlar va komponentlarni o'rnatishingiz kerak, masalan: Print Server, Windows Search xizmati, XPS Viewer va boshqalar, ularning barchasi MPS o'rnatilganda avtomatik ravishda tanlanadi.

PowerShell uchun rol nomi MultiPointServerRole.

Windows Server yangilash xizmatlari

Ushbu roldan foydalanish (WSUS) tizim ma'murlari Microsoft yangilanishlarini boshqarishi mumkin. Masalan, turli xil yangilanishlar to'plami uchun alohida kompyuter guruhlarini yarating, shuningdek, kompyuterning muvofiqligi va o'rnatilishi kerak bo'lgan yangilanishlar haqida hisobotlarni oling. Ishlash uchun" Windows Server yangilash xizmatlari» bizga bunday rolli xizmatlar va komponentlar kerak: Veb-server (IIS), ichki ma'lumotlar bazasi Windows ma'lumotlari, faollashtirish xizmati Windows jarayonlari.

Windows PowerShell nomi - UpdateServices.

  • WID ulanishi (UpdateServices-WidDB) - WID ( Windows ichki ma'lumotlar bazasi) WSUS tomonidan foydalaniladigan ma'lumotlar bazasi. Boshqacha qilib aytganda, WSUS o'zining xizmat ma'lumotlarini WID-da saqlaydi;
  • WSUS xizmatlari (UpdateServices-Services) yangilanish xizmati, hisobot berish veb-xizmati, API masofaviy veb-xizmati, mijoz veb-xizmati, oddiy Internet autentifikatsiya veb-xizmati, serverni sinxronlashtirish xizmati va DSS veb-autentifikatsiya xizmati kabi WSUS rol xizmatlaridir;
  • SQL Server Ulanish (UpdateServices-DB) - bu WSUS xizmatiga ma'lumotlar bazasiga ulanish imkonini beruvchi komponentni o'rnatish Microsoft ma'lumotlari SQL Server. Ushbu parametr ma'lumotlar bazasida xizmat ma'lumotlarini saqlashni o'z ichiga oladi Microsoft SQL Server. Bunday holda, sizda SQL Serverning kamida bitta nusxasi o'rnatilgan bo'lishi kerak.

Ovozni faollashtirish xizmatlari

Ushbu server roli Microsoft dasturiy ta'minoti uchun hajmli litsenziyalar berishni avtomatlashtiradi va soddalashtiradi va sizga ushbu litsenziyalarni boshqarish imkonini beradi.

PowerShell nomi VolumeActivation.

Chop etish va hujjat xizmatlari

Ushbu server roli tarmoqdagi printerlar va skanerlarni almashish, chop etish va skanerlash serverlarini markazlashtirilgan tarzda sozlash va boshqarish hamda boshqarish uchun moʻljallangan. tarmoq printerlari va skanerlar. Chop etish va hujjat xizmatlari sizga skanerlangan hujjatlarni elektron pochta orqali umumiy manzilga yuborish imkonini ham beradi tarmoq papkalari yoki Windows SharePoint xizmatlari saytlariga.

PowerShell nomi - Chop etish xizmatlari.

  • Chop etish serveri - bu rol xizmati "ni o'z ichiga oladi. Chop etish boshqaruvi", bu printerlarni yoki chop etish serverlarini boshqarish, shuningdek, printerlar va boshqa chop etish serverlarini ko'chirish uchun ishlatiladi;
  • Internet orqali chop etish (Print-Internet) - Internet orqali chop etishni amalga oshirish uchun veb-sayt yaratiladi, u orqali foydalanuvchilar serverdagi chop etish ishlarini boshqarishlari mumkin. Ushbu xizmat ishlashi uchun siz tushunganingizdek, o'rnatishingiz kerak " Veb-server (IIS)" Rol xizmatini o'rnatish jarayonida ushbu katakchani belgilaganingizda barcha kerakli komponentlar avtomatik ravishda tanlanadi " Onlayn bosib chiqarish»;
  • Tarqalgan skanerlash serveri (Print-Scan-Server) tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va ularni belgilangan manzilga yuborish imkonini beruvchi xizmatdir. Ushbu xizmat shuningdek, " Skanerlashni boshqarish", nazorat qilish uchun ishlatiladi tarmoq skanerlari va skanerlashni sozlash;
  • LPD xizmati (Print-LPD-Service) - LPD xizmati ( Line Printer Daemon) UNIX-ga asoslangan kompyuterlar va Line Printer Remote (LPR) xizmatidan foydalanadigan boshqa kompyuterlarga umumiy server printerlarida chop etish imkonini beradi.

Tarmoq siyosati va kirish xizmatlari

Rol " » (NPAS) tarmoqqa kirish, autentifikatsiya va avtorizatsiya hamda mijoz salomatligi, boshqacha qilib aytganda, tarmoq xavfsizligini taʼminlash siyosatlarini oʻrnatish va qoʻllash uchun Network Policy Server (NPS) dan foydalanish imkonini beradi.

Windows PowerShell-ning nomi NPAS.

Windows tarqatish xizmatlari

Ushbu roldan foydalanib, siz Windows operatsion tizimini tarmoq orqali masofadan o'rnatishingiz mumkin.

PowerShell uchun rol nomi WDS.

  • Deployment Server (WDS-Deployment) - bu rol xizmati masofaviy joylashtirish va sozlash uchun mo'ljallangan. operatsion tizimlar Windows. Shuningdek, u qayta foydalanish uchun tasvirlarni yaratish va sozlash imkonini beradi;
  • Transport serveri (WDS-Transport) - bu xizmat asosiy tarmoq komponentlarini o'z ichiga oladi, ular yordamida siz mustaqil serverda multicast orqali ma'lumotlarni uzatishingiz mumkin.

Active Directory sertifikat xizmatlari

Bu rol turli ilovalar uchun sertifikatlar chiqarish va boshqarish imkonini beruvchi sertifikat organlari va tegishli rol xizmatlarini yaratish uchun moʻljallangan.

Windows PowerShell nomi AD-sertifikatdir.

Quyidagi rol xizmatlarini o'z ichiga oladi:

  • Sertifikat organi (ADCS-Cert-Authority) - ushbu rol xizmatidan foydalanib, siz foydalanuvchilarga, kompyuterlarga va xizmatlarga sertifikatlar berishingiz, shuningdek sertifikatning amal qilish muddatini boshqarishingiz mumkin;
  • Sertifikatni ro'yxatdan o'tkazish siyosati veb-xizmati (ADCS-Enroll-Web-Pol) - Bu xizmat foydalanuvchilar va kompyuterlarga, hatto kompyuter domenning bir qismi bo'lmasa ham, veb-brauzer yordamida sertifikatni ro'yxatdan o'tkazish siyosati ma'lumotlarini olish imkonini beradi. Uning ishlashi uchun bu zarur " Veb-server (IIS)»;
  • Sertifikatlarni ro'yxatdan o'tkazish veb-xizmati (ADCS-Enroll-Web-Svc) - Bu xizmat foydalanuvchilarga va kompyuterlarga HTTPS orqali veb-brauzer yordamida sertifikatlarni ro'yxatdan o'tkazish va yangilash imkonini beradi, hatto kompyuter domen a'zosi bo'lmasa ham. Uning ishlashi uchun bu ham zarur " Veb-server (IIS)»;
  • Onlayn javob beruvchi (ADCS-Online-Cert) - mijozlar uchun sertifikatning bekor qilinishini tekshirish uchun mo'ljallangan xizmat. Boshqacha qilib aytadigan bo'lsak, u muayyan sertifikatlar uchun bekor qilish holati so'rovini qabul qiladi, ushbu sertifikatlar holatini baholaydi va status ma'lumotlari bilan imzolangan javobni yuboradi. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)»;
  • Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) - Bu xizmat foydalanuvchilarga sertifikatlarni so'rash va yangilash, sertifikatni bekor qilish ro'yxatini olish va smart-karta sertifikatlarini ro'yxatdan o'tkazish kabi vazifalarni bajarishi uchun veb-interfeysni taqdim etadi. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)»;
  • Ro'yxatdan o'tish xizmati tarmoq qurilmalari ah (ADCS-Device-Enrollment) - Ushbu xizmatdan foydalanib, siz routerlar va tarmoq hisoblariga ega bo'lmagan boshqa tarmoq qurilmalari uchun sertifikatlar berishingiz, shuningdek, ushbu sertifikatlarni boshqarishingiz mumkin. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)».

Masofaviy ish stoli xizmatlari

Virtual ish stollariga, seansga asoslangan ish stollariga va RemoteApps-ga kirish imkonini beruvchi server roli.

Windows PowerShell uchun rol nomi - Remote-Desktop-Services.

Quyidagi xizmatlardan iborat:

  • Masofaviy ish stoli veb-kirish (RDS-Web-Access) - bu rol xizmati foydalanuvchilarga masofaviy ish stollari va RemoteApp ilovalariga "" orqali kirish imkonini beradi. Boshlash» yoki veb-brauzer yordamida;
  • Masofaviy ish stolini litsenziyalash (RDS-litsenziyalash) bu masofaviy ish stoli sessiyasi xost serveriga yoki virtual ish stoliga ulanish uchun zarur bo'lgan litsenziyalarni boshqarish uchun mo'ljallangan xizmatdir. U litsenziyalarni o'rnatish, berish va ularning mavjudligini kuzatish uchun ishlatilishi mumkin. Ushbu xizmat talab qiladi " Veb-server (IIS)»;
  • Remote Desktop Connection Broker (RDS-Connection-Broker) bu quyidagi imkoniyatlarni ta'minlovchi rolli xizmatdir: qayta ulanish foydalanuvchini mavjud virtual ish stoli, RemoteApp ilovasi va seansga asoslangan ish stoli va masofaviy ish stoli sessiyasi xost serverlari yoki birlashtirilgan virtual ish stollari oʻrtasida yuk balansini sozlash. Ushbu xizmat uchun " »;
  • Remote Desktop Virtualization Host (DS-Virtualization) - foydalanuvchilarga RemoteApp va Desktop Connection yordamida virtual ish stollariga ulanish imkonini beruvchi xizmat. Ushbu xizmat Hyper-V bilan birgalikda ishlaydi, ya'ni. bu rol belgilanishi kerak;
  • Masofaviy ish stoli sessiyasi xosti (RDS-RD-Server) - Bu xizmat sizga RemoteApp ilovalari va seansga asoslangan ish stollarini serverda joylashtirish imkonini beradi. Kirish uchun Remote Desktop Connection mijozi yoki RemoteApp dasturidan foydalaning;
  • Masofaviy ish stoli shlyuzi (RDS-shlyuz) - bu xizmat vakolatli masofaviy foydalanuvchilarga korporativ tarmoq yoki Internet orqali virtual ish stollari, RemoteApps va seansga asoslangan ish stollariga ulanish imkonini beradi. Ushbu xizmat ishlashi uchun quyidagi qo'shimcha xizmatlar va komponentlar talab qilinadi: " Veb-server (IIS)», « Tarmoq siyosati va kirish xizmatlari», « HTTP proksi-server orqali RPC».

Active Directory huquqlarini boshqarish xizmatlari

Bu ma'lumotni ruxsatsiz foydalanishdan himoya qilish imkonini beruvchi server roli. U foydalanuvchi identifikatorlarini tekshiradi va ruxsat berilgan foydalanuvchilarga himoyalangan ma'lumotlarga kirish uchun litsenziyalar beradi. Ushbu rolning ishlashi uchun qo'shimcha xizmatlar va komponentlar talab qilinadi: " Veb-server (IIS)», « Windows jarayonini faollashtirish xizmati», « .NET Framework 4.6 xususiyatlari».

Windows PowerShell-ning nomi ADRMS.

  • Active Directory huquqlarini boshqarish serveri (ADRMS-Server) asosiy rol xizmati bo'lib, o'rnatish uchun talab qilinadi;
  • Identity Federation Support (ADRMS-Identity) ixtiyoriy rol xizmati boʻlib, birlashgan identifikatorlarga Active Directory Federation Services yordamida himoyalangan kontentni isteʼmol qilish imkonini beradi.

Active Directory federatsiyasi xizmatlari

Bu rol soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi imkoniyatlarini, shuningdek, veb-saytlarga brauzerga asoslangan yagona tizimga kirishni (SSO) taqdim etadi.

PowerShell nomi - ADFS-Federatsiya.

Masofaviy kirish

Bu rol DirectAccess, VPN va Web Application Proxy orqali ulanishni ta'minlaydi. Shuningdek, " roli Masofaviy kirish » an'anaviy marshrutlash imkoniyatlarini, jumladan, Tarmoq manzilini tarjima qilish (NAT) va boshqa ulanish imkoniyatlarini taqdim etadi. Ushbu rol qo'shimcha xizmatlar va komponentlarni talab qiladi: " Veb-server (IIS)», « Windows ichki ma'lumotlar bazasi».

Windows PowerShell uchun rol nomi - RemoteAccess.

  • DirectAccess va VPN (RAS) (DirectAccess-VPN) - bu xizmat foydalanuvchilarga DirectAccess orqali Internetga kirish imkoniga ega bo'lsa, istalgan vaqtda korporativ tarmoqqa ulanish imkonini beradi, shuningdek tashkil qiladi. VPN ulanishlari tunnel va ma'lumotlarni shifrlash texnologiyalari bilan birgalikda;
  • Marshrutlash - xizmat NAT marshrutizatorlari, marshrutizatorlarni qo'llab-quvvatlaydi mahalliy tarmoq BGP, RIP va multicast qo'llab-quvvatlanadigan routerlar bilan (IGMP proksi);
  • Veb-ilova proksi-serveri (Web-Application-Proxy) - xizmat korporativ tarmoqdan korporativ tarmoqdan tashqarida joylashgan mijoz qurilmalariga HTTP va HTTPS protokollari asosidagi ilovalarni nashr qilish imkonini beradi.

Fayl va saqlash xizmatlari

Bu ta'minlash uchun ishlatilishi mumkin bo'lgan server roli umumiy kirish fayllar va papkalarga, umumiy resurslarni boshqarish va nazorat qilish, fayllarni ko'paytirish, ta'minlash tezkor qidiruv fayllar, shuningdek, UNIX mijoz kompyuterlariga kirishni ta'minlaydi. Tafsilotlarda fayl xizmatlari va xususan, biz "Windows Server 2016 da fayl serverini o'rnatish" materialida fayl serverini ko'rib chiqdik.

Windows PowerShell-ning nomi FileAndStorage-Services.

Saqlash xizmatlari– Ushbu xizmat har doim oʻrnatiladigan va olib tashlab boʻlmaydigan saqlashni boshqarish funksiyasini taqdim etadi.

Fayl xizmatlari va iSCSI xizmatlari (Fayl xizmatlari)- bular fayl serverlari va saqlashni boshqarishni soddalashtiradigan, disk maydonini tejaydigan, filiallardagi fayllarni replikatsiya va keshlashni ta'minlaydigan, shuningdek NFS protokoli yordamida fayllarni almashishni ta'minlaydigan texnologiyalar. Quyidagi rol xizmatlarini o'z ichiga oladi:

  • Fayl serveri (FS-FileServer) - umumiy papkalarni boshqaradigan va foydalanuvchilarga tarmoq orqali ushbu kompyuterdagi fayllarga kirishni ta'minlovchi rol xizmati;
  • Ma'lumotlarni deduplication (FS-Data-Deduplication) – bu xizmat jildda bir xil ma'lumotlarning faqat bitta nusxasini saqlash orqali disk maydonini tejaydi;
  • Resurs menejeri fayl serveri(FS-Resource-Manager) - Ushbu xizmatdan foydalanib, siz fayl serveridagi fayl va papkalarni boshqarishingiz, saqlash hisobotlarini yaratishingiz, fayllar va papkalarni tasniflashingiz, papkalar kvotalari sozlashingiz va fayllarni bloklash siyosatini belgilashingiz mumkin;
  • iSCSI Target Storage Provider (Uskuna VDS va VSS Provayderlari) (iSCSITarget-VSS-VDS) - Xizmat iSCSI maqsadiga ulangan serverdagi ilovalarga nusxa koʻchirish hajmlarini soya qilish imkonini beradi. virtual disklar iSCSI;
  • DFS nom maydonlari (FS-DFS-Namespace) - ushbu xizmatdan foydalanib, siz turli serverlarda joylashgan umumiy papkalarni bir yoki bir nechta mantiqiy tuzilgan nomlar maydoniga guruhlashingiz mumkin;
  • Ishchi papkalar (FS-SyncShareService) - xizmat turli xil kompyuterlarda, shu jumladan ish va shaxsiy kompyuterlarda ishchi fayllardan foydalanish imkonini beradi. Siz fayllaringizni ishchi papkalarda saqlashingiz, ularni sinxronlashtirishingiz va mahalliy tarmoq yoki Internetdan kirishingiz mumkin. Xizmat ishlashi uchun komponent " IIS jarayonidagi veb-dvigatel»;
  • DFS replikatsiyasi (FS-DFS-Replikatsiya) - bu bir nechta serverlar o'rtasida ma'lumotlarni replikatsiya qilish moduli bo'lib, u sizga mahalliy yoki papkalarga ulanish orqali papkalarni sinxronlashtirish imkonini beradi. global tarmoq. Bu texnologiya faqat oxirgi replikatsiyadan keyin o'zgargan fayllar qismlarini yangilash uchun masofaviy differensial siqish (RDC) protokolidan foydalanadi. DFS replikatsiyasi DFS nom maydonlari bilan birgalikda yoki alohida ishlatilishi mumkin;
  • NFS serveri (FS-NFS-Service) - bu kompyuterga UNIX asosidagi kompyuterlar va tarmoq protokolidan foydalanadigan boshqa kompyuterlar bilan fayllarni almashish imkonini beruvchi xizmat. fayl tizimi(NFS);
  • iSCSI Target Server (FS-iSCSITarget-Server) - iSCSI maqsadlari uchun xizmatlar va boshqaruv vositalarini taqdim etadi;
  • Tarmoq fayllari uchun BranchCache xizmati (FS-BranchCache) - xizmat ushbu fayl serverida BranchCache-ni qo'llab-quvvatlaydi;
  • File Server VSS Agent Service (FS-VSS-Agent) - Xizmat ushbu fayl serverida ma'lumotlar fayllarini saqlaydigan ilovalar uchun hajmli soyadan nusxa ko'chirish imkonini beradi.

Faks serveri

Rol fakslarni yuboradi va qabul qiladi hamda ushbu kompyuter yoki tarmoqdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkonini beradi. Ishlash uchun sizga kerak " Chop etish serveri».

Windows PowerShell uchun rol nomi Faksdir.

Bu Windows Server 2016 server rollarini ko'rib chiqishni yakunlaydi, umid qilamanki, material siz uchun foydali bo'ldi, xayr!

Windows-ni o'rnatayotganda, kichik quyi tizimlarning aksariyati faollashtirilmagan yoki o'rnatilmagan. Bu xavfsizlik nuqtai nazaridan amalga oshiriladi. Tizim sukut bo'yicha xavfsiz bo'lganligi sababli, tizim ma'murlari o'z vazifalarini aniq bajaradigan tizimni loyihalashga e'tibor berishlari mumkin va boshqa hech narsa yo'q. Kerakli funksiyalarni yoqishingizga yordam berish uchun Windows sizga Server rolini tanlashni taklif qiladi.

Rollar

Server roli - bu to'g'ri o'rnatilgan va konfiguratsiya qilinganida, kompyuterga bir nechta foydalanuvchilar yoki tarmoqdagi boshqa kompyuterlar uchun ma'lum bir funktsiyani bajarishga imkon beradigan dasturlar to'plami. Umuman olganda, barcha rollar quyidagi xususiyatlarga ega.

  • Ular kompyuterdan foydalanishning asosiy vazifasi, maqsadi yoki maqsadini belgilaydi. Siz kompyuterni korxonangizda ko'p qo'llaniladigan bitta rolni bajarish uchun yoki har biri faqat vaqti-vaqti bilan ishlatilsa, bir nechta rollarni bajarish uchun belgilashingiz mumkin.
  • Rollar tashkilotingizdagi foydalanuvchilarga veb-saytlar, printerlar yoki turli kompyuterlarda saqlangan fayllar kabi boshqa kompyuterlar tomonidan boshqariladigan resurslarga kirish imkonini beradi.
  • Ular odatda bor o'z bazalari foydalanuvchi yoki kompyuter so'rovlarini navbatga qo'yadigan yoki tarmoq foydalanuvchilari va rol bilan bog'liq bo'lgan kompyuterlar haqidagi ma'lumotlarni yozadigan ma'lumotlar. Masalan, Active Directory Domain Services tarmog'idagi barcha kompyuterlarning nomlari va ierarxik munosabatlarini saqlash uchun ma'lumotlar bazasini o'z ichiga oladi.
  • To'g'ri o'rnatilgan va sozlangandan so'ng, rollar avtomatik ravishda ishlaydi. Bu ular o'rnatilgan kompyuterlarga cheklangan foydalanuvchi shovqini bilan tayinlangan vazifalarni bajarishga imkon beradi.

Rol xizmatlari

Rol xizmatlari - bu rol funksiyalarini ta'minlovchi dasturlar. Rolni o'rnatganingizda, u boshqa foydalanuvchilar va korxonadagi kompyuterlarga qaysi xizmatlarni taqdim etishini tanlashingiz mumkin. DNS server kabi ba'zi rollar faqat bitta funktsiyani bajaradi, shuning uchun ular uchun rol xizmatlari mavjud emas. Masofaviy ish stoli xizmatlari kabi boshqa rollarda biznesingizning masofaviy kirish ehtiyojlariga qarab oʻrnatilishi mumkin boʻlgan bir nechta xizmatlar mavjud. Rolni bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami sifatida ko'rish mumkin. Ko'pgina hollarda, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi.

Komponentlar

Komponentlar to'g'ridan-to'g'ri rollarning bir qismi bo'lmagan, lekin qaysi rollar o'rnatilganidan qat'i nazar, bir yoki bir nechta rollarning yoki butun serverning funksionalligini qo'llab-quvvatlaydigan yoki kengaytiradigan dasturlardir. Masalan, Failover Cluster xususiyati fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksionalligini kengaytirib, ularga server klasterlariga qo'shilish imkonini beradi, bu esa ortib borayotgan ortiqcha va ishlashni ta'minlaydi. Boshqa komponent Telnet mijozi tarmoq ulanishi orqali Telnet serveri bilan masofaviy aloqani ta'minlaydi. Bu xususiyat serverning aloqa imkoniyatlarini oshiradi.

Windows Server asosiy rejimda ishlayotganida server komponentlari, quyidagi server rollari qo'llab-quvvatlanadi:

  • Active Directory sertifikat xizmatlari;
  • Active Directory domen xizmatlari;
  • DHCP serveri;
  • DNS server;
  • fayl xizmatlari (shu jumladan fayl serveri resurslari menejeri);
  • Active Directory engil katalog xizmatlari;
  • Hyper-V;
  • matbaa va hujjatlar xizmatlari;
  • oqimli media xizmatlari;
  • veb-server (shu jumladan ASP.NET quyi to'plami);
  • Windows Server yangilash serveri;
  • Active Directory huquqlarini boshqarish serveri;
  • Marshrutlash va masofaviy kirish serveri va quyidagi bo'ysunuvchi rollar:
    • Masofaviy ish stoli xizmatlariga ulanish brokeri;
    • litsenziyalash;
    • virtualizatsiya.

Windows Server Server yadrosi rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • fonda aqlli uzatish xizmati (BITS);
  • BitLocker diskini shifrlash;
  • BitLocker tarmog'ini qulfdan chiqarish;
  • BranchCache
  • ma'lumotlar markazi ko'prigi;
  • Kengaytirilgan saqlash;
  • muvaffaqiyatsiz klasterlash;
  • Ko'p yo'nalishli kiritish-chiqarish;
  • tarmoq yukini muvozanatlash;
  • PNRP protokoli;
  • qWave;
  • masofaviy differentsial siqish;
  • oddiy TCP/IP xizmatlari;
  • HTTP proksi-server orqali RPC;
  • SMTP serveri;
  • SNMP xizmati;
  • Telnet mijozi;
  • Telnet serveri;
  • TFTP mijozi;
  • Windows ichki ma'lumotlar bazasi;
  • Windows PowerShell Internetga kirish;
  • Windows faollashtirish xizmati;
  • standartlashtirilgan Windows saqlash boshqaruvi;
  • IIS WinRM kengaytmasi;
  • WINS serveri;
  • WoW64 qo'llab-quvvatlash.

Server menejeri yordamida server rollarini o'rnatish

Qo'shish uchun Server menejerini oching va Boshqaruv menyusida Rollar va xususiyatlarni qo'shish-ni bosing:

Rollar va xususiyatlarni qo'shish ustasi ochiladi. Keyingiga bosing

O'rnatish turi, Rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingisi:

Serverni tanlash - bizning serverimizni tanlang. Keyingi server rollarini bosing - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun Keyingiga bosing. Ushbu protsedura davomida Rollar va xususiyatlarni qo'shish ustasi belgilangan serverda o'rnatish yoki o'rnatishga to'sqinlik qiladigan har qanday nizolar mavjudligi haqida avtomatik ravishda sizga xabar beradi. normal ishlash tanlangan rollar yoki komponentlar. Shuningdek, sizdan tanlangan rollar yoki funksiyalar uchun zarur bo'lgan rollar, rol xizmatlari va xususiyatlarni qo'shish taklif etiladi.

PowerShell yordamida rollarni o'rnatish

Windows PowerShell-ni oching Mavjud va o'rnatilgan rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting mahalliy server. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va xususiyatlar uchun buyruq nomlarini o'z ichiga oladi.

Sintaksisni ko'rish uchun Get-Help Install-WindowsFeature-ni kiriting va qabul qilinadigan parametrlar cmdlet Install-WindowsFeature (MAN).

Quyidagi buyruqni kiriting (-Rolni o'rnatishda qayta ishga tushirish kerak bo'lsa, qayta ishga tushirish serverni qayta ishga tushiradi).

O'rnatish-WindowsFeature -Ism -Qayta ishga tushirish

Rol va rol xizmatlarining tavsifi

Barcha rollar va rol xizmatlari quyida tavsiflanadi. Keling, amaliyotimizda eng keng tarqalgan bo'lganlar uchun kengaytirilgan konfiguratsiyani ko'rib chiqaylik, Web Server Role va Masofaviy ish stoli Xizmatlar

IISning batafsil tavsifi

  • Umumiy HTTP xususiyatlari - Asosiy HTTP komponentlari
    • Standart hujjat - sayt uchun indeks sahifasini o'rnatish imkonini beradi.
    • Kataloglarni ko'rib chiqish - foydalanuvchilarga veb-serverdagi katalog tarkibini ko'rish imkonini beradi. Foydalanuvchilar URL manzilida fayl ko‘rsatmasa va indeks sahifasi o‘chirilgan yoki sozlanmagan bo‘lsa, katalogdagi barcha kataloglar va fayllar ro‘yxatini avtomatik ravishda yaratish uchun kataloglarni ko‘rib chiqishdan foydalaning.
    • HTTP xatolari - brauzerda mijozlarga qaytarilgan xato xabarlarini sozlash imkonini beradi.
    • Statik tarkib - statik tarkibni, masalan, rasmlar yoki html fayllarni joylashtirish imkonini beradi.
    • HTTP qayta yo'naltirish - foydalanuvchi so'rovlarini qayta yo'naltirish uchun yordam beradi.
    • WebDAV Publishing HTTP protokoli yordamida veb-serverdan fayllarni nashr qilish imkonini beradi.
  • Salomatlik va diagnostika xususiyatlari - Diagnostika komponentlari
    • HTTP jurnali ma'lum bir server uchun veb-saytlar faoliyatini qayd qilishni ta'minlaydi.
    • Maxsus jurnallar "an'anaviy" jurnallardan farq qiladigan maxsus jurnallarni yaratishni qo'llab-quvvatlaydi.
    • Logging Tools veb-server jurnallarini boshqarish va umumiy ro'yxatga olish vazifalarini avtomatlashtirish uchun infratuzilmani taqdim etadi.
    • ODBC Logging veb-server faoliyatini ODBC-ga mos keladigan ma'lumotlar bazasida qayd qilishni qo'llab-quvvatlaydigan infratuzilmani taqdim etadi.
    • Request Monitor IIS ishchi jarayonida HTTP so'rovlari haqida ma'lumot to'plash orqali veb-ilovalarning sog'lig'ini kuzatish uchun infratuzilmani taqdim etadi.
    • Tracing veb-ilovalarni diagnostika qilish va muammolarni bartaraf etish uchun asos yaratadi. Muvaffaqiyatsiz so‘rovni kuzatishdan foydalanib, yomon ishlash yoki autentifikatsiyadagi nosozliklar kabi yozib olish qiyin bo‘lgan voqealarni kuzatishingiz mumkin.
  • Ishlash komponentlari veb-server ish faoliyatini oshiradi.
    • Statik tarkibni siqish statik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi
    • Dinamik tarkibni siqish dinamik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi.
  • Xavfsizlik xavfsizligi komponentlari
    • So'rovlarni filtrlash sizga barcha kiruvchi so'rovlarni yozib olish va ularni administrator tomonidan o'rnatilgan qoidalar asosida filtrlash imkonini beradi.
    • Asosiy autentifikatsiya qo'shimcha avtorizatsiyani o'rnatish imkonini beradi
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash - bu sizga sertifikatlarni fayl almashish kabi markazlashtirilgan joyda saqlash imkonini beruvchi xususiyatdir.
    • Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi.
    • Digest Authentication foydalanuvchilarni autentifikatsiya qilish uchun Windows domen boshqaruvchisiga parol xeshini yuborish orqali ishlaydi. Agar sizga odatiy autentifikatsiyadan ko'ra yuqori darajadagi xavfsizlik kerak bo'lsa, Digest autentifikatsiyasidan foydalanishni o'ylab ko'ring
    • IIS Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi. Mijoz sertifikati ishonchli manbadan olingan raqamli identifikatordir.
    • IP va domen cheklovlari so'ralgan IP manzil yoki domen nomi asosida kirishga ruxsat berish/rad etish imkonini beradi.
    • URL avtorizatsiyasi veb-kontentga kirishni cheklovchi qoidalar yaratish imkonini beradi.
    • Windows autentifikatsiyasi Ushbu autentifikatsiya sxemasi Windows domen ma'murlariga foydalanuvchilarni autentifikatsiya qilish uchun domen infratuzilmasidan foydalanish imkonini beradi.
  • Ilovalarni ishlab chiqish xususiyatlari Ilovalarni ishlab chiqish komponentlari
  • FTP serveri
    • FTP xizmati veb-serverga FTP nashrini yoqadi.
    • FTP kengaytirilishi imkoniyatlarini kengaytiruvchi FTP funksiyalarini qo'llab-quvvatlashni o'z ichiga oladi
  • Boshqaruv vositalari
    • IIS boshqaruv konsoli IIS menejerini o'rnatadi, bu sizga grafik interfeys orqali veb-serverni boshqarish imkonini beradi
    • IIS 6.0 boshqaruv muvofiqligi Admin Base Object (ABO) va Active Directory Directory Service Interface (ADSI) API-laridan foydalanadigan ilovalar va skriptlar uchun oldinga muvofiqlikni ta'minlaydi. Bu mavjud IIS 6.0 skriptlarini IIS 8.0 veb-serverida ishlatish imkonini beradi
    • IIS boshqaruv skriptlari va vositalari IIS veb-serverini dasturiy tarzda, buyruq satri oynasidagi buyruqlardan foydalanish yoki skriptlarni ishga tushirish orqali boshqarish uchun infratuzilmani taqdim etadi.
    • Boshqaruv xizmati IIS Manager foydalanuvchi interfeysini sozlash uchun infratuzilmani taqdim etadi.

RDS ning batafsil tavsifi

  • Masofaviy ish stoliga ulanish brokeri - mijoz qurilmasini ish stoli kompyuter seanslari va virtual ish stollariga asoslangan dasturlarga qayta ulashni ta'minlaydi.
  • Masofaviy ish stoli shlyuzi - avtorizatsiya qilingan foydalanuvchilarga korporativ tarmoq yoki Internet orqali virtual ish stollari, RemoteApp dasturlari va seansga asoslangan ish stollariga ulanish imkonini beradi.
  • Masofaviy ish stolini litsenziyalash - RDP litsenziyasini boshqarish vositasi
  • Masofaviy ish stoli sessiyasi xosti - serverga RemoteApp dasturlarini yoki ish stoliga asoslangan seansni joylashtirish imkonini beradi.
  • Masofaviy ish stolini virtualizatsiya qilish xosti - virtual mashinalarda RDP ni sozlash imkonini beradi
  • Masofaviy ish stoli veb-kirish - foydalanuvchilarga Ishga tushirish menyusi yoki veb-brauzer yordamida ish stoli resurslariga ulanish imkonini beradi.

Keling, terminal litsenziyasi serverini o'rnatish va sozlashni ko'rib chiqaylik. Yuqorida rollarni qanday o'rnatish kerakligi tasvirlangan, RDS-ni o'rnatish boshqa rollarni o'rnatishdan farq qilmaydi; Rol xizmatlarida biz Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng, "Terminal xizmatlari" elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita elementga ega: masofaviy ish stoli litsenziyalash uchun diagnostika vositasi bo'lgan RD litsenziyalash diagnostikasi va litsenziyani boshqarish vositasi bo'lgan masofaviy ish stoli litsenziyalash menejeri.

Keling, RD Litsenziyalash Diagnoserni ishga tushiramiz

Bu erda biz hali litsenziyalar mavjud emasligini ko'ramiz, chunki Masofaviy ish stoli sessiyasi xost serveri uchun litsenziyalash rejimi o'rnatilmagan. Litsenziyalash serveri mahalliy guruh siyosatida ko'rsatilgan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'ini ishga tushiring. Mahalliy guruh siyosati muharriri ochiladi. Chapdagi daraxtda yorliqlarni ochamiz:

  • Kompyuter konfiguratsiyasi
  • Ma'muriy shablonlar
  • Windows komponentlari
  • "Masofaviy ish stoli xizmatlari"
  • "Masofaviy ish stoli sessiyasi xosti"
  • "Litsenziyalash"

Parametrlarni oching. Belgilangan masofaviy ish stoli litsenziya serverlaridan foydalaning

Siyosat sozlamalarini tahrirlash oynasida litsenziyalash serverini yoqing (yoqilgan). Keyinchalik, masofaviy ish stoli xizmatlari uchun litsenziyalash serverini aniqlashingiz kerak. Mening misolimda, litsenziyalash serveri bir xil jismoniy serverda joylashgan. bildiramiz tarmoq nomi yoki litsenziya serverining IP manzilini tanlang va OK tugmasini bosing. Agar siz kelajakda server nomini o'zgartirsangiz, litsenziya serveri xuddi shu bo'limda o'zgartirilishi kerak bo'ladi.

Shundan so'ng, RD Licensing Diagnoser-da siz terminal litsenziya serveri sozlanganligini, lekin yoqilmaganligini ko'rishingiz mumkin. Yoqish uchun masofaviy ish stoli litsenziyalash menejerini ishga tushiring

Faollashtirilmagan holatga ega litsenziyalash serverini tanlang. Faollashtirish uchun uni sichqonchaning o'ng tugmasi bilan bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Keyinchalik, tashkilot haqidagi ma'lumotlarni to'ldiring, shundan so'ng litsenziya serveri faollashadi.

Active Directory sertifikat xizmatlari

AD CS texnologiyadan foydalanadigan dasturiy ta'minot xavfsizligi tizimlarida qo'llaniladigan sozlanishi raqamli sertifikat xizmatlarini taqdim etadi umumiy kalitlar, va bu sertifikatlarni boshqarish. AD CS tomonidan taqdim etilgan raqamli sertifikatlar shifrlash va raqamli imzolash uchun ishlatilishi mumkin elektron hujjatlar va xabarlar. Ushbu raqamli sertifikatlar onlayn kompyuter, foydalanuvchi va qurilma hisoblarining haqiqiyligini tekshirish uchun ishlatilishi mumkin. Raqamli sertifikatlar quyidagilarni taʼminlash uchun ishlatiladi:

  • shifrlash orqali maxfiylik;
  • raqamli imzolardan foydalangan holda yaxlitlik;
  • sertifikat kalitlarini tarmoqdagi kompyuter, foydalanuvchi va qurilma hisoblari bilan bog‘lash orqali autentifikatsiya.

AD CS foydalanuvchi, qurilma yoki xizmat identifikatorini tegishli ma'lumotlar bilan bog'lash orqali xavfsizlikni yaxshilash uchun ishlatilishi mumkin. shaxsiy kalit. AD CS tomonidan qo'llab-quvvatlanadigan foydalanishga himoyalangan xavfsiz ko'p maqsadli Internet pochta kengaytmalari (S/MIME) kiradi. simsiz tarmoq, virtual xususiy tarmoqlar (VPN), IPsec protokoli, Shifrlash fayl tizimi (EFS), Smart kartaga kirish, Xavfsizlik protokoli va transport qatlami xavfsizligi (SSL/TLS) va raqamli imzolar.

Active Directory domen xizmatlari

Active Directory Domain Services (AD DS) server rolidan foydalanib, siz foydalanuvchilar va resurslarni boshqarish uchun kengaytiriladigan, xavfsiz va boshqariladigan infratuzilmani yaratishingiz mumkin; Shuningdek, siz Microsoft Exchange Server kabi katalogdan xabardor ilovalarni qo'llab-quvvatlashingiz mumkin. Active Directory Domain Services tarmoq resurslari va katalog bilan ishlaydigan dastur ma'lumotlari haqidagi ma'lumotlarni saqlaydigan va boshqaradigan taqsimlangan ma'lumotlar bazasini taqdim etadi. AD DS ni ishga tushiradigan server domen boshqaruvchisi deb ataladi. Administratorlar AD DS dan foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik, ichki o'rnatilgan tuzilmada tartibga solish uchun foydalanishlari mumkin. Ierarxik ichki struktura Active Directory o'rmonini, o'rmon ichidagi domenlarni va har bir domendagi tashkiliy birliklarni o'z ichiga oladi. Xavfsizlik xususiyatlari AD DSga autentifikatsiya va katalogdagi resurslarga kirishni boshqarish shaklida birlashtirilgan. Tarmoqqa bir marta kirish orqali ma'murlar tarmoq bo'ylab katalog ma'lumotlarini va tashkilotni boshqarishi mumkin. Vakolatli tarmoq foydalanuvchilari, shuningdek, tarmoqning istalgan joyida joylashgan resurslarga kirish uchun tarmoqqa bir marta kirishdan foydalanishlari mumkin. Active Directory Domain Services quyidagi qo'shimcha funktsiyalarni taqdim etadi.

  • Qoidalar to'plami - bu katalogdagi ob'ektlar sinflari va atributlarini, ushbu ob'ektlar namunalaridagi cheklovlar va cheklovlarni va ularning nomlari formatini belgilaydigan sxema.
  • Katalogdagi har bir ob'ekt haqida ma'lumotni o'z ichiga olgan global katalog. Foydalanuvchilar va ma'murlar katalogdagi qaysi domenda ular qidirayotgan ma'lumotlardan qat'i nazar, katalog ma'lumotlarini qidirish uchun global katalogdan foydalanishlari mumkin.
  • Tarmoq foydalanuvchilari va ilovalari tomonidan ob'ektlar va ularning xususiyatlari nashr etilishi va joylashishi mumkin bo'lgan so'rov va indekslash mexanizmi.
  • Tarmoq bo'ylab katalog ma'lumotlarini tarqatuvchi replikatsiya xizmati. Domendagi barcha yoziladigan domen kontrollerlari replikatsiyada qatnashadi va o'z ichiga oladi to'liq nusxasi domeningiz uchun barcha katalog ma'lumotlari. Katalog ma'lumotlaridagi har qanday o'zgarishlar domen bo'ylab barcha domen kontrollerlariga takrorlanadi.
  • Operatsiyalar ustasi rollari (shuningdek, moslashuvchan yagona usta operatsiyalari yoki FSMO sifatida ham tanilgan). Operatsion ustalari sifatida ishlaydigan domen kontrollerlari ma'lumotlarning izchilligini ta'minlash va bir-biriga zid bo'lgan katalog yozuvlarini yo'q qilish uchun maxsus vazifalarni bajarish uchun mo'ljallangan.

Active Directory federatsiyasi xizmatlari

AD FS AD FS bilan himoyalangan korxona, federatsiya hamkori yoki bulutdagi ilovalarga kirishi kerak bo‘lgan oxirgi foydalanuvchilarga soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi va vebga asoslangan yagona tizimga kirish (SSO) imkoniyatlarini taqdim etadi. Windows Serverda AD FS quyidagilarni o‘z ichiga oladi: rol xizmati Federatsiya xizmatlari identifikator provayderi (AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etish uchun foydalanuvchilarni autentifikatsiya qiladi) yoki federatsiya provayderi sifatida (boshqa identifikatsiya provayderlarining tokenlarini qo‘llaydi va keyin AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etadi).

Active Directory engil katalog xizmatlari

Active Directory Lightweight Directory Services (AD LDS) LDAP protokoli boʻlib, Active Directory Domain Services bogʻliqligi va domen cheklovlarisiz katalog ilovalari uchun moslashuvchan yordamni taʼminlaydi. AD LDS a'zo yoki mustaqil serverlarda ishga tushirilishi mumkin. Siz mustaqil ravishda boshqariladigan sxemalar bilan bitta serverda AD LDS ning bir nechta nusxalarini ishga tushirishingiz mumkin. AD LDS xizmati rolidan foydalanib, siz domenlar va o'rmonlarsiz va bitta o'rmon bo'ylab sxemani talab qilmasdan katalogdan xabardor ilovalarga katalog xizmatlarini taqdim etishingiz mumkin.

Active Directory huquqlarini boshqarish xizmatlari

AD RMS axborot huquqlarini boshqarish (IRM) yordamida hujjatlarni himoya qilish orqali tashkilotning xavfsizlik strategiyasini yaxshilash uchun ishlatilishi mumkin. AD RMS foydalanuvchilar va administratorlarga IRM siyosatlaridan foydalangan holda hujjatlar, ish kitoblari va taqdimotlarga kirish ruxsatlarini belgilash imkonini beradi. Bu sizga himoya qilish imkonini beradi maxfiy ma'lumotlar ruxsatsiz foydalanuvchilar tomonidan chop etish, yuborish yoki nusxalashdan. Fayl ruxsatlari IRM yordamida cheklangandan so'ng, kirish va foydalanish cheklovlari ma'lumotlarning joylashgan joyidan qat'iy nazar amalga oshiriladi, chunki fayl ruxsati hujjat faylining o'zida saqlanadi. AD RMS va IRM bilan individual foydalanuvchilar shaxsiy va maxfiy ma'lumotlarni almashish bo'yicha o'zlarining shaxsiy imtiyozlarini qo'llashlari mumkin. Shuningdek, ular tashkilotga maxfiy va shaxsiy ma'lumotlardan foydalanish va tarqatishni boshqarish uchun korporativ siyosatni qo'llashda yordam beradi. AD RMS xizmatlari tomonidan qo'llab-quvvatlanadigan IRM yechimlari quyidagi imkoniyatlarni ta'minlash uchun ishlatiladi.

  • Doimiy foydalanish siyosati maʼlumotlarning koʻchirilishi, yuborilishi yoki uzatilishidan qatʼi nazar, saqlanib qoladi.
  • Hisobotlar, mahsulot spetsifikatsiyalari, mijozlar ma'lumotlari va elektron pochta xabarlari kabi maxfiy ma'lumotlarni noto'g'ri qo'llarga ataylab yoki tasodifan tushib qolishdan himoya qilish uchun qo'shimcha maxfiylik qatlami.
  • Ruxsat etilgan qabul qiluvchilarni ruxsatsiz yo'naltirish, nusxa ko'chirish, o'zgartirish, chop etish, faks yuborish yoki cheklangan kontentni joylashtirishni oldini oling.
  • Microsoft Windows tizimidagi PRINT SCREEN funksiyasidan foydalanib, cheklangan kontentdan nusxa olishni oldini oling.
  • Hujjatlarning mazmunini ma'lum vaqtdan keyin ko'rishni oldini oladigan faylning amal qilish muddatini qo'llab-quvvatlash.
  • Tashkilot ichida kontentdan foydalanish va tarqatishni tartibga soluvchi korxona siyosatini amalga oshirish

Ilovalar serveri

Ilovalar serveri shaxsiy serverga asoslangan biznes ilovalarini joylashtirish va ishga tushirish uchun integratsiyalashgan muhitni ta'minlaydi.

DHCP serveri

DHCP - mijoz-server texnologiyasi bo'lib, unda DHCP serverlari DHCP mijozlari bo'lgan kompyuterlar va boshqa qurilmalarga IP manzillarini belgilashi yoki ijaraga olishi mumkin. DHCP serverlarini tarmoqqa o'rnatish avtomatik ravishda IPv4 va IPv6 haqiqiy IP manzillariga asoslangan mijoz kompyuterlari va boshqa tarmoq qurilmalarini ta'minlaydi. ushbu mijozlar va qurilmalar uchun zarur bo'lgan qo'shimcha konfiguratsiya parametrlari Windows Serverdagi DHCP Server xizmati siyosatga asoslangan topshiriqlarni qo'llab-quvvatlashni va DHCP nosozliklarini hal qilishni o'z ichiga oladi.

DNS serveri

DNS xizmati Bu DNS domen nomlarining ma'lumotlarini o'z ichiga olgan ierarxik taqsimlangan ma'lumotlar bazasi har xil turlari IP manzillar kabi ma'lumotlar. DNS TCP/IP-ga asoslangan tarmoqlarda kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi qulay nomlardan foydalanish imkonini beradi. Windows Server DNS DNS xavfsizlik kengaytmalari (DNSSEC) uchun qo'shimcha va takomillashtirilgan yordamni ta'minlaydi, shu jumladan tarmoqni ro'yxatdan o'tkazish va avtomatlashtirilgan boshqaruv parametrlari.

FAKS serveri

Faks serveri fakslarni yuboradi va qabul qiladi, shuningdek, faks serveringizdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkoniyatini beradi.

Fayl va saqlash xizmatlari

Administratorlar Fayl va saqlash xizmatlari rolidan bir nechta fayl serverlari va ularni saqlashni sozlash va Server menejeri yoki Windows PowerShell yordamida ushbu serverlarni boshqarish uchun foydalanishlari mumkin. Ba'zi maxsus ilovalar quyidagi xususiyatlarni o'z ichiga oladi.

  • Ish papkalari. Foydalanuvchilarga shaxsiy kompyuterlar va korporativ shaxsiy kompyuterlardan boshqa qurilmalarda ish fayllarini saqlash va ularga kirishga ruxsat berish uchun foydalaning. Foydalanuvchilar ish fayllarini saqlash va ularga istalgan joydan kirish uchun qulay joy oladi. Tashkilotlar markazlashtirilgan boshqariladigan fayl serverlarida fayllarni saqlash va ixtiyoriy ravishda foydalanuvchi qurilmasi siyosatlarini (masalan, shifrlash va ekran qulfi parollari) oʻrnatish orqali korporativ maʼlumotlarni nazorat qiladi.
  • Ma'lumotlarni takrorlash. Fayllarni saqlash uchun disk maydoni talablarini kamaytirish, saqlash xarajatlarini tejash uchun foydalaning.
  • iSCSI maqsadli serveri. Saqlash maydoni tarmoqlarida (SAN) markazlashtirilgan, dasturiy va apparatdan mustaqil iSCSI disk quyi tizimlarini yaratish uchun foydalaning.
  • Disk bo'shliqlari. Tejamkor, sanoat standartidagi disklar yordamida bardoshli va kengaytiriladigan yuqori darajada mavjud xotirani joylashtirish uchun foydalaning.
  • Server menejeri. uchun foydalaning masofaviy boshqarish bir oynadan bir nechta fayl serverlari.
  • Windows PowerShell. Ko'pgina fayl serverlarini boshqarish vazifalarini boshqarishni avtomatlashtirish uchun foydalaning.

Hyper-V

Hyper-V roli Windows Serverga o'rnatilgan virtualizatsiya texnologiyasidan foydalangan holda virtuallashtirilgan hisoblash muhitini yaratish va boshqarish imkonini beradi. Hyper-V rolini o'rnatish old shartlarni va ixtiyoriy boshqaruv vositalarini o'rnatadi. Majburiy komponentlar o'z ichiga oladi gipervisor Windows virtual boshqaruv xizmati Hyper-V mashinalari, WMI virtualizatsiya provayderi va VMbus, virtualizatsiya xizmati provayderi (VSP) va virtual infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari.

Tarmoq siyosati va kirish xizmatlari

Tarmoq siyosati va kirish xizmatlari tarmoq ulanishlari uchun quyidagi echimlarni taqdim etadi:

  • Tarmoqqa kirishni himoya qilish - bu mijozning sog'lig'i siyosatini yaratish, qo'llash va tuzatish texnologiyasi. Tarmoqqa kirishni himoya qilish bilan tizim ma'murlari dasturiy ta'minot talablari, xavfsizlik yangilanishlari va boshqa sozlamalarni o'z ichiga olgan sog'liqni saqlash siyosatlarini o'rnatishi va avtomatik ravishda amalga oshirishi mumkin. Sog'liqni saqlash siyosati talablariga javob bermaydigan mijoz kompyuterlari ularning konfiguratsiyasi sog'liqni saqlash siyosati talablariga javob berish uchun yangilanmaguncha tarmoqqa kirishlari cheklanishi mumkin.
  • Agar siz 802.1X-ni yoqadigan simsiz ulanish nuqtalarini o'rnatgan bo'lsangiz, parolga asoslangan autentifikatsiyadan ko'ra xavfsizroq bo'lgan sertifikatga asoslangan autentifikatsiya usullarini qo'llash uchun Network Policy Server (NPS) dan foydalanishingiz mumkin. 802.1X-ni qo'llab-quvvatlaydigan uskunani NPS serveri bilan o'rnatish intranet foydalanuvchilariga tarmoqqa ulanishdan yoki DHCP serveridan IP-manzilni olishdan oldin autentifikatsiya qilish imkonini beradi.
  • Har bir tarmoqqa kirish serverida tarmoqqa kirish siyosatini sozlash o'rniga, siz tarmoqqa ulanish so'rovlarining barcha jihatlarini (kim ulanishi mumkin, ulanishga ruxsat berilganda, tarmoqqa ulanish uchun ishlatilishi kerak bo'lgan xavfsizlik darajasini) belgilaydigan barcha siyosatlarni markazlashtirilgan tarzda yaratishingiz mumkin. tarmoq).

Chop etish va hujjat xizmatlari

Chop etish va hujjat xizmatlari chop etish serveri va tarmoq printeri vazifalarini markazlashtirish imkonini beradi. Bu rol, shuningdek, tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va hujjatlarni Windows SharePoint Services sayti yoki elektron pochta orqali tarmoq ulushlariga yuklash imkonini beradi.

Masofaviy kirish

Masofaviy kirish serverining roli quyidagi tarmoqqa kirish texnologiyalarining mantiqiy guruhlanishidir.

  • DirectAccess
  • Marshrutlash va masofadan kirish
  • Veb-ilova proksi

Bu texnologiyalar rol xizmatlari Masofaviy kirish server rollari. Masofaviy kirish serveri rolini o'rnatganingizda, Rollar va xususiyatlarni qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin.

Windows Serverda Masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN-ni marshrutlash va masofaviy kirish xizmati (RRAS) bilan markazlashtirilgan tarzda boshqarish, sozlash va nazorat qilish imkoniyatini beradi. DirectAccess va RRAS bir xil chekka serverda joylashtirilishi va ulardan foydalanishi mumkin Windows buyruqlari PowerShell va masofaviy kirishni boshqarish konsoli (MMC).

Masofaviy ish stoli xizmatlari

Masofaviy ish stoli xizmatlari har qanday qurilmada ish stoli va ilovalarni joylashtirishni tezlashtiradi va kengaytiradi, masofaviy ishchilar unumdorligini oshiradi, shu bilan birga muhim intellektual mulkni himoya qiladi va tartibga solish talablariga rioya qilishni soddalashtiradi. Masofaviy ish stoli xizmatlari foydalanuvchilarga istalgan joydan ishlash imkoniyatini beruvchi virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ilovalarni o'z ichiga oladi.

Ovozni faollashtirish xizmatlari

Volume Activation Services - Windows Server 2012 da boshlangan Windows Serverdagi server roli bo'lib, u turli stsenariylar va muhitlarda Microsoft dasturiy ta'minoti uchun hajmli litsenziyalarni berish va boshqarishni avtomatlashtiradi va soddalashtiradi. Volume Activation Services bilan bir qatorda siz Key Management Service (KMS) va Active Directory faollashtirishni o'rnatishingiz va sozlashingiz mumkin.

Veb-server (IIS)

Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va ilovalarni joylashtirish uchun platformani ta'minlaydi. Veb-serverdan foydalanish foydalanuvchilarga Internet, intranet va extranetdagi ma'lumotlarni taqdim etadi. Administratorlar bir nechta veb-saytlar, veb-ilovalar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolidan foydalanishlari mumkin. Maxsus imkoniyatlarga quyidagilar kiradi.

  • IIS komponentlarini sozlash va veb-saytlarni boshqarish uchun Internet Information Services Manager-dan foydalaning.
  • Veb-sayt egalariga fayllarni yuborish va yuklab olish imkonini berish uchun FTP dan foydalanadi.
  • Serverdagi bitta veb-sayt boshqalarga ta'sir qilishining oldini olish uchun veb-sayt izolyatsiyasidan foydalaning.
  • Klassik ASP, ASP.NET va PHP kabi turli texnologiyalar yordamida ishlab chiqilgan veb-ilovalarni moslashtirish.
  • Windows PowerShell-dan foydalanish avtomatik boshqaruv veb-serverni boshqarish vazifalarining aksariyati.
  • Bir nechta veb-serverlarni IIS yordamida boshqarish mumkin bo'lgan server fermasiga birlashtiring.

Windows tarqatish xizmatlari

Windows Deployment Services Windows operatsion tizimlarini tarmoq orqali joylashtirish imkonini beradi, ya'ni har bir operatsion tizimni CD yoki DVD dan to'g'ridan-to'g'ri o'rnatishingiz shart emas.

Windows Server Essentials tajribasi

Ushbu rol sizga quyidagi vazifalarni hal qilishga imkon beradi:

  • server va tarmoqdagi barcha mijoz kompyuterlarining zaxira nusxalarini yaratish orqali server va mijoz ma'lumotlarini himoya qilish;
  • soddalashtirilgan server boshqaruv paneli orqali foydalanuvchilar va foydalanuvchilar guruhlarini boshqarish. Bundan tashqari, Windows Azure Active Directory bilan integratsiya * foydalanuvchilarga o'z domen ma'lumotlaridan foydalangan holda onlayn Microsoft Onlayn xizmatlariga (masalan, Office 365, Exchange Online va SharePoint Online) oson kirishni ta'minlaydi;
  • kompaniya ma'lumotlarini markazlashtirilgan joyda saqlash;
  • serverni Microsoft Online xizmatlari bilan integratsiyalash (masalan, Office 365, Exchange Online, SharePoint Online va Windows Intune):
  • Serverga, tarmoq kompyuterlariga va yuqori darajadagi xavfsizlik bilan uzoq joylardan ma'lumotlarga kirish uchun serverda hamma joyda mavjud bo'lgan kirish imkoniyatlaridan foydalaning (masalan, masofaviy veb-kirish va virtual xususiy tarmoqlar);
  • tashkilotning o'z veb-portalidan foydalangan holda istalgan joydan va istalgan qurilmadan ma'lumotlarga kirish (uzoqdan veb-kirish orqali);
  • boshqarish mobil qurilmalar, undan tashkilotning elektron pochtasiga Office 365 yordamida Active Sync protokoli orqali asboblar panelidan kirish mumkin;
  • Tarmoq sog'lig'ini kuzatib boring va shaxsiy sog'liq hisobotlarini oling; hisobotlar so'rov bo'yicha yaratilishi, moslashtirilishi va muayyan qabul qiluvchilarga elektron pochta orqali yuborilishi mumkin.

Windows Server yangilash xizmatlari

WSUS serveri ma'murlar boshqaruv konsoli orqali yangilanishlarni boshqarish va tarqatish uchun kerak bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlari uchun yangilanishlar manbai bo'lishi mumkin. WSUS-ni qo'llaganingizda, mavjud yangilanishlar haqida ma'lumot olish uchun tarmog'ingizdagi kamida bitta WSUS serveri Microsoft Update-ga ulangan bo'lishi kerak. Tarmoq xavfsizligi va konfiguratsiyasiga qarab, administratoringiz Microsoft Update-ga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin.

Salom. Hisobingizni o'zingiz ro'yxatdan o'tkazolmaysizmi?
PM ga yozing - vk.com/watsonshit
- Buyurtma berish uchun hisoblarni ro'yxatdan o'tkazamiz.
- Biz UCP ning 1 va 2 bosqichlarida yordam beramiz.
- Tez va sifatli xizmat.
- Kafolatlar, sharhlar. Biz xavfsizlik uchun javobgarmiz.
- UCP ro'yxatdan o'tgan butunlay boshqa serverlar.
Tinch okeani sohilidagi loyiha - SW loyihasi va boshqalar.

Savolingizga javob topa olmadingizmi komentariyada yozing men sizga javob beraman.

) OOC chat nima uchun mo'ljallangan?
- 1) Bu o'yin jarayoniga ta'sir qilmaydigan chat.

2) Rolli o'yin atamasi nimani anglatadi?
- 2) Rolli o'yin - men tanlagan rolni o'ynashim kerak bo'lgan o'yin turi.

3) Har qanday vaziyat sizning foydangizga bo'lmasa (qotillik/talonchilik). Sizning harakatlaringiz?
- 2) Nima bo'lganda ham o'ynashda davom etaman.

2) Siz firibgardan pul oldingiz, nima qilasiz?
- 4) Men server ma'muriyatiga xabar beraman, maxsus mavzuda joylashtiraman va xayriya tashkilotiga pul qo'shaman.

3) Politsiya xodimini o'ldirishga haqqingiz bormi?
- 1) Albatta, uzrli sabab bo‘lsagina politsiyachini o‘ldirishim mumkin.

1) Haydovchi o'rindig'idan o'tishga ruxsat beriladimi?
- 4) Yo'q, bunday harakatlar server qoidalari bilan taqiqlangan.

4) Mashhurlar va film/serial/multfilm qahramonlarining taxalluslariga ruxsat beriladimi?
- 3) Yo'q, ular taqiqlangan.

5) Otishma paytida uchta qahramon texnik jihatdan o'ldirildi, ammo bir muncha vaqt o'tgach, xuddi shu qahramonlar o'z rollariga qaytdilar. Bu qanday qotillik?
- 2) O'yinchini o'ldirish.

7) Ular sizga qarata o'q uzmoqda, lekin siz o'lishni xohlamaysiz, shuning uchun ...
- 4) Siz rol o'ynash orqali qochishga va omon qolishga harakat qilasiz.

2) Bunny-Hop-dan foydalanish huquqiga egamisiz?
- 3) Ha, hech kimni bezovta qilmasam, undan foydalanishga haqqim bor.

7) Agar serverni rivojlantirish bo'yicha taklifingiz bo'lsa, nima qilasiz?
- 3) Men bu haqda forumning tegishli bo'limida yozaman.

3) Kichik qurollardan foydalanganda harakatlarni bekor qilish majburiymi?
- 4) Yo'q.

2) Bu sizning serverda birinchi marta va siz buyruqlarni umuman bilmaysiz, nima qilasiz?
- 3) Men / askq buyrug'i yordamida ma'muriyatga savol beraman, keyin javobni kutaman.

3) /coin buyrug'i nima uchun?
- barcha bahsli vaziyatlarni hal qilish uchun

1) Metagaming nima?
- 2) Bu rol o'ynashda qo'shimcha rol ma'lumotlaridan foydalanish.

6) Otishma paytida xarakteri texnik jihatdan o'ldirilgan o'yinchi huquqbuzarlardan o'ch olishga qaror qildi va hech qanday rol o'ynash uchun sabablarsiz raqiblaridan birini o'ldirdi. O'yinchi tomonidan qanday qoidabuzarliklar bor?
- 3) Qasos olish uchun o'ldirish.

10) Jang / otishma paytida salomatlikni to'ldirishga ruxsat beriladimi?
- 4) Yo'q.

8) LSPD xodimlariga yong'inga ruxsat beriladimi va oqibatlari qanday?
- 4) Ha, oddiy otishma ikkala tomon uchun ham PK bilan tugaydi. Agar bu ish yoki reyd bo'lsa, politsiyaga PK, jinoyatchilarga esa SC beriladi.

6) Boshqaruv tekshiruvlarini talab qilmaydigan talonchilik uchun maksimal miqdor qancha?
- 1) $500

9) Serverimizda qaysi tillardan foydalanish mumkin?
- 1) rus.

7) Uzoq va puxta tayyorgarlikdan so'ng, qotil buyruqni bajardi - u o'ldirdi. Reja eng kichik detallargacha hisoblab chiqilgan, buning natijasida mijoz saxiylik bilan to'lagan. Bu holatda jabrlanuvchiga nima hisoblangan?
- 1) Belgilarni o'ldirish.

9) Davlat avtomobillarini o‘g‘irlash qonuniymi?
- 2) Ha, lekin siz avval administratordan so'rashingiz kerak, shuningdek, o'yin qoidalarining 9-bandiga muvofiq harakat qilishingiz kerak.

8) Jinsiy zo'ravonlik va shafqatsizlikni qachon namoyon qila olasiz?
- 2) Jinsiy zo'ravonlik va shafqatsizlik faqat RPda ishtirok etuvchi barcha shaxslarning roziligi bilan o'ynashi mumkin.

10) Agar o'yin qoidalarga muvofiq kechmayapti deb o'ylasangiz nima qilish kerak?
- 1) /report ga yozing, agar administrator yo'q bo'lsa, forumda shikoyat yozing.

7) O'yinchi o'g'irlanishi uchun necha soat vaqt kerak?
- 3) 8 soat.

8) /coin buyrug'idan to'g'ri foydalanishni belgilang. Keyin:
- Men nafas olishni to'xtatdim va to'pni teshikka uloqtirmoqchi bo'ldim.

8) /me buyrug'idan to'g'ri foydalanishni belgilang:
- men Lindaning ko'zlariga tik qarab jilmayib qo'ydim. U yaqinlashib, so‘ng ohista quchoqlab oldi.

Tinch okean sohilidagi VIRTUAL VALYUTALARNI SOTISH VA GRINCH ROLI SERVERLARI.
GURUHDAGI BARCHA MA'LUMOTLAR!
vk.com/virtongarant

Windows-ni o'rnatayotganda, kichik quyi tizimlarning aksariyati faollashtirilmagan yoki o'rnatilmagan. Bu xavfsizlik nuqtai nazaridan amalga oshiriladi. Tizim sukut bo'yicha xavfsiz bo'lganligi sababli, tizim ma'murlari o'z vazifalarini aniq bajaradigan tizimni loyihalashga e'tibor berishlari mumkin va boshqa hech narsa yo'q. Kerakli funksiyalarni yoqishingizga yordam berish uchun Windows sizga Server rolini tanlashni taklif qiladi.

Rollar

Server roli - bu to'g'ri o'rnatilgan va konfiguratsiya qilinganida, kompyuterga bir nechta foydalanuvchilar yoki tarmoqdagi boshqa kompyuterlar uchun ma'lum bir funktsiyani bajarishga imkon beradigan dasturlar to'plami. Umuman olganda, barcha rollar quyidagi xususiyatlarga ega.

  • Ular kompyuterdan foydalanishning asosiy vazifasi, maqsadi yoki maqsadini belgilaydi. Siz kompyuterni korxonangizda ko'p qo'llaniladigan bitta rolni bajarish uchun yoki har biri faqat vaqti-vaqti bilan ishlatilsa, bir nechta rollarni bajarish uchun belgilashingiz mumkin.
  • Rollar tashkilotingizdagi foydalanuvchilarga veb-saytlar, printerlar yoki turli kompyuterlarda saqlangan fayllar kabi boshqa kompyuterlar tomonidan boshqariladigan resurslarga kirish imkonini beradi.
  • Ular odatda foydalanuvchi yoki kompyuter so'rovlarini navbatga qo'yadigan yoki tarmoq foydalanuvchilari va rolga tegishli kompyuterlar haqidagi ma'lumotlarni yozib oladigan o'z ma'lumotlar bazalariga ega. Masalan, Active Directory Domain Services tarmog'idagi barcha kompyuterlarning nomlari va ierarxik munosabatlarini saqlash uchun ma'lumotlar bazasini o'z ichiga oladi.
  • To'g'ri o'rnatilgan va sozlangandan so'ng, rollar avtomatik ravishda ishlaydi. Bu ular o'rnatilgan kompyuterlarga cheklangan foydalanuvchi shovqini bilan tayinlangan vazifalarni bajarishga imkon beradi.

Rol xizmatlari

Rol xizmatlari - bu rol funksiyalarini ta'minlovchi dasturlar. Rolni o'rnatganingizda, u boshqa foydalanuvchilar va korxonadagi kompyuterlarga qaysi xizmatlarni taqdim etishini tanlashingiz mumkin. DNS server kabi ba'zi rollar faqat bitta funktsiyani bajaradi, shuning uchun ular uchun rol xizmatlari mavjud emas. Masofaviy ish stoli xizmatlari kabi boshqa rollarda biznesingizning masofaviy kirish ehtiyojlariga qarab oʻrnatilishi mumkin boʻlgan bir nechta xizmatlar mavjud. Rolni bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami sifatida ko'rish mumkin. Ko'pgina hollarda, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi.

Komponentlar

Komponentlar to'g'ridan-to'g'ri rollarning bir qismi bo'lmagan, lekin qaysi rollar o'rnatilganidan qat'i nazar, bir yoki bir nechta rollarning yoki butun serverning funksionalligini qo'llab-quvvatlaydigan yoki kengaytiradigan dasturlardir. Masalan, Failover Cluster xususiyati fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksionalligini kengaytirib, ularga server klasterlariga qo'shilish imkonini beradi, bu esa ortib borayotgan ortiqcha va ishlashni ta'minlaydi. Boshqa komponent Telnet mijozi tarmoq ulanishi orqali Telnet serveri bilan masofaviy aloqani ta'minlaydi. Bu xususiyat serverning aloqa imkoniyatlarini oshiradi.

Windows Server Server asosiy rejimida ishlayotganida, quyidagi server rollari qo'llab-quvvatlanadi:

  • Active Directory sertifikat xizmatlari;
  • Active Directory domen xizmatlari;
  • DHCP serveri;
  • DNS server;
  • fayl xizmatlari (shu jumladan fayl serveri resurslari menejeri);
  • Active Directory engil katalog xizmatlari;
  • Hyper-V;
  • matbaa va hujjatlar xizmatlari;
  • oqimli media xizmatlari;
  • veb-server (shu jumladan ASP.NET quyi to'plami);
  • Windows Server yangilash serveri;
  • Active Directory huquqlarini boshqarish serveri;
  • Marshrutlash va masofaviy kirish serveri va quyidagi bo'ysunuvchi rollar:
    • Masofaviy ish stoli xizmatlariga ulanish brokeri;
    • litsenziyalash;
    • virtualizatsiya.

Windows Server Server yadrosi rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • fonda aqlli uzatish xizmati (BITS);
  • BitLocker diskini shifrlash;
  • BitLocker tarmog'ini qulfdan chiqarish;
  • BranchCache
  • ma'lumotlar markazi ko'prigi;
  • Kengaytirilgan saqlash;
  • muvaffaqiyatsiz klasterlash;
  • Ko'p yo'nalishli kiritish-chiqarish;
  • tarmoq yukini muvozanatlash;
  • PNRP protokoli;
  • qWave;
  • masofaviy differentsial siqish;
  • oddiy TCP/IP xizmatlari;
  • HTTP proksi-server orqali RPC;
  • SMTP serveri;
  • SNMP xizmati;
  • Telnet mijozi;
  • Telnet serveri;
  • TFTP mijozi;
  • Windows ichki ma'lumotlar bazasi;
  • Windows PowerShell Internetga kirish;
  • Windows faollashtirish xizmati;
  • standartlashtirilgan Windows saqlash boshqaruvi;
  • IIS WinRM kengaytmasi;
  • WINS serveri;
  • WoW64 qo'llab-quvvatlash.

Server menejeri yordamida server rollarini o'rnatish

Qo'shish uchun Server menejerini oching va Boshqaruv menyusida Rollar va xususiyatlarni qo'shish-ni bosing:

Rollar va xususiyatlarni qo'shish ustasi ochiladi. Keyingiga bosing

O'rnatish turi, Rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingisi:

Serverni tanlash - bizning serverimizni tanlang. Keyingi server rollarini bosing - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun Keyingiga bosing. Ushbu protsedura davomida Rollar va xususiyatlarni qo'shish ustasi belgilangan serverda tanlangan rollar yoki xususiyatlarning o'rnatilishi yoki to'g'ri ishlashiga xalaqit beradigan har qanday ziddiyatlar mavjudligi haqida avtomatik ravishda sizga xabar beradi. Shuningdek, sizdan tanlangan rollar yoki funksiyalar uchun zarur bo'lgan rollar, rol xizmatlari va xususiyatlarni qo'shish taklif etiladi.

PowerShell yordamida rollarni o'rnatish

Windows PowerShell-ni oching Mahalliy serverda mavjud va o'rnatilgan rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va xususiyatlar uchun buyruq nomlarini o'z ichiga oladi.

Install-WindowsFeature (MAN) cmdletining sintaksisi va haqiqiy parametrlarini ko'rish uchun Get-Help Install-WindowsFeature buyrug'ini kiriting.

Quyidagi buyruqni kiriting (-Rolni o'rnatishda qayta ishga tushirish kerak bo'lsa, qayta ishga tushirish serverni qayta ishga tushiradi).

O'rnatish-WindowsFeature -Ism -Qayta ishga tushirish

Rol va rol xizmatlarining tavsifi

Barcha rollar va rol xizmatlari quyida tavsiflanadi. Keling, amaliyotimizdagi eng keng tarqalgan konfiguratsiyani ko'rib chiqaylik: veb-server roli va masofaviy ish stoli xizmatlari

IISning batafsil tavsifi

  • Umumiy HTTP xususiyatlari - Asosiy HTTP komponentlari
    • Standart hujjat - sayt uchun indeks sahifasini o'rnatish imkonini beradi.
    • Kataloglarni ko'rib chiqish - foydalanuvchilarga veb-serverdagi katalog tarkibini ko'rish imkonini beradi. Foydalanuvchilar URL manzilida fayl ko‘rsatmasa va indeks sahifasi o‘chirilgan yoki sozlanmagan bo‘lsa, katalogdagi barcha kataloglar va fayllar ro‘yxatini avtomatik ravishda yaratish uchun kataloglarni ko‘rib chiqishdan foydalaning.
    • HTTP xatolari - brauzerda mijozlarga qaytarilgan xato xabarlarini sozlash imkonini beradi.
    • Statik tarkib - statik tarkibni, masalan, rasmlar yoki html fayllarni joylashtirish imkonini beradi.
    • HTTP qayta yo'naltirish - foydalanuvchi so'rovlarini qayta yo'naltirish uchun yordam beradi.
    • WebDAV Publishing HTTP protokoli yordamida veb-serverdan fayllarni nashr qilish imkonini beradi.
  • Salomatlik va diagnostika xususiyatlari - Diagnostika komponentlari
    • HTTP jurnali ma'lum bir server uchun veb-saytlar faoliyatini qayd qilishni ta'minlaydi.
    • Maxsus jurnallar "an'anaviy" jurnallardan farq qiladigan maxsus jurnallarni yaratishni qo'llab-quvvatlaydi.
    • Logging Tools veb-server jurnallarini boshqarish va umumiy ro'yxatga olish vazifalarini avtomatlashtirish uchun infratuzilmani taqdim etadi.
    • ODBC Logging veb-server faoliyatini ODBC-ga mos keladigan ma'lumotlar bazasida qayd qilishni qo'llab-quvvatlaydigan infratuzilmani taqdim etadi.
    • Request Monitor IIS ishchi jarayonida HTTP so'rovlari haqida ma'lumot to'plash orqali veb-ilovalarning sog'lig'ini kuzatish uchun infratuzilmani taqdim etadi.
    • Tracing veb-ilovalarni diagnostika qilish va muammolarni bartaraf etish uchun asos yaratadi. Muvaffaqiyatsiz so‘rovni kuzatishdan foydalanib, yomon ishlash yoki autentifikatsiyadagi nosozliklar kabi yozib olish qiyin bo‘lgan voqealarni kuzatishingiz mumkin.
  • Ishlash komponentlari veb-server ish faoliyatini oshiradi.
    • Statik tarkibni siqish statik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi
    • Dinamik tarkibni siqish dinamik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi.
  • Xavfsizlik xavfsizligi komponentlari
    • So'rovlarni filtrlash sizga barcha kiruvchi so'rovlarni yozib olish va ularni administrator tomonidan o'rnatilgan qoidalar asosida filtrlash imkonini beradi.
    • Asosiy autentifikatsiya qo'shimcha avtorizatsiyani o'rnatish imkonini beradi
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash - bu sizga sertifikatlarni fayl almashish kabi markazlashtirilgan joyda saqlash imkonini beruvchi xususiyatdir.
    • Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi.
    • Digest Authentication foydalanuvchilarni autentifikatsiya qilish uchun Windows domen boshqaruvchisiga parol xeshini yuborish orqali ishlaydi. Agar sizga odatiy autentifikatsiyadan ko'ra yuqori darajadagi xavfsizlik kerak bo'lsa, Digest autentifikatsiyasidan foydalanishni o'ylab ko'ring
    • IIS Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi. Mijoz sertifikati ishonchli manbadan olingan raqamli identifikatordir.
    • IP va domen cheklovlari so'ralgan IP manzil yoki domen nomi asosida kirishga ruxsat berish/rad etish imkonini beradi.
    • URL avtorizatsiyasi veb-kontentga kirishni cheklovchi qoidalar yaratish imkonini beradi.
    • Windows autentifikatsiyasi Ushbu autentifikatsiya sxemasi Windows domen ma'murlariga foydalanuvchilarni autentifikatsiya qilish uchun domen infratuzilmasidan foydalanish imkonini beradi.
  • Ilovalarni ishlab chiqish xususiyatlari Ilovalarni ishlab chiqish komponentlari
  • FTP serveri
    • FTP xizmati veb-serverga FTP nashrini yoqadi.
    • FTP kengaytirilishi imkoniyatlarini kengaytiruvchi FTP funksiyalarini qo'llab-quvvatlashni o'z ichiga oladi
  • Boshqaruv vositalari
    • IIS boshqaruv konsoli IIS menejerini o'rnatadi, bu sizga grafik interfeys orqali veb-serverni boshqarish imkonini beradi
    • IIS 6.0 boshqaruv muvofiqligi Admin Base Object (ABO) va Active Directory Directory Service Interface (ADSI) API-laridan foydalanadigan ilovalar va skriptlar uchun oldinga muvofiqlikni ta'minlaydi. Bu mavjud IIS 6.0 skriptlarini IIS 8.0 veb-serverida ishlatish imkonini beradi
    • IIS boshqaruv skriptlari va vositalari IIS veb-serverini dasturiy tarzda, buyruq satri oynasidagi buyruqlardan foydalanish yoki skriptlarni ishga tushirish orqali boshqarish uchun infratuzilmani taqdim etadi.
    • Boshqaruv xizmati IIS Manager foydalanuvchi interfeysini sozlash uchun infratuzilmani taqdim etadi.

RDS ning batafsil tavsifi

  • Masofaviy ish stoliga ulanish brokeri - mijoz qurilmasini ish stoli kompyuter seanslari va virtual ish stollariga asoslangan dasturlarga qayta ulashni ta'minlaydi.
  • Masofaviy ish stoli shlyuzi - avtorizatsiya qilingan foydalanuvchilarga korporativ tarmoq yoki Internet orqali virtual ish stollari, RemoteApp dasturlari va seansga asoslangan ish stollariga ulanish imkonini beradi.
  • Masofaviy ish stolini litsenziyalash - RDP litsenziyasini boshqarish vositasi
  • Masofaviy ish stoli sessiyasi xosti - serverga RemoteApp dasturlarini yoki ish stoliga asoslangan seansni joylashtirish imkonini beradi.
  • Masofaviy ish stolini virtualizatsiya qilish xosti - virtual mashinalarda RDP ni sozlash imkonini beradi
  • Masofaviy ish stoli veb-kirish - foydalanuvchilarga Ishga tushirish menyusi yoki veb-brauzer yordamida ish stoli resurslariga ulanish imkonini beradi.

Keling, terminal litsenziyasi serverini o'rnatish va sozlashni ko'rib chiqaylik. Yuqorida rollarni qanday o'rnatish kerakligi tasvirlangan, RDS-ni o'rnatish boshqa rollarni o'rnatishdan farq qilmaydi; Rol xizmatlarida biz Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng, "Terminal xizmatlari" elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita elementga ega: masofaviy ish stoli litsenziyalash uchun diagnostika vositasi bo'lgan RD litsenziyalash diagnostikasi va litsenziyani boshqarish vositasi bo'lgan masofaviy ish stoli litsenziyalash menejeri.

Keling, RD Litsenziyalash Diagnoserni ishga tushiramiz

Bu erda biz hali litsenziyalar mavjud emasligini ko'ramiz, chunki Masofaviy ish stoli sessiyasi xost serveri uchun litsenziyalash rejimi o'rnatilmagan. Litsenziyalash serveri mahalliy guruh siyosatida ko'rsatilgan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'ini ishga tushiring. Mahalliy guruh siyosati muharriri ochiladi. Chapdagi daraxtda yorliqlarni ochamiz:

  • Kompyuter konfiguratsiyasi
  • Ma'muriy shablonlar
  • Windows komponentlari
  • "Masofaviy ish stoli xizmatlari"
  • "Masofaviy ish stoli sessiyasi xosti"
  • "Litsenziyalash"

Parametrlarni oching. Belgilangan masofaviy ish stoli litsenziya serverlaridan foydalaning

Siyosat sozlamalarini tahrirlash oynasida litsenziyalash serverini yoqing (yoqilgan). Keyinchalik, masofaviy ish stoli xizmatlari uchun litsenziyalash serverini aniqlashingiz kerak. Mening misolimda, litsenziyalash serveri bir xil jismoniy serverda joylashgan. Litsenziya serverining tarmoq nomini yoki IP manzilini belgilang va OK tugmasini bosing. Agar siz kelajakda server nomini o'zgartirsangiz, litsenziya serveri xuddi shu bo'limda o'zgartirilishi kerak bo'ladi.

Shundan so'ng, RD Licensing Diagnoser-da siz terminal litsenziya serveri sozlanganligini, lekin yoqilmaganligini ko'rishingiz mumkin. Yoqish uchun masofaviy ish stoli litsenziyalash menejerini ishga tushiring

Faollashtirilmagan holatga ega litsenziyalash serverini tanlang. Faollashtirish uchun uni sichqonchaning o'ng tugmasi bilan bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Keyinchalik, tashkilot haqidagi ma'lumotlarni to'ldiring, shundan so'ng litsenziya serveri faollashadi.

Active Directory sertifikat xizmatlari

AD CS ochiq kalit texnologiyalaridan foydalanadigan dasturiy xavfsizlik tizimlarida qo'llaniladigan raqamli sertifikatlarni chiqarish va boshqarish uchun moslashtirilgan xizmatlarni taqdim etadi. AD CS tomonidan taqdim etilgan raqamli sertifikatlar elektron hujjatlar va xabarlarni shifrlash va raqamli imzolash uchun ishlatilishi mumkin. Ushbu raqamli sertifikatlar tarmoq boʻylab kompyuter, foydalanuvchi va qurilma hisoblarining haqiqiyligini tekshirish uchun ishlatilishi mumkin. Raqamli sertifikatlar quyidagilarni taʼminlash uchun ishlatiladi:

  • shifrlash orqali maxfiylik;
  • raqamli imzolardan foydalangan holda yaxlitlik;
  • sertifikat kalitlarini tarmoqdagi kompyuter, foydalanuvchi va qurilma hisoblari bilan bog‘lash orqali autentifikatsiya.

AD CS foydalanuvchi, qurilma yoki xizmat identifikatorini tegishli shaxsiy kalit bilan bogʻlash orqali xavfsizlikni yaxshilash uchun ishlatilishi mumkin. AD CS tomonidan qo'llab-quvvatlanadigan foydalanishga xavfsiz ko'p maqsadli Internet pochta kengaytmalari (S/MIME), xavfsiz simsiz tarmoqlar, virtual xususiy tarmoqlar (VPN), IPsec, shifrlash fayl tizimi (EFS), smart-kartaga kirish, ma'lumotlarni uzatish xavfsizligi va transport qatlami xavfsizligi protokoli kiradi. SSL/TLS) va raqamli imzolar.

Active Directory domen xizmatlari

Active Directory Domain Services (AD DS) server rolidan foydalanib, siz foydalanuvchilar va resurslarni boshqarish uchun kengaytiriladigan, xavfsiz va boshqariladigan infratuzilmani yaratishingiz mumkin; Shuningdek, siz Microsoft Exchange Server kabi katalogdan xabardor ilovalarni qo'llab-quvvatlashingiz mumkin. Active Directory Domain Services tarmoq resurslari va katalog bilan ishlaydigan dastur ma'lumotlari haqidagi ma'lumotlarni saqlaydigan va boshqaradigan taqsimlangan ma'lumotlar bazasini taqdim etadi. AD DS ni ishga tushiradigan server domen boshqaruvchisi deb ataladi. Administratorlar AD DS dan foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik, ichki o'rnatilgan tuzilmada tartibga solish uchun foydalanishlari mumkin. Ierarxik ichki struktura Active Directory o'rmonini, o'rmon ichidagi domenlarni va har bir domendagi tashkiliy birliklarni o'z ichiga oladi. Xavfsizlik xususiyatlari AD DSga autentifikatsiya va katalogdagi resurslarga kirishni boshqarish shaklida birlashtirilgan. Tarmoqqa bir marta kirish orqali ma'murlar tarmoq bo'ylab katalog ma'lumotlarini va tashkilotni boshqarishi mumkin. Vakolatli tarmoq foydalanuvchilari, shuningdek, tarmoqning istalgan joyida joylashgan resurslarga kirish uchun tarmoqqa bir marta kirishdan foydalanishlari mumkin. Active Directory Domain Services quyidagi qo'shimcha funktsiyalarni taqdim etadi.

  • Qoidalar to'plami - bu katalogdagi ob'ektlar sinflari va atributlarini, ushbu ob'ektlar namunalaridagi cheklovlar va cheklovlarni va ularning nomlari formatini belgilaydigan sxema.
  • Katalogdagi har bir ob'ekt haqida ma'lumotni o'z ichiga olgan global katalog. Foydalanuvchilar va ma'murlar katalogdagi qaysi domenda ular qidirayotgan ma'lumotlardan qat'i nazar, katalog ma'lumotlarini qidirish uchun global katalogdan foydalanishlari mumkin.
  • Tarmoq foydalanuvchilari va ilovalari tomonidan ob'ektlar va ularning xususiyatlari nashr etilishi va joylashishi mumkin bo'lgan so'rov va indekslash mexanizmi.
  • Tarmoq bo'ylab katalog ma'lumotlarini tarqatuvchi replikatsiya xizmati. Domendagi barcha yoziladigan domen kontrollerlari replikatsiyada ishtirok etadilar va o'z domenlari uchun barcha katalog ma'lumotlarining to'liq nusxasini saqlaydilar. Katalog ma'lumotlaridagi har qanday o'zgarishlar domen bo'ylab barcha domen kontrollerlariga takrorlanadi.
  • Operatsiyalar ustasi rollari (shuningdek, moslashuvchan yagona usta operatsiyalari yoki FSMO sifatida ham tanilgan). Operatsion ustalari sifatida ishlaydigan domen kontrollerlari ma'lumotlarning izchilligini ta'minlash va bir-biriga zid bo'lgan katalog yozuvlarini yo'q qilish uchun maxsus vazifalarni bajarish uchun mo'ljallangan.

Active Directory federatsiyasi xizmatlari

AD FS AD FS bilan himoyalangan korxona, federatsiya hamkori yoki bulutdagi ilovalarga kirishi kerak bo‘lgan oxirgi foydalanuvchilarga soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi va vebga asoslangan yagona tizimga kirish (SSO) imkoniyatlarini taqdim etadi. Windows Serverda AD FS quyidagilarni o‘z ichiga oladi: rol xizmati Federatsiya xizmatlari identifikator provayderi (AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etish uchun foydalanuvchilarni autentifikatsiya qiladi) yoki federatsiya provayderi sifatida (boshqa identifikatsiya provayderlarining tokenlarini qo‘llaydi va keyin AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etadi).

Active Directory engil katalog xizmatlari

Active Directory Lightweight Directory Services (AD LDS) LDAP protokoli boʻlib, Active Directory Domain Services bogʻliqligi va domen cheklovlarisiz katalog ilovalari uchun moslashuvchan yordamni taʼminlaydi. AD LDS a'zo yoki mustaqil serverlarda ishga tushirilishi mumkin. Siz mustaqil ravishda boshqariladigan sxemalar bilan bitta serverda AD LDS ning bir nechta nusxalarini ishga tushirishingiz mumkin. AD LDS xizmati rolidan foydalanib, siz domenlar va o'rmonlarsiz va bitta o'rmon bo'ylab sxemani talab qilmasdan katalogdan xabardor ilovalarga katalog xizmatlarini taqdim etishingiz mumkin.

Active Directory huquqlarini boshqarish xizmatlari

AD RMS axborot huquqlarini boshqarish (IRM) yordamida hujjatlarni himoya qilish orqali tashkilotning xavfsizlik strategiyasini yaxshilash uchun ishlatilishi mumkin. AD RMS foydalanuvchilar va administratorlarga IRM siyosatlaridan foydalangan holda hujjatlar, ish kitoblari va taqdimotlarga kirish ruxsatlarini belgilash imkonini beradi. Bu maxfiy ma'lumotlarni ruxsatsiz foydalanuvchilar tomonidan chop etish, yuborish yoki nusxalashdan himoya qilishga yordam beradi. Fayl ruxsatlari IRM yordamida cheklangandan so'ng, kirish va foydalanish cheklovlari ma'lumotlarning joylashgan joyidan qat'iy nazar amalga oshiriladi, chunki fayl ruxsati hujjat faylining o'zida saqlanadi. AD RMS va IRM bilan individual foydalanuvchilar shaxsiy va maxfiy ma'lumotlarni almashish bo'yicha o'zlarining shaxsiy imtiyozlarini qo'llashlari mumkin. Shuningdek, ular tashkilotga maxfiy va shaxsiy ma'lumotlardan foydalanish va tarqatishni boshqarish uchun korporativ siyosatni qo'llashda yordam beradi. AD RMS xizmatlari tomonidan qo'llab-quvvatlanadigan IRM yechimlari quyidagi imkoniyatlarni ta'minlash uchun ishlatiladi.

  • Doimiy foydalanish siyosati maʼlumotlarning koʻchirilishi, yuborilishi yoki uzatilishidan qatʼi nazar, saqlanib qoladi.
  • Hisobotlar, mahsulot spetsifikatsiyalari, mijozlar ma'lumotlari va elektron pochta xabarlari kabi maxfiy ma'lumotlarni noto'g'ri qo'llarga ataylab yoki tasodifan tushib qolishdan himoya qilish uchun qo'shimcha maxfiylik qatlami.
  • Ruxsat etilgan qabul qiluvchilarni ruxsatsiz yo'naltirish, nusxa ko'chirish, o'zgartirish, chop etish, faks yuborish yoki cheklangan kontentni joylashtirishni oldini oling.
  • Microsoft Windows tizimidagi PRINT SCREEN funksiyasidan foydalanib, cheklangan kontentdan nusxa olishni oldini oling.
  • Hujjatlarning mazmunini ma'lum vaqtdan keyin ko'rishni oldini oladigan faylning amal qilish muddatini qo'llab-quvvatlash.
  • Tashkilot ichida kontentdan foydalanish va tarqatishni tartibga soluvchi korxona siyosatini amalga oshirish

Ilovalar serveri

Ilovalar serveri shaxsiy serverga asoslangan biznes ilovalarini joylashtirish va ishga tushirish uchun integratsiyalashgan muhitni ta'minlaydi.

DHCP serveri

DHCP - mijoz-server texnologiyasi bo'lib, unda DHCP serverlari DHCP mijozlari bo'lgan kompyuterlar va boshqa qurilmalarga IP manzillarini belgilashi yoki ijaraga olishi mumkin. DHCP serverlarini tarmoqqa o'rnatish avtomatik ravishda IPv4 va IPv6 haqiqiy IP manzillariga asoslangan mijoz kompyuterlari va boshqa tarmoq qurilmalarini ta'minlaydi. ushbu mijozlar va qurilmalar uchun zarur bo'lgan qo'shimcha konfiguratsiya parametrlari Windows Serverdagi DHCP Server xizmati siyosatga asoslangan topshiriqlarni qo'llab-quvvatlashni va DHCP nosozliklarini hal qilishni o'z ichiga oladi.

DNS serveri

DNS xizmati ierarxik, taqsimlangan ma'lumotlar bazasi bo'lib, DNS domen nomlarini har xil turdagi ma'lumotlarga, masalan, IP manzillariga moslashtirishni o'z ichiga oladi. DNS TCP/IP-ga asoslangan tarmoqlarda kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi qulay nomlardan foydalanish imkonini beradi. Windows Server DNS DNS Security Extensions (DNSSEC) uchun qoʻshimcha, kengaytirilgan yordamni, jumladan, onlayn roʻyxatdan oʻtish va avtomatik sozlamalarni boshqarishni taʼminlaydi.

FAKS serveri

Faks serveri fakslarni yuboradi va qabul qiladi, shuningdek, faks serveringizdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkoniyatini beradi.

Fayl va saqlash xizmatlari

Administratorlar Fayl va saqlash xizmatlari rolidan bir nechta fayl serverlari va ularni saqlashni sozlash va Server menejeri yoki Windows PowerShell yordamida ushbu serverlarni boshqarish uchun foydalanishlari mumkin. Ba'zi maxsus ilovalar quyidagi xususiyatlarni o'z ichiga oladi.

  • Ish papkalari. Foydalanuvchilarga shaxsiy kompyuterlar va korporativ shaxsiy kompyuterlardan boshqa qurilmalarda ish fayllarini saqlash va ularga kirishga ruxsat berish uchun foydalaning. Foydalanuvchilar ish fayllarini saqlash va ularga istalgan joydan kirish uchun qulay joy oladi. Tashkilotlar markazlashtirilgan boshqariladigan fayl serverlarida fayllarni saqlash va ixtiyoriy ravishda foydalanuvchi qurilmasi siyosatlarini (masalan, shifrlash va ekran qulfi parollari) oʻrnatish orqali korporativ maʼlumotlarni nazorat qiladi.
  • Ma'lumotlarni takrorlash. Fayllarni saqlash uchun disk maydoni talablarini kamaytirish, saqlash xarajatlarini tejash uchun foydalaning.
  • iSCSI maqsadli serveri. Saqlash maydoni tarmoqlarida (SAN) markazlashtirilgan, dasturiy va apparatdan mustaqil iSCSI disk quyi tizimlarini yaratish uchun foydalaning.
  • Disk bo'shliqlari. Tejamkor, sanoat standartidagi disklar yordamida bardoshli va kengaytiriladigan yuqori darajada mavjud xotirani joylashtirish uchun foydalaning.
  • Server menejeri. Bir oynadan bir nechta fayl serverlarini masofadan boshqarish uchun foydalaning.
  • Windows PowerShell. Ko'pgina fayl serverlarini boshqarish vazifalarini boshqarishni avtomatlashtirish uchun foydalaning.

Hyper-V

Hyper-V roli Windows Serverga o'rnatilgan virtualizatsiya texnologiyasidan foydalangan holda virtuallashtirilgan hisoblash muhitini yaratish va boshqarish imkonini beradi. Hyper-V rolini o'rnatish old shartlarni va ixtiyoriy boshqaruv vositalarini o'rnatadi. Kerakli komponentlarga Windows gipervisor, Hyper-V Virtual Mashinalarni boshqarish xizmati, WMI virtualizatsiya provayderi va VMbus, Virtualizatsiya Xizmati Provayderi (VSP) va Virtual Infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari kiradi.

Tarmoq siyosati va kirish xizmatlari

Tarmoq siyosati va kirish xizmatlari tarmoq ulanishlari uchun quyidagi echimlarni taqdim etadi:

  • Tarmoqqa kirishni himoya qilish - bu mijozning sog'lig'i siyosatini yaratish, qo'llash va tuzatish texnologiyasi. Tarmoqqa kirishni himoya qilish bilan tizim ma'murlari dasturiy ta'minot talablari, xavfsizlik yangilanishlari va boshqa sozlamalarni o'z ichiga olgan sog'liqni saqlash siyosatlarini o'rnatishi va avtomatik ravishda amalga oshirishi mumkin. Sog'liqni saqlash siyosati talablariga javob bermaydigan mijoz kompyuterlari ularning konfiguratsiyasi sog'liqni saqlash siyosati talablariga javob berish uchun yangilanmaguncha tarmoqqa kirishlari cheklanishi mumkin.
  • Agar siz 802.1X-ni yoqadigan simsiz ulanish nuqtalarini o'rnatgan bo'lsangiz, parolga asoslangan autentifikatsiyadan ko'ra xavfsizroq bo'lgan sertifikatga asoslangan autentifikatsiya usullarini qo'llash uchun Network Policy Server (NPS) dan foydalanishingiz mumkin. 802.1X-ni qo'llab-quvvatlaydigan uskunani NPS serveri bilan o'rnatish intranet foydalanuvchilariga tarmoqqa ulanishdan yoki DHCP serveridan IP-manzilni olishdan oldin autentifikatsiya qilish imkonini beradi.
  • Har bir tarmoqqa kirish serverida tarmoqqa kirish siyosatini sozlash o'rniga, siz tarmoqqa ulanish so'rovlarining barcha jihatlarini (kim ulanishi mumkin, ulanishga ruxsat berilganda, tarmoqqa ulanish uchun ishlatilishi kerak bo'lgan xavfsizlik darajasini) belgilaydigan barcha siyosatlarni markazlashtirilgan tarzda yaratishingiz mumkin. tarmoq).

Chop etish va hujjat xizmatlari

Chop etish va hujjat xizmatlari chop etish serveri va tarmoq printeri vazifalarini markazlashtirish imkonini beradi. Bu rol, shuningdek, tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va hujjatlarni Windows SharePoint Services sayti yoki elektron pochta orqali tarmoq ulushlariga yuklash imkonini beradi.

Masofaviy kirish

Masofaviy kirish serverining roli quyidagi tarmoqqa kirish texnologiyalarining mantiqiy guruhlanishidir.

  • DirectAccess
  • Marshrutlash va masofadan kirish
  • Veb-ilova proksi

Bu texnologiyalar rol xizmatlari Masofaviy kirish server rollari. Masofaviy kirish serveri rolini o'rnatganingizda, Rollar va xususiyatlarni qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin.

Windows Serverda Masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN-ni marshrutlash va masofaviy kirish xizmati (RRAS) bilan markazlashtirilgan tarzda boshqarish, sozlash va nazorat qilish imkoniyatini beradi. DirectAccess va RRAS bir xil chekka serverda joylashtirilishi va Windows PowerShell buyruqlari va masofaviy kirishni boshqarish konsoli (MMC) yordamida boshqarilishi mumkin.

Masofaviy ish stoli xizmatlari

Masofaviy ish stoli xizmatlari har qanday qurilmada ish stoli va ilovalarni joylashtirishni tezlashtiradi va kengaytiradi, masofaviy ishchilar unumdorligini oshiradi, shu bilan birga muhim intellektual mulkni himoya qiladi va tartibga solish talablariga rioya qilishni soddalashtiradi. Masofaviy ish stoli xizmatlari foydalanuvchilarga istalgan joydan ishlash imkoniyatini beruvchi virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ilovalarni o'z ichiga oladi.

Ovozni faollashtirish xizmatlari

Volume Activation Services - Windows Server 2012 da boshlangan Windows Serverdagi server roli bo'lib, u turli stsenariylar va muhitlarda Microsoft dasturiy ta'minoti uchun hajmli litsenziyalarni berish va boshqarishni avtomatlashtiradi va soddalashtiradi. Volume Activation Services bilan bir qatorda siz Key Management Service (KMS) va Active Directory faollashtirishni o'rnatishingiz va sozlashingiz mumkin.

Veb-server (IIS)

Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va ilovalarni joylashtirish uchun platformani ta'minlaydi. Veb-serverdan foydalanish foydalanuvchilarga Internet, intranet va extranetdagi ma'lumotlarni taqdim etadi. Administratorlar bir nechta veb-saytlar, veb-ilovalar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolidan foydalanishlari mumkin. Maxsus imkoniyatlarga quyidagilar kiradi.

  • IIS komponentlarini sozlash va veb-saytlarni boshqarish uchun Internet Information Services Manager-dan foydalaning.
  • Veb-sayt egalariga fayllarni yuborish va yuklab olish imkonini berish uchun FTP dan foydalanadi.
  • Serverdagi bitta veb-sayt boshqalarga ta'sir qilishining oldini olish uchun veb-sayt izolyatsiyasidan foydalaning.
  • Klassik ASP, ASP.NET va PHP kabi turli texnologiyalar yordamida ishlab chiqilgan veb-ilovalarni moslashtirish.
  • Ko'pgina veb-server boshqaruv vazifalarini avtomatik ravishda boshqarish uchun Windows PowerShell-dan foydalaning.
  • Bir nechta veb-serverlarni IIS yordamida boshqarish mumkin bo'lgan server fermasiga birlashtiring.

Windows tarqatish xizmatlari

Windows Deployment Services Windows operatsion tizimlarini tarmoq orqali joylashtirish imkonini beradi, ya'ni har bir operatsion tizimni CD yoki DVD dan to'g'ridan-to'g'ri o'rnatishingiz shart emas.

Windows Server Essentials tajribasi

Ushbu rol sizga quyidagi vazifalarni hal qilishga imkon beradi:

  • server va tarmoqdagi barcha mijoz kompyuterlarining zaxira nusxalarini yaratish orqali server va mijoz ma'lumotlarini himoya qilish;
  • soddalashtirilgan server boshqaruv paneli orqali foydalanuvchilar va foydalanuvchilar guruhlarini boshqarish. Bundan tashqari, Windows Azure Active Directory bilan integratsiya * foydalanuvchilarga o'z domen ma'lumotlaridan foydalangan holda onlayn Microsoft Onlayn xizmatlariga (masalan, Office 365, Exchange Online va SharePoint Online) oson kirishni ta'minlaydi;
  • kompaniya ma'lumotlarini markazlashtirilgan joyda saqlash;
  • serverni Microsoft Online xizmatlari bilan integratsiyalash (masalan, Office 365, Exchange Online, SharePoint Online va Windows Intune):
  • Serverga, tarmoq kompyuterlariga va yuqori darajadagi xavfsizlik bilan uzoq joylardan ma'lumotlarga kirish uchun serverda hamma joyda mavjud bo'lgan kirish imkoniyatlaridan foydalaning (masalan, masofaviy veb-kirish va virtual xususiy tarmoqlar);
  • tashkilotning o'z veb-portalidan foydalangan holda istalgan joydan va istalgan qurilmadan ma'lumotlarga kirish (uzoqdan veb-kirish orqali);
  • Boshqarish panelidagi Active Sync protokoli orqali Office 365 yordamida tashkilotingiz elektron pochtasiga kiradigan mobil qurilmalarni boshqaring;
  • Tarmoq sog'lig'ini kuzatib boring va shaxsiy sog'liq hisobotlarini oling; hisobotlar so'rov bo'yicha yaratilishi, moslashtirilishi va muayyan qabul qiluvchilarga elektron pochta orqali yuborilishi mumkin.

Windows Server yangilash xizmatlari

WSUS serveri ma'murlar boshqaruv konsoli orqali yangilanishlarni boshqarish va tarqatish uchun kerak bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlari uchun yangilanishlar manbai bo'lishi mumkin. WSUS-ni qo'llaganingizda, mavjud yangilanishlar haqida ma'lumot olish uchun tarmog'ingizdagi kamida bitta WSUS serveri Microsoft Update-ga ulangan bo'lishi kerak. Tarmoq xavfsizligi va konfiguratsiyasiga qarab, administratoringiz Microsoft Update-ga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin.

Kirish

Korxonada kompyuterlar sonining ko'payishi bilan uni boshqarish va texnik xizmat ko'rsatish xarajatlari masalasi tobora keskinlashmoqda. Kompyuterlarni qo'lda konfiguratsiya qilish kompyuterlar sonining ko'payishi bilan ularga xizmat ko'rsatuvchi xodimlar sonini ko'paytirish uchun xodimlar va kuchlardan ko'p vaqt talab etadi. Bundan tashqari, ko'p sonli mashinalar bilan korxona tomonidan qabul qilingan moslashtirish standartlariga muvofiqligini ta'minlash tobora qiyinlashib bormoqda. Guruh siyosati keng qamrovli vositadir markazlashtirilgan boshqaruv Active Directory domenida Windows 2000 va undan yuqori versiyalarda ishlaydigan kompyuterlar. Guruh siyosatlari Windows NT4/9x bilan ishlaydigan kompyuterlarga taalluqli emas: ular tizim siyosati tomonidan boshqariladi, bu maqolada muhokama qilinmaydi.

Guruh siyosati ob'ektlari

Guruh siyosati doirasida yaratgan barcha sozlamalar Guruh siyosati obyektlarida (GPO) saqlanadi. GPO ning ikki turi mavjud: mahalliy GPO va Active Directory GPO. Mahalliy guruh siyosati obyekti Windows 2000 va undan keyingi versiyalarda ishlovchi kompyuterlarda mavjud. Faqat bitta bo'lishi mumkin va u domen bo'lmagan kompyuterda bo'lishi mumkin bo'lgan yagona GPO.

Guruh siyosati ob'ekti - Active Directory ma'lumotlar bazasidagi fayllar, kataloglar va yozuvlar to'plamining umumiy nomi (agar u mahalliy ob'ekt bo'lmasa), u sizning sozlamalaringizni saqlaydi va Guruh siyosati yordamida qanday boshqa sozlamalarni o'zgartirishingiz mumkinligini aniqlaydi. Siyosat yaratganingizda, siz GPO ni yaratasiz va o'zgartirasiz. Mahalliy GPO %SystemRoot%\System32\GroupPolicy-da saqlanadi. Active Directory GPO'lari domen boshqaruvchisida saqlanadi va ular sayt, domen yoki OU (tashkiliy birlik) bilan bog'lanishi mumkin. Ob'ektning bog'lanishi uning qamrovini belgilaydi. Odatiy bo'lib, domenda ikkita GPO yaratiladi: standart domen siyosati va standart domen tekshiruvi siyosati. Birinchisi domendagi parollar va hisoblar uchun standart siyosatni belgilaydi. Ikkinchisi Domen Controllers OU bilan bog'lanadi va domen kontrollerlari uchun xavfsizlik sozlamalarini yaxshilaydi.

GPO yarating

Siyosat yaratish uchun (ya'ni, yangi guruh siyosati ob'ektini yaratish) Active Directory Users & Computers-ni oching va yangi ob'ektni yaratish joyini tanlang. Siz faqat GPO yaratishingiz va sayt, domen yoki OU obyektiga bog'lashingiz mumkin.

Guruch. 1. Guruh siyosati obyektini yarating.

GPO yaratish va uni, masalan, testerlar OU bilan bog'lash uchun ushbu OU-ni o'ng tugmasini bosing va kontekst menyusi xususiyatlarni tanlang. Ochilgan xususiyatlar oynasida Guruh siyosati yorlig'ini oching va Yangi tugmasini bosing.

Guruch. 2. Guruh siyosati obyektini yarating.

Biz GP ob'ektiga nom beramiz, shundan so'ng ob'ekt yaratiladi va biz siyosatni sozlashni boshlashimiz mumkin. Yaratilgan ob'ektni ikki marta bosing yoki Tahrirlash tugmasini bosing, GPO muharriri oynasi ochiladi, bu erda siz ob'ektning muayyan parametrlarini sozlashingiz mumkin.

Guruch. 3. Kengaytirilgan yorlig'idagi sozlamalar tavsifi.

Asosiy sozlamalarning aksariyati intuitivdir (shuningdek, agar siz Kengaytirilgan yorlig'ini ochsangiz, tavsifga ega bo'lasiz) va biz ularning har biri haqida batafsil ma'lumot bermaymiz. Shakldan ko'rinib turibdiki. 3, GPO ikki bo'limdan iborat: Kompyuter konfiguratsiyasi va foydalanuvchi konfiguratsiyasi. Birinchi bo'lim sozlamalari Windows yuklash vaqtida ushbu konteynerdagi va undan pastdagi kompyuterlarga qo'llaniladi (agar meros o'chirilgan bo'lsa) va qaysi foydalanuvchi tizimga kirganiga bog'liq emas. Ikkinchi bo'limdagi sozlamalar foydalanuvchi kirish vaqtida qo'llaniladi.

Guruh siyosati ob'ektlarini qanday qo'llash kerak

Kompyuter ishga tushganda quyidagi harakatlar sodir bo'ladi:

1. Ro'yxatga olish kitobi o'qiladi va kompyuter qaysi saytga tegishli ekanligi aniqlanadi. So'rov yuboriladi DNS server ushbu saytda joylashgan domen kontrollerlarining IP manzillarini olish uchun.
2. Manzillarni olgach, kompyuter domen boshqaruvchisiga ulanadi.
3. Mijoz domen boshqaruvchisidan GP ob'ektlari ro'yxatini so'raydi va ularni qo'llaydi. Ikkinchisi GP ob'ektlari ro'yxatini ular qo'llanilishi kerak bo'lgan tartibda yuboradi.
4. Foydalanuvchi tizimga kirganda, kompyuter yana foydalanuvchiga qo'llash uchun GP ob'ektlari ro'yxatini so'raydi, ularni oladi va qo'llaydi.

Guruh siyosatlari OS yuklanganda va foydalanuvchi tizimga kirganda qo'llaniladi. Mijozlardan bir vaqtning o'zida ko'plab so'rovlar bo'lsa, domen tekshiruvi haddan tashqari yuklanmasligini ta'minlash uchun ular har 90 daqiqada qo'llaniladi va 30 daqiqa o'zgaradi. Domen kontrollerlari uchun yangilanish oralig'i 5 minut. Ushbu xatti-harakatni Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Grup siyosati bo'limida o'zgartirishingiz mumkin. GPO faqat kompyuter va foydalanuvchi ob'ektlariga ta'sir qilishi mumkin. Siyosat faqat GPO bog'langan katalog ob'ektida (sayt, domen, tashkiliy birlik) joylashgan va "daraxtda" pastroqda joylashgan ob'ektlarga nisbatan qo'llaniladi (agar meros taqiqlanmagan bo'lsa). Masalan: OU testerlarida GPO yaratiladi (yuqorida qilganimizdek).

Guruch. 4. Sozlamalarni meros qilib olish.

Ushbu GPO da qilingan barcha sozlamalar faqat testerlar OU va InTesters OU da joylashgan foydalanuvchilar va kompyuterlarga ta'sir qiladi. Keling, misol yordamida siyosatlarni qo'llash tartibini ko'rib chiqaylik. Testerlar OUda joylashgan test foydalanuvchisi compOU OUda joylashgan komputer kompyuteriga kiradi (5-rasmga qarang).

Guruch. 5. Siyosatlarni qo'llash tartibi.

Domenda to'rtta GPO mavjud:

1. Sayt konteyneri bilan bog'langan SitePolicy;
2. Domen konteyneri bilan bog'liq standart domen siyosati;
3. Siyosat1, OU testerlari bilan bog'liq;
4. OU compOU bilan bog'langan siyosat 2.

Da Windows-ni yuklash komp ish stantsiyasida Kompyuter konfiguratsiyasi bo'limlarida belgilangan parametrlar quyidagi tartibda qo'llaniladi:

1. Mahalliy GPO sozlamalari;
2. GPO SitePolicy sozlamalari;

4. GPO Policy2 sozlamalari.

Foydalanuvchi testi foydalanuvchi konfiguratsiyasi bo'limlarida belgilangan kompyuter kompilyatsiyasi parametrlariga kirganda:

1. Mahalliy GPO sozlamalari;
2. GPO SitePolicy sozlamalari;
3. GPO standart domen siyosati parametrlari;
4. GPO Policy1 sozlamalari.

Ya'ni, GPOlar shu tartibda qo'llaniladi: mahalliy siyosatlar, sayt darajasidagi siyosatlar, domen darajasidagi siyosatlar, OU darajasidagi siyosatlar.

Guruh siyosatlari Windows XP mijozlariga asinxron, lekin Windows 2000 mijozlariga sinxron qo'llaniladi, ya'ni foydalanuvchining tizimga kirish ekrani barcha kompyuter siyosatlari qo'llanilgandan keyingina paydo bo'ladi va foydalanuvchi siyosatlari ish stoli paydo bo'lishidan oldin qo'llaniladi. Asinxron siyosatni tatbiq qilish degani, foydalanuvchining kirish ekrani kompyuterning barcha siyosatlari qoʻllanilishidan oldin, ish stoli esa foydalanuvchining barcha siyosatlari qoʻllanilishidan oldin paydo boʻladi, natijada foydalanuvchi uchun tezroq yuklash va tizimga kirish vaqtlari paydo boʻladi.
Yuqorida tavsiflangan xatti-harakatlar ikki holatda o'zgaradi. Birinchisi, mijozning kompyuteri sekin tarmoq ulanishini aniqladi. Odatiy bo'lib, bu holatda faqat xavfsizlik sozlamalari va ma'muriy shablonlar qo'llaniladi. O'tkazish qobiliyati 500 Kb/sek dan kam bo'lgan ulanish sekin hisoblanadi. Siz ushbu qiymatni Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Group Policy\Group Policy sekin havolani aniqlashda o'zgartirishingiz mumkin. Shuningdek, Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Guruh siyosati bo'limida siz ba'zi boshqa siyosat sozlamalarini sekin ulanish orqali qayta ishlanishi uchun sozlashingiz mumkin. Siyosatlarni qo'llash tartibini o'zgartirishning ikkinchi usuli - bu foydalanuvchi guruhi siyosatini qayta ishlash variantidir. Ushbu parametr foydalanuvchi siyosatlari kompyuter siyosatlaridan keyin qo'llaniladigan va ikkinchisining ustiga yoziladigan siyosatlarni qo'llashning standart tartibini o'zgartiradi. Qayta tiklash opsiyasini shunday sozlashingiz mumkinki, mashina siyosatlari foydalanuvchi siyosatlaridan keyin qo‘llaniladi va mashina siyosatlariga zid bo‘lgan har qanday foydalanuvchi siyosatlarining ustiga yozish mumkin. Loopback parametri ikkita rejimga ega:

1. Birlashtirish - avval kompyuter siyosati, keyin foydalanuvchi siyosati va yana kompyuter siyosati qo'llaniladi. Bunday holda, kompyuter siyosati unga zid bo'lgan foydalanuvchi siyosati sozlamalarini o'zi bilan almashtiradi.
2. O'zgartirish (almashtirish) - foydalanuvchi siyosati qayta ishlanmagan.

Foydalanuvchilar guruhi siyosatini qayta ishlash opsiyasidan foydalanish misoli umumiy kompyuterda bo'lishi mumkin, u erda qaysi foydalanuvchi foydalanayotganidan qat'iy nazar bir xil cheklangan sozlamalarga ega bo'lishni xohlaysiz.

Ustuvorlik, meros va nizolarni hal qilish

Siz sezganingizdek, GPO barcha darajalarda bir xil sozlamalarni o'z ichiga oladi va bir xil sozlama bir necha darajalarda turlicha belgilanishi mumkin. Bunday holda, samarali qiymat oxirgi qo'llaniladigan qiymat bo'ladi (GPO'larni qo'llash tartibi yuqorida muhokama qilingan). Ushbu qoida konfiguratsiya qilinmagan deb belgilanganlardan tashqari barcha parametrlar uchun amal qiladi. Windows bu sozlamalar uchun hech qanday chora ko'rmaydi. Ammo bitta istisno mavjud: barcha hisob va parol sozlamalari faqat domen darajasida aniqlanishi mumkin; boshqa darajalarda bu sozlamalar e'tiborga olinmaydi.

Guruch. 6. Active Directory foydalanuvchilari va kompyuterlari.

Agar bir xil darajada bir nechta GPO mavjud bo'lsa, ular pastdan yuqoriga qo'llaniladi. Roʻyxatdagi siyosat obʼyektining oʻrnini oʻzgartirib (yuqoriga va pastga tugmalaridan foydalanib) siz dasturning kerakli tartibini tanlashingiz mumkin.

Guruch. 7. Siyosatlarni qo'llash tartibi.

Ba'zan siz ma'lum bir OU yuqori oqim konteynerlari bilan bog'langan GPO'lardan siyosat sozlamalarini olmasligini xohlaysiz. Bunday holda, siyosat merosini blokirovka qilish katagiga belgi qo'yish orqali siyosat merosini taqiqlashingiz kerak. Barcha meros qilib olingan siyosat sozlamalari bloklangan va individual sozlamalarni bloklashning hech qanday usuli yo'q. Parol siyosati va hisob siyosatini belgilaydigan domen darajasidagi sozlamalarni bloklab bo‘lmaydi.

Guruch. 9. Siyosatlarning merosini bloklash.

Agar ma'lum bir GPO-dagi ba'zi sozlamalar qayta yozilmasligini istasangiz, kerakli GPO-ni tanlashingiz kerak, "Options" tugmasini bosing va No Override-ni tanlang. Bu parametr siyosat merosi bloklangan joylarda GPO sozlamalarini qo‘llashga majbur qiladi. No Override GPO ning oʻzida emas, balki katalog obyekti bilan bogʻlangan joyda oʻrnatilmagan. Agar GPO domendagi bir nechta konteynerlar bilan bog'langan bo'lsa, qolgan assotsiatsiyalarda bu sozlama avtomatik ravishda sozlanmaydi. Agar bir xil darajadagi bir nechta havolalar uchun No Override sozlangan bo'lsa, ro'yxatning yuqori qismidagi GPO ustunlikka ega bo'ladi (va ta'sir qiladi). Biroq, agar turli darajadagi bir nechta GPO uchun No Override sozlamalari sozlangan bo'lsa, katalog ierarxiyasida yuqoriroq GPO sozlamalari kuchga kiradi. Ya'ni, agar GPO-to-domen ob'ektlari assotsiatsiyasi va OU-to-GPO assotsiatsiyasi uchun hech qanday bekor qilish parametrlari sozlanmagan bo'lsa, domen darajasida belgilangan sozlamalar kuchga kiradi. O'chirilgan belgilash katakchasi ushbu GPO ning ushbu konteynerga ta'sirini bekor qiladi.

Guruch. 10. No Override va Disabled opsiyalari.

Yuqorida aytib o'tilganidek, siyosatlar faqat foydalanuvchilar va kompyuterlarga ta'sir qiladi. Ko'pincha savol tug'iladi: "qanday qilib ma'lum bir xavfsizlik guruhiga mansub barcha foydalanuvchilarga ma'lum siyosatni qo'llashim mumkin?" Buning uchun GPO domen ob'ektiga (yoki barcha foydalanuvchi ob'ektlarini o'z ichiga olgan konteynerlar yoki OUlar ustidagi har qanday konteyner) bog'langan. kerakli guruh) va kirish sozlamalari sozlangan. "Xavfsizlik" yorlig'ida "Xususiyatlar" ni bosing, "Autentifikatsiya qilingan foydalanuvchilar" guruhini o'chiring va guruh siyosatini o'qish va qo'llash huquqlari bilan kerakli guruhni qo'shing.

Foydalanuvchi kompyuteriga tegishli sozlamalarni aniqlash

Yakuniy konfiguratsiyani aniqlash va muammolarni aniqlash uchun ma'lum bir foydalanuvchi yoki kompyuter uchun qanday siyosat sozlamalari amalda ekanligini bilishingiz kerak bo'ladi. Buning uchun Resultant Set of Policy (RSoP) deb nomlangan vosita mavjud. RSoP ham ro'yxatga olish, ham rejalashtirish rejimlarida ishlashi mumkin. RSoP-ga qo'ng'iroq qilish uchun siz "foydalanuvchi" yoki "kompyuter" ob'ektini o'ng tugmasini bosib, "Barcha vazifalar" ni tanlashingiz kerak.

Guruch. 11. Siyosatning natija to'plamini chaqirish.

Ishga tushirilgandan so'ng (tizimga kirish rejimida) sizdan qaysi kompyuter va foydalanuvchi uchun o'rnatilgan natijani aniqlashni tanlash so'raladi va natijada qaysi GPO qaysi sozlamani qo'llaganligini ko'rsatadigan sozlamalar oynasi paydo bo'ladi.

Guruch. 12. Siyosatning natijasi to'plami.

Boshqa guruh siyosatini boshqarish vositalari

GPresult - bu RSoP ning ba'zi funksiyalarini ta'minlovchi buyruq qatori vositasi. GPresult sukut bo'yicha Windows XP va Windows Server 2003 o'rnatilgan barcha kompyuterlarda mavjud.

GPUpdate mahalliy va Active Directory asosidagi guruh siyosatlarini qo'llashga majbur qiladi. Windows XP/2003 da u Windows 2000 uchun secedit vositasidagi /refreshpolicy opsiyasini almashtirdi.

Buyruqlar sintaksisining tavsifi ularni /? kaliti bilan ishga tushirganda mavjud.

Xulosa o'rniga

Ushbu maqola guruh siyosatlari bilan ishlashning barcha jihatlarini tushuntirish uchun mo'ljallanmagan; u tajribali tizim ma'murlariga mo'ljallangan emas. Yuqorida aytilganlarning barchasi, mening fikrimcha, siyosatchilar bilan hech qachon ishlamagan yoki ularni endigina o'zlashtira boshlaganlar uchun ular bilan ishlashning asosiy tamoyillarini tushunishga yordam berishi kerak.

GPresult yordam dasturi.exe- bu Active Directory domenidagi kompyuter va/yoki foydalanuvchiga qo'llaniladigan sozlamalarni tahlil qilish va guruh siyosatlarini tashxislash uchun mo'ljallangan konsol ilovasi. Xususan, GPresult natijada olingan siyosatlar to‘plamidan (Natijalar to‘plami, RSOP), qo‘llaniladigan domen siyosatlari ro‘yxatidan (GPO), ularning sozlamalaridan va ularni qayta ishlashdagi xatolar haqida batafsil ma’lumot olish imkonini beradi. Yordamchi dastur Windows XP dan beri Windows operatsion tizimining bir qismi bo'lib kelgan. GPresult yordam dasturi sizga quyidagi savollarga javob berishga imkon beradi: GPO u yoki bu narsani o'zgartirgan kompyuterga ma'lum bir siyosat qo'llaniladimi? Windows sozlamalari, sabablarini tushuning.

Ushbu maqolada biz Active Directory domenida guruh siyosatlarining qo'llanilishini diagnostika qilish va disk raskadrovka qilish uchun GPResult buyrug'idan foydalanish xususiyatlarini ko'rib chiqamiz.

Dastlab, Windows-da guruh siyosatlarining qo'llanilishini diagnostika qilish uchun u ishlatilgan grafik konsol RSOP.msc, bu GPO muharriri konsoliga o'xshash grafik shaklda kompyuterga va foydalanuvchiga qo'llaniladigan natija siyosatlarining (domen + mahalliy) sozlamalarini olish imkonini berdi (quyida, RSOP.msc konsoli misolida). ko'rinishida yangilanish sozlamalari o'rnatilganligini ko'rishingiz mumkin).

Biroq, Windowsning zamonaviy versiyalarida RSOP.msc konsolidan foydalanish tavsiya etilmaydi, chunki u GPP (Guruh siyosati afzalliklari) kabi turli mijoz kengaytmalari (CSE) tomonidan qo'llaniladigan sozlamalarni aks ettirmaydi, qidiruvga ruxsat bermaydi va diagnostika ma'lumotlarini kam ta'minlaydi. Shuning uchun, hozirgi vaqtda GPresult buyrug'i Windows-da GPO-dan foydalanishni diagnostika qilishning asosiy vositasidir (Windows 10-da, GPresult-dan farqli o'laroq, RSOP to'liq hisobotni taqdim etmasligi haqida ogohlantirish paydo bo'ladi).

GPresult.exe yordam dasturidan foydalanish

GPresult buyrug'i guruh siyosatlarining qo'llanilishini tekshirmoqchi bo'lgan kompyuterda ishlaydi. GPresult buyrug'i quyidagi sintaksisga ega:

GPRESULT ]] [(/X | /H) ]

Berilgan AD ob'ektiga (foydalanuvchi va kompyuter) qo'llaniladigan guruh siyosatlari va GPO infratuzilmasi bilan bog'liq boshqa sozlamalar (ya'ni, natijada GPO siyosati sozlamalari - RsoP) haqida batafsil ma'lumot olish uchun buyruqni bajaring:

Buyruqning natijalari 2 bo'limga bo'lingan:

  • KOMPYUTER SOZLAMALAR (Kompyuter konfiguratsiyasi) - bo'limda kompyuterda ishlaydigan GPO ob'ektlari haqidagi ma'lumotlar mavjud (Active Directory ob'ekti sifatida);
  • USER SOZLAMALAR – foydalanuvchi siyosati boʻlimi (ADdagi foydalanuvchi hisobiga qoʻllaniladigan siyosatlar).

Keling, GPresult chiqishida bizni qiziqtirishi mumkin bo'lgan asosiy parametrlar/bo'limlarni qisqacha ko'rib chiqaylik:

  • SaytIsm(Sayt nomi:) – kompyuter joylashgan AD saytining nomi;
  • CN- RSoP ma'lumotlari yaratilgan to'liq kanonik foydalanuvchi/kompyuter;
  • OxirgivaqtGuruhSiyosatediqo'llaniladi(Oxirgi qoʻllanilgan guruh siyosati) – guruh siyosatlari oxirgi marta qoʻllanilgan vaqt;
  • GuruhSiyosatediqo'llaniladidan(Guruh siyosati qo'llanilgan) - u yuklangan domen boshqaruvchisi so'nggi versiya GPO;
  • DomenIsmva DomenTuri(Domen nomi, domen turi) – Active Directory domen sxemasining nomi va versiyasi;
  • Qo'llaniladiGuruhSiyosatOb'ektlar(Amaliy guruh siyosati obyektlari)- faol guruh siyosati ob'ektlari ro'yxati;
  • ThequyidagiGPOlarediemasqo'llaniladichunkiularedifiltrlangantashqariga(Quyidagi GPO siyosatlari qo'llanilmadi, chunki ular filtrlangan) - qo'llanilmagan (filtrlangan) GPOlar;
  • Thefoydalanuvchi/kompyuterhisoblanadiaqisminingthequyidagixavfsizlikguruhlar(Foydalanuvchi/kompyuter quyidagi xavfsizlik guruhlari a'zosi) - foydalanuvchi a'zo bo'lgan domen guruhlari.

Bizning misolimizda foydalanuvchi ob'ekti 4 ta guruh siyosatiga bo'ysunishini ko'rishingiz mumkin.

  • Standart domen siyosati;
  • Windows xavfsizlik devorini yoqing;
  • DNS qo'shimchasini qidirish ro'yxati;

Agar siz konsolda bir vaqtning o'zida foydalanuvchi va kompyuter siyosatlari haqidagi ma'lumotlarning ko'rsatilishini istamasangiz, /scope opsiyasidan faqat sizni qiziqtirgan bo'limni ko'rsatishingiz mumkin. Faqat natijada foydalanuvchi siyosatlari:

gpresult /r /scope:user

yoki faqat qo'llaniladigan kompyuter siyosatlari:

gpresult /r /scope:kompyuter

Chunki Gpresult yordam dasturi o'z ma'lumotlarini to'g'ridan-to'g'ri buyruq satri konsoliga chiqaradi, bu keyingi tahlil uchun har doim ham qulay emas; uning chiqishini vaqtinchalik xotiraga yo'naltirish mumkin:

Gpresult /r |klip

yoki matn fayli:

Gpresult /r > c:\gpresult.txt

O'ta batafsil RSOP ma'lumotlarini ko'rsatish uchun siz /z kalitini qo'shishingiz kerak.

GPresult yordamida HTML RSOP hisoboti

Bundan tashqari, GPresult yordam dasturi qo'llaniladigan siyosatlarning HTML hisobotini yaratishi mumkin (Windows 7 va undan yuqori versiyalarida mavjud). Ushbu hisobot o'z ichiga oladi batafsil ma'lumot guruh siyosatlari tomonidan o'rnatiladigan barcha tizim parametrlari va ularni o'rnatgan aniq GPO nomlari haqida (natijadagi tuzilma hisoboti Domen guruhi siyosatini boshqarish konsolidagi Sozlamalar yorlig'iga o'xshaydi - GPMC). Buyruq yordamida HTML GPresult hisobotini yaratishingiz mumkin:

GPresult /h c:\gp-report\report.html /f

Hisobot yaratish va uni brauzerda avtomatik ravishda ochish uchun quyidagi buyruqni bajaring:

GPresult /h GPresult.html & GPresult.html

gpresult HTML hisoboti juda ko'p narsalarni o'z ichiga oladi foydali ma'lumotlar: GPO ilovasidagi xatolar, ishlov berish vaqti (ms da) va maxsus siyosatlar va CSE qo'llanilishi ko'rinadi (Kompyuter tafsilotlari -> Komponent holati bo'limida). Misol uchun, yuqoridagi skrinshotda siz 24 ta parolni eslab qolish sozlamalariga ega siyosat standart domen siyosati (Winning GPO ustuni) tomonidan qo'llanilishini ko'rishingiz mumkin. Ko'rib turganingizdek, ushbu HTML hisoboti rsop.msc konsoliga qaraganda qo'llaniladigan siyosatlarni tahlil qilish uchun ancha qulayroqdir.

Masofaviy kompyuterdan GPresult ma'lumotlarini qabul qilish

GPresult, shuningdek, masofaviy kompyuterdan ma'lumotlarni to'plashi mumkin, bu ma'murning mahalliy yoki RDP masofaviy kompyuterga kirishiga ehtiyojni yo'q qiladi. Masofaviy kompyuterdan RSOP ma'lumotlarini yig'ish uchun buyruq formati quyidagicha:

GPresult /s server-ts1 /r

Xuddi shunday, siz ham foydalanuvchi siyosatidan, ham kompyuter siyosatidan maʼlumotlarni masofadan yigʻishingiz mumkin.

Foydalanuvchi nomi RSOP ma'lumotlariga ega emas

UAC yoqilganda, yuqori imtiyozlarsiz GPresult ishga tushirilishi faqat foydalanuvchi guruhi siyosati bo'limi sozlamalarini ko'rsatadi. Agar siz bir vaqtning o'zida ikkala bo'limni (FOYDALANUVCHI SOZLAMALARI va KOMPYUTER SOZLAMALARI) ko'rsatishingiz kerak bo'lsa, buyruq bajarilishi kerak. Agar buyruq qatori joriy foydalanuvchidan boshqa tizimga ko'tarilsa, yordamchi dastur ogohlantirish beradi MA'LUMOT: Thefoydalanuvchi"domen\user” qiladiemasborRSOPma'lumotlar ("domen\user" foydalanuvchisi RSOP ma'lumotlariga ega emas). Buning sababi, GPresult uni ishga tushirgan foydalanuvchi uchun ma'lumot to'plashga harakat qiladi, lekin ... Bu foydalanuvchi tizimga kirmagan va u uchun RSOP ma'lumoti yo'q. Faol seansga ega foydalanuvchi uchun RSOP ma'lumotlarini to'plash uchun siz uning hisobini ko'rsatishingiz kerak:

gpresult /r /user:tn\edward

Agar tizimga kirgan hisob nomini bilmasangiz masofaviy kompyuter, siz shunday hisob olishingiz mumkin:

qwinsta /SERVER: remotePC1

Shuningdek, mijozdagi vaqt(lar)ni tekshiring. Vaqt PDC (Birlamchi domen nazoratchisi) dagi vaqtga mos kelishi kerak.

Quyidagi GPO siyosatlari qoʻllanilmadi, chunki ular filtrlangan

Guruh siyosatlari bilan bog'liq muammolarni bartaraf qilishda siz ushbu bo'limga ham e'tibor berishingiz kerak: Quyidagi GPOlar qo'llanilmadi, chunki ular filtrlangan. Ushbu bo'lim u yoki bu sabablarga ko'ra ushbu ob'ektga taalluqli bo'lmagan GPOlar ro'yxatini ko'rsatadi. Mumkin variantlar siyosat qo'llanilmasligi mumkin:



Shuningdek, siz siyosatning ma'lum bir AD ob'ektiga qo'llanilishi kerakligini samarali ruxsatnomalar yorlig'ida (Kengaytirilgan -> Samarali kirish) tushunishingiz mumkin.

Shunday qilib, ushbu maqolada biz GPresult yordam dasturidan foydalangan holda guruh siyosatlarini qo'llashni diagnostika qilish xususiyatlarini ko'rib chiqdik va undan foydalanishning odatiy stsenariylarini ko'rib chiqdik.

Windows Server operatsion tizimidagi funksionallik versiyadan versiyaga hisoblab chiqilgan va takomillashtirilgan, ko'proq rollar va komponentlar mavjud, shuning uchun bugungi materialda men qisqacha tavsiflashga harakat qilaman. Windows Server 2016 da har bir rolning tavsifi va maqsadi.

Windows Server server rollarini tavsiflashga o'tishdan oldin, keling, nima ekanligini bilib olaylik. Server roli» Windows Server operatsion tizimida.

Windows Serverda "Server roli" nima?

Server roli serverning ma'lum bir funktsiyani bajarishini ta'minlaydigan dasturiy ta'minot to'plami bo'lib, bu funktsiya asosiy hisoblanadi. Boshqa so'z bilan, " Server roli" bu serverning maqsadi, ya'ni. u nima uchun? Shunday qilib, server o'zining asosiy funktsiyasini bajarishi mumkin, ya'ni. ma'lum bir rol " Server roli» buning uchun zarur bo'lgan barcha dasturiy ta'minot kiritilgan ( dasturlar, xizmatlar).

Agar u faol foydalanilsa, server bitta rolga ega bo'lishi mumkin yoki ularning har biri serverni og'ir yuklamasa va kamdan-kam ishlatilsa, bir nechta rolga ega bo'lishi mumkin.

Server roli rolning funksionalligini ta'minlaydigan bir nechta rol xizmatlarini o'z ichiga olishi mumkin. Masalan, server rolida " Veb-server (IIS)"juda katta miqdordagi xizmatlar kiritilgan va roli" DNS server» rol xizmatlari kiritilmagan, chunki bu rol faqat bitta funktsiyani bajaradi.

Rol xizmatlari sizning ehtiyojlaringizga qarab birgalikda yoki alohida o'rnatilishi mumkin. Asosiysi, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi.

Windows Serverda ham bor " Komponentlar» serverlar.

Server komponentlari (xususiyat)- Bular server roli bo'lmagan, lekin bir yoki bir nechta rollarning imkoniyatlarini kengaytiruvchi yoki bir yoki bir nechta rollarni boshqaradigan dasturiy vositalar.

Agar ushbu rollarning ishlashi uchun zarur bo'lgan xizmatlar yoki komponentlar serverda o'rnatilmagan bo'lsa, ba'zi rollarni o'rnatib bo'lmaydi. Shuning uchun, bunday rollarni o'rnatish vaqtida " Rollar va xususiyatlar ustasini qo'shish" o'zi avtomatik ravishda sizga kerakli qo'shimcha rol xizmatlari yoki komponentlarini o'rnatishingizni taklif qiladi.

Windows Server 2016 server rollarining tavsifi

Ehtimol, siz Windows Server 2016-da mavjud bo'lgan ko'plab rollar bilan allaqachon tanishsiz, chunki ular ancha vaqtdan beri mavjud, ammo men aytganimdek, Windows Serverning har bir yangi versiyasida sizda bo'lmasligi mumkin bo'lgan yangi rollar qo'shiladi. hali bilan ishlagan. lekin biz ular nima uchun ekanligini bilishni xohlaymiz, shuning uchun ularni ko'rib chiqishni boshlaylik.

Eslatma! Windows Server 2016 operatsion tizimining yangi funksiyalari haqida “materialda o‘qishingiz mumkin. Windows o'rnatish Server 2016 va yangi xususiyatlar haqida umumiy ma'lumot ».

Ko'pincha rollar, xizmatlar va komponentlarni o'rnatish va boshqarish bilan sodir bo'ladi Windows yordamida PowerShell, har bir rol va uning xizmati uchun men mos ravishda PowerShell-da uni o'rnatish yoki boshqarish uchun ishlatilishi mumkin bo'lgan nomni ko'rsataman.

DHCP serveri

Ushbu rol sizning tarmog'ingizdagi kompyuterlar va qurilmalar uchun dinamik IP-manzillar va tegishli sozlamalarni markazlashtirilgan tarzda sozlash imkonini beradi. DHCP server rolida rol xizmatlari mavjud emas.

Windows PowerShell-ning nomi DHCP.

DNS server

Bu rol TCP/IP tarmoqlarida nomlarni aniqlash uchun mo'ljallangan. DNS server roli DNS-ni ta'minlaydi va saqlaydi. DNS serverini boshqarishni osonlashtirish uchun u odatda Active Directory Domain Services bilan bir xil serverga o'rnatiladi. DNS server rolida rol xizmatlari mavjud emas.

PowerShell uchun rol nomi DNS.

Hyper-V

Hyper-V rolidan foydalanib, siz virtuallashtirilgan muhitni yaratishingiz va boshqarishingiz mumkin. Boshqacha qilib aytganda, bu virtual mashinalarni yaratish va boshqarish uchun vositadir.

Windows PowerShell uchun rol nomi Hyper-V.

Qurilmaning ishlashini sertifikatlash

Rol " » xavfsiz yuklash holati va mijozdagi Bitlocker kabi oʻlchangan xavfsizlik parametrlari asosida qurilmaning holatini baholash imkonini beradi.

Ushbu rolning ishlashi uchun juda ko'p rol xizmatlari va komponentlari talab qilinadi, masalan: roldan bir nechta xizmatlar " Veb-server (IIS)", komponent" ", komponent" .NET Framework 4.6 xususiyatlari».

O'rnatish vaqtida barcha kerakli rol xizmatlari va komponentlari avtomatik ravishda tanlanadi. Rol " Qurilmaning ishlashini sertifikatlash» o'z xizmatlari yo'q.

PowerShell nomi - DeviceHealthAttestationService.

Veb-server (IIS)

Ishonchli, boshqariladigan va kengaytiriladigan veb-ilovalar infratuzilmasini taqdim etadi. Juda katta miqdordagi xizmatlardan iborat (43).

Windows PowerShell-ning nomi Web-server.

Quyidagi rol xizmatlarini o'z ichiga oladi ( qavs ichida men Windows PowerShell nomini ko'rsataman):

Veb-server (Web-WebServer)- HTML veb-saytlari, ASP.NET kengaytmalari, ASP va veb-serverlarni qo'llab-quvvatlaydigan rol xizmatlari guruhi. Quyidagi xizmatlardan iborat:

  • Xavfsizlik (veb xavfsizligi)- veb-server xavfsizligini ta'minlash bo'yicha xizmatlar to'plami.
    • So'rovlarni filtrlash (Web-filtrlash) - ushbu vositalar yordamida siz serverga kelgan barcha so'rovlarni qayta ishlashingiz va veb-server ma'muri tomonidan o'rnatilgan maxsus qoidalar asosida ushbu so'rovlarni filtrlashingiz mumkin;
    • IP-manzil va domen cheklovlari (Web-IP-Xavfsizlik) - bu vositalar so'rovdagi manbaning IP-manzili yoki domen nomidan kelib chiqqan holda veb-serverdagi tarkibga kirishga ruxsat berish yoki rad etish imkonini beradi;
    • URL avtorizatsiyasi (Web-Url-Auth) - asboblar veb-kontentga kirishni cheklash qoidalarini ishlab chiqish va ularni foydalanuvchilar, guruhlar yoki HTTP sarlavhasi buyruqlari bilan bog'lash imkonini beradi;
    • Digest autentifikatsiyasi (Web-Digest-Auth) - Bu autentifikatsiya asosiy autentifikatsiyaga qaraganda yuqori darajadagi xavfsizlikni ta'minlaydi. Digest tekshiruvi foydalanuvchilarni autentifikatsiya qilish uchun Windows domen boshqaruvchisiga parol xeshini uzatish orqali ishlaydi;
    • Asosiy autentifikatsiya (Web-Basic-Auth) - bu autentifikatsiya usuli kuchli veb-brauzer mosligini ta'minlaydi. Kichik ichki tarmoqlarda foydalanish uchun tavsiya etiladi. Ushbu usulning asosiy kamchiligi shundaki, tarmoq orqali uzatiladigan parollar juda oson tutib olinishi va shifrini ochish mumkin, shuning uchun ushbu usulni SSL bilan birgalikda foydalaning;
    • Windows autentifikatsiyasi (Web-Windows-Auth) bu Windows domenini autentifikatsiya qilishga asoslangan autentifikatsiya. Boshqacha qilib aytganda, siz veb-saytlaringiz foydalanuvchilarini autentifikatsiya qilish uchun Active Directory hisoblaridan foydalanishingiz mumkin;
    • Mijoz sertifikatini moslashtirish bilan autentifikatsiya (Web-Client-Auth) - Ushbu autentifikatsiya usuli mijoz sertifikatidan foydalanishni o'z ichiga oladi. Ushbu tur sertifikat xaritasini taqdim etish uchun Active Directory-dan foydalanadi;
    • IIS mijoz sertifikatini xaritalash autentifikatsiyasi (Web-Cert-Auth) - Bu usul autentifikatsiya qilish uchun mijoz sertifikatlaridan ham foydalanadi, lekin sertifikat xaritasini ta'minlash uchun IIS dan foydalanadi. Ushbu tur yuqori ishlashni ta'minlaydi;
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash (Web-CertProvider) - bu vositalar SSL server sertifikatlarini markazlashtirilgan tarzda boshqarish imkonini beradi, bu esa ushbu sertifikatlarni boshqarish jarayonini sezilarli darajada osonlashtiradi;
  • Salomatlik va diagnostika (Web-Salomatlik)- veb-serverlar, saytlar va ilovalarni boshqarish, boshqarish va nosozliklarni bartaraf etish bo'yicha xizmatlar to'plami:
    • http logging (Web-Http-Logging) - asboblar ma'lum serverdagi veb-saytlar faoliyatini qayd qilishni ta'minlaydi, ya'ni. jurnalga kirish;
    • ODBC Logging (Web-ODBC-Logging) – Bu vositalar veb-saytlar faoliyati jurnalini ham taʼminlaydi, lekin ular ushbu faoliyatni ODBC-mos keladigan maʼlumotlar bazasiga yozishni qoʻllab-quvvatlaydi;
    • Request Monitor (Web-Request-Monitor) - bu IIS ishchi jarayonida HTTP so'rovlari haqidagi ma'lumotlarni ushlab turish orqali veb-ilovaning sog'lig'ini kuzatish imkonini beruvchi vosita;
    • Web-Custom-Logging - Ushbu vositalar veb-server faoliyatini standart IIS formatidan sezilarli darajada farq qiladigan formatda ro'yxatga olish uchun sozlash imkonini beradi. Boshqacha qilib aytganda, siz o'zingizning logging modulingizni yaratishingiz mumkin;
    • Jurnalga yozish vositalari (Web-Log-Libraries) veb-server jurnallarini boshqarish va jurnalga yozish vazifalarini avtomatlashtirish vositalari;
    • Tracing (Web-Http-Tracing) veb-ilovalar ishlashidagi muammolarni tashxislash va bartaraf etish vositasidir.
  • Umumiy http funksiyalari (Web-Common-Http)– asosiy HTTP funksiyasini taʼminlovchi xizmatlar toʻplami:
    • Standart hujjat (Web-Default-Doc) – Bu xususiyat foydalanuvchilar so‘rov URL manzilida ma’lum bir hujjatni ko‘rsatmasa, veb-serverni standart hujjatni qaytarish uchun sozlash imkonini beradi, bu esa foydalanuvchilarning veb-saytga kirishini osonlashtiradi, masalan, faylni ko'rsatmasdan domen;
    • Kataloglarni ko'rib chiqish (Web-Dir-Browsing) - Ushbu vositadan foydalanuvchi veb-saytdagi barcha katalog va fayllar ro'yxatini ko'rishi uchun veb-serverni sozlash uchun ishlatilishi mumkin. Masalan, foydalanuvchilar so'rov URL manzilida faylni ko'rsatmagan va hujjatlar o'chirilgan yoki sukut bo'yicha sozlanmagan holatlar uchun;
    • http xatolar (Web-Http-Errors) – bu xususiyat veb-server xatolikni aniqlaganda foydalanuvchilarning veb-brauzerlariga qaytariladigan xato xabarlarini sozlash imkonini beradi. Bu xususiyat foydalanuvchilarga xato xabarlarini yaxshiroq taqdim etish uchun ishlatiladi;
    • Statik kontent (Web-Static-Content) - bu vosita veb-serverda statik fayl formatlari, masalan, HTML fayllari yoki tasvir fayllari ko'rinishidagi tarkibdan foydalanish imkonini beradi;
    • http qayta yo'naltirish (Web-Http-Redirect) - bu xususiyatdan foydalanib, foydalanuvchi so'rovini ma'lum bir manzilga yo'naltirishingiz mumkin, ya'ni. bu qayta yo'naltirish;
    • WebDAV Publishing (Web-DAV-Publishing) – IIS WEB serverida WebDAV texnologiyasidan foydalanish imkonini beradi. WebDAV ( Internetda tarqatilgan mualliflik va versiya) foydalanuvchilarga birgalikda ishlash imkonini beruvchi texnologiya ( o'qish, tahrirlash, o'qish xususiyatlarini o'qish, nusxalash, ko'chirish) HTTP protokoli yordamida masofaviy veb-serverlardagi fayllar orqali.
  • Ishlash (veb-ishlash)- Gzip va Deflate kabi chiqish keshlash va umumiy siqish mexanizmlari orqali yuqori veb-server unumdorligiga erishish uchun xizmatlar to'plami:
    • Web-Stat-Compression - bu statik http-kontentni siqishni sozlash uchun vosita bo'lib, u protsessorni keraksiz yuklamasdan tarmoqli kengligidan yanada samarali foydalanish imkonini beradi;
    • Dinamik tarkibni siqish (Web-Dyn-Compression) - bu HTTP dinamik kontentni siqishni sozlash vositasi. Bu xususiyat tarmoqli kengligidan samaraliroq foydalanish imkonini beradi, lekin dinamik siqish bilan bog'liq bo'lgan server protsessor yuki, agar siqilishsiz protsessor yuki yuqori bo'lsa, sayt sekinlashishiga olib kelishi mumkin.
  • Ilovalarni ishlab chiqish (veb-ilova-dev)- veb-ilovalarni ishlab chiqish va joylashtirish uchun xizmatlar va vositalar to'plami, boshqacha aytganda, veb-saytlarni ishlab chiqish texnologiyalari:
    • ASP (Web-ASP) - bu ASP texnologiyasidan foydalangan holda veb-saytlar va veb-ilovalarni qo'llab-quvvatlash va rivojlantirish uchun muhit. Hozirgi vaqtda veb-saytlarni ishlab chiqishning yangi va ilg'or texnologiyasi mavjud - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) - bu ASP.NET texnologiyasidan foydalangan holda veb-saytlar va veb-ilovalar uchun ob'ektga yo'naltirilgan ishlab chiqish muhiti;
    • ASP.NET 4.6 (Web-Asp-Net45) ham ASP.NET ning yangi versiyasidan foydalangan holda veb-saytlar va veb-ilovalar uchun ob'ektga yo'naltirilgan ishlab chiqish muhitidir;
    • CGI (Web-CGI) - veb-serverdan tashqi dasturga ma'lumot uzatish uchun CGI-dan foydalanish qobiliyati. CGI tashqi dasturni veb-server bilan ulash uchun ma'lum bir interfeys standartidir. Salbiy tomoni shundaki, CGI dan foydalanish ishlashga ta'sir qiladi;
    • Server tomoni qo'shimchalari (SSI) (veb-o'z ichiga oladi) SSI skript tilini qo'llab-quvvatlaydi ( server tomoni faollashtiruvchilari), HTML sahifalarini dinamik ravishda yaratish uchun foydalaniladi;
    • Ilovani ishga tushirish (Web-AppInit) - bu vosita veb-sahifani yo'naltirishdan oldin veb-ilovalarni ishga tushirish vazifasini bajaradi;
    • WebSocket Protocol (Web-WebSockets) - WebSocket protokoli yordamida o'zaro ta'sir qiluvchi server ilovalarini yaratish qobiliyatini qo'shish. WebSocket - TCP ulanishi orqali brauzer va veb-server o'rtasida bir vaqtning o'zida ma'lumotlarni yuborish va qabul qilish mumkin bo'lgan protokol, HTTP protokolining kengaytmasi turi;
    • ISAPI kengaytmalari (Web-ISAPI-Ext) - ISAPI dasturlash interfeysi yordamida veb-kontentni dinamik rivojlantirishni qo'llab-quvvatlash. ISAPI - bu IIS veb-server uchun API. ISAPI ilovalari ASP fayllari yoki COM+ komponentlarini chaqiruvchi fayllardan ancha tezroq;
    • .NET 3.5 Kengaytirish (Web-Net-Ext) - bu .NET 3.5 kengaytma xususiyati boʻlib, soʻrovni qayta ishlash liniyasi, konfiguratsiya va foydalanuvchi interfeysi davomida veb-server funksiyalarini oʻzgartirish, qoʻshish va kengaytirish imkonini beradi;
    • .NET 4.6 Kengaytirish (Web-Net-Ext45) bu .NET 4.6 kengaytma xususiyati boʻlib, u sizga soʻrovlarni qayta ishlash liniyasi, konfiguratsiya va foydalanuvchi interfeysi davomida veb-server funksiyalarini oʻzgartirish, qoʻshish va kengaytirish imkonini beradi;
    • ISAPI filtrlari (Web-ISAPI-Filter) - ISAPI filtrlarini qo'llab-quvvatlash. ISAPI filtrlari veb-server filtr tomonidan qayta ishlanishi kerak bo'lgan maxsus HTTP so'rovini olganida chaqiriladigan dasturlardir.

FTP server (Web-Ftp-Server)- FTP protokolini qo'llab-quvvatlaydigan xizmatlar. Biz FTP serveri haqida batafsilroq materialda gaplashdik - “O'rnatish va FTP sozlamalari Windows Server 2016 da serverlar." Quyidagi xizmatlarni o'z ichiga oladi:

  • FTP xizmati (Web-Ftp-Service) - veb-serverda FTP protokolini qo'llab-quvvatlaydi;
  • FTP kengaytirilishi (Web-Ftp-Ext) - FTP standart imkoniyatlarini kengaytiradi, masalan, maxsus provayderlar, ASP.NET foydalanuvchilari yoki IIS menejeri foydalanuvchilari kabi xususiyatlarni qo'llab-quvvatlash.

Boshqaruv vositalari (Web-Mgmt-Tools)- Bular IIS 10 veb-serverini boshqarish vositalaridir.Bularga quyidagilar kiradi: IIS foydalanuvchi interfeysi, buyruq qatori vositalari va skriptlar.

  • IIS boshqaruv konsoli (Web-Mgmt-Console) IISni boshqarish uchun foydalanuvchi interfeysi;
  • IIS belgilar to'plami va vositalari (Web-Scripting-Tools) - bu buyruq satri yoki skriptlardan foydalangan holda IISni boshqarish uchun vositalar va skriptlar. Ular, masalan, boshqaruvni avtomatlashtirish uchun ishlatilishi mumkin;
  • Boshqaruv xizmati (Web-Mgmt-Service) - bu xizmat IIS menejeri yordamida boshqa kompyuterdan veb-serverni masofadan boshqarish imkoniyatini qo'shadi;
  • IIS 6 muvofiqlikni boshqarish (Web-Mgmt-Compat) - ikkita IIS API-dan foydalanadigan ilovalar va skriptlar o'rtasidagi muvofiqlikni ta'minlaydi. IIS 10 veb-serverini boshqarish uchun mavjud IIS 6 skriptlaridan foydalanish mumkin:
    • IIS 6 moslik metabazasi metabazasi (Web-metabaza) bu IISning oldingi versiyalaridan koʻchirilgan ilovalar va belgilar toʻplamini ishga tushirish imkonini beruvchi moslik vositasi;
    • IIS 6 skript vositalari (Web-Lgcy-Scripting) - Bu vositalar IIS 10 da IIS 6 ni boshqarish uchun yaratilgan bir xil IIS 6 skript xizmatlaridan foydalanish imkonini beradi;
    • IIS 6 Xizmatlarni boshqarish konsoli (Web-Lgcy-Mgmt-Console) – masofaviy IIS 6.0 serverlarini boshqarish vositasi;
    • WMI bilan mos keladigan IIS 6 (Web-WMI) - bu WMI provayderida yaratilgan skriptlar to'plamidan foydalangan holda IIS 10.0 veb-server vazifalarini dasturiy jihatdan boshqarish va avtomatlashtirish uchun Windows boshqaruv asboblari (WMI) skript interfeyslari.

Active Directory domen xizmatlari

Rol " Active Directory domen xizmatlari» (AD DS) tarmoq resurslari haqidagi ma'lumotlarni saqlaydigan va qayta ishlaydigan taqsimlangan ma'lumotlar bazasini taqdim etadi. Bu rol foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik xavfsiz qobiq tuzilishiga joylashtirish uchun ishlatiladi. Ierarxik tuzilma o'rmonlarni, o'rmon ichidagi domenlarni va har bir domen ichidagi tashkiliy birliklarni (OU) o'z ichiga oladi. AD DS bilan ishlaydigan server domen boshqaruvchisi deb ataladi.

Windows PowerShell uchun rol nomi AD-Domain-Services.

Windows Server Essentials Mode

Ushbu rol kompyuter infratuzilmasini ifodalaydi va qulay va samarali funktsiyalarni ta'minlaydi, masalan: mijoz ma'lumotlarini markazlashtirilgan joyda saqlash va server va mijoz kompyuterlarining zaxira nusxasini yaratish orqali ushbu ma'lumotlarni himoya qilish, Internetga masofadan kirish, deyarli har qanday qurilmadan ma'lumotlarga kirish imkonini beradi. Bu rol ishlashi uchun bir nechta rol xizmatlari va komponentlari talab qilinadi, masalan: BranchCache komponentlari, Windows Server zaxira nusxasi, Guruh siyosatini boshqarish, rol xizmati " DFS nom maydonlari».

PowerShell nomi ServerEssentialsRole.

Tarmoq boshqaruvchisi

Ushbu rol Windows Server 2016 da taqdim etilgan va ma'lumotlar markazidagi jismoniy va virtual tarmoq infratuzilmasini boshqarish, monitoring qilish va diagnostika qilish uchun yagona avtomatlashtirish nuqtasini ta'minlaydi. Ushbu roldan foydalanib, siz IP quyi tarmoqlarini, VLAN-larni, Hyper-V xostlarining jismoniy tarmoq adapterlarini sozlashingiz, virtual kalitlarni, jismoniy routerlarni, xavfsizlik devori sozlamalarini va VPN shlyuzlarini bir nuqtadan boshqarishingiz mumkin.

Windows PowerShell-ning nomi NetworkController.

Node Guardian xizmati

Bu Hosted Guardian Service (HGS) server roli boʻlib, himoyalangan xostlarga ekranlangan virtual mashinalarni ishga tushirishga imkon beruvchi attestatsiya va asosiy himoya xizmatlarini taqdim etadi. Ushbu rolning ishlashi uchun bir nechta qo'shimcha rollar va komponentlar talab qilinadi, masalan: Active Directory Domain Services, Web Server (IIS), komponent " Failover klasterlash" va boshqalar.

PowerShell nomi - HostGuardianServiceRole.

Active Directory engil katalog xizmatlari

Rol " Active Directory engil katalog xizmatlari" (AD LDS) - AD DS ning engil versiyasi bo'lib, u kamroq funksionallikka ega, lekin domenlar yoki domen kontrollerlarini joylashtirishni talab qilmaydi va AD DS xizmatlari talab qiladigan bog'liqliklar va domen cheklovlariga ega emas. AD LDS LDAP protokoli orqali ishlaydi ( Yengil vaznli katalogga kirish protokoli). Siz bitta serverda mustaqil ravishda boshqariladigan sxemalar bilan bir nechta AD LDS misollarini joylashtirishingiz mumkin.

PowerShell nomi ADLDS.

Ko'p nuqtali xizmatlar

Bu, shuningdek, Windows Server 2016 da joriy qilingan yangi roldir. MultiPoint Services (MPS) bir nechta foydalanuvchilarga bir vaqtda va bir xil kompyuterda mustaqil ishlash imkonini beruvchi asosiy masofaviy ish stoli funksiyasini taʼminlaydi. Ushbu rolni o'rnatish va ishlatish uchun siz bir nechta qo'shimcha xizmatlar va komponentlarni o'rnatishingiz kerak, masalan: Print Server, Windows Search xizmati, XPS Viewer va boshqalar, ularning barchasi MPS o'rnatilganda avtomatik ravishda tanlanadi.

PowerShell uchun rol nomi MultiPointServerRole.

Windows Server yangilash xizmatlari

Ushbu rol (WSUS) yordamida tizim ma'murlari Microsoft yangilanishlarini boshqarishi mumkin. Masalan, turli xil yangilanishlar to'plami uchun alohida kompyuter guruhlarini yarating, shuningdek, kompyuterning muvofiqligi va o'rnatilishi kerak bo'lgan yangilanishlar haqida hisobotlarni oling. Ishlash uchun" Windows Server yangilash xizmatlari"Bizga bunday rol xizmatlari va komponentlari kerak: veb-server (IIS), Windows ichki ma'lumotlar bazasi, Windows jarayonini faollashtirish xizmati.

Windows PowerShell nomi - UpdateServices.

  • WID ulanishi (UpdateServices-WidDB) - WID ( Windows ichki ma'lumotlar bazasi) WSUS tomonidan foydalaniladigan ma'lumotlar bazasi. Boshqacha qilib aytganda, WSUS o'zining xizmat ma'lumotlarini WID-da saqlaydi;
  • WSUS xizmatlari (UpdateServices-Services) yangilanish xizmati, hisobot berish veb-xizmati, API masofaviy veb-xizmati, mijoz veb-xizmati, oddiy Internet autentifikatsiya veb-xizmati, serverni sinxronlashtirish xizmati va DSS veb-autentifikatsiya xizmati kabi WSUS rol xizmatlaridir;
  • SQL Server ulanishi (UpdateServices-DB) - bu WSUS xizmatiga Microsoft SQL Server ma'lumotlar bazasiga ulanish imkonini beruvchi komponentni o'rnatish. Ushbu parametr xizmat ma'lumotlarini Microsoft SQL Server ma'lumotlar bazasida saqlashni o'z ichiga oladi. Bunday holda, sizda SQL Serverning kamida bitta nusxasi o'rnatilgan bo'lishi kerak.

Ovozni faollashtirish xizmatlari

Ushbu server roli Microsoft dasturiy ta'minoti uchun hajmli litsenziyalar berishni avtomatlashtiradi va soddalashtiradi va sizga ushbu litsenziyalarni boshqarish imkonini beradi.

PowerShell nomi VolumeActivation.

Chop etish va hujjat xizmatlari

Ushbu server roli tarmoqdagi printerlar va skanerlarni almashish, chop etish va skanerlash serverlarini markazlashtirilgan tarzda sozlash va boshqarish, tarmoq printerlari va skanerlarini boshqarish uchun mo'ljallangan. Chop etish va hujjat xizmatlari, shuningdek, skanerlangan hujjatlarni elektron pochta, tarmoq ulashishlari yoki Windows SharePoint xizmatlari saytlari orqali yuborish imkonini beradi.

PowerShell nomi - Chop etish xizmatlari.

  • Chop etish serveri - bu rol xizmati "ni o'z ichiga oladi. Chop etish boshqaruvi", bu printerlarni yoki chop etish serverlarini boshqarish, shuningdek, printerlar va boshqa chop etish serverlarini ko'chirish uchun ishlatiladi;
  • Internet orqali chop etish (Print-Internet) - Internet orqali chop etishni amalga oshirish uchun veb-sayt yaratiladi, u orqali foydalanuvchilar serverda chop etish ishlarini boshqarishlari mumkin. Ushbu xizmat ishlashi uchun siz tushunganingizdek, o'rnatishingiz kerak " Veb-server (IIS)" Rol xizmatini o'rnatish jarayonida ushbu katakchani belgilaganingizda barcha kerakli komponentlar avtomatik ravishda tanlanadi " Onlayn bosib chiqarish»;
  • Tarqalgan skanerlash serveri (Print-Scan-Server) tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va ularni belgilangan manzilga yuborish imkonini beruvchi xizmatdir. Ushbu xizmat shuningdek, " Skanerlashni boshqarish", bu tarmoq skanerlarini boshqarish va skanerlashni sozlash uchun ishlatiladi;
  • LPD xizmati (Print-LPD-Service) - LPD xizmati ( Line Printer Daemon) UNIX-ga asoslangan kompyuterlar va Line Printer Remote (LPR) xizmatidan foydalanadigan boshqa kompyuterlarga umumiy server printerlarida chop etish imkonini beradi.

Tarmoq siyosati va kirish xizmatlari

Rol " » (NPAS) tarmoqqa kirish, autentifikatsiya va avtorizatsiya hamda mijoz salomatligi, boshqacha qilib aytganda, tarmoq xavfsizligini taʼminlash siyosatlarini oʻrnatish va qoʻllash uchun Network Policy Server (NPS) dan foydalanish imkonini beradi.

Windows PowerShell-ning nomi NPAS.

Windows tarqatish xizmatlari

Ushbu roldan foydalanib, siz Windows operatsion tizimini tarmoq orqali masofadan o'rnatishingiz mumkin.

PowerShell uchun rol nomi WDS.

  • Joylashtirish serveri (WDS-Deployment) - bu rol xizmati operatsion tizimlarni masofadan joylashtirish va sozlash uchun mo'ljallangan. Windows tizimlari. Shuningdek, u qayta foydalanish uchun tasvirlarni yaratish va sozlash imkonini beradi;
  • Transport serveri (WDS-Transport) - bu xizmat asosiy tarmoq komponentlarini o'z ichiga oladi, ular yordamida siz mustaqil serverda multicast orqali ma'lumotlarni uzatishingiz mumkin.

Active Directory sertifikat xizmatlari

Bu rol turli ilovalar uchun sertifikatlar chiqarish va boshqarish imkonini beruvchi sertifikat organlari va tegishli rol xizmatlarini yaratish uchun moʻljallangan.

Windows PowerShell nomi AD-sertifikatdir.

Quyidagi rol xizmatlarini o'z ichiga oladi:

  • Sertifikat organi (ADCS-Cert-Authority) - ushbu rol xizmatidan foydalanib, siz foydalanuvchilarga, kompyuterlarga va xizmatlarga sertifikatlar berishingiz, shuningdek sertifikatning amal qilish muddatini boshqarishingiz mumkin;
  • Sertifikatni ro'yxatdan o'tkazish siyosati veb-xizmati (ADCS-Enroll-Web-Pol) - Bu xizmat foydalanuvchilar va kompyuterlarga, hatto kompyuter domenning bir qismi bo'lmasa ham, veb-brauzer yordamida sertifikatni ro'yxatdan o'tkazish siyosati ma'lumotlarini olish imkonini beradi. Uning ishlashi uchun bu zarur " Veb-server (IIS)»;
  • Sertifikatlarni ro'yxatdan o'tkazish veb-xizmati (ADCS-Enroll-Web-Svc) - Bu xizmat foydalanuvchilarga va kompyuterlarga HTTPS orqali veb-brauzer yordamida sertifikatlarni ro'yxatdan o'tkazish va yangilash imkonini beradi, hatto kompyuter domen a'zosi bo'lmasa ham. Uning ishlashi uchun bu ham zarur " Veb-server (IIS)»;
  • Onlayn javob beruvchi (ADCS-Online-Cert) - mijozlar uchun sertifikatning bekor qilinishini tekshirish uchun mo'ljallangan xizmat. Boshqacha qilib aytadigan bo'lsak, u muayyan sertifikatlar uchun bekor qilish holati so'rovini qabul qiladi, ushbu sertifikatlar holatini baholaydi va status ma'lumotlari bilan imzolangan javobni yuboradi. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)»;
  • Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) - Bu xizmat foydalanuvchilarga sertifikatlarni so'rash va yangilash, sertifikatni bekor qilish ro'yxatini olish va smart-karta sertifikatlarini ro'yxatdan o'tkazish kabi vazifalarni bajarishi uchun veb-interfeysni taqdim etadi. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)»;
  • Tarmoq qurilmalarini ro'yxatga olish xizmati (ADCS-Device-Enrollment) - Ushbu xizmatdan foydalanib, siz routerlar va tarmoq hisoblari bo'lmagan boshqa tarmoq qurilmalari uchun sertifikatlar berishingiz va boshqarishingiz mumkin. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)».

Masofaviy ish stoli xizmatlari

Virtual ish stollariga, seansga asoslangan ish stollariga va RemoteApps-ga kirish imkonini beruvchi server roli.

Windows PowerShell uchun rol nomi - Remote-Desktop-Services.

Quyidagi xizmatlardan iborat:

  • Masofaviy ish stoli veb-kirish (RDS-Web-Access) - bu rol xizmati foydalanuvchilarga masofaviy ish stollari va RemoteApp ilovalariga "" orqali kirish imkonini beradi. Boshlash» yoki veb-brauzer yordamida;
  • Masofaviy ish stolini litsenziyalash (RDS-litsenziyalash) - masofaviy ish stoli sessiyasi xost serveriga yoki virtual ish stoliga ulanish uchun zarur bo'lgan litsenziyalarni boshqarish uchun mo'ljallangan xizmat. U litsenziyalarni o'rnatish, berish va ularning mavjudligini kuzatish uchun ishlatilishi mumkin. Ushbu xizmat talab qiladi " Veb-server (IIS)»;
  • Masofaviy ish stoliga ulanish brokeri (RDS-Connection-Broker) bu quyidagi imkoniyatlarni ta'minlovchi rolli xizmatdir: foydalanuvchini mavjud virtual ish stoli, RemoteApp ilovasi va seansga asoslangan ish stoliga qayta ulash va masofaviy seans xost serverlari ish stollari yoki ish stollari o'rtasida yuklarni muvozanatlash. hovuzdagi virtual ish stollari. Ushbu xizmat uchun " »;
  • Remote Desktop Virtualization Host (DS-Virtualization) – foydalanuvchilarga RemoteApp va Desktop Connection yordamida virtual ish stollariga ulanish imkonini beruvchi xizmat. Ushbu xizmat Hyper-V bilan birgalikda ishlaydi, ya'ni. bu rol belgilanishi kerak;
  • Masofaviy ish stoli sessiyasi xosti (RDS-RD-Server) - Bu xizmat sizga RemoteApp ilovalari va seansga asoslangan ish stollarini serverda joylashtirish imkonini beradi. Kirish uchun Remote Desktop Connection mijozi yoki RemoteApp dasturidan foydalaning;
  • Masofaviy ish stoli shlyuzi (RDS-shlyuz) - bu xizmat vakolatli masofaviy foydalanuvchilarga korporativ tarmoq yoki Internet orqali virtual ish stollari, RemoteApps va seansga asoslangan ish stollariga ulanish imkonini beradi. Ushbu xizmat ishlashi uchun quyidagi qo'shimcha xizmatlar va komponentlar talab qilinadi: " Veb-server (IIS)», « Tarmoq siyosati va kirish xizmatlari», « HTTP proksi-server orqali RPC».

Active Directory huquqlarini boshqarish xizmatlari

Bu ma'lumotni ruxsatsiz foydalanishdan himoya qilish imkonini beruvchi server roli. U foydalanuvchi identifikatorlarini tekshiradi va ruxsat berilgan foydalanuvchilarga himoyalangan ma'lumotlarga kirish uchun litsenziyalar beradi. Ushbu rolning ishlashi uchun qo'shimcha xizmatlar va komponentlar talab qilinadi: " Veb-server (IIS)», « Windows jarayonini faollashtirish xizmati», « .NET Framework 4.6 xususiyatlari».

Windows PowerShell-ning nomi ADRMS.

  • Active Directory huquqlarini boshqarish serveri (ADRMS-Server) asosiy rol xizmati bo'lib, o'rnatish uchun talab qilinadi;
  • Identity Federation Support (ADRMS-Identity) ixtiyoriy rol xizmati boʻlib, birlashgan identifikatorlarga Active Directory Federation Services yordamida himoyalangan kontentni isteʼmol qilish imkonini beradi.

Active Directory federatsiyasi xizmatlari

Bu rol soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi imkoniyatlarini, shuningdek, veb-saytlarga brauzerga asoslangan yagona tizimga kirishni (SSO) taqdim etadi.

PowerShell nomi - ADFS-Federatsiya.

Masofaviy kirish

Bu rol DirectAccess, VPN va Web Application Proxy orqali ulanishni ta'minlaydi. Shuningdek, " roli Masofaviy kirish» an'anaviy marshrutlash imkoniyatlarini, jumladan, Tarmoq manzilini tarjima qilish (NAT) va boshqa ulanish imkoniyatlarini taqdim etadi. Ushbu rol qo'shimcha xizmatlar va komponentlarni talab qiladi: " Veb-server (IIS)», « Windows ichki ma'lumotlar bazasi».

Windows PowerShell uchun rol nomi - RemoteAccess.

  • DirectAccess va VPN (RAS) (DirectAccess-VPN) - xizmat foydalanuvchilarga DirectAccess orqali Internetga kirish imkoniga ega bo'lsa, istalgan vaqtda korporativ tarmoqqa ulanish, shuningdek tunnel va ma'lumotlarni shifrlash texnologiyalari bilan birgalikda VPN ulanishlarini tashkil qilish imkonini beradi;
  • Marshrutlash - xizmat NAT marshrutizatorlarini, BGPli LAN routerlarni, RIP protokollarini va multicast qo'llab-quvvatlovchi routerlarni (IGMP proksi-server) qo'llab-quvvatlaydi;
  • Web Application Proxy Server (Web-Application-Proxy) - bu xizmat korporativ tarmoqdan tashqarida joylashgan mijoz qurilmalarida korporativ tarmoqdan HTTP va HTTPS protokollari asosida ilovalarni nashr qilish imkonini beradi.

Fayl va saqlash xizmatlari

Bu fayl va papkalarni almashish, almashishlarni boshqarish va nazorat qilish, fayllarni takrorlash, tezkor fayllarni qidirishni ta'minlash va UNIX mijoz kompyuterlariga kirishni ta'minlash uchun ishlatilishi mumkin bo'lgan server rolidir. Biz fayl xizmatlarini va xususan fayl serverini "Windows Server 2016 da fayl serverini o'rnatish" materialida batafsil ko'rib chiqdik.

Windows PowerShell-ning nomi FileAndStorage-Services.

Saqlash xizmatlari– Ushbu xizmat har doim oʻrnatiladigan va olib tashlab boʻlmaydigan saqlashni boshqarish funksiyasini taqdim etadi.

Fayl xizmatlari va iSCSI xizmatlari (Fayl xizmatlari)- bular fayl serverlari va saqlashni boshqarishni soddalashtiradigan, disk maydonini tejaydigan, filiallardagi fayllarni replikatsiya va keshlashni ta'minlaydigan, shuningdek NFS protokoli yordamida fayllarni almashishni ta'minlaydigan texnologiyalar. Quyidagi rol xizmatlarini o'z ichiga oladi:

  • Fayl serveri (FS-FileServer) - umumiy papkalarni boshqaradigan va foydalanuvchilarga tarmoq orqali ushbu kompyuterdagi fayllarga kirishni ta'minlovchi rol xizmati;
  • Ma'lumotlarni deduplication (FS-Data-Deduplication) – bu xizmat jildda bir xil ma'lumotlarning faqat bitta nusxasini saqlash orqali disk maydonini tejaydi;
  • Fayl serveri resurslari menejeri (FS-Resource-Manager) - ushbu xizmatdan foydalanib, siz fayl serveridagi fayl va papkalarni boshqarishingiz, saqlash hisobotlarini yaratishingiz, fayl va papkalarni toifalarga ajratishingiz, papkalar kvotalari sozlashingiz va fayllarni bloklash siyosatini belgilashingiz mumkin;
  • iSCSI Target Storage Provider (Uskuna VDS va VSS Provayderlari) (iSCSItarget-VSS-VDS) – Xizmat iSCSI maqsadiga ulangan serverdagi ilovalarga iSCSI virtual disklaridagi nusxa ko‘chirish hajmlarini soya qilish imkonini beradi;
  • DFS nom maydonlari (FS-DFS-Namespace) - ushbu xizmatdan foydalanib, siz turli serverlarda joylashgan umumiy papkalarni bir yoki bir nechta mantiqiy tuzilgan nomlar maydoniga guruhlashingiz mumkin;
  • Ishchi papkalar (FS-SyncShareService) - xizmat turli xil kompyuterlarda, shu jumladan ish va shaxsiy kompyuterlarda ishchi fayllardan foydalanish imkonini beradi. Siz fayllaringizni ishchi papkalarda saqlashingiz, ularni sinxronlashtirishingiz va mahalliy tarmoq yoki Internetdan kirishingiz mumkin. Xizmat ishlashi uchun komponent " IIS jarayonidagi veb-dvigatel»;
  • DFS replikatsiyasi (FS-DFS-Replikatsiya) - bu mahalliy yoki global tarmoq ulanishi orqali papkalarni sinxronlashtirish imkonini beruvchi bir nechta serverlar o'rtasida ma'lumotlarni replikatsiya qilish moduli. Ushbu texnologiya faqat oxirgi replikatsiyadan keyin o'zgargan fayllar qismlarini yangilash uchun masofaviy differensial siqish (RDC) protokolidan foydalanadi. DFS replikatsiyasi DFS nom maydonlari bilan birgalikda yoki alohida ishlatilishi mumkin;
  • NFS uchun server (FS-NFS-Service) - bu kompyuterga UNIX asosidagi kompyuterlar va Network File System (NFS) protokolidan foydalanadigan boshqa kompyuterlar bilan fayllarni almashish imkonini beruvchi xizmat;
  • iSCSI Target Server (FS-iSCSITarget-Server) - iSCSI maqsadlari uchun xizmatlar va boshqaruv vositalarini taqdim etadi;
  • Tarmoq fayllari uchun BranchCache xizmati (FS-BranchCache) - xizmat ushbu fayl serverida BranchCache-ni qo'llab-quvvatlaydi;
  • File Server VSS Agent Service (FS-VSS-Agent) - Xizmat ushbu fayl serverida ma'lumotlar fayllarini saqlaydigan ilovalar uchun hajmli soya nusxalarini amalga oshirish imkonini beradi.

Faks serveri

Rol fakslarni yuboradi va qabul qiladi hamda ushbu kompyuter yoki tarmoqdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkonini beradi. Ishlash uchun sizga kerak " Chop etish serveri».

Windows PowerShell uchun rol nomi Faksdir.

Bu Windows Server 2016 server rollarini ko'rib chiqishni yakunlaydi, umid qilamanki, material siz uchun foydali bo'ldi, xayr!

Soket serverini ishlab chiqishdan oldin, siz Silverlightga qaysi mijozlarga rozetka serveriga ulanishi mumkinligini bildiradigan siyosat serverini yaratishingiz kerak.

Yuqorida ko'rsatilganidek, Silverlight kontentni yuklashga yoki veb-xizmatni chaqirishga ruxsat bermaydi, agar domenda clientaccesspolicy .xml yoki crossdomain fayli bo'lmasa. xml, bu operatsiyalarga aniq ruxsat beradi. Xuddi shunday cheklov soket serveriga ham o'rnatiladi. Agar siz mijoz qurilmasiga masofaviy kirish imkonini beruvchi clientaccesspolicy .xml faylini yuklash imkoniyatini bermasangiz, Silverlight ulanish o'rnatishdan bosh tortadi.

Afsuski, mijozga kirish siyosatini taqdim etish. cml-ni rozetkaga ilova qilish veb-sayt orqali taqdim etishdan ko'ra qiyinroq vazifadir. Veb-saytdan foydalanganda veb-server dasturiy ta'minoti clientaccesspolicy .xml faylini taqdim etishi mumkin, faqat uni qo'shishni unutmang. Biroq, rozetka ilovasidan foydalanganda, mijoz ilovalari siyosat so'rovlarini yuborishi mumkin bo'lgan rozetkani ochishingiz kerak. Bundan tashqari, rozetkaga xizmat qiluvchi kodni qo'lda yaratishingiz kerak. Ushbu muammolarni hal qilish uchun siz siyosat serverini yaratishingiz kerak.

Keyinchalik ko'rib chiqamizki, siyosat serveri xabarlar serveri bilan bir xil ishlaydi, u biroz soddaroq shovqinlarni boshqaradi. Xabar va siyosat serverlari alohida yaratilishi yoki bitta ilovada birlashtirilishi mumkin. Ikkinchi holda, ular turli mavzulardagi so'rovlarni tinglashlari kerak. Ushbu misolda biz siyosat serverini yaratamiz va keyin uni xabarlar serveri bilan birlashtiramiz.

Siyosat serverini yaratish uchun avvalo .NET ilovasini yaratishingiz kerak. Har qanday turdagi .NET ilovasi siyosat serveri sifatida xizmat qilishi mumkin. Eng oson yo'li - konsol ilovasidan foydalanish. Konsol ilovangizni disk raskadrovka qilganingizdan so'ng, kodni Windows xizmatiga ko'chirishingiz mumkin, shunda u doimiy ravishda fonda ishlaydi.

Siyosat fayli

Quyida siyosat serveri tomonidan taqdim etilgan siyosat fayli keltirilgan.

Siyosat fayli uchta qoidani belgilaydi.

4502 dan 4532 gacha bo'lgan barcha portlarga kirishga ruxsat beradi (bu Silverlight qo'shimchasi tomonidan qo'llab-quvvatlanadigan portlarning to'liq diapazoni). Mavjud portlar diapazonini o'zgartirish uchun elementning port atributining qiymatini o'zgartirishingiz kerak.

TCP ga kirishga ruxsat beradi (ruxsat elementning protokol atributida belgilangan).

Har qanday domendan qo'ng'iroq qilish imkonini beradi. Shuning uchun, ulanishni amalga oshiradigan Silverlight ilovasi har qanday veb-sayt tomonidan joylashtirilishi mumkin. Ushbu qoidani o'zgartirish uchun elementning uri atributini tahrirlashingiz kerak.

Vazifani osonlashtirish uchun siyosat qoidalari loyihaga qo'shilgan clientaccess-ploi.cy.xml fayliga joylashtirilgan. Visual Studio'da siyosat faylining Chiqish katalogiga nusxa ko'chirish sozlamasi Doim nusxa ko'chirishga o'rnatilishi kerak. Siz qilishingiz kerak bo'lgan yagona narsa - qattiq diskingizdagi faylni topish, uni ochish va tarkibni mijoz qurilmasiga qaytarish.

PolicyServer klassi

Policy Server funksiyasi ikkita asosiy sinfga asoslangan: PolicyServer va PolicyConnection. PolicyServer klassi ulanishlarni kutish bilan shug'ullanadi. U ulanishni qabul qilgandan so'ng, u boshqaruvni PoicyConnection sinfining yangi namunasiga o'tkazadi, u siyosat faylini mijozga uzatadi. Ushbu ikki qismli protsedura tarmoq dasturlashda keng tarqalgan. Xabar serverlari bilan ishlashda siz buni bir necha marta ko'rasiz.

PolicyServer klassi siyosat faylini qattiq diskdan yuklaydi va uni bayt massivi sifatida maydonda saqlaydi.

ommaviy sinf PolicyServer

shaxsiy bayt siyosati;

public PolicyServer (string policyfile) (

Tinglashni boshlash uchun server ilovasi PolicyServerga qo'ng'iroq qilishi kerak. Start(). U so'rovlarni tinglaydigan TcpListener ob'ektini yaratadi. TcpListener obyekti 943-portda tinglash uchun tuzilgan. Silverlight-da bu port siyosat serverlari uchun ajratilgan. Siyosat fayllari uchun so'rovlar yuborilganda, Silverlight ularni avtomatik ravishda 943-portga yo'naltiradi.

shaxsiy TcpListener tinglovchisi;

public void Start()

// Tinglash ob'ektini yarating

tinglovchi = yangi TcpListener(IPAddress.Any, 943);

// Tinglashni boshlang; Start() usuli listener.Start() chaqirilgandan keyin darhol qaytadi;

// Ulanish kutilmoqda; usul darhol qaytadi;

II kutish alohida ipda amalga oshiriladi

Taklif etilgan ulanishni qabul qilish uchun siyosat serveri BeginAcceptTcpClient() usulini chaqiradi. .NET Frameworkning barcha Beginxxx() usullari singari, u chaqirilgandan so'ng darhol qaytadi va alohida ipda kerakli operatsiyalarni bajaradi. Tarmoq ilovalari uchun bu juda muhim omil, chunki u siyosat fayllari uchun ko'plab so'rovlarni bir vaqtning o'zida qayta ishlashga imkon beradi.

Eslatma. Ajam tarmoq dasturchilari ko'pincha bir vaqtning o'zida bir nechta so'rovlarni qanday bajarish mumkinligi haqida hayron bo'lishadi va bu bir nechta serverlarni talab qiladi deb o'ylashadi. Biroq, unday emas. Ushbu yondashuv yordamida mijoz ilovalari mavjud portlarni tezda tugatadi. Amalda, server ilovalari ko'plab so'rovlarni bitta port orqali qayta ishlaydi. Bu jarayon ilovalar uchun ko'rinmaydi, chunki Windows-ning o'rnatilgan TCP quyi tizimi xabarlarni avtomatik ravishda aniqlaydi va ularni dastur kodidagi tegishli ob'ektlarga yo'naltiradi. Har bir ulanish to'rtta parametr asosida noyob tarzda aniqlanadi: mijoz IP manzili, mijoz port raqami, server IP manzili va server port raqami.

Har bir so'rovda OnAcceptTcpClient() qayta qo'ng'iroq qilish usuli ishga tushiriladi. U boshqa ish zarrachasida keyingi so'rovni kutishni boshlash uchun O'ning BeginAcceptTcpClient usulini qayta chaqiradi va keyin joriy so'rovni qayta ishlashni boshlaydi.

ommaviy bekor qilingan OnAcceptTcpClient(IAsyncResult ag) (

agar (to'xtatilgan) qaytsa;

Console.WriteLine("Siyosat so'rovi qabul qilindi."); // Keyingi ulanish kutilmoqda.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Joriy ulanishni qayta ishlash.

TcpClient mijozi = listener.EndAcceptTcpClient(ag); PolicyConnection policyConnection = yangi PolicyConnection(mijoz, siyosat); PolicyConnection.HandleRequest() ;

catch (istisno xatosi) (

Har safar yangi ulanish qabul qilinganda, uni boshqarish uchun yangi PolicyConnection obyekti yaratiladi. Bundan tashqari, PolicyConnection obyekti siyosat faylini saqlaydi.

PolicyServer sinfining oxirgi komponenti so'rovlarni kutishni to'xtatuvchi Stop() usuli hisoblanadi. Ilova chiqib ketganda uni chaqiradi.

shaxsiy bool to'xtatildi;

umumiy bekor StopO (

isStopped = rost;

tinglovchi. STOP();

catch (istisno xatosi) (

Console.WriteLine(err.Message);

Siyosat serverini ishga tushirish uchun dastur serverining Main() usulida quyidagi kod ishlatiladi.

statik bekor Asosiy (string args) (

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine("Siyosat serveri ishlayapti."); Console.WriteLine("Chiqish uchun Enter tugmasini bosing.");

// Klaviatura bosilishi kutilmoqda; // Console.ReadKey() usulidan foydalanib, ma'lum bir // qatori uchun kutishni o'rnatishingiz mumkin (masalan, chiqish) yoki istalgan Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("Siyosat serverini tugatish.");

PolicyConnection klassi

PolicyConnection klassi oddiyroq vazifani bajaradi. PolicyConnection ob'ekti siyosat fayli ma'lumotlariga havolani saqlaydi. Keyin, HandleRequest() usulini chaqirgandan so'ng, PolicyConnection obyekti tarmoq oqimidan yangi ulanishni oladi va uni o'qishga harakat qiladi. Mijoz qurilmasi matnni o'z ichiga olgan qatorni o'tkazishi kerak. Ushbu matnni o'qib bo'lgach, mijoz qurilmasi oqimga siyosat ma'lumotlarini yozadi va ulanishni yopadi. Quyida PolicyConnection klassi uchun kod keltirilgan.

ommaviy sinf PolicyConnection(

xususiy TcpClient mijozi; shaxsiy bayt siyosati;

public PolicyConnection (TcpClient mijozi, bayt siyosati) (

this.client = mijoz; this.policy = siyosat;

// Mijoz so'rovini shaxsiy statik satr yaratish policyRequestString = "

ommaviy bekor HandleRequest() (

Stream s = client.GetStream(); // Siyosat so'rovi qatorini o'qing

bayt buferi = yangi bayt;

// Faqat 5 soniya kuting client.ReceiveTimeout = 5000;'

s.Read(bufer, 0, bufer.Length);

// Siyosatdan o'tish (siz siyosat // so'rovda kerakli tarkibga ega yoki yo'qligini ham tekshirishingiz mumkin) s.Write(policy, 0, policy.Length);

//Ulanish mijozini yoping.Close();

Console.WriteLine("Siyosat fayli taqdim etilgan.");

Shunday qilib, bizda to'liq ishlaydigan siyosat serveri mavjud. Afsuski, uni hali sinovdan o‘tkazib bo‘lmaydi, chunki Silverlight qo‘shimchasi siyosat fayllarini aniq so‘rashga ruxsat bermaydi. Buning o'rniga, rozetka ilovasidan foydalanmoqchi bo'lganingizda, u avtomatik ravishda ularni so'raydi. Berilgan soket ilovasi uchun mijoz ilovasini yaratishdan oldin server yaratishingiz kerak.

Mavzuni davom ettirish:

Yangi maqolalar

/

 

O'qing:



Eng yaxshi simsiz minigarnituralar reytingi

Eng yaxshi simsiz minigarnituralar reytingi

Universal quloqlarni arzon sotib olish mumkinmi? 3000 rubl - bunday pulga yuqori sifatli eshitish vositalarini sotib olish mumkinmi? Ma'lum bo'lishicha, ha. Va nutq ...

Mobil qurilmaning asosiy kamerasi odatda tananing orqa tomonida joylashgan bo'lib, fotosuratlar va videolarni olish uchun ishlatiladi.

Mobil qurilmaning asosiy kamerasi odatda tananing orqa tomonida joylashgan bo'lib, fotosuratlar va videolarni olish uchun ishlatiladi.

Yaxshilangan xarakteristikalar va yuqori avtonomiyaga ega planshet telefonining yangilangan versiyasi.Acer tomonidan ishlab chiqarilgan smartfonlar kamdan-kam hollarda tashrif buyuruvchilarga aylanadi...

Raqamingizni saqlab qolgan holda boshqa operatorga qanday o'tish mumkin

Raqamingizni saqlab qolgan holda boshqa operatorga qanday o'tish mumkin

Rossiyada 1 dekabrdan boshlab abonent boshqa uyali aloqa operatoriga o‘tganda telefon raqamini saqlab qolish to‘g‘risidagi qonun kuchga kirdi. Biroq, ma'lum bo'lishicha, ...

phabletni ko'rib chiqish, qimmat, lekin juda malakali

phabletni ko'rib chiqish, qimmat, lekin juda malakali

Qimmatbaho, lekin juda malakali fablet sharhi 20.03.2015 Men dunyodagi etiksiz yagona poyabzalchiman, o'z smartfonimsiz smartfon sharhlovchisiman....
tasma tasviri RSS