uy - Yangi boshlanuvchilar uchun
Server siyosatining batafsil tavsifini taqdim eting. Ma'muriyat va marshrutlash guruhlari bilan ishlash

4-ma'ruza Tarmoq siyosati serveri: RADIUS server, RADIUS proksi va xavfsizlik siyosati serveri

Ma'ruza 4

Mavzu: Tarmoq siyosati serveri: RADIUS serveri, RADIUS proksi va tarmoqqa kirishni himoya qilish siyosati serveri

Kirish

Windows Server 2008 va Windows Server 2008 R2 yangi avlod tarmoqlari, ilovalari va veb-xizmatlarini ishga tushirish uchun mo'ljallangan rivojlangan Windows Server operatsion tizimlaridir. Bular bilan operatsion tizimlar Siz foydalanuvchilar va ilovalar uchun moslashuvchan va keng qamrovli tajribalarni loyihalashingiz, yetkazib berishingiz va boshqarishingiz, yuqori darajada himoyalangan tarmoq infratuzilmasini yaratishingiz hamda tashkilotingizdagi texnologik samaradorlik va tashkiliylikni oshirishingiz mumkin.

Tarmoq siyosati serveri

Tarmoq siyosati serveri mijozning sog'lig'ini ta'minlash va ulanish so'rovlarini autentifikatsiya qilish va avtorizatsiya qilish uchun tashkilot bo'ylab tarmoqqa kirish siyosatlarini yaratish va amalga oshirish imkonini beradi. Bundan tashqari, NPS ulanish so'rovlarini NPS yoki masofaviy RADIUS server guruhlarida sozlangan boshqa RADIUS serverlariga yo'naltirish uchun RADIUS proksi-server sifatida ishlatilishi mumkin.

Tarmoq siyosati serveri quyidagi uchta imkoniyatdan foydalangan holda tarmoqqa kirish huquqini berishda mijozning autentifikatsiyasi, avtorizatsiyasi va sog'liqni saqlash siyosatlarini markazlashtirilgan tarzda sozlash va boshqarish imkonini beradi:

RADIUS serveri. Tarmoq siyosati serveri simsiz ulanishlar, autentifikatsiya qilingan kommutator ulanishlari, dial-up ulanishlari va virtual xususiy tarmoq (VPN) ulanishlari uchun autentifikatsiya, avtorizatsiya va hisobni markazlashtirilgan tarzda boshqaradi. NPS-dan RADIUS-server sifatida foydalanilganda, simsiz ulanish nuqtalari va VPN-serverlar kabi tarmoqqa kirish serverlari NPS-da RADIUS mijozlari sifatida sozlanadi. Bundan tashqari, siz NPS ulanish so'rovlarini avtorizatsiya qilish uchun foydalanadigan tarmoq siyosatlarini sozlaysiz. Bundan tashqari, siz RADIUS hisobini sozlashingiz mumkin, shunda NPS ma'lumotlarni mahalliy qattiq diskingizda yoki Microsoft ma'lumotlar bazasida saqlangan fayllarni jurnalga oladi. SQL Server.

RADIUS proksi-server. Agar NPS RADIUS proksi-server sifatida ishlatilsa, NPS qaysi ulanish so'rovlarini boshqa RADIUS serverlariga yo'naltirishini va bu so'rovlar qaysi RADIUS serverlariga yo'naltirilishini aniqlaydigan ulanish so'rovi siyosatlarini sozlashingiz kerak. Shuningdek, siz tarmoq siyosati serverini hisob maʼlumotlarini masofaviy RADIUS serverlari guruhidagi bir yoki bir nechta kompyuterlarda saqlash uchun qayta yoʻnaltirish uchun sozlashingiz mumkin.

Tarmoqqa kirishni himoya qilish (NAP) siyosat serveri. NPS NAP siyosati serveri sifatida sozlanganda, NPS tarmoqqa ulanishga urinayotgan NAP yoqilgan mijoz kompyuterlari tomonidan yuborilgan sog'liq holatini baholaydi. Tarmoqqa kirishni himoya qilish bilan sozlangan Tarmoq siyosati serveri ulanish so'rovlarini autentifikatsiya qilish va avtorizatsiya qilish uchun RADIUS serveri vazifasini bajaradi. Tarmoq siyosati serverida siz tarmoqqa kirishni himoya qilish siyosati va sozlamalarini, jumladan tizim sog'lig'ini tekshirish vositalarini, sog'liqni saqlash siyosatlarini va mijoz kompyuterlari konfiguratsiyasi tashkilotingizning tarmoq siyosatiga muvofiq yangilanishini ta'minlaydigan server guruhlarini yangilashni sozlashingiz mumkin.

Tarmoq siyosati serveri yuqoridagi variantlarning har qanday kombinatsiyasi bilan sozlanishi mumkin. Misol uchun, Tarmoq siyosati serveri bir yoki bir nechta majburlash usullaridan foydalangan holda Tarmoqqa kirishni himoya qilish siyosati serveri rolini o'ynashi mumkin, shu bilan birga bir vaqtning o'zida masofaviy ulanishlar uchun RADIUS serveri va ba'zi ulanish so'rovlarini masofaviy RADIUS guruhiga yo'naltirish uchun RADIUS proksi sifatida xizmat qiladi. serverlar. bu sizga boshqa domenda autentifikatsiya va avtorizatsiyani amalga oshirish imkonini beradi.

RADIUS server va RADIUS proksi

Tarmoq siyosati serveri bir vaqtning o'zida RADIUS serveri, RADIUS proksi-serveri yoki ikkalasi sifatida ishlatilishi mumkin.

RADIUS serveri

Microsoft Network Policy Server IETF RFC 2865 va RFC 2866 da tavsiflanganidek RADIUS standartiga muvofiq amalga oshiriladi. RADIUS serveri sifatida Tarmoq siyosati serveri tarmoqqa kirishning har xil turlari, jumladan, simsiz ulanishlar uchun autentifikatsiya, avtorizatsiya va ulanishlarni hisobga olishni markazlashtirilgan tarzda amalga oshiradi. kirish, kommutatsiya autentifikatsiya qilingan, masofaviy va VPN kirish va routerlar orasidagi ulanishlar.

Tarmoq siyosati serveri turli xil simsiz, dial-up, VPN va kommutatsiya uskunalari to'plamini ta'minlaydi. Tarmoq siyosati serveridan operatsion tizimlarda mavjud bo'lgan Marshrutlash va masofaviy kirish xizmati bilan foydalanish mumkin. Microsoft tizimlari Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition va Windows Server 2003, Datacenter Edition.

Agar Network Policy Server bilan ishlaydigan kompyuter a'zo bo'lsa domen Faol Directory® Network Policy Server ushbu katalog xizmatidan foydalanuvchi hisobi ma'lumotlar bazasi sifatida foydalanadi va yagona tizimga kirish yechimining bir qismidir. Xuddi shu hisob ma'lumotlari to'plami tarmoqqa kirishni boshqarish (tarmoqqa kirishni autentifikatsiya qilish va avtorizatsiya qilish) va Active Directory domeniga kirish uchun ishlatiladi.

Tarmoqqa kirishni ta'minlovchi internet provayderlari va tashkilotlari tarmoqqa kirish uskunasidan qat'i nazar, barcha turdagi tarmoqlarni yagona ma'muriyat nuqtasidan boshqarishda katta qiyinchiliklarga duch kelishadi. RADIUS standarti bu funksiyani ham bir hil, ham heterojen muhitda qo'llab-quvvatlaydi. RADIUS protokoli mijoz-server protokoli bo'lib, tarmoqqa kirish uskunasiga (RADIUS mijozlari vazifasini bajaradi) RADIUS serveriga autentifikatsiya va hisob so'rovlarini amalga oshirish imkonini beradi.

RADIUS serveri foydalanuvchining hisob ma'lumotlariga kirish huquqiga ega va tarmoqqa kirish huquqini berish uchun autentifikatsiya vaqtida hisob ma'lumotlarini tekshirishi mumkin. Agar foydalanuvchining hisob ma'lumotlari haqiqiy bo'lsa va ulanishga urinish ruxsat etilgan bo'lsa, RADIUS server belgilangan shartlar asosida foydalanuvchining kirishiga ruxsat beradi va ulanish ma'lumotlarini jurnalga kiritadi. RADIUS protokolidan foydalanish autentifikatsiya, avtorizatsiya va buxgalteriya ma'lumotlarini har bir kirish serverida bajarish o'rniga bitta joyda to'plash va saqlash imkonini beradi.

RADIUS proksi-server

RADIUS proksi-server sifatida NPS autentifikatsiya va hisob xabarlarini boshqa RADIUS serverlariga uzatadi.

Tarmoq siyosati serveri yordamida tashkilotlar foydalanuvchi autentifikatsiyasi, avtorizatsiyasi va buxgalteriya hisobi ustidan nazoratni saqlab, xizmat ko'rsatuvchi provayderga masofaviy kirish infratuzilmasini topshirishi mumkin.

Tarmoq siyosati serveri konfiguratsiyasi quyidagi stsenariylar uchun yaratilishi mumkin:

Simsiz ulanish

Masofaviy kirish yoki virtual ulanish xususiy tarmoq Tashkilotda.

Masofaviy kirish yoki tashqi tashkilot tomonidan taqdim etilgan simsiz ulanish

Internetga ulanish

Resurslarga autentifikatsiya qilingan kirish tashqi tarmoq biznes hamkorlar uchun

RADIUS server va RADIUS proksi-server konfiguratsiyalariga misollar

Quyidagi konfiguratsiya misollari NPS ni RADIUS server va RADIUS proksi sifatida qanday sozlashni ko'rsatadi.

NPS RADIUS serveri sifatida. Ushbu misolda NPS serveri RADIUS serveri sifatida sozlangan, faqat standart ulanish soʻrovi siyosati sozlangan va barcha ulanish soʻrovlari mahalliy NPS serveri tomonidan qayta ishlanadi. Tarmoq siyosati serveri hisoblari server domenida yoki ishonchli domenlarda bo'lgan foydalanuvchilarni autentifikatsiya qilishi va avtorizatsiya qilishi mumkin.

NPS RADIUS proksi sifatida. Ushbu misolda NPS RADIUS proksi-server sifatida sozlangan bo'lib, ulanish so'rovlarini ikki xil ishonchsiz domenlardagi masofaviy RADIUS serverlari guruhlariga yo'naltiradi. Standart ulanish soʻrovi siyosati olib tashlanadi va uning oʻrniga ikkita ishonchsiz domenning har biriga soʻrovlarni yoʻnaltiruvchi ikkita yangi ulanish soʻrovi siyosati qoʻyiladi. Ushbu misolda NPS mahalliy serverda ulanish so'rovlarini qayta ishlamaydi.

NPS ham RADIUS server, ham RADIUS proksi-server sifatida. Mahalliy ravishda so'rovlarni qayta ishlaydigan standart ulanish so'rovi siyosatiga qo'shimcha ravishda ularni NPS yoki boshqa RADIUS serveriga ishonchsiz domenga yo'naltiruvchi yangi ulanish so'rovi siyosati yaratiladi. Ikkinchi siyosat proksi deb nomlanadi. IN bu misolda Proksi siyosati tartiblangan tartiblar roʻyxatida birinchi boʻlib koʻrinadi. Agar ulanish soʻrovi proksi-server siyosatiga mos kelsa, ulanish soʻrovi masofaviy RADIUS serverlar guruhidagi RADIUS serveriga yoʻnaltiriladi. Agar ulanish soʻrovi proksi-server siyosatiga mos kelmasa, lekin standart ulanish soʻrovi siyosatiga mos kelsa, NPS ulanish soʻrovini qayta ishlaydi. mahalliy server. Agar ulanish so'rovi ushbu siyosatlarning birortasiga mos kelmasa, u rad etiladi.

NPS masofaviy hisob serverlari bilan RADIUS serveri sifatida. Ushbu misolda mahalliy NPS buxgalteriya hisobi uchun sozlanmagan va standart ulanish so'rovi siyosati RADIUS hisob xabarlari NPS yoki masofaviy RADIUS serverlari guruhidagi boshqa RADIUS serveriga yo'naltirilishi uchun o'zgartirilgan. Buxgalteriya xabarlari yuborilgan bo'lsa-da, autentifikatsiya va avtorizatsiya xabarlari yuborilmaydi va mahalliy domen va barcha ishonchli domenlar uchun tegishli funktsiyalar mahalliy NPS serveri tomonidan amalga oshiriladi.

Masofaviy RADIUS bilan Windows foydalanuvchi xaritalash bilan NPS. Ushbu misolda NPS har bir alohida ulanish so'rovi uchun ham RADIUS serveri, ham RADIUS proksi-server vazifasini bajaradi va autentifikatsiya so'rovini masofaviy RADIUS serveriga yo'naltiradi va bir vaqtning o'zida mahalliy Windows foydalanuvchi hisobi yordamida avtorizatsiyani amalga oshiradi. Ushbu konfiguratsiya ulanish soʻrovi siyosatining sharti sifatida masofaviy RADIUS serverini Windows foydalanuvchisiga moslashtirish atributini oʻrnatish orqali amalga oshiriladi. (Bundan tashqari, siz RADIUS serverida masofaviy RADIUS serveri tomonidan autentifikatsiya qilinadigan uzoq hisob qaydnomasi bilan bir xil nomdagi mahalliy foydalanuvchi hisobini yaratishingiz kerak.)

Tarmoqqa kirishni himoya qilish siyosati serveri

Tarmoqqa kirishni himoya qilish Windows Vista®, Windows® 7, Windows Server® 2008 va Windows Server® 2008 R2 tizimlariga kiritilgan. Bu mijozlarga tarmoq resurslariga kirishga ruxsat berganda, mijoz kompyuterlari tashkilot tarmog'ida amalda bo'lgan sog'liqni saqlash siyosatiga mos kelishini ta'minlash orqali shaxsiy tarmoqlarga xavfsiz kirishni ta'minlaydi. Bundan tashqari, mijoz kompyuterining ma'mur tomonidan belgilangan sog'liqni saqlash siyosatiga muvofiqligi, mijoz kompyuteri tarmoqqa ulangan paytda Network Access Protection tomonidan nazorat qilinadi. Tarmoqqa kirishni himoya qilishni avtomatik yangilash xususiyati bilan mos kelmaydigan kompyuterlar sog'liqni saqlash siyosatiga avtomatik ravishda yangilanishi mumkin, bu ularga keyinchalik tarmoqqa kirish huquqini beradi.

Tizim ma'murlari tarmoq sog'lig'i siyosatlarini belgilaydilar va ushbu siyosatlarni Tarmoq siyosati serverida mavjud bo'lgan yoki boshqa kompaniyalar tomonidan taqdim etilgan (Tarmoqqa kirishni himoya qilishning amalga oshirilishiga qarab) Tarmoqqa kirishni himoya qilish komponentlari yordamida yaratadilar.

Sog'liqni saqlash siyosatlari dasturiy ta'minot talablari, xavfsizlikni yangilash talablari va konfiguratsiya parametrlari talablari kabi xususiyatlarga ega bo'lishi mumkin. Tarmoqqa kirishni himoya qilish mijoz kompyuterlarining sog'lig'ini tekshirish va baholash uchun sog'liqni saqlash siyosatini qo'llaydi. tarmoqqa kirish ushbu talablarga javob bermaydigan kompyuterlar uchun va tarmoqqa cheklanmagan kirishni ta'minlash uchun ushbu nomuvofiqlikni tuzatish.

GPresult yordam dasturi.exe- bu Active Directory domenidagi kompyuter va/yoki foydalanuvchiga qo'llaniladigan sozlamalarni tahlil qilish va guruh siyosatlarini tashxislash uchun mo'ljallangan konsol ilovasi. Xususan, GPresult natijada olingan siyosatlar toʻplamidan (Natijalar toʻplami, RSOP), qoʻllaniladigan domen siyosatlari roʻyxatidan (GPO), ularning sozlamalaridan va maʼlumotlarni olish imkonini beradi. batafsil ma'lumot ularni qayta ishlashdagi xatolar haqida. Yordamchi dastur Windows XP dan beri Windows operatsion tizimining bir qismi bo'lib kelgan. GPresult yordam dasturi quyidagi savollarga javob berishga imkon beradi: GPO u yoki bu Windows sozlamalarini o'zgartirgan kompyuterga ma'lum bir siyosat qo'llaniladimi va sabablarini tushuning.

Ushbu maqolada biz Active Directory domenida guruh siyosatlarining qo'llanilishini diagnostika qilish va disk raskadrovka qilish uchun GPResult buyrug'idan foydalanish xususiyatlarini ko'rib chiqamiz.

Dastlab, Windows-da guruh siyosatlarining qo'llanilishini diagnostika qilish uchun u ishlatilgan grafik konsol RSOP.msc, bu GPO muharriri konsoliga o'xshash grafik shaklda kompyuterga va foydalanuvchiga qo'llaniladigan natija siyosatlarining (domen + mahalliy) sozlamalarini olish imkonini berdi (quyida, RSOP.msc konsoli misolida). ko'rinishida yangilanish sozlamalari o'rnatilganligini ko'rishingiz mumkin).

Biroq, Windowsning zamonaviy versiyalarida RSOP.msc konsolidan foydalanish tavsiya etilmaydi, chunki u GPP (Guruh siyosati afzalliklari) kabi turli xil mijoz kengaytmalari (CSE) tomonidan qo'llaniladigan sozlamalarni aks ettirmaydi, qidirishga ruxsat bermaydi va diagnostika ma'lumotlarini kam ta'minlaydi. Shuning uchun, hozirgi vaqtda GPresult buyrug'i Windows-da GPO-dan foydalanishni diagnostika qilishning asosiy vositasidir (Windows 10-da, GPresult-dan farqli o'laroq, RSOP to'liq hisobotni taqdim etmasligi haqida ogohlantirish paydo bo'ladi).

GPresult.exe yordam dasturidan foydalanish

GPresult buyrug'i siz guruh siyosatlarining qo'llanilishini tekshirmoqchi bo'lgan kompyuterda ishga tushiriladi. GPresult buyrug'i quyidagi sintaksisga ega:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Berilgan AD ob'ektiga (foydalanuvchi va kompyuter) qo'llaniladigan guruh siyosatlari va GPO infratuzilmasi bilan bog'liq boshqa sozlamalar (ya'ni, natijada GPO siyosati sozlamalari - RsoP) haqida batafsil ma'lumot olish uchun buyruqni bajaring:

Buyruqning natijalari 2 bo'limga bo'lingan:

  • KOMPYUTER SOZLAMALAR (Kompyuter konfiguratsiyasi) - bo'limda kompyuterda ishlaydigan GPO ob'ektlari haqidagi ma'lumotlar mavjud (Active Directory ob'ekti sifatida);
  • USER SOZLAMALAR – foydalanuvchi siyosati boʻlimi (ADdagi foydalanuvchi hisobiga qoʻllaniladigan siyosatlar).

Keling, GPresult chiqishida bizni qiziqtirishi mumkin bo'lgan asosiy parametrlar/bo'limlarni qisqacha ko'rib chiqaylik:

  • SaytIsm(Sayt nomi:) – kompyuter joylashgan AD saytining nomi;
  • CN- RSoP ma'lumotlari yaratilgan to'liq kanonik foydalanuvchi/kompyuter;
  • OxirgivaqtGuruhSiyosatediqo'llaniladi(Oxirgi qoʻllanilgan guruh siyosati) – guruh siyosatlari oxirgi marta qoʻllanilgan vaqt;
  • GuruhSiyosatediqo'llaniladidan(Guruh siyosati qo'llanilgan) - u yuklangan domen boshqaruvchisi so'nggi versiya GPO;
  • DomenIsmva DomenTuri(Domen nomi, domen turi) – Active Directory domen sxemasining nomi va versiyasi;
  • Qo'llaniladiGuruhSiyosatOb'ektlar(Amaliy guruh siyosati obyektlari)- faol guruh siyosati ob'ektlari ro'yxati;
  • ThequyidagiGPOlarediemasqo'llaniladichunkiularedifiltrlangantashqariga(Quyidagi GPO siyosatlari qo'llanilmadi, chunki ular filtrlangan) - qo'llanilmagan (filtrlangan) GPOlar;
  • Thefoydalanuvchi/kompyuterhisoblanadiaqisminingthequyidagixavfsizlikguruhlar(Foydalanuvchi/kompyuter quyidagi xavfsizlik guruhlari a'zosi) - foydalanuvchi a'zo bo'lgan domen guruhlari.

Bizning misolimizda foydalanuvchi ob'ekti 4 ta guruh siyosatiga bo'ysunishini ko'rishingiz mumkin.

  • Standart domen siyosati;
  • Windows xavfsizlik devorini yoqing;
  • DNS qo'shimchasini qidirish ro'yxati;

Agar siz konsolda bir vaqtning o'zida foydalanuvchi va kompyuter siyosatlari haqidagi ma'lumotlarning ko'rsatilishini istamasangiz, /scope opsiyasidan faqat sizni qiziqtirgan bo'limni ko'rsatishingiz mumkin. Faqat natijada foydalanuvchi siyosatlari:

gpresult /r /scope:user

yoki faqat qo'llaniladigan kompyuter siyosatlari:

gpresult /r /scope:kompyuter

Chunki Gpresult yordam dasturi o'z ma'lumotlarini to'g'ridan-to'g'ri buyruq satri konsoliga chiqaradi, bu keyingi tahlil uchun har doim ham qulay emas; uning chiqishini vaqtinchalik xotiraga yo'naltirish mumkin:

Gpresult /r |klip

yoki matn fayli:

Gpresult /r > c:\gpresult.txt

O'ta batafsil RSOP ma'lumotlarini ko'rsatish uchun siz /z kalitini qo'shishingiz kerak.

GPresult yordamida HTML RSOP hisoboti

Bundan tashqari, GPresult yordam dasturi qo'llaniladigan siyosatlarning HTML hisobotini yaratishi mumkin (Windows 7 va undan yuqori versiyalarida mavjud). Ushbu hisobot o'z ichiga oladi batafsil ma'lumot guruh siyosatlari tomonidan o'rnatiladigan barcha tizim parametrlari va ularni o'rnatgan aniq GPO nomlari haqida (natijadagi tuzilma hisoboti Domen guruhi siyosatini boshqarish konsolidagi Sozlamalar yorlig'iga o'xshaydi - GPMC). Buyruq yordamida HTML GPresult hisobotini yaratishingiz mumkin:

GPresult /h c:\gp-report\report.html /f

Hisobot yaratish va uni brauzerda avtomatik ravishda ochish uchun quyidagi buyruqni bajaring:

GPresult /h GPresult.html & GPresult.html

gpresult HTML hisoboti juda ko'p narsalarni o'z ichiga oladi foydali ma'lumotlar: GPO ilovasidagi xatolar, ishlov berish vaqti (ms da) va maxsus siyosatlar va CSE qo'llanilishi ko'rinadi (Kompyuter tafsilotlari -> Komponent holati bo'limida). Misol uchun, yuqoridagi skrinshotda siz 24 ta parolni eslab qolish sozlamalariga ega siyosat standart domen siyosati (Winning GPO ustuni) tomonidan qo'llanilishini ko'rishingiz mumkin. Ko'rib turganingizdek, ushbu HTML hisoboti rsop.msc konsoliga qaraganda qo'llaniladigan siyosatlarni tahlil qilish uchun ancha qulayroqdir.

Masofaviy kompyuterdan GPresult ma'lumotlarini qabul qilish

GPresult, shuningdek, masofaviy kompyuterdan ma'lumotlarni to'plashi mumkin, bu ma'murning mahalliy yoki RDP masofaviy kompyuterga kirishiga ehtiyojni yo'q qiladi. Masofaviy kompyuterdan RSOP ma'lumotlarini yig'ish uchun buyruq formati quyidagicha:

GPresult /s server-ts1 /r

Xuddi shunday, siz ham foydalanuvchi siyosatidan, ham kompyuter siyosatidan maʼlumotlarni masofadan yigʻishingiz mumkin.

Foydalanuvchi nomi RSOP ma'lumotlariga ega emas

UAC yoqilganda, yuqori imtiyozlarsiz GPresult ishga tushirilishi faqat foydalanuvchi guruhi siyosati bo'limi sozlamalarini ko'rsatadi. Agar siz ikkala bo'limni (FOYDALANUVCHI SOZLAMALARI va KOMPYUTER SOZLAMALARI) bir vaqtning o'zida ko'rsatishingiz kerak bo'lsa, buyruq bajarilishi kerak. Agar buyruq qatori joriy foydalanuvchidan boshqa tizimga ko'tarilsa, yordamchi dastur ogohlantirish beradi MA'LUMOT: Thefoydalanuvchi"domen\user” qiladiemasborRSOPma'lumotlar ("domen\user" foydalanuvchisi RSOP ma'lumotlariga ega emas). Buning sababi, GPresult uni ishga tushirgan foydalanuvchi uchun ma'lumot to'plashga harakat qiladi, lekin ... bu foydalanuvchi tizimga kirmagan, buning uchun RSOP ma'lumoti yo'q. Faol seansga ega foydalanuvchi uchun RSOP ma'lumotlarini to'plash uchun siz uning hisobini ko'rsatishingiz kerak:

gpresult /r /user:tn\edward

Agar tizimga kirgan hisob nomini bilmasangiz masofaviy kompyuter, siz shunday hisob olishingiz mumkin:

qwinsta /SERVER: remotePC1

Shuningdek, mijozdagi vaqt(lar)ni tekshiring. Vaqt PDC (Birlamchi domen nazoratchisi) dagi vaqtga mos kelishi kerak.

Quyidagi GPO siyosatlari qoʻllanilmadi, chunki ular filtrlangan

Guruh siyosatlari bilan bog'liq muammolarni bartaraf qilishda siz ushbu bo'limga ham e'tibor berishingiz kerak: Quyidagi GPOlar qo'llanilmadi, chunki ular filtrlangan. Ushbu bo'lim u yoki bu sabablarga ko'ra ushbu ob'ektga taalluqli bo'lmagan GPOlar ro'yxatini ko'rsatadi. Mumkin variantlar siyosat qo'llanilmasligi mumkin:


Shuningdek, siz siyosatning ma'lum bir AD ob'ektiga qo'llanilishi kerakligini samarali ruxsatnomalar yorlig'ida (Kengaytirilgan -> Samarali kirish) tushunishingiz mumkin.

Shunday qilib, ushbu maqolada biz GPresult yordam dasturidan foydalangan holda guruh siyosatlarini qo'llashni diagnostika qilish xususiyatlarini ko'rib chiqdik va undan foydalanishning odatiy stsenariylarini ko'rib chiqdik.

Windows-ni o'rnatayotganda, kichik quyi tizimlarning aksariyati faollashtirilmagan yoki o'rnatilmagan. Bu xavfsizlik nuqtai nazaridan amalga oshiriladi. Tizim sukut bo'yicha xavfsiz bo'lgani uchun, tizim ma'murlari faqat o'ziga yuklangan funktsiyalarni bajaradigan tizimni loyihalashga e'tibor qaratishi mumkin va boshqa hech narsa emas. Kerakli funksiyalarni yoqishingizga yordam berish uchun Windows sizga Server rolini tanlashni taklif qiladi.

Rollar

Server roli - bu to'g'ri o'rnatilgan va konfiguratsiya qilinganida, kompyuterga bir nechta foydalanuvchilar yoki tarmoqdagi boshqa kompyuterlar uchun ma'lum bir funktsiyani bajarishga imkon beradigan dasturlar to'plami. Umuman olganda, barcha rollar quyidagi xususiyatlarga ega.

  • Ular kompyuterdan foydalanishning asosiy vazifasi, maqsadi yoki maqsadini belgilaydi. Siz kompyuterni korxonangizda ko'p qo'llaniladigan bitta rolni bajarish uchun yoki har biri faqat vaqti-vaqti bilan ishlatilsa, bir nechta rollarni bajarish uchun belgilashingiz mumkin.
  • Rollar tashkilotingizdagi foydalanuvchilarga veb-saytlar, printerlar yoki turli kompyuterlarda saqlangan fayllar kabi boshqa kompyuterlar tomonidan boshqariladigan resurslarga kirish imkonini beradi.
  • Ular odatda foydalanuvchi yoki kompyuter so'rovlarini navbatga qo'yadigan yoki tarmoq foydalanuvchilari va rolga tegishli kompyuterlar haqidagi ma'lumotlarni yozib oladigan o'z ma'lumotlar bazalariga ega. Masalan, Active Directory Domain Services tarmog'idagi barcha kompyuterlarning nomlari va ierarxik munosabatlarini saqlash uchun ma'lumotlar bazasini o'z ichiga oladi.
  • Keyin to'g'ri o'rnatish va rol sozlamalari avtomatik ravishda ishlaydi. Bu ular o'rnatilgan kompyuterlarga cheklangan foydalanuvchi shovqini bilan tayinlangan vazifalarni bajarishga imkon beradi.

Rol xizmatlari

Rol xizmatlari - bu ta'minlovchi dasturlar funksionallik rollar. Rolni o'rnatganingizda, u boshqa foydalanuvchilar va korxonadagi kompyuterlarga qaysi xizmatlarni taqdim etishini tanlashingiz mumkin. DNS server kabi ba'zi rollar faqat bitta funktsiyani bajaradi, shuning uchun ular uchun rol xizmatlari mavjud emas. Masofaviy ish stoli xizmatlari kabi boshqa rollarda biznesingizning masofaviy kirish ehtiyojlariga qarab oʻrnatilishi mumkin boʻlgan bir nechta xizmatlar mavjud. Rolni bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami sifatida ko'rish mumkin. Ko'pgina hollarda, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi.

Komponentlar

Komponentlar to'g'ridan-to'g'ri rollarning bir qismi bo'lmagan, lekin qaysi rollar o'rnatilganidan qat'i nazar, bir yoki bir nechta rollarning yoki butun serverning funksionalligini qo'llab-quvvatlaydigan yoki kengaytiradigan dasturlardir. Masalan, Failover Cluster xususiyati fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksionalligini kengaytirib, ularga server klasterlariga qo'shilish imkonini beradi, bu esa ortib borayotgan ortiqcha va ishlashni ta'minlaydi. Boshqa komponent - "Telnet Client" - Telnet serveri bilan masofaviy aloqani ta'minlaydi tarmoq ulanishi. Bu xususiyat serverning aloqa imkoniyatlarini oshiradi.

Windows Server asosiy rejimda ishlayotganida server komponentlari, quyidagi server rollari qo'llab-quvvatlanadi:

  • Active Directory sertifikat xizmatlari;
  • Active Directory domen xizmatlari;
  • DHCP serveri;
  • DNS server;
  • fayl xizmatlari (shu jumladan resurs menejeri fayl serveri);
  • Active Directory engil katalog xizmatlari;
  • Hyper-V;
  • matbaa va hujjatlar xizmatlari;
  • oqimli media xizmatlari;
  • veb-server (shu jumladan ASP.NET quyi to'plami);
  • server Windows yangilanishlari Server;
  • Active Directory huquqlarini boshqarish serveri;
  • Marshrutlash va masofaviy kirish serveri va quyidagi bo'ysunuvchi rollar:
    • Masofaviy ish stoli xizmatlariga ulanish brokeri;
    • litsenziyalash;
    • virtualizatsiya.

Windows Server Server yadrosi rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:

  • Microsoft. NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • fonda aqlli uzatish xizmati (BITS);
  • BitLocker diskini shifrlash;
  • BitLocker tarmog'ini qulfdan chiqarish;
  • BranchCache
  • ma'lumotlar markazi ko'prigi;
  • Kengaytirilgan saqlash;
  • muvaffaqiyatsiz klasterlash;
  • Ko'p yo'nalishli kiritish-chiqarish;
  • tarmoq yukini muvozanatlash;
  • PNRP protokoli;
  • qWave;
  • masofaviy differentsial siqish;
  • oddiy TCP/IP xizmatlari;
  • HTTP proksi-server orqali RPC;
  • SMTP serveri;
  • SNMP xizmati;
  • Telnet mijozi;
  • Telnet serveri;
  • TFTP mijozi;
  • Windows ichki ma'lumotlar bazasi;
  • Windows PowerShell Internetga kirish;
  • Windows faollashtirish xizmati;
  • standartlashtirilgan Windows saqlash boshqaruvi;
  • IIS WinRM kengaytmasi;
  • WINS serveri;
  • WoW64 qo'llab-quvvatlash.

Server menejeri yordamida server rollarini o'rnatish

Qo'shish uchun Server menejerini oching va Boshqaruv menyusida Rollar va xususiyatlarni qo'shish-ni bosing:

Rollar va xususiyatlarni qo'shish ustasi ochiladi. Keyingiga bosing

O'rnatish turi, Rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingisi:

Serverni tanlash - bizning serverimizni tanlang. Keyingi server rollarini bosing - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun Keyingiga bosing. Ushbu protsedura davomida Rollar va xususiyatlarni qo'shish ustasi belgilangan serverda tanlangan rollar yoki xususiyatlarning o'rnatilishi yoki to'g'ri ishlashiga xalaqit beradigan har qanday ziddiyatlar mavjudligi haqida avtomatik ravishda sizga xabar beradi. Shuningdek, sizdan tanlangan rollar yoki funksiyalar uchun zarur bo'lgan rollar, rol xizmatlari va xususiyatlarni qo'shish taklif etiladi.

PowerShell yordamida rollarni o'rnatish

Windows PowerShell-ni oching Mahalliy serverda mavjud va o'rnatilgan rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va xususiyatlar uchun buyruq nomlarini o'z ichiga oladi.

Install-WindowsFeature (MAN) cmdletining sintaksisi va haqiqiy parametrlarini ko'rish uchun Get-Help Install-WindowsFeature buyrug'ini kiriting.

Quyidagi buyruqni kiriting (-Rolni o'rnatishda qayta ishga tushirish kerak bo'lsa, qayta ishga tushirish serverni qayta ishga tushiradi).

O'rnatish-WindowsFeature -Ism -Qayta ishga tushirish

Rol va rol xizmatlarining tavsifi

Barcha rollar va rol xizmatlari quyida tavsiflanadi. Keling, amaliyotimizdagi eng keng tarqalgan konfiguratsiyani ko'rib chiqaylik: veb-server roli va masofaviy ish stoli xizmatlari

IISning batafsil tavsifi

  • Umumiy HTTP xususiyatlari - Asosiy HTTP komponentlari
    • Standart hujjat - sayt uchun indeks sahifasini o'rnatish imkonini beradi.
    • Kataloglarni ko'rib chiqish - foydalanuvchilarga veb-serverdagi katalog tarkibini ko'rish imkonini beradi. Foydalanuvchilar URL manzilida fayl ko‘rsatmasa va indeks sahifasi o‘chirilgan yoki sozlanmagan bo‘lsa, katalogdagi barcha kataloglar va fayllar ro‘yxatini avtomatik ravishda yaratish uchun kataloglarni ko‘rib chiqishdan foydalaning.
    • HTTP xatolari - brauzerda mijozlarga qaytarilgan xato xabarlarini sozlash imkonini beradi.
    • Statik tarkib - statik tarkibni, masalan, rasmlar yoki html fayllarni joylashtirish imkonini beradi.
    • HTTP qayta yo'naltirish - foydalanuvchi so'rovlarini qayta yo'naltirish uchun yordam beradi.
    • WebDAV Publishing HTTP protokoli yordamida veb-serverdan fayllarni nashr qilish imkonini beradi.
  • Salomatlik va diagnostika xususiyatlari - Diagnostika komponentlari
    • HTTP jurnali ma'lum bir server uchun veb-saytlar faoliyatini qayd qilishni ta'minlaydi.
    • Maxsus jurnallar "an'anaviy" jurnallardan farq qiladigan maxsus jurnallarni yaratishni qo'llab-quvvatlaydi.
    • Logging Tools veb-server jurnallarini boshqarish va umumiy ro'yxatga olish vazifalarini avtomatlashtirish uchun infratuzilmani taqdim etadi.
    • ODBC Logging veb-server faoliyatini ODBC-ga mos keladigan ma'lumotlar bazasida qayd qilishni qo'llab-quvvatlaydigan infratuzilmani taqdim etadi.
    • Request Monitor IIS ishchi jarayonida HTTP so'rovlari haqida ma'lumot to'plash orqali veb-ilovalarning sog'lig'ini kuzatish uchun infratuzilmani taqdim etadi.
    • Tracing veb-ilovalarni diagnostika qilish va muammolarni bartaraf etish uchun asos yaratadi. Muvaffaqiyatsiz so‘rovni kuzatishdan foydalanib, yomon ishlash yoki autentifikatsiyadagi nosozliklar kabi yozib olish qiyin bo‘lgan voqealarni kuzatishingiz mumkin.
  • Ishlash komponentlari veb-server ish faoliyatini oshiradi.
    • Statik tarkibni siqish statik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi
    • Dinamik tarkibni siqish dinamik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi.
  • Xavfsizlik xavfsizligi komponentlari
    • So'rovlarni filtrlash sizga barcha kiruvchi so'rovlarni yozib olish va ularni administrator tomonidan o'rnatilgan qoidalar asosida filtrlash imkonini beradi.
    • Asosiy autentifikatsiya qo'shimcha avtorizatsiyani o'rnatish imkonini beradi
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash - bu sizga sertifikatlarni fayl almashish kabi markazlashtirilgan joyda saqlash imkonini beruvchi xususiyatdir.
    • Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi.
    • Digest Authentication foydalanuvchilarni autentifikatsiya qilish uchun Windows domen boshqaruvchisiga parol xeshini yuborish orqali ishlaydi. Agar sizga odatiy autentifikatsiyadan ko'ra yuqori darajadagi xavfsizlik kerak bo'lsa, Digest autentifikatsiyasidan foydalanishni o'ylab ko'ring
    • IIS Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi. Mijoz sertifikati ishonchli manbadan olingan raqamli identifikatordir.
    • IP va domen cheklovlari so'ralgan IP manzil yoki domen nomi asosida kirishga ruxsat berish/rad etish imkonini beradi.
    • URL avtorizatsiyasi veb-kontentga kirishni cheklovchi qoidalar yaratish imkonini beradi.
    • Windows autentifikatsiyasi Ushbu autentifikatsiya sxemasi Windows domen ma'murlariga foydalanuvchilarni autentifikatsiya qilish uchun domen infratuzilmasidan foydalanish imkonini beradi.
  • Ilovalarni ishlab chiqish xususiyatlari Ilovalarni ishlab chiqish komponentlari
  • FTP serveri
    • FTP xizmati veb-serverga FTP nashrini yoqadi.
    • FTP kengaytirilishi imkoniyatlarini kengaytiruvchi FTP funksiyalarini qo'llab-quvvatlashni o'z ichiga oladi
  • Boshqaruv vositalari
    • IIS boshqaruv konsoli IIS menejerini o'rnatadi, bu sizga grafik interfeys orqali veb-serverni boshqarish imkonini beradi
    • IIS 6.0 boshqaruv muvofiqligi Admin Base Object (ABO) va Active Directory Directory Service Interface (ADSI) API-laridan foydalanadigan ilovalar va skriptlar uchun oldinga muvofiqlikni ta'minlaydi. Bu mavjud IIS 6.0 skriptlarini IIS 8.0 veb-serverida ishlatish imkonini beradi
    • IIS boshqaruv skriptlari va vositalari IIS veb-serverini dasturiy tarzda, buyruq satri oynasidagi buyruqlardan foydalanish yoki skriptlarni ishga tushirish orqali boshqarish uchun infratuzilmani taqdim etadi.
    • Boshqaruv xizmati IIS Manager foydalanuvchi interfeysini sozlash uchun infratuzilmani taqdim etadi.

RDS ning batafsil tavsifi

  • Masofaviy ish stoliga ulanish brokeri - mijoz qurilmasini ish stoli kompyuter seanslari va virtual ish stollariga asoslangan dasturlarga qayta ulashni ta'minlaydi.
  • Masofaviy ish stoli shlyuzi - avtorizatsiya qilingan foydalanuvchilarga virtual ish stollariga, RemoteApp dasturlariga va seansga asoslangan ish stollariga ulanish imkonini beradi. korporativ tarmoq yoki Internet orqali.
  • Masofaviy ish stolini litsenziyalash - RDP litsenziyasini boshqarish vositasi
  • Masofaviy ish stoli sessiyasi xosti - serverga RemoteApp dasturlarini yoki ish stoliga asoslangan seansni joylashtirish imkonini beradi.
  • Masofaviy ish stolini virtualizatsiya qilish xosti - virtual mashinalarda RDP ni sozlash imkonini beradi
  • Masofaviy ish stoli veb-kirish - foydalanuvchilarga Ishga tushirish menyusi yoki veb-brauzer yordamida ish stoli resurslariga ulanish imkonini beradi.

Keling, terminal litsenziyasi serverini o'rnatish va sozlashni ko'rib chiqaylik. Yuqorida rollarni qanday o'rnatish kerakligi tasvirlangan, RDS-ni o'rnatish boshqa rollarni o'rnatishdan farq qilmaydi; Rol xizmatlarida biz Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng, "Terminal xizmatlari" elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita elementga ega: masofaviy ish stoli litsenziyalash uchun diagnostika vositasi bo'lgan RD litsenziyalash diagnostikasi va litsenziyani boshqarish vositasi bo'lgan masofaviy ish stoli litsenziyalash menejeri.

Keling, RD Litsenziyalash Diagnoserni ishga tushiramiz

Bu erda biz hali litsenziyalar mavjud emasligini ko'ramiz, chunki Masofaviy ish stoli sessiyasi xost serveri uchun litsenziyalash rejimi o'rnatilmagan. Litsenziyalash serveri mahalliy guruh siyosatida ko'rsatilgan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'ini ishga tushiring. Mahalliy guruh siyosati muharriri ochiladi. Chapdagi daraxtda yorliqlarni ochamiz:

  • Kompyuter konfiguratsiyasi
  • Ma'muriy shablonlar
  • Windows komponentlari
  • "Masofaviy ish stoli xizmatlari"
  • "Masofaviy ish stoli sessiyasi xosti"
  • "Litsenziyalash"

Parametrlarni oching. Belgilangan masofaviy ish stoli litsenziya serverlaridan foydalaning

Siyosat sozlamalarini tahrirlash oynasida litsenziyalash serverini yoqing (yoqilgan). Keyinchalik, masofaviy ish stoli xizmatlari uchun litsenziyalash serverini aniqlashingiz kerak. Mening misolimda, litsenziyalash serveri bir xil jismoniy serverda joylashgan. bildiramiz tarmoq nomi yoki litsenziya serverining IP manzilini tanlang va OK tugmasini bosing. Agar siz kelajakda server nomini o'zgartirsangiz, litsenziya serveri xuddi shu bo'limda o'zgartirilishi kerak bo'ladi.

Shundan so'ng, RD Licensing Diagnoser-da siz terminal litsenziya serveri sozlanganligini, lekin yoqilmaganligini ko'rishingiz mumkin. Yoqish uchun masofaviy ish stoli litsenziyalash menejerini ishga tushiring

Faollashtirilmagan holatga ega litsenziyalash serverini tanlang. Faollashtirish uchun uni sichqonchaning o'ng tugmasi bilan bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Keyinchalik, tashkilot haqidagi ma'lumotlarni to'ldiring, shundan so'ng litsenziya serveri faollashadi.

Active Directory sertifikat xizmatlari

AD CS texnologiyadan foydalanadigan dasturiy ta'minot xavfsizligi tizimlarida qo'llaniladigan sozlanishi raqamli sertifikat xizmatlarini taqdim etadi umumiy kalitlar, va bu sertifikatlarni boshqarish. AD CS tomonidan taqdim etilgan raqamli sertifikatlar elektron hujjatlar va xabarlarni shifrlash va raqamli imzolash uchun ishlatilishi mumkin. Ushbu raqamli sertifikatlar tarmoq boʻylab kompyuter, foydalanuvchi va qurilma hisoblarining haqiqiyligini tekshirish uchun ishlatilishi mumkin. Raqamli sertifikatlar quyidagilarni taʼminlash uchun ishlatiladi:

  • shifrlash orqali maxfiylik;
  • raqamli imzolardan foydalangan holda yaxlitlik;
  • sertifikat kalitlarini tarmoqdagi kompyuter, foydalanuvchi va qurilma hisoblari bilan bog‘lash orqali autentifikatsiya.

AD CS foydalanuvchi, qurilma yoki xizmat identifikatorini tegishli ma'lumotlar bilan bog'lash orqali xavfsizlikni yaxshilash uchun ishlatilishi mumkin. shaxsiy kalit. AD CS tomonidan qo'llab-quvvatlanadigan ilovalar orasida Secure Multipurpose Internet Mail Extensions (S/MIME), xavfsiz simsiz tarmoqlar, virtual xususiy tarmoqlar (VPN), IPsec protokoli, Shifrlash fayl tizimi (EFS), Smart kartaga kirish, Xavfsizlik protokoli va transport qatlami xavfsizligi (SSL/TLS) va raqamli imzolar.

Active Directory domen xizmatlari

Active Directory Domain Services (AD DS) server rolidan foydalanib, siz foydalanuvchilar va resurslarni boshqarish uchun kengaytiriladigan, xavfsiz va boshqariladigan infratuzilmani yaratishingiz mumkin; Shuningdek, siz Microsoft Exchange Server kabi katalogdan xabardor ilovalarni qo'llab-quvvatlashingiz mumkin. Active Directory domen xizmatlari taqdim etadi tarqatilgan ma'lumotlar bazasi ma'lumotlar, tarmoq resurslari va katalog bilan ishlaydigan ilova ma'lumotlari haqidagi ma'lumotlarni saqlaydi va boshqaradi. AD DS ni ishga tushiradigan server domen boshqaruvchisi deb ataladi. Administratorlar AD DS dan foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik, ichki o'rnatilgan tuzilmada tartibga solish uchun foydalanishlari mumkin. Ierarxik ichki struktura Active Directory o'rmonini, o'rmon ichidagi domenlarni va har bir domendagi tashkiliy birliklarni o'z ichiga oladi. Xavfsizlik xususiyatlari AD DSga autentifikatsiya va katalogdagi resurslarga kirishni boshqarish shaklida birlashtirilgan. Tarmoqqa bir marta kirish orqali ma'murlar tarmoq bo'ylab katalog ma'lumotlarini va tashkilotni boshqarishi mumkin. Vakolatli tarmoq foydalanuvchilari, shuningdek, tarmoqning istalgan joyida joylashgan resurslarga kirish uchun tarmoqqa bir marta kirishdan foydalanishlari mumkin. Active Directory Domain Services quyidagi qo'shimcha funktsiyalarni taqdim etadi.

  • Qoidalar to'plami - bu katalogdagi ob'ektlar sinflari va atributlarini, ushbu ob'ektlar namunalaridagi cheklovlar va cheklovlarni va ularning nomlari formatini belgilaydigan sxema.
  • Katalogdagi har bir ob'ekt haqida ma'lumotni o'z ichiga olgan global katalog. Foydalanuvchilar va ma'murlar katalogdagi qaysi domenda ular qidirayotgan ma'lumotlardan qat'i nazar, katalog ma'lumotlarini qidirish uchun global katalogdan foydalanishlari mumkin.
  • Tarmoq foydalanuvchilari va ilovalari tomonidan ob'ektlar va ularning xususiyatlari nashr etilishi va joylashishi mumkin bo'lgan so'rov va indekslash mexanizmi.
  • Tarmoq bo'ylab katalog ma'lumotlarini tarqatuvchi replikatsiya xizmati. Domendagi barcha yoziladigan domen kontrollerlari replikatsiyada qatnashadi va o'z ichiga oladi to'liq nusxasi domeningiz uchun barcha katalog ma'lumotlari. Katalog ma'lumotlaridagi har qanday o'zgarishlar domen bo'ylab barcha domen kontrollerlariga takrorlanadi.
  • Operatsiyalar ustasi rollari (shuningdek, moslashuvchan yagona usta operatsiyalari yoki FSMO sifatida ham tanilgan). Operatsion ustalari sifatida ishlaydigan domen kontrollerlari ma'lumotlarning izchilligini ta'minlash va bir-biriga zid bo'lgan katalog yozuvlarini yo'q qilish uchun maxsus vazifalarni bajarish uchun mo'ljallangan.

Active Directory federatsiyasi xizmatlari

AD FS AD FS bilan himoyalangan korxona, federatsiya hamkori yoki bulutdagi ilovalarga kirishi kerak bo‘lgan oxirgi foydalanuvchilarga soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi va vebga asoslangan yagona tizimga kirish (SSO) imkoniyatlarini taqdim etadi. Windows Serverda AD FS quyidagilarni o‘z ichiga oladi: rol xizmati Federatsiya xizmatlari identifikator provayderi (AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etish uchun foydalanuvchilarni autentifikatsiya qiladi) yoki federatsiya provayderi sifatida (boshqa identifikatsiya provayderlarining tokenlarini qo‘llaydi va keyin AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etadi).

Active Directory engil katalog xizmatlari

Active Directory Lightweight Directory Services (AD LDS) LDAP protokoli boʻlib, Active Directory Domain Services bogʻliqligi va domen cheklovlarisiz katalog ilovalari uchun moslashuvchan yordamni taʼminlaydi. AD LDS a'zo yoki mustaqil serverlarda ishga tushirilishi mumkin. Siz mustaqil ravishda boshqariladigan sxemalar bilan bitta serverda AD LDS ning bir nechta nusxalarini ishga tushirishingiz mumkin. AD LDS xizmati rolidan foydalanib, siz domenlar va o'rmonlarsiz va bitta o'rmon bo'ylab sxemani talab qilmasdan katalogdan xabardor ilovalarga katalog xizmatlarini taqdim etishingiz mumkin.

Active Directory huquqlarini boshqarish xizmatlari

AD RMS axborot huquqlarini boshqarish (IRM) yordamida hujjatlarni himoya qilish orqali tashkilotning xavfsizlik strategiyasini yaxshilash uchun ishlatilishi mumkin. AD RMS foydalanuvchilar va administratorlarga IRM siyosatlaridan foydalangan holda hujjatlar, ish kitoblari va taqdimotlarga kirish ruxsatlarini belgilash imkonini beradi. Bu maxfiy ma'lumotlarni ruxsatsiz foydalanuvchilar tomonidan chop etish, yuborish yoki nusxalashdan himoya qilishga yordam beradi. Fayl ruxsatlari IRM yordamida cheklangandan so'ng, kirish va foydalanish cheklovlari ma'lumotlarning joylashgan joyidan qat'iy nazar amalga oshiriladi, chunki fayl ruxsati hujjat faylining o'zida saqlanadi. AD RMS va IRM bilan individual foydalanuvchilar shaxsiy va maxfiy ma'lumotlarni almashish bo'yicha o'zlarining shaxsiy imtiyozlarini qo'llashlari mumkin. Shuningdek, ular tashkilotga maxfiy va shaxsiy ma'lumotlardan foydalanish va tarqatishni boshqarish uchun korporativ siyosatni qo'llashda yordam beradi. AD RMS xizmatlari tomonidan qo'llab-quvvatlanadigan IRM yechimlari quyidagi imkoniyatlarni ta'minlash uchun ishlatiladi.

  • Doimiy foydalanish siyosati maʼlumotlarning koʻchirilishi, joʻnatilishi yoki uzatilishidan qatʼi nazar, saqlanib qoladi.
  • Hisobotlar, mahsulot spetsifikatsiyalari, mijozlar ma'lumotlari va elektron pochta xabarlari kabi maxfiy ma'lumotlarni noto'g'ri qo'llarga ataylab yoki tasodifan tushib qolishdan himoya qilish uchun qo'shimcha maxfiylik qatlami.
  • Ruxsat etilgan qabul qiluvchilarni ruxsatsiz yo'naltirish, nusxa ko'chirish, o'zgartirish, chop etish, faks yuborish yoki cheklangan kontentni joylashtirishni oldini oling.
  • dagi PRINT SCREEN funksiyasi yordamida cheklangan kontentni nusxalashning oldini olish Microsoft Windows.
  • Hujjatlarning mazmunini ma'lum vaqtdan keyin ko'rishni oldini oladigan faylning amal qilish muddatini qo'llab-quvvatlash.
  • Tashkilot ichida kontentdan foydalanish va tarqatishni tartibga soluvchi korxona siyosatini amalga oshirish

Ilovalar serveri

Ilovalar serveri shaxsiy serverga asoslangan biznes ilovalarini joylashtirish va ishga tushirish uchun integratsiyalashgan muhitni ta'minlaydi.

DHCP serveri

DHCP - mijoz-server texnologiyasi bo'lib, unda DHCP serverlari DHCP mijozlari bo'lgan kompyuterlar va boshqa qurilmalarga IP manzillarini belgilashi yoki ijaraga olishi mumkin. DHCP serverlarini tarmoqqa o'rnatish avtomatik ravishda IPv4 va IPv6 haqiqiy IP manzillariga asoslangan mijoz kompyuterlari va boshqa tarmoq qurilmalarini ta'minlaydi. ushbu mijozlar va qurilmalar uchun zarur bo'lgan qo'shimcha konfiguratsiya parametrlari Windows Serverdagi DHCP Server xizmati siyosatga asoslangan topshiriqlarni qo'llab-quvvatlashni va DHCP nosozliklarini hal qilishni o'z ichiga oladi.

DNS serveri

DNS xizmati Bu DNS domen nomlarining ma'lumotlarini o'z ichiga olgan ierarxik taqsimlangan ma'lumotlar bazasi har xil turlari IP manzillar kabi ma'lumotlar. DNS TCP/IP-ga asoslangan tarmoqlarda kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi qulay nomlardan foydalanish imkonini beradi. Windows Server DNS DNS Security Extensions (DNSSEC) uchun qoʻshimcha, kengaytirilgan yordamni, jumladan, onlayn roʻyxatdan oʻtish va avtomatik sozlamalarni boshqarishni taʼminlaydi.

FAKS serveri

Faks serveri fakslarni yuboradi va qabul qiladi, shuningdek, faks serveringizdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkoniyatini beradi.

Fayl va saqlash xizmatlari

Administratorlar Fayl va saqlash xizmatlari rolidan bir nechta fayl serverlari va ularni saqlashni sozlash va Server menejeri yoki Windows PowerShell yordamida ushbu serverlarni boshqarish uchun foydalanishlari mumkin. Ba'zi maxsus ilovalar quyidagi xususiyatlarni o'z ichiga oladi.

  • Ish papkalari. Foydalanuvchilarga shaxsiy kompyuterlar va korporativ shaxsiy kompyuterlardan boshqa qurilmalarda ish fayllarini saqlash va ularga kirishga ruxsat berish uchun foydalaning. Foydalanuvchilar ish fayllarini saqlash va ularga istalgan joydan kirish uchun qulay joy oladi. Tashkilotlar markazlashtirilgan boshqariladigan fayl serverlarida fayllarni saqlash va ixtiyoriy ravishda foydalanuvchi qurilmasi siyosatlarini (masalan, shifrlash va ekran qulfi parollari) oʻrnatish orqali korporativ maʼlumotlarni nazorat qiladi.
  • Ma'lumotlarni takrorlash. Fayllarni saqlash uchun disk maydoni talablarini kamaytirish, saqlash xarajatlarini tejash uchun foydalaning.
  • iSCSI maqsadli serveri. Saqlash maydoni tarmoqlarida (SAN) markazlashtirilgan, dasturiy va apparatdan mustaqil iSCSI disk quyi tizimlarini yaratish uchun foydalaning.
  • Disk bo'shliqlari. Tejamkor, sanoat standartidagi disklar yordamida bardoshli va kengaytiriladigan yuqori darajada mavjud xotirani joylashtirish uchun foydalaning.
  • Server menejeri. uchun foydalaning masofaviy boshqarish bir oynadan bir nechta fayl serverlari.
  • Windows PowerShell. Ko'pgina fayl serverlarini boshqarish vazifalarini boshqarishni avtomatlashtirish uchun foydalaning.

Hyper-V

Hyper-V roli Windows Serverga o'rnatilgan virtualizatsiya texnologiyasidan foydalangan holda virtuallashtirilgan hisoblash muhitini yaratish va boshqarish imkonini beradi. Hyper-V rolini o'rnatish old shartlarni va ixtiyoriy boshqaruv vositalarini o'rnatadi. Majburiy komponentlar o'z ichiga oladi gipervisor Windows virtual boshqaruv xizmati Hyper-V mashinalari, WMI virtualizatsiya provayderi va VMbus, virtualizatsiya xizmati provayderi (VSP) va virtual infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari.

Tarmoq siyosati va kirish xizmatlari

Tarmoq siyosati va kirish xizmatlari tarmoq ulanishlari uchun quyidagi echimlarni taqdim etadi:

  • Tarmoqqa kirishni himoya qilish - bu mijozning sog'lig'i siyosatini yaratish, qo'llash va tuzatish texnologiyasi. Tarmoqqa kirishni himoya qilish bilan tizim ma'murlari dasturiy ta'minot talablari, xavfsizlik yangilanishlari va boshqa sozlamalarni o'z ichiga olgan sog'liqni saqlash siyosatlarini o'rnatishi va avtomatik ravishda amalga oshirishi mumkin. Sog'liqni saqlash siyosati talablariga javob bermaydigan mijoz kompyuterlari ularning konfiguratsiyasi sog'liqni saqlash siyosati talablariga javob berish uchun yangilanmaguncha tarmoqqa kirishlari cheklanishi mumkin.
  • Agar siz 802.1X-ni yoqadigan simsiz ulanish nuqtalarini o'rnatgan bo'lsangiz, parolga asoslangan autentifikatsiyadan ko'ra xavfsizroq bo'lgan sertifikatga asoslangan autentifikatsiya usullarini qo'llash uchun Network Policy Server (NPS) dan foydalanishingiz mumkin. 802.1X-ni qo'llab-quvvatlaydigan uskunani NPS serveri bilan o'rnatish intranet foydalanuvchilariga tarmoqqa ulanishdan yoki DHCP serveridan IP-manzilni olishdan oldin autentifikatsiya qilish imkonini beradi.
  • Har bir tarmoqqa kirish serverida tarmoqqa kirish siyosatini sozlash o'rniga, siz tarmoqqa ulanish so'rovlarining barcha jihatlarini (kim ulanishi mumkin, ulanishga ruxsat berilganda, tarmoqqa ulanish uchun ishlatilishi kerak bo'lgan xavfsizlik darajasini) belgilaydigan barcha siyosatlarni markazlashtirilgan tarzda yaratishingiz mumkin. tarmoq).

Chop etish va hujjat xizmatlari

Chop etish va hujjat xizmatlari chop etish serveri va tarmoq printeri vazifalarini markazlashtirish imkonini beradi. Bu rol, shuningdek, tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va hujjatlarni Windows SharePoint Services sayti yoki tarmoq ulashishlariga yuklash imkonini beradi. elektron pochta.

Masofaviy kirish

Masofaviy kirish serverining roli quyidagi tarmoqqa kirish texnologiyalarining mantiqiy guruhlanishidir.

  • DirectAccess
  • Marshrutlash va masofadan kirish
  • Veb-ilova proksi

Bu texnologiyalar rol xizmatlari Masofaviy kirish server rollari. Masofaviy kirish serveri rolini o'rnatganingizda, Rollar va xususiyatlarni qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin.

Windows Serverda Masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN-ni marshrutlash va masofaviy kirish xizmati (RRAS) bilan markazlashtirilgan tarzda boshqarish, sozlash va nazorat qilish imkoniyatini beradi. DirectAccess va RRAS bir xil chekka serverda joylashtirilishi va ulardan foydalanishi mumkin Windows buyruqlari PowerShell va masofaviy kirishni boshqarish konsoli (MMC).

Masofaviy ish stoli xizmatlari

Masofaviy ish stoli xizmatlari har qanday qurilmada ish stoli va ilovalarni joylashtirishni tezlashtiradi va kengaytiradi, masofaviy ishchilar unumdorligini oshiradi, shu bilan birga muhim intellektual mulkni himoya qiladi va tartibga solish talablariga rioya qilishni soddalashtiradi. Masofaviy ish stoli xizmatlari foydalanuvchilarga istalgan joydan ishlash imkoniyatini beruvchi virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ilovalarni o'z ichiga oladi.

Ovozni faollashtirish xizmatlari

Volume Activation Services - bu Windows Server 2012 da boshlangan Windows Serverdagi server roli bo'lib, u uchun hajmli litsenziyalar berishni avtomatlashtiradi va soddalashtiradi. dasturiy ta'minot Microsoft, shuningdek, turli stsenariylar va muhitlarda bunday litsenziyalarni boshqarish. Volume Activation Services bilan bir qatorda siz Key Management Service (KMS) va Active Directory faollashtirishni o'rnatishingiz va sozlashingiz mumkin.

Veb-server (IIS)

Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va ilovalarni joylashtirish uchun platformani ta'minlaydi. Veb-serverdan foydalanish foydalanuvchilarga Internet, intranet va extranetdagi ma'lumotlarni taqdim etadi. Administratorlar bir nechta veb-saytlar, veb-ilovalar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolidan foydalanishlari mumkin. Maxsus imkoniyatlarga quyidagilar kiradi.

  • IIS komponentlarini sozlash va veb-saytlarni boshqarish uchun Internet Information Services Manager-dan foydalaning.
  • Foydalanish FTP protokoli veb-sayt egalariga fayllarni yuborish va yuklash imkonini berish.
  • Serverdagi bitta veb-sayt boshqalarga ta'sir qilishining oldini olish uchun veb-sayt izolyatsiyasidan foydalaning.
  • Klassik ASP, ASP.NET va PHP kabi turli texnologiyalar yordamida ishlab chiqilgan veb-ilovalarni moslashtirish.
  • Windows PowerShell-dan foydalanish avtomatik boshqaruv veb-serverni boshqarish vazifalarining aksariyati.
  • Bir nechta veb-serverlarni IIS yordamida boshqarish mumkin bo'lgan server fermasiga birlashtiring.

Windows tarqatish xizmatlari

Windows Deployment Services Windows operatsion tizimlarini tarmoq orqali joylashtirish imkonini beradi, ya'ni har bir operatsion tizimni CD yoki DVD dan to'g'ridan-to'g'ri o'rnatishingiz shart emas.

Windows Server Essentials tajribasi

Ushbu rol sizga quyidagi vazifalarni hal qilishga imkon beradi:

  • yaratish orqali server va mijoz ma'lumotlarini himoya qilish zaxira nusxalari server va tarmoqdagi barcha mijoz kompyuterlari;
  • soddalashtirilgan server boshqaruv paneli orqali foydalanuvchilar va foydalanuvchilar guruhlarini boshqarish. Bundan tashqari, Windows Azure Active Directory bilan integratsiya * foydalanuvchilarga o'z domen ma'lumotlaridan foydalangan holda onlayn Microsoft Onlayn xizmatlariga (masalan, Office 365, Exchange Online va SharePoint Online) oson kirishni ta'minlaydi;
  • kompaniya ma'lumotlarini markazlashtirilgan joyda saqlash;
  • serverni Microsoft Online xizmatlari bilan integratsiyalash (masalan, Office 365, Exchange Online, SharePoint Online va Windows Intune):
  • Serverga, tarmoq kompyuterlariga va yuqori darajadagi xavfsizlik bilan uzoq joylardan ma'lumotlarga kirish uchun serverda hamma joyda mavjud bo'lgan kirish imkoniyatlaridan foydalaning (masalan, masofaviy veb-kirish va virtual xususiy tarmoqlar);
  • tashkilotning o'z veb-portalidan foydalangan holda istalgan joydan va istalgan qurilmadan ma'lumotlarga kirish (uzoqdan veb-kirish orqali);
  • boshqarish mobil qurilmalar, undan tashkilotning elektron pochtasiga Office 365 yordamida Active Sync protokoli orqali asboblar panelidan kirish mumkin;
  • Tarmoq sog'lig'ini kuzatib boring va shaxsiy sog'liq hisobotlarini oling; hisobotlar so'rov bo'yicha yaratilishi, moslashtirilishi va muayyan qabul qiluvchilarga elektron pochta orqali yuborilishi mumkin.

Windows Server yangilash xizmatlari

WSUS serveri ma'murlar boshqaruv konsoli orqali yangilanishlarni boshqarish va tarqatish uchun kerak bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlari uchun yangilanishlar manbai bo'lishi mumkin. WSUS-ni qo'llaganingizda, mavjud yangilanishlar haqida ma'lumot olish uchun tarmog'ingizdagi kamida bitta WSUS serveri Microsoft Update-ga ulangan bo'lishi kerak. Tarmoq xavfsizligi va konfiguratsiyasiga qarab, administratoringiz Microsoft Update-ga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin.

Windows-ni o'rnatayotganda, kichik quyi tizimlarning aksariyati faollashtirilmagan yoki o'rnatilmagan. Bu xavfsizlik nuqtai nazaridan amalga oshiriladi. Tizim sukut bo'yicha xavfsiz bo'lganligi sababli, tizim ma'murlari o'z vazifalarini aniq bajaradigan tizimni loyihalashga e'tibor berishlari mumkin va boshqa hech narsa yo'q. Kerakli funksiyalarni yoqishingizga yordam berish uchun Windows sizga Server rolini tanlashni taklif qiladi.

Rollar

Server roli - bu to'g'ri o'rnatilgan va konfiguratsiya qilinganida, kompyuterga bir nechta foydalanuvchilar yoki tarmoqdagi boshqa kompyuterlar uchun ma'lum bir funktsiyani bajarishga imkon beradigan dasturlar to'plami. Umuman olganda, barcha rollar quyidagi xususiyatlarga ega.

  • Ular kompyuterdan foydalanishning asosiy vazifasi, maqsadi yoki maqsadini belgilaydi. Siz kompyuterni korxonangizda ko'p qo'llaniladigan bitta rolni bajarish uchun yoki har biri faqat vaqti-vaqti bilan ishlatilsa, bir nechta rollarni bajarish uchun belgilashingiz mumkin.
  • Rollar tashkilotingizdagi foydalanuvchilarga veb-saytlar, printerlar yoki turli kompyuterlarda saqlangan fayllar kabi boshqa kompyuterlar tomonidan boshqariladigan resurslarga kirish imkonini beradi.
  • Ular odatda foydalanuvchi yoki kompyuter so'rovlarini navbatga qo'yadigan yoki tarmoq foydalanuvchilari va rolga tegishli kompyuterlar haqidagi ma'lumotlarni yozib oladigan o'z ma'lumotlar bazalariga ega. Masalan, Active Directory Domain Services tarmog'idagi barcha kompyuterlarning nomlari va ierarxik munosabatlarini saqlash uchun ma'lumotlar bazasini o'z ichiga oladi.
  • To'g'ri o'rnatilgan va sozlangandan so'ng, rollar avtomatik ravishda ishlaydi. Bu ular o'rnatilgan kompyuterlarga cheklangan foydalanuvchi shovqini bilan tayinlangan vazifalarni bajarishga imkon beradi.

Rol xizmatlari

Rol xizmatlari - bu rol funksiyalarini ta'minlovchi dasturlar. Rolni o'rnatganingizda, u boshqa foydalanuvchilar va korxonadagi kompyuterlarga qaysi xizmatlarni taqdim etishini tanlashingiz mumkin. DNS server kabi ba'zi rollar faqat bitta funktsiyani bajaradi, shuning uchun ular uchun rol xizmatlari mavjud emas. Masofaviy ish stoli xizmatlari kabi boshqa rollarda biznesingizning masofaviy kirish ehtiyojlariga qarab oʻrnatilishi mumkin boʻlgan bir nechta xizmatlar mavjud. Rolni bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami sifatida ko'rish mumkin. Ko'pgina hollarda, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi.

Komponentlar

Komponentlar to'g'ridan-to'g'ri rollarning bir qismi bo'lmagan, lekin qaysi rollar o'rnatilganidan qat'i nazar, bir yoki bir nechta rollarning yoki butun serverning funksionalligini qo'llab-quvvatlaydigan yoki kengaytiradigan dasturlardir. Masalan, Failover Cluster xususiyati fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksionalligini kengaytirib, ularga server klasterlariga qo'shilish imkonini beradi, bu esa ortib borayotgan ortiqcha va ishlashni ta'minlaydi. Boshqa komponent Telnet mijozi tarmoq ulanishi orqali Telnet serveri bilan masofaviy aloqani ta'minlaydi. Bu xususiyat serverning aloqa imkoniyatlarini oshiradi.

Windows Server Server asosiy rejimida ishlayotganida, quyidagi server rollari qo'llab-quvvatlanadi:

  • Active Directory sertifikat xizmatlari;
  • Active Directory domen xizmatlari;
  • DHCP serveri;
  • DNS server;
  • fayl xizmatlari (shu jumladan fayl serveri resurslari menejeri);
  • Active Directory engil katalog xizmatlari;
  • Hyper-V;
  • matbaa va hujjatlar xizmatlari;
  • oqimli media xizmatlari;
  • veb-server (shu jumladan ASP.NET quyi to'plami);
  • Windows Server yangilash serveri;
  • Active Directory huquqlarini boshqarish serveri;
  • Marshrutlash va masofaviy kirish serveri va quyidagi bo'ysunuvchi rollar:
    • Masofaviy ish stoli xizmatlariga ulanish brokeri;
    • litsenziyalash;
    • virtualizatsiya.

Windows Server Server yadrosi rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • fonda aqlli uzatish xizmati (BITS);
  • BitLocker diskini shifrlash;
  • BitLocker tarmog'ini qulfdan chiqarish;
  • BranchCache
  • ma'lumotlar markazi ko'prigi;
  • Kengaytirilgan saqlash;
  • muvaffaqiyatsiz klasterlash;
  • Ko'p yo'nalishli kiritish-chiqarish;
  • tarmoq yukini muvozanatlash;
  • PNRP protokoli;
  • qWave;
  • masofaviy differentsial siqish;
  • oddiy TCP/IP xizmatlari;
  • HTTP proksi-server orqali RPC;
  • SMTP serveri;
  • SNMP xizmati;
  • Telnet mijozi;
  • Telnet serveri;
  • TFTP mijozi;
  • Windows ichki ma'lumotlar bazasi;
  • Windows PowerShell Internetga kirish;
  • Windows faollashtirish xizmati;
  • standartlashtirilgan Windows saqlash boshqaruvi;
  • IIS WinRM kengaytmasi;
  • WINS serveri;
  • WoW64 qo'llab-quvvatlash.

Server menejeri yordamida server rollarini o'rnatish

Qo'shish uchun Server menejerini oching va Boshqaruv menyusida Rollar va xususiyatlarni qo'shish-ni bosing:

Rollar va xususiyatlarni qo'shish ustasi ochiladi. Keyingiga bosing

O'rnatish turi, Rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingisi:

Serverni tanlash - bizning serverimizni tanlang. Keyingi server rollarini bosing - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun Keyingiga bosing. Ushbu protsedura davomida Rollar va xususiyatlarni qo'shish ustasi belgilangan serverda tanlangan rollar yoki xususiyatlarning o'rnatilishi yoki to'g'ri ishlashiga xalaqit beradigan har qanday ziddiyatlar mavjudligi haqida avtomatik ravishda sizga xabar beradi. Shuningdek, sizdan tanlangan rollar yoki funksiyalar uchun zarur bo'lgan rollar, rol xizmatlari va xususiyatlarni qo'shish taklif etiladi.

PowerShell yordamida rollarni o'rnatish

Windows PowerShell-ni oching Mahalliy serverda mavjud va o'rnatilgan rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va xususiyatlar uchun buyruq nomlarini o'z ichiga oladi.

Install-WindowsFeature (MAN) cmdletining sintaksisi va haqiqiy parametrlarini ko'rish uchun Get-Help Install-WindowsFeature buyrug'ini kiriting.

Quyidagi buyruqni kiriting (-Rolni o'rnatishda qayta ishga tushirish kerak bo'lsa, qayta ishga tushirish serverni qayta ishga tushiradi).

O'rnatish-WindowsFeature -Ism -Qayta ishga tushirish

Rol va rol xizmatlarining tavsifi

Barcha rollar va rol xizmatlari quyida tavsiflanadi. Keling, amaliyotimizdagi eng keng tarqalgan konfiguratsiyani ko'rib chiqaylik: veb-server roli va masofaviy ish stoli xizmatlari

IISning batafsil tavsifi

  • Umumiy HTTP xususiyatlari - Asosiy HTTP komponentlari
    • Standart hujjat - sayt uchun indeks sahifasini o'rnatish imkonini beradi.
    • Kataloglarni ko'rib chiqish - foydalanuvchilarga veb-serverdagi katalog tarkibini ko'rish imkonini beradi. Foydalanuvchilar URL manzilida fayl ko‘rsatmasa va indeks sahifasi o‘chirilgan yoki sozlanmagan bo‘lsa, katalogdagi barcha kataloglar va fayllar ro‘yxatini avtomatik ravishda yaratish uchun kataloglarni ko‘rib chiqishdan foydalaning.
    • HTTP xatolari - brauzerda mijozlarga qaytarilgan xato xabarlarini sozlash imkonini beradi.
    • Statik tarkib - statik tarkibni, masalan, rasmlar yoki html fayllarni joylashtirish imkonini beradi.
    • HTTP qayta yo'naltirish - foydalanuvchi so'rovlarini qayta yo'naltirish uchun yordam beradi.
    • WebDAV Publishing HTTP protokoli yordamida veb-serverdan fayllarni nashr qilish imkonini beradi.
  • Salomatlik va diagnostika xususiyatlari - Diagnostika komponentlari
    • HTTP jurnali ma'lum bir server uchun veb-saytlar faoliyatini qayd qilishni ta'minlaydi.
    • Maxsus jurnallar "an'anaviy" jurnallardan farq qiladigan maxsus jurnallarni yaratishni qo'llab-quvvatlaydi.
    • Logging Tools veb-server jurnallarini boshqarish va umumiy ro'yxatga olish vazifalarini avtomatlashtirish uchun infratuzilmani taqdim etadi.
    • ODBC Logging veb-server faoliyatini ODBC-ga mos keladigan ma'lumotlar bazasida qayd qilishni qo'llab-quvvatlaydigan infratuzilmani taqdim etadi.
    • Request Monitor IIS ishchi jarayonida HTTP so'rovlari haqida ma'lumot to'plash orqali veb-ilovalarning sog'lig'ini kuzatish uchun infratuzilmani taqdim etadi.
    • Tracing veb-ilovalarni diagnostika qilish va muammolarni bartaraf etish uchun asos yaratadi. Muvaffaqiyatsiz so‘rovni kuzatishdan foydalanib, yomon ishlash yoki autentifikatsiyadagi nosozliklar kabi yozib olish qiyin bo‘lgan voqealarni kuzatishingiz mumkin.
  • Ishlash komponentlari veb-server ish faoliyatini oshiradi.
    • Statik tarkibni siqish statik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi
    • Dinamik tarkibni siqish dinamik tarkibni HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi.
  • Xavfsizlik xavfsizligi komponentlari
    • So'rovlarni filtrlash sizga barcha kiruvchi so'rovlarni yozib olish va ularni administrator tomonidan o'rnatilgan qoidalar asosida filtrlash imkonini beradi.
    • Asosiy autentifikatsiya qo'shimcha avtorizatsiyani o'rnatish imkonini beradi
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash - bu sizga sertifikatlarni fayl almashish kabi markazlashtirilgan joyda saqlash imkonini beruvchi xususiyatdir.
    • Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi.
    • Digest Authentication foydalanuvchilarni autentifikatsiya qilish uchun Windows domen boshqaruvchisiga parol xeshini yuborish orqali ishlaydi. Agar sizga odatiy autentifikatsiyadan ko'ra yuqori darajadagi xavfsizlik kerak bo'lsa, Digest autentifikatsiyasidan foydalanishni o'ylab ko'ring
    • IIS Client Certificate Mapping Authentication foydalanuvchilarni autentifikatsiya qilish uchun mijoz sertifikatlaridan foydalanadi. Mijoz sertifikati ishonchli manbadan olingan raqamli identifikatordir.
    • IP va domen cheklovlari so'ralgan IP manzil yoki domen nomi asosida kirishga ruxsat berish/rad etish imkonini beradi.
    • URL avtorizatsiyasi veb-kontentga kirishni cheklovchi qoidalar yaratish imkonini beradi.
    • Windows autentifikatsiyasi Ushbu autentifikatsiya sxemasi Windows domen ma'murlariga foydalanuvchilarni autentifikatsiya qilish uchun domen infratuzilmasidan foydalanish imkonini beradi.
  • Ilovalarni ishlab chiqish xususiyatlari Ilovalarni ishlab chiqish komponentlari
  • FTP serveri
    • FTP xizmati veb-serverga FTP nashrini yoqadi.
    • FTP kengaytirilishi imkoniyatlarini kengaytiruvchi FTP funksiyalarini qo'llab-quvvatlashni o'z ichiga oladi
  • Boshqaruv vositalari
    • IIS boshqaruv konsoli IIS menejerini o'rnatadi, bu sizga grafik interfeys orqali veb-serverni boshqarish imkonini beradi
    • IIS 6.0 boshqaruv muvofiqligi Admin Base Object (ABO) va Active Directory Directory Service Interface (ADSI) API-laridan foydalanadigan ilovalar va skriptlar uchun oldinga muvofiqlikni ta'minlaydi. Bu mavjud IIS 6.0 skriptlarini IIS 8.0 veb-serverida ishlatish imkonini beradi
    • IIS boshqaruv skriptlari va vositalari IIS veb-serverini dasturiy tarzda, buyruq satri oynasidagi buyruqlardan foydalanish yoki skriptlarni ishga tushirish orqali boshqarish uchun infratuzilmani taqdim etadi.
    • Boshqaruv xizmati IIS Manager foydalanuvchi interfeysini sozlash uchun infratuzilmani taqdim etadi.

RDS ning batafsil tavsifi

  • Masofaviy ish stoliga ulanish brokeri - mijoz qurilmasini ish stoli kompyuter seanslari va virtual ish stollariga asoslangan dasturlarga qayta ulashni ta'minlaydi.
  • Masofaviy ish stoli shlyuzi - avtorizatsiya qilingan foydalanuvchilarga korporativ tarmoq yoki Internet orqali virtual ish stollari, RemoteApp dasturlari va seansga asoslangan ish stollariga ulanish imkonini beradi.
  • Masofaviy ish stolini litsenziyalash - RDP litsenziyasini boshqarish vositasi
  • Masofaviy ish stoli sessiyasi xosti - serverga RemoteApp dasturlarini yoki ish stoliga asoslangan seansni joylashtirish imkonini beradi.
  • Masofaviy ish stolini virtualizatsiya qilish xosti - virtual mashinalarda RDP ni sozlash imkonini beradi
  • Masofaviy ish stoli veb-kirish - foydalanuvchilarga Ishga tushirish menyusi yoki veb-brauzer yordamida ish stoli resurslariga ulanish imkonini beradi.

Keling, terminal litsenziyasi serverini o'rnatish va sozlashni ko'rib chiqaylik. Yuqorida rollarni qanday o'rnatish kerakligi tasvirlangan, RDS-ni o'rnatish boshqa rollarni o'rnatishdan farq qilmaydi; Rol xizmatlarida biz Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng, "Terminal xizmatlari" elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita elementga ega: masofaviy ish stoli litsenziyalash uchun diagnostika vositasi bo'lgan RD litsenziyalash diagnostikasi va litsenziyani boshqarish vositasi bo'lgan masofaviy ish stoli litsenziyalash menejeri.

Keling, RD Litsenziyalash Diagnoserni ishga tushiramiz

Bu erda biz hali litsenziyalar mavjud emasligini ko'ramiz, chunki Masofaviy ish stoli sessiyasi xost serveri uchun litsenziyalash rejimi o'rnatilmagan. Litsenziyalash serveri mahalliy guruh siyosatida ko'rsatilgan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'ini ishga tushiring. Mahalliy guruh siyosati muharriri ochiladi. Chapdagi daraxtda yorliqlarni ochamiz:

  • Kompyuter konfiguratsiyasi
  • Ma'muriy shablonlar
  • Windows komponentlari
  • "Masofaviy ish stoli xizmatlari"
  • "Masofaviy ish stoli sessiyasi xosti"
  • "Litsenziyalash"

Parametrlarni oching. Belgilangan masofaviy ish stoli litsenziya serverlaridan foydalaning

Siyosat sozlamalarini tahrirlash oynasida litsenziyalash serverini yoqing (yoqilgan). Keyinchalik, masofaviy ish stoli xizmatlari uchun litsenziyalash serverini aniqlashingiz kerak. Mening misolimda, litsenziyalash serveri bir xil jismoniy serverda joylashgan. Litsenziya serverining tarmoq nomini yoki IP manzilini belgilang va OK tugmasini bosing. Agar siz kelajakda server nomini o'zgartirsangiz, litsenziya serveri xuddi shu bo'limda o'zgartirilishi kerak bo'ladi.

Shundan so'ng, RD Licensing Diagnoser-da siz terminal litsenziya serveri sozlanganligini, lekin yoqilmaganligini ko'rishingiz mumkin. Yoqish uchun masofaviy ish stoli litsenziyalash menejerini ishga tushiring

Faollashtirilmagan holatga ega litsenziyalash serverini tanlang. Faollashtirish uchun uni sichqonchaning o'ng tugmasi bilan bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Keyinchalik, tashkilot haqidagi ma'lumotlarni to'ldiring, shundan so'ng litsenziya serveri faollashadi.

Active Directory sertifikat xizmatlari

AD CS ochiq kalit texnologiyalaridan foydalanadigan dasturiy xavfsizlik tizimlarida qo'llaniladigan raqamli sertifikatlarni chiqarish va boshqarish uchun moslashtirilgan xizmatlarni taqdim etadi. AD CS tomonidan taqdim etilgan raqamli sertifikatlar elektron hujjatlar va xabarlarni shifrlash va raqamli imzolash uchun ishlatilishi mumkin. Ushbu raqamli sertifikatlar tarmoq boʻylab kompyuter, foydalanuvchi va qurilma hisoblarining haqiqiyligini tekshirish uchun ishlatilishi mumkin. Raqamli sertifikatlar quyidagilarni taʼminlash uchun ishlatiladi:

  • shifrlash orqali maxfiylik;
  • raqamli imzolardan foydalangan holda yaxlitlik;
  • sertifikat kalitlarini tarmoqdagi kompyuter, foydalanuvchi va qurilma hisoblari bilan bog‘lash orqali autentifikatsiya.

AD CS foydalanuvchi, qurilma yoki xizmat identifikatorini tegishli shaxsiy kalit bilan bogʻlash orqali xavfsizlikni yaxshilash uchun ishlatilishi mumkin. AD CS tomonidan qo'llab-quvvatlanadigan foydalanishga xavfsiz ko'p maqsadli Internet pochta kengaytmalari (S/MIME), xavfsiz simsiz tarmoqlar, virtual xususiy tarmoqlar (VPN), IPsec, shifrlash fayl tizimi (EFS), smart-kartaga kirish, ma'lumotlarni uzatish xavfsizligi va transport qatlami xavfsizligi protokoli kiradi. SSL/TLS) va raqamli imzolar.

Active Directory domen xizmatlari

Active Directory Domain Services (AD DS) server rolidan foydalanib, siz foydalanuvchilar va resurslarni boshqarish uchun kengaytiriladigan, xavfsiz va boshqariladigan infratuzilmani yaratishingiz mumkin; Shuningdek, siz Microsoft Exchange Server kabi katalogdan xabardor ilovalarni qo'llab-quvvatlashingiz mumkin. Active Directory Domain Services tarmoq resurslari va katalog bilan ishlaydigan dastur ma'lumotlari haqidagi ma'lumotlarni saqlaydigan va boshqaradigan taqsimlangan ma'lumotlar bazasini taqdim etadi. AD DS ni ishga tushiradigan server domen boshqaruvchisi deb ataladi. Administratorlar AD DS dan foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik, ichki o'rnatilgan tuzilmada tartibga solish uchun foydalanishlari mumkin. Ierarxik ichki struktura Active Directory o'rmonini, o'rmon ichidagi domenlarni va har bir domendagi tashkiliy birliklarni o'z ichiga oladi. Xavfsizlik xususiyatlari AD DSga autentifikatsiya va katalogdagi resurslarga kirishni boshqarish shaklida birlashtirilgan. Tarmoqqa bir marta kirish orqali ma'murlar tarmoq bo'ylab katalog ma'lumotlarini va tashkilotni boshqarishi mumkin. Vakolatli tarmoq foydalanuvchilari, shuningdek, tarmoqning istalgan joyida joylashgan resurslarga kirish uchun tarmoqqa bir marta kirishdan foydalanishlari mumkin. Active Directory Domain Services quyidagi qo'shimcha funktsiyalarni taqdim etadi.

  • Qoidalar to'plami - bu katalogdagi ob'ektlar sinflari va atributlarini, ushbu ob'ektlar namunalaridagi cheklovlar va cheklovlarni va ularning nomlari formatini belgilaydigan sxema.
  • Katalogdagi har bir ob'ekt haqida ma'lumotni o'z ichiga olgan global katalog. Foydalanuvchilar va ma'murlar katalogdagi qaysi domenda ular qidirayotgan ma'lumotlardan qat'i nazar, katalog ma'lumotlarini qidirish uchun global katalogdan foydalanishlari mumkin.
  • Tarmoq foydalanuvchilari va ilovalari tomonidan ob'ektlar va ularning xususiyatlari nashr etilishi va joylashishi mumkin bo'lgan so'rov va indekslash mexanizmi.
  • Tarmoq bo'ylab katalog ma'lumotlarini tarqatuvchi replikatsiya xizmati. Domendagi barcha yoziladigan domen kontrollerlari replikatsiyada ishtirok etadilar va o'z domenlari uchun barcha katalog ma'lumotlarining to'liq nusxasini saqlaydilar. Katalog ma'lumotlaridagi har qanday o'zgarishlar domen bo'ylab barcha domen kontrollerlariga takrorlanadi.
  • Operatsiyalar ustasi rollari (shuningdek, moslashuvchan yagona usta operatsiyalari yoki FSMO sifatida ham tanilgan). Operatsion ustalari sifatida ishlaydigan domen kontrollerlari ma'lumotlarning izchilligini ta'minlash va bir-biriga zid bo'lgan katalog yozuvlarini yo'q qilish uchun maxsus vazifalarni bajarish uchun mo'ljallangan.

Active Directory federatsiyasi xizmatlari

AD FS AD FS bilan himoyalangan korxona, federatsiya hamkori yoki bulutdagi ilovalarga kirishi kerak bo‘lgan oxirgi foydalanuvchilarga soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi va vebga asoslangan yagona tizimga kirish (SSO) imkoniyatlarini taqdim etadi. Windows Serverda AD FS quyidagilarni o‘z ichiga oladi: rol xizmati Federatsiya xizmatlari identifikator provayderi (AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etish uchun foydalanuvchilarni autentifikatsiya qiladi) yoki federatsiya provayderi sifatida (boshqa identifikatsiya provayderlarining tokenlarini qo‘llaydi va keyin AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etadi).

Active Directory engil katalog xizmatlari

Active Directory Lightweight Directory Services (AD LDS) LDAP protokoli boʻlib, Active Directory Domain Services bogʻliqligi va domen cheklovlarisiz katalog ilovalari uchun moslashuvchan yordamni taʼminlaydi. AD LDS a'zo yoki mustaqil serverlarda ishga tushirilishi mumkin. Siz mustaqil ravishda boshqariladigan sxemalar bilan bitta serverda AD LDS ning bir nechta nusxalarini ishga tushirishingiz mumkin. AD LDS xizmati rolidan foydalanib, siz domenlar va o'rmonlarsiz va bitta o'rmon bo'ylab sxemani talab qilmasdan katalogdan xabardor ilovalarga katalog xizmatlarini taqdim etishingiz mumkin.

Active Directory huquqlarini boshqarish xizmatlari

AD RMS axborot huquqlarini boshqarish (IRM) yordamida hujjatlarni himoya qilish orqali tashkilotning xavfsizlik strategiyasini yaxshilash uchun ishlatilishi mumkin. AD RMS foydalanuvchilar va administratorlarga IRM siyosatlaridan foydalangan holda hujjatlar, ish kitoblari va taqdimotlarga kirish ruxsatlarini belgilash imkonini beradi. Bu maxfiy ma'lumotlarni ruxsatsiz foydalanuvchilar tomonidan chop etish, yuborish yoki nusxalashdan himoya qilishga yordam beradi. Fayl ruxsatlari IRM yordamida cheklangandan so'ng, kirish va foydalanish cheklovlari ma'lumotlarning joylashgan joyidan qat'iy nazar amalga oshiriladi, chunki fayl ruxsati hujjat faylining o'zida saqlanadi. AD RMS va IRM bilan individual foydalanuvchilar shaxsiy va maxfiy ma'lumotlarni almashish bo'yicha o'zlarining shaxsiy imtiyozlarini qo'llashlari mumkin. Shuningdek, ular tashkilotga maxfiy va shaxsiy ma'lumotlardan foydalanish va tarqatishni boshqarish uchun korporativ siyosatni qo'llashda yordam beradi. AD RMS xizmatlari tomonidan qo'llab-quvvatlanadigan IRM yechimlari quyidagi imkoniyatlarni ta'minlash uchun ishlatiladi.

  • Doimiy foydalanish siyosati maʼlumotlarning koʻchirilishi, joʻnatilishi yoki uzatilishidan qatʼi nazar, saqlanib qoladi.
  • Hisobotlar, mahsulot spetsifikatsiyalari, mijozlar ma'lumotlari va elektron pochta xabarlari kabi maxfiy ma'lumotlarni noto'g'ri qo'llarga ataylab yoki tasodifan tushib qolishdan himoya qilish uchun qo'shimcha maxfiylik qatlami.
  • Ruxsat etilgan qabul qiluvchilarni ruxsatsiz yo'naltirish, nusxa ko'chirish, o'zgartirish, chop etish, faks yuborish yoki cheklangan kontentni joylashtirishni oldini oling.
  • Microsoft Windows tizimidagi PRINT SCREEN funksiyasidan foydalanib, cheklangan kontentdan nusxa olishni oldini oling.
  • Hujjatlarning mazmunini ma'lum vaqtdan keyin ko'rishni oldini oladigan faylning amal qilish muddatini qo'llab-quvvatlash.
  • Tashkilot ichida kontentdan foydalanish va tarqatishni tartibga soluvchi korxona siyosatini amalga oshirish

Ilovalar serveri

Ilovalar serveri shaxsiy serverga asoslangan biznes ilovalarini joylashtirish va ishga tushirish uchun integratsiyalashgan muhitni ta'minlaydi.

DHCP serveri

DHCP - mijoz-server texnologiyasi bo'lib, unda DHCP serverlari DHCP mijozlari bo'lgan kompyuterlar va boshqa qurilmalarga IP manzillarini belgilashi yoki ijaraga olishi mumkin. DHCP serverlarini tarmoqqa o'rnatish avtomatik ravishda IPv4 va IPv6 haqiqiy IP manzillariga asoslangan mijoz kompyuterlari va boshqa tarmoq qurilmalarini ta'minlaydi. ushbu mijozlar va qurilmalar uchun zarur bo'lgan qo'shimcha konfiguratsiya parametrlari Windows Serverdagi DHCP Server xizmati siyosatga asoslangan topshiriqlarni qo'llab-quvvatlashni va DHCP nosozliklarini hal qilishni o'z ichiga oladi.

DNS serveri

DNS xizmati ierarxik, taqsimlangan ma'lumotlar bazasi bo'lib, DNS domen nomlarini har xil turdagi ma'lumotlarga, masalan, IP manzillariga moslashtirishni o'z ichiga oladi. DNS TCP/IP-ga asoslangan tarmoqlarda kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi qulay nomlardan foydalanish imkonini beradi. Windows Server DNS DNS Security Extensions (DNSSEC) uchun qoʻshimcha, kengaytirilgan yordamni, jumladan, onlayn roʻyxatdan oʻtish va avtomatik sozlamalarni boshqarishni taʼminlaydi.

FAKS serveri

Faks serveri fakslarni yuboradi va qabul qiladi, shuningdek, faks serveringizdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkoniyatini beradi.

Fayl va saqlash xizmatlari

Administratorlar Fayl va saqlash xizmatlari rolidan bir nechta fayl serverlari va ularni saqlashni sozlash va Server menejeri yoki Windows PowerShell yordamida ushbu serverlarni boshqarish uchun foydalanishlari mumkin. Ba'zi maxsus ilovalar quyidagi xususiyatlarni o'z ichiga oladi.

  • Ish papkalari. Foydalanuvchilarga shaxsiy kompyuterlar va korporativ shaxsiy kompyuterlardan boshqa qurilmalarda ish fayllarini saqlash va ularga kirishga ruxsat berish uchun foydalaning. Foydalanuvchilar ish fayllarini saqlash va ularga istalgan joydan kirish uchun qulay joy oladi. Tashkilotlar markazlashtirilgan boshqariladigan fayl serverlarida fayllarni saqlash va ixtiyoriy ravishda foydalanuvchi qurilmasi siyosatlarini (masalan, shifrlash va ekran qulfi parollari) oʻrnatish orqali korporativ maʼlumotlarni nazorat qiladi.
  • Ma'lumotlarni takrorlash. Fayllarni saqlash uchun disk maydoni talablarini kamaytirish, saqlash xarajatlarini tejash uchun foydalaning.
  • iSCSI maqsadli serveri. Saqlash maydoni tarmoqlarida (SAN) markazlashtirilgan, dasturiy va apparatdan mustaqil iSCSI disk quyi tizimlarini yaratish uchun foydalaning.
  • Disk bo'shliqlari. Tejamkor, sanoat standartidagi disklar yordamida bardoshli va kengaytiriladigan yuqori darajada mavjud xotirani joylashtirish uchun foydalaning.
  • Server menejeri. Bir oynadan bir nechta fayl serverlarini masofadan boshqarish uchun foydalaning.
  • Windows PowerShell. Ko'pgina fayl serverlarini boshqarish vazifalarini boshqarishni avtomatlashtirish uchun foydalaning.

Hyper-V

Hyper-V roli Windows Serverga o'rnatilgan virtualizatsiya texnologiyasidan foydalangan holda virtuallashtirilgan hisoblash muhitini yaratish va boshqarish imkonini beradi. Hyper-V rolini o'rnatish old shartlarni va ixtiyoriy boshqaruv vositalarini o'rnatadi. Kerakli komponentlarga Windows gipervisor, boshqaruv xizmati kiradi virtual mashinalar Hyper-V, WMI virtualizatsiya provayderi va VMbus, virtualizatsiya xizmati provayderi (VSP) va virtual infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari.

Tarmoq siyosati va kirish xizmatlari

Tarmoq siyosati va kirish xizmatlari tarmoq ulanishlari uchun quyidagi echimlarni taqdim etadi:

  • Tarmoqqa kirishni himoya qilish - bu mijozning sog'lig'i siyosatini yaratish, qo'llash va tuzatish texnologiyasi. Tarmoqqa kirishni himoya qilish bilan tizim ma'murlari dasturiy ta'minot talablari, xavfsizlik yangilanishlari va boshqa sozlamalarni o'z ichiga olgan sog'liqni saqlash siyosatlarini o'rnatishi va avtomatik ravishda amalga oshirishi mumkin. Sog'liqni saqlash siyosati talablariga javob bermaydigan mijoz kompyuterlari ularning konfiguratsiyasi sog'liqni saqlash siyosati talablariga javob berish uchun yangilanmaguncha tarmoqqa kirishlari cheklanishi mumkin.
  • Agar siz 802.1X-ni yoqadigan simsiz ulanish nuqtalarini o'rnatgan bo'lsangiz, parolga asoslangan autentifikatsiyadan ko'ra xavfsizroq bo'lgan sertifikatga asoslangan autentifikatsiya usullarini qo'llash uchun Network Policy Server (NPS) dan foydalanishingiz mumkin. 802.1X-ni qo'llab-quvvatlaydigan uskunani NPS serveri bilan o'rnatish intranet foydalanuvchilariga tarmoqqa ulanishdan yoki DHCP serveridan IP-manzilni olishdan oldin autentifikatsiya qilish imkonini beradi.
  • Har bir tarmoqqa kirish serverida tarmoqqa kirish siyosatini sozlash o'rniga, siz tarmoqqa ulanish so'rovlarining barcha jihatlarini (kim ulanishi mumkin, ulanishga ruxsat berilganda, tarmoqqa ulanish uchun ishlatilishi kerak bo'lgan xavfsizlik darajasini) belgilaydigan barcha siyosatlarni markazlashtirilgan tarzda yaratishingiz mumkin. tarmoq).

Chop etish va hujjat xizmatlari

Chop etish va hujjat xizmatlari chop etish serveri va tarmoq printeri vazifalarini markazlashtirish imkonini beradi. Bu rol, shuningdek, tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va hujjatlarni Windows SharePoint Services sayti yoki elektron pochta orqali tarmoq ulushlariga yuklash imkonini beradi.

Masofaviy kirish

Masofaviy kirish serverining roli quyidagi tarmoqqa kirish texnologiyalarining mantiqiy guruhlanishidir.

  • DirectAccess
  • Marshrutlash va masofadan kirish
  • Veb-ilova proksi

Bu texnologiyalar rol xizmatlari Masofaviy kirish server rollari. Masofaviy kirish serveri rolini o'rnatganingizda, Rollar va xususiyatlarni qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin.

Windows Serverda Masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN-ni marshrutlash va masofaviy kirish xizmati (RRAS) bilan markazlashtirilgan tarzda boshqarish, sozlash va nazorat qilish imkoniyatini beradi. DirectAccess va RRAS bir xil chekka serverda joylashtirilishi va Windows PowerShell buyruqlari va masofaviy kirishni boshqarish konsoli (MMC) yordamida boshqarilishi mumkin.

Masofaviy ish stoli xizmatlari

Masofaviy ish stoli xizmatlari har qanday qurilmada ish stoli va ilovalarni joylashtirishni tezlashtiradi va kengaytiradi, masofaviy ishchilar unumdorligini oshiradi, shu bilan birga muhim intellektual mulkni himoya qiladi va tartibga solish talablariga rioya qilishni soddalashtiradi. Masofaviy ish stoli xizmatlari foydalanuvchilarga istalgan joydan ishlash imkoniyatini beruvchi virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ilovalarni o'z ichiga oladi.

Ovozni faollashtirish xizmatlari

Volume Activation Services - Windows Server 2012 da boshlangan Windows Serverdagi server roli bo'lib, u turli stsenariylar va muhitlarda Microsoft dasturiy ta'minoti uchun hajmli litsenziyalarni berish va boshqarishni avtomatlashtiradi va soddalashtiradi. Volume Activation Services bilan bir qatorda siz Key Management Service (KMS) va Active Directory faollashtirishni o'rnatishingiz va sozlashingiz mumkin.

Veb-server (IIS)

Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va ilovalarni joylashtirish uchun platformani ta'minlaydi. Veb-serverdan foydalanish foydalanuvchilarga Internet, intranet va extranetdagi ma'lumotlarni taqdim etadi. Administratorlar bir nechta veb-saytlar, veb-ilovalar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolidan foydalanishlari mumkin. Maxsus imkoniyatlarga quyidagilar kiradi.

  • IIS komponentlarini sozlash va veb-saytlarni boshqarish uchun Internet Information Services Manager-dan foydalaning.
  • Veb-sayt egalariga fayllarni yuborish va yuklab olish imkonini berish uchun FTP dan foydalanadi.
  • Serverdagi bitta veb-sayt boshqalarga ta'sir qilishining oldini olish uchun veb-sayt izolyatsiyasidan foydalaning.
  • Klassik ASP, ASP.NET va PHP kabi turli texnologiyalar yordamida ishlab chiqilgan veb-ilovalarni moslashtirish.
  • Ko'pgina veb-server boshqaruv vazifalarini avtomatik ravishda boshqarish uchun Windows PowerShell-dan foydalaning.
  • Bir nechta veb-serverlarni IIS yordamida boshqarish mumkin bo'lgan server fermasiga birlashtiring.

Windows tarqatish xizmatlari

Windows Deployment Services Windows operatsion tizimlarini tarmoq orqali joylashtirish imkonini beradi, ya'ni har bir operatsion tizimni CD yoki DVD dan to'g'ridan-to'g'ri o'rnatishingiz shart emas.

Windows Server Essentials tajribasi

Ushbu rol sizga quyidagi vazifalarni hal qilishga imkon beradi:

  • server va tarmoqdagi barcha mijoz kompyuterlarining zaxira nusxalarini yaratish orqali server va mijoz ma'lumotlarini himoya qilish;
  • soddalashtirilgan server boshqaruv paneli orqali foydalanuvchilar va foydalanuvchilar guruhlarini boshqarish. Bundan tashqari, Windows Azure Active Directory bilan integratsiya * foydalanuvchilarga o'z domen ma'lumotlaridan foydalangan holda onlayn Microsoft Onlayn xizmatlariga (masalan, Office 365, Exchange Online va SharePoint Online) oson kirishni ta'minlaydi;
  • kompaniya ma'lumotlarini markazlashtirilgan joyda saqlash;
  • serverni Microsoft Online xizmatlari bilan integratsiyalash (masalan, Office 365, Exchange Online, SharePoint Online va Windows Intune):
  • Serverga, tarmoq kompyuterlariga va yuqori darajadagi xavfsizlik bilan uzoq joylardan ma'lumotlarga kirish uchun serverda hamma joyda mavjud bo'lgan kirish imkoniyatlaridan foydalaning (masalan, masofaviy veb-kirish va virtual xususiy tarmoqlar);
  • tashkilotning o'z veb-portalidan foydalangan holda istalgan joydan va istalgan qurilmadan ma'lumotlarga kirish (uzoqdan veb-kirish orqali);
  • Boshqarish panelidagi Active Sync protokoli orqali Office 365 yordamida tashkilotingiz elektron pochtasiga kiradigan mobil qurilmalarni boshqaring;
  • Tarmoq sog'lig'ini kuzatib boring va shaxsiy sog'liq hisobotlarini oling; hisobotlar so'rov bo'yicha yaratilishi, moslashtirilishi va muayyan qabul qiluvchilarga elektron pochta orqali yuborilishi mumkin.

Windows Server yangilash xizmatlari

WSUS serveri ma'murlar boshqaruv konsoli orqali yangilanishlarni boshqarish va tarqatish uchun kerak bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlari uchun yangilanishlar manbai bo'lishi mumkin. WSUS-ni qo'llaganingizda, mavjud yangilanishlar haqida ma'lumot olish uchun tarmog'ingizdagi kamida bitta WSUS serveri Microsoft Update-ga ulangan bo'lishi kerak. Tarmoq xavfsizligi va konfiguratsiyasiga qarab, administratoringiz Microsoft Update-ga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin.

Kirish

Korxonada kompyuterlar sonining ko'payishi bilan uni boshqarish va texnik xizmat ko'rsatish xarajatlari masalasi tobora keskinlashmoqda. Qo'lda sozlash kompyuterlar ko'p xodimlar vaqtini va kuchlarini talab qiladi, kompyuterlar sonining ko'payishi bilan ularga xizmat ko'rsatadigan xodimlar sonini ko'paytirish. Bundan tashqari, ko'p sonli mashinalar bilan korxona tomonidan qabul qilingan moslashtirish standartlariga muvofiqligini ta'minlash tobora qiyinlashib bormoqda. Guruh siyosati keng qamrovli vositadir markazlashtirilgan boshqaruv Active Directory domenida Windows 2000 va undan yuqori versiyalarda ishlaydigan kompyuterlar. Guruh siyosatlari Windows NT4/9x bilan ishlaydigan kompyuterlarga taalluqli emas: ular tizim siyosati tomonidan boshqariladi, bu maqolada muhokama qilinmaydi.

Guruh siyosati ob'ektlari

Guruh siyosati doirasida yaratgan barcha sozlamalar Guruh siyosati obyektlarida (GPO) saqlanadi. GPO ning ikki turi mavjud: mahalliy GPO va Active Directory GPO. Mahalliy guruh siyosati obyekti Windows 2000 va undan keyingi versiyalarda ishlovchi kompyuterlarda mavjud. Faqat bitta bo'lishi mumkin va u domen bo'lmagan kompyuterda bo'lishi mumkin bo'lgan yagona GPO.

Guruh siyosati ob'ekti - Active Directory ma'lumotlar bazasidagi fayllar, kataloglar va yozuvlar to'plamining umumiy nomi (agar u mahalliy ob'ekt bo'lmasa), u sizning sozlamalaringizni saqlaydi va Guruh siyosati yordamida qanday boshqa sozlamalarni o'zgartirishingiz mumkinligini aniqlaydi. Siyosat yaratganingizda, siz GPO ni yaratasiz va o'zgartirasiz. Mahalliy GPO %SystemRoot%\System32\GroupPolicy-da saqlanadi. Active Directory GPO'lari domen boshqaruvchisida saqlanadi va ular sayt, domen yoki OU (tashkiliy birlik) bilan bog'lanishi mumkin. Ob'ektning bog'lanishi uning qamrovini belgilaydi. Odatiy bo'lib, domenda ikkita GPO yaratiladi: standart domen siyosati va standart domen tekshiruvi siyosati. Birinchisi domendagi parollar va hisoblar uchun standart siyosatni belgilaydi. Ikkinchisi Domen Controllers OU bilan bog'lanadi va domen kontrollerlari uchun xavfsizlik sozlamalarini yaxshilaydi.

GPO yarating

Siyosat yaratish uchun (ya'ni, yangi guruh siyosati ob'ektini yaratish) Active Directory Users & Computers-ni oching va yangi ob'ektni yaratish joyini tanlang. Siz faqat GPO yaratishingiz va sayt, domen yoki OU obyektiga bog'lashingiz mumkin.

Guruch. 1. Guruh siyosati obyektini yarating.

GPO yaratish va uni, masalan, testerlar OU bilan bog'lash uchun ushbu OU-ni o'ng tugmasini bosing va kontekst menyusida xususiyatlarni tanlang. Ochilgan xususiyatlar oynasida Guruh siyosati yorlig'ini oching va Yangi tugmasini bosing.

Guruch. 2. Guruh siyosati obyektini yarating.

Biz GP ob'ektiga nom beramiz, shundan so'ng ob'ekt yaratiladi va biz siyosatni sozlashni boshlashimiz mumkin. Yaratilgan ob'ektni ikki marta bosing yoki Tahrirlash tugmasini bosing, GPO muharriri oynasi ochiladi, bu erda siz ob'ektning muayyan parametrlarini sozlashingiz mumkin.

Guruch. 3. Kengaytirilgan yorlig'idagi sozlamalar tavsifi.

Asosiy sozlamalarning aksariyati intuitivdir (shuningdek, agar siz Kengaytirilgan yorlig'ini ochsangiz, tavsifga ega bo'lasiz) va biz ularning har biri haqida batafsil ma'lumot bermaymiz. Shakldan ko'rinib turibdiki. 3, GPO ikki bo'limdan iborat: Kompyuter konfiguratsiyasi va foydalanuvchi konfiguratsiyasi. Birinchi bo'lim sozlamalari Windows yuklash vaqtida ushbu konteynerdagi va undan pastdagi kompyuterlarga qo'llaniladi (agar meros o'chirilgan bo'lsa) va qaysi foydalanuvchi tizimga kirganiga bog'liq emas. Ikkinchi bo'limdagi sozlamalar foydalanuvchi kirish vaqtida qo'llaniladi.

Guruh siyosati ob'ektlarini qanday qo'llash kerak

Kompyuter ishga tushganda quyidagi harakatlar sodir bo'ladi:

1. Ro'yxatga olish kitobi o'qiladi va kompyuter qaysi saytga tegishli ekanligi aniqlanadi. So'rov yuboriladi DNS server ushbu saytda joylashgan domen kontrollerlarining IP manzillarini olish uchun.
2. Manzillarni olgach, kompyuter domen boshqaruvchisiga ulanadi.
3. Mijoz domen boshqaruvchisidan GP ob'ektlari ro'yxatini so'raydi va ularni qo'llaydi. Ikkinchisi GP ob'ektlari ro'yxatini ular qo'llanilishi kerak bo'lgan tartibda yuboradi.
4. Foydalanuvchi tizimga kirganda, kompyuter yana foydalanuvchiga qo'llash uchun GP ob'ektlari ro'yxatini so'raydi, ularni oladi va qo'llaydi.

Guruh siyosatlari OS yuklanganda va foydalanuvchi tizimga kirganda qo'llaniladi. Mijozlardan bir vaqtning o'zida ko'plab so'rovlar bo'lsa, domen tekshiruvi haddan tashqari yuklanmasligini ta'minlash uchun ular har 90 daqiqada qo'llaniladi va 30 daqiqa o'zgaradi. Domen kontrollerlari uchun yangilanish oralig'i 5 minut. Ushbu xatti-harakatni Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Grup siyosati bo'limida o'zgartirishingiz mumkin. GPO faqat kompyuter va foydalanuvchi ob'ektlariga ta'sir qilishi mumkin. Siyosat faqat GPO bog'langan katalog ob'ektida (sayt, domen, tashkiliy birlik) joylashgan va "daraxtda" pastroqda joylashgan ob'ektlarga nisbatan qo'llaniladi (agar meros taqiqlanmagan bo'lsa). Masalan: OU testerlarida GPO yaratiladi (yuqorida qilganimizdek).

Guruch. 4. Sozlamalarni meros qilib olish.

Ushbu GPO da qilingan barcha sozlamalar faqat testerlar OU va InTesters OU da joylashgan foydalanuvchilar va kompyuterlarga ta'sir qiladi. Keling, misol yordamida siyosatlarni qo'llash tartibini ko'rib chiqaylik. Testerlar OUda joylashgan test foydalanuvchisi compOU OUda joylashgan komputer kompyuteriga kiradi (5-rasmga qarang).

Guruch. 5. Siyosatlarni qo'llash tartibi.

Domenda to'rtta GPO mavjud:

1. Sayt konteyneri bilan bog'langan SitePolicy;
2. Domen konteyneri bilan bog'liq standart domen siyosati;
3. Siyosat1, OU testerlari bilan bog'liq;
4. OU compOU bilan bog'langan siyosat 2.

Da Windowsni yuklash komp ish stantsiyasida Kompyuter konfiguratsiyasi bo'limlarida belgilangan parametrlar quyidagi tartibda qo'llaniladi:

1. Mahalliy GPO sozlamalari;
2. GPO SitePolicy sozlamalari;

4. GPO Policy2 sozlamalari.

Foydalanuvchi testi foydalanuvchi konfiguratsiyasi bo'limlarida belgilangan kompyuter kompilyatsiyasi parametrlariga kirganda:

1. Mahalliy GPO sozlamalari;
2. GPO SitePolicy sozlamalari;
3. GPO standart domen siyosati parametrlari;
4. GPO Policy1 sozlamalari.

Ya'ni, GPOlar quyidagi tartibda qo'llaniladi: mahalliy siyosat, sayt darajasidagi siyosatlar, domen darajasidagi siyosatlar, OU darajasidagi siyosatlar.

Guruh siyosatlari Windows XP mijozlariga asinxron, lekin Windows 2000 mijozlariga sinxron qo'llaniladi, ya'ni foydalanuvchining tizimga kirish ekrani barcha kompyuter siyosatlari qo'llanilgandan keyingina paydo bo'ladi va foydalanuvchi siyosatlari ish stoli paydo bo'lishidan oldin qo'llaniladi. Asinxron siyosatni tatbiq qilish degani, foydalanuvchining kirish ekrani kompyuterning barcha siyosatlari qoʻllanilishidan oldin, ish stoli esa foydalanuvchining barcha siyosatlari qoʻllanilishidan oldin paydo boʻladi, natijada foydalanuvchi uchun tezroq yuklash va tizimga kirish vaqtlari paydo boʻladi.
Yuqorida tavsiflangan xatti-harakatlar ikki holatda o'zgaradi. Birinchisi, mijozning kompyuteri sekin tarmoq ulanishini aniqladi. Odatiy bo'lib, bu holatda faqat xavfsizlik sozlamalari va ma'muriy shablonlar qo'llaniladi. O'tkazish qobiliyati 500 Kb/sek dan kam bo'lgan ulanish sekin hisoblanadi. Siz ushbu qiymatni Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Group Policy\Group Policy sekin havolani aniqlashda o'zgartirishingiz mumkin. Shuningdek, Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Guruh siyosati bo'limida siz ba'zi boshqa siyosat sozlamalarini sekin ulanish orqali qayta ishlanishi uchun sozlashingiz mumkin. Siyosatlarni qo'llash tartibini o'zgartirishning ikkinchi usuli - bu foydalanuvchi guruhi siyosatini qayta ishlash variantidir. Ushbu parametr foydalanuvchi siyosatlari kompyuter siyosatlaridan keyin qo'llaniladigan va ikkinchisining ustiga yoziladigan siyosatlarni qo'llashning standart tartibini o'zgartiradi. Qayta tiklash opsiyasini shunday sozlashingiz mumkinki, mashina siyosatlari foydalanuvchi siyosatlaridan keyin qo‘llaniladi va mashina siyosatlariga zid bo‘lgan har qanday foydalanuvchi siyosatlarining ustiga yozish mumkin. Loopback parametri ikkita rejimga ega:

1. Birlashtirish - avval kompyuter siyosati, keyin foydalanuvchi siyosati va yana kompyuter siyosati qo'llaniladi. Bunday holda, kompyuter siyosati unga zid bo'lgan foydalanuvchi siyosati sozlamalarini o'zi bilan almashtiradi.
2. O'zgartirish (almashtirish) - foydalanuvchi siyosati qayta ishlanmagan.

Foydalanuvchilar guruhi siyosatini qayta ishlash opsiyasidan foydalanish misoli umumiy kompyuterda bo'lishi mumkin, u erda qaysi foydalanuvchi foydalanayotganidan qat'iy nazar bir xil cheklangan sozlamalarga ega bo'lishni xohlaysiz.

Ustuvorlik, meros va nizolarni hal qilish

Siz sezganingizdek, GPO barcha darajalarda bir xil sozlamalarni o'z ichiga oladi va bir xil sozlama bir necha darajalarda turlicha belgilanishi mumkin. Bunday holda, samarali qiymat oxirgi qo'llaniladigan qiymat bo'ladi (GPO'larni qo'llash tartibi yuqorida muhokama qilingan). Ushbu qoida konfiguratsiya qilinmagan deb belgilanganlardan tashqari barcha parametrlar uchun amal qiladi. Bular uchun Windows sozlamalari hech qanday chora ko'rmaydi. Ammo bitta istisno mavjud: barcha hisob va parol sozlamalari faqat domen darajasida aniqlanishi mumkin; boshqa darajalarda bu sozlamalar e'tiborga olinmaydi.

Guruch. 6. Active Directory foydalanuvchilari va kompyuterlari.

Agar bir xil darajada bir nechta GPO mavjud bo'lsa, ular pastdan yuqoriga qo'llaniladi. Roʻyxatdagi siyosat obʼyektining oʻrnini oʻzgartirib (yuqoriga va pastga tugmalaridan foydalanib) siz dasturning kerakli tartibini tanlashingiz mumkin.

Guruch. 7. Siyosatlarni qo'llash tartibi.

Ba'zan siz ma'lum bir OU yuqori oqim konteynerlari bilan bog'langan GPO'lardan siyosat sozlamalarini olmasligini xohlaysiz. Bunday holda, siyosat merosini blokirovka qilish katagiga belgi qo'yish orqali siyosat merosini taqiqlashingiz kerak. Barcha meros qilib olingan siyosat sozlamalari bloklangan va individual sozlamalarni bloklashning hech qanday usuli yo'q. Parol siyosati va hisob siyosatini belgilaydigan domen darajasidagi sozlamalarni bloklab bo‘lmaydi.

Guruch. 9. Siyosatlarning merosini bloklash.

Agar ma'lum bir GPO-dagi ba'zi sozlamalar qayta yozilmasligini istasangiz, kerakli GPO-ni tanlashingiz kerak, "Options" tugmasini bosing va No Override-ni tanlang. Bu parametr siyosat merosi bloklangan joylarda GPO sozlamalarini qo‘llashga majbur qiladi. No Override GPO ning oʻzida emas, balki katalog obyekti bilan bogʻlangan joyda oʻrnatilmagan. Agar GPO domendagi bir nechta konteynerlar bilan bog'langan bo'lsa, qolgan assotsiatsiyalarda bu sozlama avtomatik ravishda sozlanmaydi. Agar bir xil darajadagi bir nechta havolalar uchun No Override sozlangan bo'lsa, ro'yxatning yuqori qismidagi GPO ustunlikka ega bo'ladi (va ta'sir qiladi). Biroq, agar turli darajadagi bir nechta GPO uchun No Override sozlamalari sozlangan bo'lsa, katalog ierarxiyasida yuqoriroq GPO sozlamalari kuchga kiradi. Ya'ni, agar GPO-to-domen ob'ektlari assotsiatsiyasi va OU-to-GPO assotsiatsiyasi uchun hech qanday bekor qilish parametrlari sozlanmagan bo'lsa, domen darajasida belgilangan sozlamalar kuchga kiradi. O'chirilgan belgilash katakchasi ushbu GPO ning ushbu konteynerga ta'sirini bekor qiladi.

Guruch. 10. No Override va Disabled opsiyalari.

Yuqorida aytib o'tilganidek, siyosatlar faqat foydalanuvchilar va kompyuterlarga ta'sir qiladi. Ko'pincha savol tug'iladi: "qanday qilib ma'lum bir xavfsizlik guruhiga mansub barcha foydalanuvchilarga ma'lum siyosatni qo'llashim mumkin?" Buning uchun GPO domen ob'ektiga (yoki barcha foydalanuvchi ob'ektlarini o'z ichiga olgan konteynerlar yoki OUlar ustidagi har qanday konteyner) bog'langan. kerakli guruh) va kirish sozlamalari sozlangan. "Xavfsizlik" yorlig'ida "Xususiyatlar" ni bosing, "Autentifikatsiya qilingan foydalanuvchilar" guruhini o'chiring va guruh siyosatini o'qish va qo'llash huquqlari bilan kerakli guruhni qo'shing.

Foydalanuvchi kompyuteriga tegishli sozlamalarni aniqlash

Yakuniy konfiguratsiyani aniqlash va muammolarni aniqlash uchun ma'lum bir foydalanuvchi yoki kompyuter uchun qanday siyosat sozlamalari amalda ekanligini bilishingiz kerak bo'ladi. Buning uchun Resultant Set of Policy (RSoP) deb nomlangan vosita mavjud. RSoP ham ro'yxatga olish, ham rejalashtirish rejimlarida ishlashi mumkin. RSoP-ga qo'ng'iroq qilish uchun siz "foydalanuvchi" yoki "kompyuter" ob'ektini o'ng tugmasini bosib, "Barcha vazifalar" ni tanlashingiz kerak.

Guruch. 11. Siyosatning natija to'plamini chaqirish.

Ishga tushirilgandan so'ng (tizimga kirish rejimida) sizdan qaysi kompyuter va foydalanuvchi uchun o'rnatilgan natijani aniqlashni tanlash so'raladi va natijada qaysi GPO qaysi sozlamani qo'llaganligini ko'rsatadigan sozlamalar oynasi paydo bo'ladi.

Guruch. 12. Siyosatning natijasi to'plami.

Boshqa guruh siyosatini boshqarish vositalari

GPresult - bu RSoP ning ba'zi funksiyalarini ta'minlovchi buyruq qatori vositasi. GPresult sukut bo'yicha Windows XP va Windows Server 2003 o'rnatilgan barcha kompyuterlarda mavjud.

GPUpdate mahalliy va Active Directory asosidagi guruh siyosatlarini qo'llashga majbur qiladi. Windows XP/2003 da u Windows 2000 uchun secedit vositasidagi /refreshpolicy opsiyasini almashtirdi.

Buyruqlar sintaksisining tavsifi ularni /? kaliti bilan ishga tushirganda mavjud.

Xulosa o'rniga

Ushbu maqola guruh siyosatlari bilan ishlashning barcha jihatlarini tushuntirish uchun mo'ljallanmagan; u tajribali tizim ma'murlariga mo'ljallangan emas. Yuqorida aytilganlarning barchasi, mening fikrimcha, siyosatchilar bilan hech qachon ishlamagan yoki ularni endigina o'zlashtira boshlaganlar uchun ular bilan ishlashning asosiy tamoyillarini tushunishga yordam berishi kerak.

GPresult yordam dasturi.exe- bu Active Directory domenidagi kompyuter va/yoki foydalanuvchiga qo'llaniladigan sozlamalarni tahlil qilish va guruh siyosatlarini tashxislash uchun mo'ljallangan konsol ilovasi. Xususan, GPresult natijada olingan siyosatlar to‘plamidan (Natijalar to‘plami, RSOP), qo‘llaniladigan domen siyosatlari ro‘yxatidan (GPO), ularning sozlamalaridan va ularni qayta ishlashdagi xatolar haqida batafsil ma’lumot olish imkonini beradi. Yordamchi dastur Windows XP dan beri Windows operatsion tizimining bir qismi bo'lib kelgan. GPresult yordam dasturi quyidagi savollarga javob berishga imkon beradi: GPO u yoki bu Windows sozlamalarini o'zgartirgan kompyuterga ma'lum bir siyosat qo'llaniladimi va sabablarini tushuning.

Ushbu maqolada biz Active Directory domenida guruh siyosatlarining qo'llanilishini diagnostika qilish va disk raskadrovka qilish uchun GPResult buyrug'idan foydalanish xususiyatlarini ko'rib chiqamiz.

Dastlab, Windows-da guruh siyosatlarining qo'llanilishini diagnostika qilish uchun RSOP.msc grafik konsoli ishlatilgan, bu esa kompyuterga va foydalanuvchiga o'xshash grafik shaklda qo'llaniladigan natija siyosatlarining (domen + mahalliy) sozlamalarini olish imkonini berdi. GPO muharriri konsoliga (siz quyida RSOP.msc konsol ko'rinishi misolida yangilanish sozlamalari o'rnatilganligini ko'rishingiz mumkin).

Biroq, Windowsning zamonaviy versiyalarida RSOP.msc konsolidan foydalanish tavsiya etilmaydi, chunki u GPP (Guruh siyosati afzalliklari) kabi turli mijoz kengaytmalari (CSE) tomonidan qo'llaniladigan sozlamalarni aks ettirmaydi, qidiruvga ruxsat bermaydi va diagnostika ma'lumotlarini kam ta'minlaydi. Shuning uchun, hozirgi vaqtda GPresult buyrug'i Windows-da GPO-dan foydalanishni diagnostika qilishning asosiy vositasidir (Windows 10-da, GPresult-dan farqli o'laroq, RSOP to'liq hisobotni taqdim etmasligi haqida ogohlantirish paydo bo'ladi).

GPresult.exe yordam dasturidan foydalanish

GPresult buyrug'i siz guruh siyosatlarining qo'llanilishini tekshirmoqchi bo'lgan kompyuterda ishga tushiriladi. GPresult buyrug'i quyidagi sintaksisga ega:

GPRESULT ]] [(/X | /H) ]

Berilgan AD ob'ektiga (foydalanuvchi va kompyuter) qo'llaniladigan guruh siyosatlari va GPO infratuzilmasi bilan bog'liq boshqa sozlamalar (ya'ni, natijada GPO siyosati sozlamalari - RsoP) haqida batafsil ma'lumot olish uchun buyruqni bajaring:

Buyruqning natijalari 2 bo'limga bo'lingan:

  • KOMPYUTER SOZLAMALAR (Kompyuter konfiguratsiyasi) - bo'limda kompyuterda ishlaydigan GPO ob'ektlari haqidagi ma'lumotlar mavjud (Active Directory ob'ekti sifatida);
  • USER SOZLAMALAR – foydalanuvchi siyosati boʻlimi (ADdagi foydalanuvchi hisobiga qoʻllaniladigan siyosatlar).

Keling, GPresult chiqishida bizni qiziqtirishi mumkin bo'lgan asosiy parametrlar/bo'limlarni qisqacha ko'rib chiqaylik:

  • SaytIsm(Sayt nomi:) – kompyuter joylashgan AD saytining nomi;
  • CN- RSoP ma'lumotlari yaratilgan to'liq kanonik foydalanuvchi/kompyuter;
  • OxirgivaqtGuruhSiyosatediqo'llaniladi(Oxirgi qoʻllanilgan guruh siyosati) – guruh siyosatlari oxirgi marta qoʻllanilgan vaqt;
  • GuruhSiyosatediqo'llaniladidan(Guruh siyosati qo'llanilgan) - GPO ning so'nggi versiyasi yuklangan domen boshqaruvchisi;
  • DomenIsmva DomenTuri(Domen nomi, domen turi) – Active Directory domen sxemasining nomi va versiyasi;
  • Qo'llaniladiGuruhSiyosatOb'ektlar(Amaliy guruh siyosati obyektlari)- faol guruh siyosati ob'ektlari ro'yxati;
  • ThequyidagiGPOlarediemasqo'llaniladichunkiularedifiltrlangantashqariga(Quyidagi GPO siyosatlari qo'llanilmadi, chunki ular filtrlangan) - qo'llanilmagan (filtrlangan) GPOlar;
  • Thefoydalanuvchi/kompyuterhisoblanadiaqisminingthequyidagixavfsizlikguruhlar(Foydalanuvchi/kompyuter quyidagi xavfsizlik guruhlari a'zosi) - foydalanuvchi a'zo bo'lgan domen guruhlari.

Bizning misolimizda foydalanuvchi ob'ekti 4 ta guruh siyosatiga bo'ysunishini ko'rishingiz mumkin.

  • Standart domen siyosati;
  • Windows xavfsizlik devorini yoqing;
  • DNS qo'shimchasini qidirish ro'yxati;

Agar siz konsolda bir vaqtning o'zida foydalanuvchi va kompyuter siyosatlari haqidagi ma'lumotlarning ko'rsatilishini istamasangiz, /scope opsiyasidan faqat sizni qiziqtirgan bo'limni ko'rsatishingiz mumkin. Faqat natijada foydalanuvchi siyosatlari:

gpresult /r /scope:user

yoki faqat qo'llaniladigan kompyuter siyosatlari:

gpresult /r /scope:kompyuter

Chunki Gpresult yordam dasturi o'z ma'lumotlarini to'g'ridan-to'g'ri buyruq satri konsoliga chiqaradi, bu keyingi tahlil uchun har doim ham qulay emas; uning chiqishini vaqtinchalik xotiraga yo'naltirish mumkin:

Gpresult /r |klip

yoki matn fayli:

Gpresult /r > c:\gpresult.txt

O'ta batafsil RSOP ma'lumotlarini ko'rsatish uchun siz /z kalitini qo'shishingiz kerak.

GPresult yordamida HTML RSOP hisoboti

Bundan tashqari, GPresult yordam dasturi qo'llaniladigan siyosatlarning HTML hisobotini yaratishi mumkin (Windows 7 va undan yuqori versiyalarida mavjud). Ushbu hisobot guruh siyosatlari tomonidan o'rnatiladigan barcha tizim parametrlari va ularni o'rnatgan aniq GPO nomlari haqida batafsil ma'lumotni o'z ichiga oladi (natijadagi hisobot tuzilmasi Domen guruhi siyosatini boshqarish konsolidagi Sozlamalar yorlig'iga o'xshaydi - GPMC). Buyruq yordamida HTML GPresult hisobotini yaratishingiz mumkin:

GPresult /h c:\gp-report\report.html /f

Hisobot yaratish va uni brauzerda avtomatik ravishda ochish uchun quyidagi buyruqni bajaring:

GPresult /h GPresult.html & GPresult.html

Gpresult HTML hisoboti juda ko'p foydali ma'lumotlarni o'z ichiga oladi: GPO ilovasidagi xatolar, ishlov berish vaqti (ms da) va maxsus siyosatlar va CSE qo'llanilishi ko'rinadi (Kompyuter tafsilotlari -> Komponent holati bo'limida). Misol uchun, yuqoridagi skrinshotda siz 24 ta parolni eslab qolish sozlamalariga ega siyosat standart domen siyosati (Winning GPO ustuni) tomonidan qo'llanilishini ko'rishingiz mumkin. Ko'rib turganingizdek, ushbu HTML hisoboti rsop.msc konsoliga qaraganda qo'llaniladigan siyosatlarni tahlil qilish uchun ancha qulayroqdir.

Masofaviy kompyuterdan GPresult ma'lumotlarini qabul qilish

GPresult, shuningdek, masofaviy kompyuterdan ma'lumotlarni to'plashi mumkin, bu ma'murning mahalliy yoki RDP masofaviy kompyuterga kirishiga ehtiyojni yo'q qiladi. Masofaviy kompyuterdan RSOP ma'lumotlarini yig'ish uchun buyruq formati quyidagicha:

GPresult /s server-ts1 /r

Xuddi shunday, siz ham foydalanuvchi siyosatidan, ham kompyuter siyosatidan maʼlumotlarni masofadan yigʻishingiz mumkin.

Foydalanuvchi nomi RSOP ma'lumotlariga ega emas

UAC yoqilganda, yuqori imtiyozlarsiz GPresult ishga tushirilishi faqat foydalanuvchi guruhi siyosati bo'limi sozlamalarini ko'rsatadi. Agar siz bir vaqtning o'zida ikkala bo'limni (FOYDALANUVCHI SOZLAMALARI va KOMPYUTER SOZLAMALARI) ko'rsatishingiz kerak bo'lsa, buyruq bajarilishi kerak. Agar buyruq qatori joriy foydalanuvchidan boshqa tizimga ko'tarilsa, yordamchi dastur ogohlantirish beradi MA'LUMOT: Thefoydalanuvchi"domen\user” qiladiemasborRSOPma'lumotlar ("domen\user" foydalanuvchisi RSOP ma'lumotlariga ega emas). Buning sababi, GPresult uni ishga tushirgan foydalanuvchi uchun ma'lumot to'plashga harakat qiladi, lekin ... Bu foydalanuvchi tizimga kirmagan va u uchun RSOP ma'lumoti yo'q. Faol seansga ega foydalanuvchi uchun RSOP ma'lumotlarini to'plash uchun siz uning hisobini ko'rsatishingiz kerak:

gpresult /r /user:tn\edward

Agar siz masofaviy kompyuterda tizimga kirgan hisob nomini bilmasangiz, hisobni quyidagicha olishingiz mumkin:

qwinsta /SERVER: remotePC1

Shuningdek, mijozdagi vaqt(lar)ni tekshiring. Vaqt PDC (Birlamchi domen nazoratchisi) dagi vaqtga mos kelishi kerak.

Quyidagi GPO siyosatlari qoʻllanilmadi, chunki ular filtrlangan

Guruh siyosatlari bilan bog'liq muammolarni bartaraf qilishda siz ushbu bo'limga ham e'tibor berishingiz kerak: Quyidagi GPOlar qo'llanilmadi, chunki ular filtrlangan. Ushbu bo'lim u yoki bu sabablarga ko'ra ushbu ob'ektga taalluqli bo'lmagan GPOlar ro'yxatini ko'rsatadi. Siyosat qo'llanilmasligi mumkin bo'lgan usullar:



Shuningdek, siz siyosatning ma'lum bir AD ob'ektiga qo'llanilishi kerakligini samarali ruxsatnomalar yorlig'ida (Kengaytirilgan -> Samarali kirish) tushunishingiz mumkin.

Shunday qilib, ushbu maqolada biz GPresult yordam dasturidan foydalangan holda guruh siyosatlarini qo'llashni diagnostika qilish xususiyatlarini ko'rib chiqdik va undan foydalanishning odatiy stsenariylarini ko'rib chiqdik.

Windows Server operatsion tizimidagi funksionallik versiyadan versiyaga hisoblab chiqilgan va takomillashtirilgan, ko'proq rollar va komponentlar mavjud, shuning uchun bugungi materialda men qisqacha tavsiflashga harakat qilaman. Windows Server 2016 da har bir rolning tavsifi va maqsadi.

Windows Server server rollarini tavsiflashga o'tishdan oldin, keling, nima ekanligini bilib olaylik. Server roli» Windows Server operatsion tizimida.

Windows Serverda "Server roli" nima?

Server roli- Bu dasturiy ta'minot to'plami, bu serverning muayyan funktsiyani bajarishini ta'minlaydi va bu funksiya asosiy hisoblanadi. Boshqa so'z bilan, " Server roli" bu serverning maqsadi, ya'ni. u nima uchun? Shunday qilib, server o'zining asosiy funktsiyasini bajarishi mumkin, ya'ni. ma'lum bir rol " Server roli» buning uchun zarur bo'lgan barcha dasturiy ta'minot kiritilgan ( dasturlar, xizmatlar).

Agar u faol foydalanilsa, server bitta rolga ega bo'lishi mumkin yoki ularning har biri serverni og'ir yuklamasa va kamdan-kam ishlatilsa, bir nechta rolga ega bo'lishi mumkin.

Server roli rolning funksionalligini ta'minlaydigan bir nechta rol xizmatlarini o'z ichiga olishi mumkin. Masalan, server rolida " Veb-server (IIS)"juda katta miqdordagi xizmatlar kiritilgan va roli" DNS server» rol xizmatlari kiritilmagan, chunki bu rol faqat bitta funktsiyani bajaradi.

Rol xizmatlari sizning ehtiyojlaringizga qarab birgalikda yoki alohida o'rnatilishi mumkin. Asosiysi, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi.

Windows Serverda ham bor " Komponentlar» serverlar.

Server komponentlari (xususiyat)- Bu dasturiy ta'minot, ular server roli emas, balki bir yoki bir nechta rollarning imkoniyatlarini kengaytiradi yoki bir yoki bir nechta rollarni boshqaradi.

Agar ushbu rollarning ishlashi uchun zarur bo'lgan xizmatlar yoki komponentlar serverda o'rnatilmagan bo'lsa, ba'zi rollarni o'rnatib bo'lmaydi. Shuning uchun, bunday rollarni o'rnatish vaqtida " Rollar va xususiyatlar ustasini qo'shish" o'zi avtomatik ravishda sizga kerakli qo'shimcha rol xizmatlari yoki komponentlarini o'rnatishingizni taklif qiladi.

Windows Server 2016 server rollarining tavsifi

Ehtimol, siz Windows Server 2016-dagi ko'plab rollar bilan allaqachon tanish bo'lgansiz, chunki ular ancha vaqtdan beri mavjud. uzoq vaqt, lekin men allaqachon aytganimdek, har bir yangi bilan Windows versiyasi Server, siz hali ishlamagan yangi rollar qo'shilmoqda, lekin ular nima uchun ekanligini bilishni xohlaysiz, shuning uchun ularni ko'rib chiqishni boshlaylik.

Eslatma! Windows Server 2016 operatsion tizimining yangi funksiyalari haqida “materialda o‘qishingiz mumkin. Windows o'rnatish Server 2016 va yangi xususiyatlar haqida umumiy ma'lumot ».

Ko'pincha rollar, xizmatlar va komponentlarni o'rnatish va boshqarish bilan sodir bo'ladi Windows yordamida PowerShell, har bir rol va uning xizmati uchun men mos ravishda PowerShell-da uni o'rnatish yoki boshqarish uchun ishlatilishi mumkin bo'lgan nomni ko'rsataman.

DHCP serveri

Ushbu rol sizning tarmog'ingizdagi kompyuterlar va qurilmalar uchun dinamik IP-manzillar va tegishli sozlamalarni markazlashtirilgan tarzda sozlash imkonini beradi. DHCP server rolida rol xizmatlari mavjud emas.

Windows PowerShell-ning nomi DHCP.

DNS server

Bu rol TCP/IP tarmoqlarida nomlarni aniqlash uchun mo'ljallangan. DNS serverining roli ta'minlaydi va qo'llab-quvvatlaydi DNS ishi. DNS serverini boshqarishni osonlashtirish uchun u odatda Active Directory Domain Services bilan bir xil serverga o'rnatiladi. DNS server rolida rol xizmatlari mavjud emas.

PowerShell uchun rol nomi DNS.

Hyper-V

Hyper-V rolidan foydalanib, siz virtuallashtirilgan muhitni yaratishingiz va boshqarishingiz mumkin. Boshqacha qilib aytganda, bu virtual mashinalarni yaratish va boshqarish uchun vositadir.

Windows PowerShell uchun rol nomi Hyper-V.

Qurilmaning ishlashini sertifikatlash

Rol " » xavfsiz yuklash holati va mijozdagi Bitlocker kabi oʻlchangan xavfsizlik parametrlari asosida qurilmaning holatini baholash imkonini beradi.

Ushbu rolning ishlashi uchun juda ko'p rol xizmatlari va komponentlari talab qilinadi, masalan: roldan bir nechta xizmatlar " Veb-server (IIS)", komponent" ", komponent" .NET Framework 4.6 xususiyatlari».

O'rnatish vaqtida barcha kerakli rol xizmatlari va komponentlari avtomatik ravishda tanlanadi. Rol " Qurilmaning ishlashini sertifikatlash» o'z xizmatlari yo'q.

PowerShell nomi - DeviceHealthAttestationService.

Veb-server (IIS)

Ishonchli, boshqariladigan va kengaytiriladigan veb-ilovalar infratuzilmasini taqdim etadi. Juda katta miqdordagi xizmatlardan iborat (43).

Windows PowerShell-ning nomi Web-server.

Quyidagi rol xizmatlarini o'z ichiga oladi ( qavs ichida men Windows PowerShell nomini ko'rsataman):

Veb-server (Web-WebServer)- HTML veb-saytlari, ASP.NET kengaytmalari, ASP va veb-serverlarni qo'llab-quvvatlaydigan rol xizmatlari guruhi. Quyidagi xizmatlardan iborat:

  • Xavfsizlik (veb xavfsizligi)- veb-server xavfsizligini ta'minlash bo'yicha xizmatlar to'plami.
    • So'rovlarni filtrlash (Web-filtrlash) - ushbu vositalar yordamida siz serverga kelgan barcha so'rovlarni qayta ishlashingiz va veb-server ma'muri tomonidan o'rnatilgan maxsus qoidalar asosida ushbu so'rovlarni filtrlashingiz mumkin;
    • IP-manzil va domen cheklovlari (Web-IP-Xavfsizlik) - bu vositalar so'rovdagi manbaning IP-manzili yoki domen nomidan kelib chiqqan holda veb-serverdagi tarkibga kirishga ruxsat berish yoki rad etish imkonini beradi;
    • URL avtorizatsiyasi (Web-Url-Auth) - asboblar veb-kontentga kirishni cheklash qoidalarini ishlab chiqish va ularni foydalanuvchilar, guruhlar yoki HTTP sarlavhasi buyruqlari bilan bog'lash imkonini beradi;
    • Digest autentifikatsiyasi (Web-Digest-Auth) - Bu autentifikatsiya asosiy autentifikatsiyaga qaraganda yuqori darajadagi xavfsizlikni ta'minlaydi. Digest tekshiruvi foydalanuvchilarni autentifikatsiya qilish uchun Windows domen boshqaruvchisiga parol xeshini uzatish orqali ishlaydi;
    • Asosiy autentifikatsiya (Web-Basic-Auth) - bu autentifikatsiya usuli kuchli veb-brauzer mosligini ta'minlaydi. Kichik ichki tarmoqlarda foydalanish uchun tavsiya etiladi. Ushbu usulning asosiy kamchiligi shundaki, tarmoq orqali uzatiladigan parollar juda oson tutib olinishi va shifrini ochish mumkin, shuning uchun ushbu usulni SSL bilan birgalikda foydalaning;
    • Imtihon Windowsning haqiqiyligi(Web-Windows-Auth) - Windows domeni autentifikatsiyasiga asoslangan autentifikatsiyani ifodalaydi. Boshqacha aytganda, siz foydalanishingiz mumkin Hisoblar Veb-saytlaringiz foydalanuvchilarini autentifikatsiya qilish uchun Active Directory;
    • Mijoz sertifikatini moslashtirish bilan autentifikatsiya (Web-Client-Auth) - Ushbu autentifikatsiya usuli mijoz sertifikatidan foydalanishni o'z ichiga oladi. Ushbu tur sertifikat xaritasini taqdim etish uchun Active Directory-dan foydalanadi;
    • IIS mijoz sertifikatini xaritalash (Web-Cert-Auth) bilan autentifikatsiya - ichida bu usul Mijoz sertifikatlari autentifikatsiya qilish uchun ham ishlatiladi, ammo IIS sertifikat xaritasini taqdim etish uchun ishlatiladi. Ushbu tur yuqori ishlashni ta'minlaydi;
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash (Web-CertProvider) - bu vositalar SSL server sertifikatlarini markazlashtirilgan tarzda boshqarish imkonini beradi, bu esa ushbu sertifikatlarni boshqarish jarayonini sezilarli darajada osonlashtiradi;
  • Salomatlik va diagnostika (Web-Salomatlik)- veb-serverlar, saytlar va ilovalarni boshqarish, boshqarish va nosozliklarni bartaraf etish bo'yicha xizmatlar to'plami:
    • http logging (Web-Http-Logging) - vositalar veb-sayt faoliyatini qayd qilishni ta'minlaydi bu server, ya'ni. jurnalga kirish;
    • ODBC Logging (Web-ODBC-Logging) – Bu vositalar veb-saytlar faoliyati jurnalini ham taʼminlaydi, lekin ular ushbu faoliyatni ODBC-mos keladigan maʼlumotlar bazasiga yozishni qoʻllab-quvvatlaydi;
    • Request Monitor (Web-Request-Monitor) - bu IIS ishchi jarayonida HTTP so'rovlari haqidagi ma'lumotlarni ushlab turish orqali veb-ilovaning sog'lig'ini kuzatish imkonini beruvchi vosita;
    • Web-Custom-Logging - Ushbu vositalar veb-server faoliyatini standart IIS formatidan sezilarli darajada farq qiladigan formatda ro'yxatga olish uchun sozlash imkonini beradi. Boshqacha qilib aytganda, siz o'zingizning logging modulingizni yaratishingiz mumkin;
    • Jurnalga yozish vositalari (Web-Log-Libraries) veb-server jurnallarini boshqarish va jurnalga yozish vazifalarini avtomatlashtirish vositalari;
    • Tracing (Web-Http-Tracing) veb-ilovalar ishlashidagi muammolarni tashxislash va bartaraf etish vositasidir.
  • Umumiy http funksiyalari (Web-Common-Http)– asosiy HTTP funksiyasini taʼminlovchi xizmatlar toʻplami:
    • Standart hujjat (Web-Default-Doc) – Bu xususiyat foydalanuvchilar so‘rov URL manzilida ma’lum bir hujjatni ko‘rsatmasa, veb-serverni standart hujjatni qaytarish uchun sozlash imkonini beradi, bu esa foydalanuvchilarning veb-saytga kirishini osonlashtiradi, masalan, faylni ko'rsatmasdan domen;
    • Kataloglarni ko'rib chiqish (Web-Dir-Browsing) - Ushbu vositadan foydalanuvchi veb-saytdagi barcha katalog va fayllar ro'yxatini ko'rishi uchun veb-serverni sozlash uchun ishlatilishi mumkin. Masalan, foydalanuvchilar so'rov URL manzilida faylni ko'rsatmagan va hujjatlar o'chirilgan yoki sukut bo'yicha sozlanmagan holatlar uchun;
    • http xatolar (Web-Http-Xatolar) - bu imkoniyat veb-server xatolikni aniqlaganda foydalanuvchilarning veb-brauzerlariga qaytariladigan xato xabarlarini sozlash imkonini beradi. Bu xususiyat foydalanuvchilarga xato xabarlarini yaxshiroq taqdim etish uchun ishlatiladi;
    • Statik tarkib (Web-Static-Content) - Ushbu vosita statik fayl formatlari ko'rinishidagi tarkibni veb-serverda ishlatishga imkon beradi, masalan, HTML fayllar yoki rasm fayllari;
    • http qayta yo'naltirish (Web-Http-Redirect) - bu xususiyatdan foydalanib, foydalanuvchi so'rovini ma'lum bir manzilga yo'naltirishingiz mumkin, ya'ni. bu qayta yo'naltirish;
    • WebDAV Publishing (Web-DAV-Publishing) – IIS WEB serverida WebDAV texnologiyasidan foydalanish imkonini beradi. WebDAV ( Internetda tarqatilgan mualliflik va versiya) foydalanuvchilarga birgalikda ishlash imkonini beruvchi texnologiya ( o'qish, tahrirlash, o'qish xususiyatlarini o'qish, nusxalash, ko'chirish) HTTP protokoli yordamida masofaviy veb-serverlardagi fayllar orqali.
  • Ishlash (veb-ishlash)- Gzip va Deflate kabi chiqish keshlash va umumiy siqish mexanizmlari orqali yuqori veb-server unumdorligiga erishish uchun xizmatlar to'plami:
    • Web-Stat-Compression - bu statik http-kontentni siqishni sozlash uchun vosita bo'lib, u protsessorni keraksiz yuklamasdan tarmoqli kengligidan yanada samarali foydalanish imkonini beradi;
    • Dinamik tarkibni siqish (Web-Dyn-Compression) - bu HTTP dinamik kontentni siqishni sozlash vositasi. Ushbu mahsulot yanada samarali foydalanishni ta'minlaydi tarmoqli kengligi, lekin bu holda, dinamik siqish bilan bog'liq bo'lgan server CPU yuki, agar siqilishsiz CPU yuki yuqori bo'lsa, sayt sekinlashishiga olib kelishi mumkin.
  • Ilovalarni ishlab chiqish (veb-ilova-dev)- veb-ilovalarni ishlab chiqish va joylashtirish uchun xizmatlar va vositalar to'plami, boshqacha aytganda, veb-saytlarni ishlab chiqish texnologiyalari:
    • ASP (Web-ASP) - bu ASP texnologiyasidan foydalangan holda veb-saytlar va veb-ilovalarni qo'llab-quvvatlash va rivojlantirish uchun muhit. Hozirgi vaqtda veb-saytlarni ishlab chiqishning yangi va ilg'or texnologiyasi mavjud - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) - bu ASP.NET texnologiyasidan foydalangan holda veb-saytlar va veb-ilovalar uchun ob'ektga yo'naltirilgan ishlab chiqish muhiti;
    • ASP.NET 4.6 (Web-Asp-Net45) shuningdek, veb-saytlar va veb-ilovalarni ishlab chiqish uchun ob'ektga yo'naltirilgan muhitdir. yangi versiya ASP.NET;
    • CGI (Web-CGI) - veb-serverdan tashqi dasturga ma'lumot uzatish uchun CGI-dan foydalanish qobiliyati. CGI - bu aloqa interfeysining bir turi tashqi dastur veb-server bilan. Salbiy tomoni shundaki, CGI dan foydalanish ishlashga ta'sir qiladi;
    • Server tomoni qo'shimchalari (SSI) (veb-o'z ichiga oladi) SSI skript tilini qo'llab-quvvatlaydi ( server tomoni faollashtiruvchilari), HTML sahifalarini dinamik ravishda yaratish uchun foydalaniladi;
    • Ilovani ishga tushirish (Web-AppInit) - bu vosita veb-sahifani yo'naltirishdan oldin veb-ilovalarni ishga tushirish vazifasini bajaradi;
    • WebSocket Protocol (Web-WebSockets) - WebSocket protokoli yordamida o'zaro ta'sir qiluvchi server ilovalarini yaratish qobiliyatini qo'shish. WebSocket - bu brauzer va brauzer o'rtasida bir vaqtning o'zida ma'lumotlarni yuborishi va qabul qilishi mumkin bo'lgan protokol veb-server TCP ulanishining tepasida, HTTP protokoli kengaytmasining bir turi;
    • ISAPI kengaytmalari (Web-ISAPI-Ext) - ISAPI dasturlash interfeysi yordamida veb-kontentni dinamik rivojlantirishni qo'llab-quvvatlash. ISAPI - bu IIS veb-server uchun API. ISAPI ilovalari ASP fayllari yoki COM+ komponentlarini chaqiruvchi fayllardan ancha tezroq;
    • .NET 3.5 Kengaytirish (Web-Net-Ext) - bu .NET 3.5 kengaytma xususiyati boʻlib, soʻrovni qayta ishlash liniyasi, konfiguratsiya va foydalanuvchi interfeysi davomida veb-server funksiyalarini oʻzgartirish, qoʻshish va kengaytirish imkonini beradi;
    • .NET 4.6 Kengaytirish (Web-Net-Ext45) bu .NET 4.6 kengaytma xususiyati boʻlib, u sizga soʻrovlarni qayta ishlash liniyasi, konfiguratsiya va foydalanuvchi interfeysi davomida veb-server funksiyalarini oʻzgartirish, qoʻshish va kengaytirish imkonini beradi;
    • ISAPI filtrlari (Web-ISAPI-Filter) - ISAPI filtrlarini qo'llab-quvvatlash. ISAPI filtrlari veb-server filtr tomonidan qayta ishlanishi kerak bo'lgan maxsus HTTP so'rovini olganida chaqiriladigan dasturlardir.

FTP server (Web-Ftp-Server)- FTP protokolini qo'llab-quvvatlaydigan xizmatlar. Biz FTP serveri haqida batafsilroq materialda gaplashdik - “O'rnatish va FTP sozlamalari Windows Server 2016 da serverlar." Quyidagi xizmatlarni o'z ichiga oladi:

  • FTP xizmati (Web-Ftp-Service) - veb-serverda FTP protokolini qo'llab-quvvatlaydi;
  • FTP kengaytirilishi (Web-Ftp-Ext) - FTP standart imkoniyatlarini kengaytiradi, masalan, maxsus provayderlar, ASP.NET foydalanuvchilari yoki IIS menejeri foydalanuvchilari kabi xususiyatlarni qo'llab-quvvatlash.

Boshqaruv vositalari (Web-Mgmt-Tools)- Bular IIS 10 veb-serverini boshqarish vositalaridir.Bularga quyidagilar kiradi: IIS foydalanuvchi interfeysi, buyruq qatori vositalari va skriptlar.

  • IIS boshqaruv konsoli (Web-Mgmt-Console) IISni boshqarish uchun foydalanuvchi interfeysi;
  • IIS belgilar to'plami va vositalari (Web-Scripting-Tools) - bu buyruq satri yoki skriptlardan foydalangan holda IISni boshqarish uchun vositalar va skriptlar. Ular, masalan, boshqaruvni avtomatlashtirish uchun ishlatilishi mumkin;
  • Boshqaruv xizmati (Web-Mgmt-Service) - bu xizmat IIS menejeri yordamida boshqa kompyuterdan veb-serverni masofadan boshqarish imkoniyatini qo'shadi;
  • IIS 6 muvofiqlikni boshqarish (Web-Mgmt-Compat) - ikkita IIS API-dan foydalanadigan ilovalar va skriptlar o'rtasidagi muvofiqlikni ta'minlaydi. IIS 10 veb-serverini boshqarish uchun mavjud IIS 6 skriptlaridan foydalanish mumkin:
    • IIS 6 Moslik Metabazasi (Web-Metabase) bu moslik vositasi boʻlib, eskilaridan koʻchirilgan ilovalar va belgilar toʻplamini ishga tushirishga imkon beradi. oldingi versiyalar IIS;
    • IIS 6 skript vositalari (Web-Lgcy-Scripting) - Bu vositalar IIS 10 da IIS 6 ni boshqarish uchun yaratilgan bir xil IIS 6 skript xizmatlaridan foydalanish imkonini beradi;
    • IIS 6 Xizmatlarni boshqarish konsoli (Web-Lgcy-Mgmt-Console) - Boshqaruv vositasi masofaviy serverlar IIS 6.0;
    • IIS 6 WMI (Web-WMI) bilan mos keladi - Toolkit skript interfeyslari Windows boshqaruvi(WMI) WMI provayderida yaratilgan skriptlar to'plamidan foydalangan holda IIS 10.0 veb-server vazifalarini dasturiy jihatdan boshqarish va avtomatlashtirish.

Active Directory domen xizmatlari

Rol " Active Directory domen xizmatlari» (AD DS) tarmoq resurslari haqidagi ma'lumotlarni saqlaydigan va qayta ishlaydigan taqsimlangan ma'lumotlar bazasini taqdim etadi. Bu rol foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik xavfsiz qobiq tuzilishiga joylashtirish uchun ishlatiladi. Ierarxik tuzilma o'rmonlarni, o'rmon ichidagi domenlarni va har bir domen ichidagi tashkiliy birliklarni (OU) o'z ichiga oladi. AD DS bilan ishlaydigan server domen boshqaruvchisi deb ataladi.

Windows PowerShell uchun rol nomi AD-Domain-Services.

Windows Server Essentials Mode

Ushbu rol kompyuter infratuzilmasini ifodalaydi va qulay va samarali funktsiyalarni ta'minlaydi, masalan: mijoz ma'lumotlarini markazlashtirilgan joyda saqlash va server va mijoz kompyuterlarining zaxira nusxasini yaratish orqali ushbu ma'lumotlarni himoya qilish, Internetga masofadan kirish, deyarli har qanday qurilmadan ma'lumotlarga kirish imkonini beradi. Bu rol ishlashi uchun bir nechta rol xizmatlari va komponentlari talab qilinadi, masalan: BranchCache komponentlari, Windows Server zaxira nusxasi, Guruh siyosatini boshqarish, rol xizmati " DFS nom maydonlari».

PowerShell nomi ServerEssentialsRole.

Tarmoq boshqaruvchisi

Ushbu rol Windows Server 2016 da taqdim etilgan va ma'lumotlar markazidagi jismoniy va virtual tarmoq infratuzilmasini boshqarish, monitoring qilish va diagnostika qilish uchun yagona avtomatlashtirish nuqtasini ta'minlaydi. Ushbu roldan foydalanib, siz IP subnets, VLAN, jismoniy sozlashingiz mumkin tarmoq adapterlari Hyper-V xostlari, virtual kalitlarni, jismoniy marshrutizatorlarni, xavfsizlik devori sozlamalarini va VPN shlyuzlarini boshqaring.

Windows PowerShell-ning nomi NetworkController.

Node Guardian xizmati

Bu Hosted Guardian Service (HGS) server roli boʻlib, himoyalangan xostlarga himoyalangan holda ishlash imkonini beruvchi asosiy attestatsiya va asosiy himoya xizmatlarini taqdim etadi. virtual mashinalar. Ushbu rolning ishlashi uchun bir nechta qo'shimcha rollar va komponentlar talab qilinadi, masalan: Active Directory Domain Services, Web Server (IIS), komponent " Failover klasterlash" va boshqalar.

PowerShell nomi - HostGuardianServiceRole.

Active Directory engil katalog xizmatlari

Rol " Active Directory engil katalog xizmatlari" (AD LDS) - AD DS ning engil versiyasi bo'lib, u kamroq funksionallikka ega, lekin domenlar yoki domen kontrollerlarini joylashtirishni talab qilmaydi va AD DS xizmatlari talab qiladigan bog'liqliklar va domen cheklovlariga ega emas. AD LDS LDAP protokoli orqali ishlaydi ( Yengil vaznli katalogga kirish protokoli). Siz bitta serverda mustaqil ravishda boshqariladigan sxemalar bilan bir nechta AD LDS misollarini joylashtirishingiz mumkin.

PowerShell nomi ADLDS.

Ko'p nuqtali xizmatlar

Bu, shuningdek, Windows Server 2016 da joriy qilingan yangi roldir. MultiPoint Services (MPS) bir nechta foydalanuvchilarga bir vaqtda va bir xil kompyuterda mustaqil ishlash imkonini beruvchi asosiy masofaviy ish stoli funksiyasini taʼminlaydi. Ushbu rolni o'rnatish va ishlatish uchun siz bir nechta qo'shimcha xizmatlar va komponentlarni o'rnatishingiz kerak, masalan: Chop etish serveri, Windows xizmati Izlash, XPS Viewer va boshqalar MPS o'rnatilganda avtomatik ravishda tanlanadi.

PowerShell uchun rol nomi MultiPointServerRole.

Windows Server yangilash xizmatlari

Ushbu rol (WSUS) yordamida tizim ma'murlari Microsoft yangilanishlarini boshqarishi mumkin. Masalan, turli xil yangilanishlar to'plami uchun alohida kompyuter guruhlarini yarating, shuningdek, kompyuterning muvofiqligi va o'rnatilishi kerak bo'lgan yangilanishlar haqida hisobotlarni oling. Ishlash uchun" Windows Server yangilash xizmatlari"Bizga bunday rol xizmatlari va komponentlari kerak: veb-server (IIS), Windows ichki ma'lumotlar bazasi, Windows jarayonini faollashtirish xizmati.

Windows PowerShell nomi - UpdateServices.

  • WID ulanishi (UpdateServices-WidDB) - WID ( Windows ichki ma'lumotlar bazasi) WSUS tomonidan foydalaniladigan ma'lumotlar bazasi. Boshqacha qilib aytganda, WSUS o'zining xizmat ma'lumotlarini WID-da saqlaydi;
  • WSUS xizmatlari (UpdateServices-Services) yangilanish xizmati, hisobot berish veb-xizmati, API masofaviy veb-xizmati, mijoz veb-xizmati, oddiy Internet autentifikatsiya veb-xizmati, serverni sinxronlashtirish xizmati va DSS veb-autentifikatsiya xizmati kabi WSUS rol xizmatlaridir;
  • SQL Server ulanishi (UpdateServices-DB) - bu WSUS xizmatiga ma'lumotlar bazasiga ulanish imkonini beruvchi komponentni o'rnatish. Microsoft SQL Server. Ushbu parametr xizmat ma'lumotlarini Microsoft SQL Server ma'lumotlar bazasida saqlashni o'z ichiga oladi. Bunday holda, sizda SQL Serverning kamida bitta nusxasi o'rnatilgan bo'lishi kerak.

Ovozni faollashtirish xizmatlari

Ushbu server roli Microsoft dasturiy ta'minoti uchun hajmli litsenziyalar berishni avtomatlashtiradi va soddalashtiradi va sizga ushbu litsenziyalarni boshqarish imkonini beradi.

PowerShell nomi VolumeActivation.

Chop etish va hujjat xizmatlari

Ushbu server roli tarmoqdagi printerlar va skanerlarni almashish, chop etish va skanerlash serverlarini markazlashtirilgan tarzda sozlash va boshqarish hamda boshqarish uchun moʻljallangan. tarmoq printerlari va skanerlar. Chop etish va hujjat xizmatlari sizga skanerlangan hujjatlarni elektron pochta orqali umumiy manzilga yuborish imkonini ham beradi tarmoq papkalari yoki Windows SharePoint xizmatlari saytlariga.

PowerShell nomi - Chop etish xizmatlari.

  • Chop etish serveri - bu rol xizmati "ni o'z ichiga oladi. Chop etish boshqaruvi", bu printerlarni yoki chop etish serverlarini boshqarish, shuningdek, printerlar va boshqa chop etish serverlarini ko'chirish uchun ishlatiladi;
  • Internet orqali chop etish (Print-Internet) - Internet orqali chop etishni amalga oshirish uchun veb-sayt yaratiladi, u orqali foydalanuvchilar serverda chop etish ishlarini boshqarishlari mumkin. Ushbu xizmat ishlashi uchun siz tushunganingizdek, o'rnatishingiz kerak " Veb-server (IIS)" Rol xizmatini o'rnatish jarayonida ushbu katakchani belgilaganingizda barcha kerakli komponentlar avtomatik ravishda tanlanadi " Onlayn bosib chiqarish»;
  • Tarqalgan skanerlash serveri (Print-Scan-Server) tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va ularni belgilangan manzilga yuborish imkonini beruvchi xizmatdir. Ushbu xizmat shuningdek, " Skanerlashni boshqarish", bu tarmoq skanerlarini boshqarish va skanerlashni sozlash uchun ishlatiladi;
  • LPD xizmati (Print-LPD-Service) - LPD xizmati ( Line Printer Daemon) UNIX-ga asoslangan kompyuterlar va Line Printer Remote (LPR) xizmatidan foydalanadigan boshqa kompyuterlarga umumiy server printerlarida chop etish imkonini beradi.

Tarmoq siyosati va kirish xizmatlari

Rol " » (NPAS) tarmoqqa kirish, autentifikatsiya va avtorizatsiya hamda mijoz salomatligi, boshqacha qilib aytganda, tarmoq xavfsizligini taʼminlash siyosatlarini oʻrnatish va qoʻllash uchun Network Policy Server (NPS) dan foydalanish imkonini beradi.

Windows PowerShell-ning nomi NPAS.

Windows tarqatish xizmatlari

Ushbu roldan foydalanib, siz Windows operatsion tizimini tarmoq orqali masofadan o'rnatishingiz mumkin.

PowerShell uchun rol nomi WDS.

  • Deployment Server (WDS-Deployment) - bu rol xizmati Windows operatsion tizimlarini masofadan joylashtirish va sozlash uchun mo'ljallangan. Shuningdek, u qayta foydalanish uchun tasvirlarni yaratish va sozlash imkonini beradi;
  • Transport serveri (WDS-Transport) - bu xizmat asosiy tarmoq komponentlarini o'z ichiga oladi, ular yordamida siz mustaqil serverda multicast orqali ma'lumotlarni uzatishingiz mumkin.

Active Directory sertifikat xizmatlari

Bu rol turli ilovalar uchun sertifikatlar chiqarish va boshqarish imkonini beruvchi sertifikat organlari va tegishli rol xizmatlarini yaratish uchun moʻljallangan.

Windows PowerShell nomi AD-sertifikatdir.

Quyidagi rol xizmatlarini o'z ichiga oladi:

  • Sertifikat organi (ADCS-Cert-Authority) - ushbu rol xizmatidan foydalanib, siz foydalanuvchilarga, kompyuterlarga va xizmatlarga sertifikatlar berishingiz, shuningdek sertifikatning amal qilish muddatini boshqarishingiz mumkin;
  • Sertifikatni ro'yxatdan o'tkazish siyosati veb-xizmati (ADCS-Enroll-Web-Pol) - Bu xizmat foydalanuvchilar va kompyuterlarga, hatto kompyuter domenning bir qismi bo'lmasa ham, veb-brauzer yordamida sertifikatni ro'yxatdan o'tkazish siyosati ma'lumotlarini olish imkonini beradi. Uning ishlashi uchun bu zarur " Veb-server (IIS)»;
  • Sertifikatlarni ro'yxatdan o'tkazish veb-xizmati (ADCS-Enroll-Web-Svc) - Bu xizmat foydalanuvchilarga va kompyuterlarga HTTPS orqali veb-brauzer yordamida sertifikatlarni ro'yxatdan o'tkazish va yangilash imkonini beradi, hatto kompyuter domen a'zosi bo'lmasa ham. Uning ishlashi uchun bu ham zarur " Veb-server (IIS)»;
  • Onlayn javob beruvchi (ADCS-Online-Cert) - mijozlar uchun sertifikatning bekor qilinishini tekshirish uchun mo'ljallangan xizmat. Boshqacha qilib aytadigan bo'lsak, u muayyan sertifikatlar uchun bekor qilish holati so'rovini qabul qiladi, ushbu sertifikatlar holatini baholaydi va status ma'lumotlari bilan imzolangan javobni yuboradi. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)»;
  • Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) - Bu xizmat foydalanuvchilarga sertifikatlarni so'rash va yangilash, sertifikatni bekor qilish ro'yxatini olish va smart-karta sertifikatlarini ro'yxatdan o'tkazish kabi vazifalarni bajarishi uchun veb-interfeysni taqdim etadi. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)»;
  • Ro'yxatdan o'tish xizmati tarmoq qurilmalari ah (ADCS-Device-Enrollment) - Ushbu xizmatdan foydalanib, siz routerlar va tarmoq hisoblariga ega bo'lmagan boshqa tarmoq qurilmalari uchun sertifikatlar berishingiz, shuningdek, ushbu sertifikatlarni boshqarishingiz mumkin. Xizmat ishlashi uchun sizga kerak " Veb-server (IIS)».

Masofaviy ish stoli xizmatlari

Virtual ish stollariga, seansga asoslangan ish stollariga va RemoteApps-ga kirish imkonini beruvchi server roli.

Windows PowerShell uchun rol nomi - Remote-Desktop-Services.

Quyidagi xizmatlardan iborat:

  • Masofaviy ish stoli veb-kirish (RDS-Web-Access) - bu rol xizmati foydalanuvchilarga masofaviy ish stollari va RemoteApp ilovalariga "" orqali kirish imkonini beradi. Boshlash» yoki veb-brauzer yordamida;
  • Masofaviy ish stolini litsenziyalash (RDS-litsenziyalash) - masofaviy ish stoli sessiyasi xost serveriga yoki virtual ish stoliga ulanish uchun zarur bo'lgan litsenziyalarni boshqarish uchun mo'ljallangan xizmat. U litsenziyalarni o'rnatish, berish va ularning mavjudligini kuzatish uchun ishlatilishi mumkin. Ushbu xizmat talab qiladi " Veb-server (IIS)»;
  • Masofaviy ish stoliga ulanish brokeri (RDS-Connection-Broker) bu quyidagi imkoniyatlarni ta'minlovchi rolli xizmatdir: foydalanuvchini mavjud virtual ish stoli, RemoteApp ilovasi va seansga asoslangan ish stoliga qayta ulash va masofaviy seans xost serverlari ish stollari yoki ish stollari o'rtasida yuklarni muvozanatlash. hovuzdagi virtual ish stollari. Ushbu xizmat uchun " »;
  • Remote Desktop Virtualization Host (DS-Virtualization) – foydalanuvchilarga RemoteApp va Desktop Connection yordamida virtual ish stollariga ulanish imkonini beruvchi xizmat. Ushbu xizmat Hyper-V bilan birgalikda ishlaydi, ya'ni. bu rol belgilanishi kerak;
  • Masofaviy ish stoli sessiyasi xosti (RDS-RD-Server) - Bu xizmat sizga RemoteApp ilovalari va seansga asoslangan ish stollarini serverda joylashtirish imkonini beradi. Kirish uchun Remote Desktop Connection mijozi yoki RemoteApp dasturidan foydalaning;
  • Masofaviy ish stoli shlyuzi (RDS-shlyuz) - bu xizmat vakolatli masofaviy foydalanuvchilarga korporativ tarmoq yoki Internet orqali virtual ish stollari, RemoteApps va seansga asoslangan ish stollariga ulanish imkonini beradi. Ushbu xizmat ishlashi uchun quyidagi qo'shimcha xizmatlar va komponentlar talab qilinadi: " Veb-server (IIS)», « Tarmoq siyosati va kirish xizmatlari», « HTTP proksi-server orqali RPC».

Active Directory huquqlarini boshqarish xizmatlari

Bu ma'lumotni ruxsatsiz foydalanishdan himoya qilish imkonini beruvchi server roli. U foydalanuvchi identifikatorlarini tekshiradi va ruxsat berilgan foydalanuvchilarga himoyalangan ma'lumotlarga kirish uchun litsenziyalar beradi. Ushbu rolning ishlashi uchun qo'shimcha xizmatlar va komponentlar talab qilinadi: " Veb-server (IIS)», « Windows jarayonini faollashtirish xizmati», « .NET Framework 4.6 xususiyatlari».

Windows PowerShell-ning nomi ADRMS.

  • Active Directory huquqlarini boshqarish serveri (ADRMS-Server) asosiy rol xizmati bo'lib, o'rnatish uchun talab qilinadi;
  • Identity Federation Support (ADRMS-Identity) ixtiyoriy rol xizmati boʻlib, birlashgan identifikatorlarga Active Directory Federation Services yordamida himoyalangan kontentni isteʼmol qilish imkonini beradi.

Active Directory federatsiyasi xizmatlari

Bu rol soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi imkoniyatlarini, shuningdek, veb-saytlarga brauzerga asoslangan yagona tizimga kirishni (SSO) taqdim etadi.

PowerShell nomi - ADFS-Federatsiya.

Masofaviy kirish

Bu rol DirectAccess, VPN va Web Application Proxy orqali ulanishni ta'minlaydi. Shuningdek, " roli Masofaviy kirish» konvertatsiyani o'z ichiga olgan an'anaviy marshrutlash imkoniyatlarini taqdim etadi tarmoq manzillari(NAT) va boshqa ulanish parametrlari. Ushbu rol qo'shimcha xizmatlar va komponentlarni talab qiladi: " Veb-server (IIS)», « Windows ichki ma'lumotlar bazasi».

Windows PowerShell uchun rol nomi - RemoteAccess.

  • DirectAccess va VPN (RAS) (DirectAccess-VPN) - bu xizmat foydalanuvchilarga DirectAccess orqali Internetga kirish imkoniga ega bo'lsa, istalgan vaqtda korporativ tarmoqqa ulanish imkonini beradi, shuningdek tashkil qiladi. VPN ulanishlari tunnel va ma'lumotlarni shifrlash texnologiyalari bilan birgalikda;
  • Marshrutlash - xizmat NAT marshrutizatorlari, marshrutizatorlarni qo'llab-quvvatlaydi mahalliy tarmoq BGP, RIP va multicast qo'llab-quvvatlanadigan routerlar bilan (IGMP proksi);
  • Web Application Proxy Server (Web-Application-Proxy) - bu xizmat korporativ tarmoqdan tashqarida joylashgan mijoz qurilmalarida korporativ tarmoqdan HTTP va HTTPS protokollari asosida ilovalarni nashr qilish imkonini beradi.

Fayl va saqlash xizmatlari

Bu fayl va papkalarni almashish, ulashishlarni boshqarish va boshqarish, fayllarni nusxalash, taqdim etish uchun ishlatilishi mumkin bo'lgan server rolidir. tezkor qidiruv fayllar, shuningdek, UNIX mijoz kompyuterlariga kirishni ta'minlaydi. Biz fayl xizmatlarini va xususan fayl serverini "Windows Server 2016 da fayl serverini o'rnatish" materialida batafsil ko'rib chiqdik.

Windows PowerShell-ning nomi FileAndStorage-Services.

Saqlash xizmatlari– Ushbu xizmat har doim oʻrnatiladigan va olib tashlab boʻlmaydigan saqlashni boshqarish funksiyasini taqdim etadi.

Fayl xizmatlari va iSCSI xizmatlari (Fayl xizmatlari)- bular fayl serverlari va saqlashni boshqarishni soddalashtiradigan, disk maydonini tejaydigan, filiallardagi fayllarni replikatsiya va keshlashni ta'minlaydigan, shuningdek NFS protokoli yordamida fayllarni almashishni ta'minlaydigan texnologiyalar. Quyidagi rol xizmatlarini o'z ichiga oladi:

  • Fayl serveri (FS-FileServer) - umumiy papkalarni boshqaradigan va foydalanuvchilarga tarmoq orqali ushbu kompyuterdagi fayllarga kirishni ta'minlovchi rol xizmati;
  • Ma'lumotlarni deduplication (FS-Data-Deduplication) – bu xizmat jildda bir xil ma'lumotlarning faqat bitta nusxasini saqlash orqali disk maydonini tejaydi;
  • Fayl serveri resurslari menejeri (FS-Resource-Manager) - ushbu xizmatdan foydalanib, siz fayl serveridagi fayl va papkalarni boshqarishingiz, saqlash hisobotlarini yaratishingiz, fayl va papkalarni toifalarga ajratishingiz, papkalar kvotalari sozlashingiz va fayllarni bloklash siyosatini belgilashingiz mumkin;
  • iSCSI Target Storage Provider (Uskuna VDS va VSS Provayderlari) (iSCSITarget-VSS-VDS) - Xizmat iSCSI maqsadiga ulangan serverdagi ilovalarga nusxa koʻchirish hajmlarini soya qilish imkonini beradi. virtual disklar iSCSI;
  • DFS nom bo'shliqlari (FS-DFS-Namespace) - bu xizmatdan guruhlash uchun foydalanish mumkin umumiy papkalar, turli serverlarda, bir yoki bir nechta mantiqiy tuzilgan nomlar maydoniga joylashtirilgan;
  • Ishchi papkalar (FS-SyncShareService) - xizmat turli xil kompyuterlarda, shu jumladan ish va shaxsiy kompyuterlarda ishchi fayllardan foydalanish imkonini beradi. Siz fayllaringizni ishchi papkalarda saqlashingiz, ularni sinxronlashtirishingiz va mahalliy tarmoq yoki Internetdan kirishingiz mumkin. Xizmat ishlashi uchun komponent " IIS jarayonidagi veb-dvigatel»;
  • DFS replikatsiyasi (FS-DFS-Replikatsiya) - bu bir nechta serverlar o'rtasidagi ma'lumotlarni replikatsiya qilish moduli bo'lib, u sizga mahalliy yoki papkalarga ulanish orqali papkalarni sinxronlashtirish imkonini beradi. global tarmoq. Bu texnologiya faqat oxirgi replikatsiyadan keyin o'zgargan fayllar qismlarini yangilash uchun masofaviy differensial siqish (RDC) protokolidan foydalanadi. DFS replikatsiyasi DFS nom maydonlari bilan birgalikda yoki alohida ishlatilishi mumkin;
  • NFS serveri (FS-NFS-Service) - bu kompyuterga UNIX asosidagi kompyuterlar va tarmoq protokolidan foydalanadigan boshqa kompyuterlar bilan fayllarni almashish imkonini beruvchi xizmat. fayl tizimi(NFS);
  • iSCSI Target Server (FS-iSCSITarget-Server) - iSCSI maqsadlari uchun xizmatlar va boshqaruv vositalarini taqdim etadi;
  • Tarmoq fayllari uchun BranchCache xizmati (FS-BranchCache) - xizmat ushbu fayl serverida BranchCache-ni qo'llab-quvvatlaydi;
  • File Server VSS Agent Service (FS-VSS-Agent) - Xizmat ushbu fayl serverida ma'lumotlar fayllarini saqlaydigan ilovalar uchun hajmli soya nusxalarini amalga oshirish imkonini beradi.

Faks serveri

Rol fakslarni yuboradi va qabul qiladi hamda ushbu kompyuter yoki tarmoqdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkonini beradi. Ishlash uchun sizga kerak " Chop etish serveri».

Windows PowerShell uchun rol nomi Faksdir.

Bu Windows Server 2016 server rollarini ko'rib chiqishni yakunlaydi, umid qilamanki, material siz uchun foydali bo'ldi, xayr!

Soket serverini ishlab chiqishdan oldin, siz Silverlightga qaysi mijozlarga rozetka serveriga ulanishi mumkinligini bildiradigan siyosat serverini yaratishingiz kerak.

Yuqorida ko'rsatilganidek, Silverlight kontentni yuklashga yoki veb-xizmatni chaqirishga ruxsat bermaydi, agar domenda clientaccesspolicy .xml yoki crossdomain fayli bo'lmasa. xml, bu operatsiyalarga aniq ruxsat beradi. Xuddi shunday cheklov soket serveriga ham o'rnatiladi. Agar siz mijoz qurilmasiga masofaviy kirish imkonini beruvchi clientaccesspolicy .xml faylini yuklash imkoniyatini bermasangiz, Silverlight ulanish o'rnatishdan bosh tortadi.

Afsuski, mijozga kirish siyosatini taqdim etish. cml-ni rozetkaga ilova qilish veb-sayt orqali taqdim etishdan ko'ra qiyinroq vazifadir. Veb-saytdan foydalanganda veb-server dasturiy ta'minoti clientaccesspolicy .xml faylini taqdim etishi mumkin, faqat uni qo'shishni unutmang. Biroq, rozetka ilovasidan foydalanganda, mijoz ilovalari siyosat so'rovlarini yuborishi mumkin bo'lgan rozetkani ochishingiz kerak. Bundan tashqari, rozetkaga xizmat qiluvchi kodni qo'lda yaratishingiz kerak. Ushbu muammolarni hal qilish uchun siz siyosat serverini yaratishingiz kerak.

Keyinchalik ko'rib chiqamizki, siyosat serveri xabarlar serveri bilan bir xil ishlaydi, u biroz soddaroq shovqinlarni boshqaradi. Xabar va siyosat serverlari alohida yaratilishi yoki bitta ilovada birlashtirilishi mumkin. Ikkinchi holda, ular turli mavzulardagi so'rovlarni tinglashlari kerak. Ushbu misolda biz siyosat serverini yaratamiz va keyin uni xabarlar serveri bilan birlashtiramiz.

Siyosat serverini yaratish uchun avvalo .NET ilovasini yaratishingiz kerak. Har qanday turdagi .NET ilovasi siyosat serveri sifatida xizmat qilishi mumkin. Eng oson yo'li - konsol ilovasidan foydalanish. Konsol ilovangizni disk raskadrovka qilganingizdan so'ng, kodni Windows xizmatiga ko'chirishingiz mumkin, shunda u doimiy ravishda fonda ishlaydi.

Siyosat fayli

Quyida siyosat serveri tomonidan taqdim etilgan siyosat fayli keltirilgan.

Siyosat fayli uchta qoidani belgilaydi.

4502 dan 4532 gacha bo'lgan barcha portlarga kirishga ruxsat beradi (bu Silverlight qo'shimchasi tomonidan qo'llab-quvvatlanadigan portlarning to'liq diapazoni). Mavjud portlar diapazonini o'zgartirish uchun elementning port atributining qiymatini o'zgartirishingiz kerak.

TCP ga kirishga ruxsat beradi (ruxsat elementning protokol atributida belgilangan).

Har qanday domendan qo'ng'iroq qilish imkonini beradi. Shuning uchun, ulanishni amalga oshiradigan Silverlight ilovasi har qanday veb-sayt tomonidan joylashtirilishi mumkin. Ushbu qoidani o'zgartirish uchun elementning uri atributini tahrirlashingiz kerak.

Vazifani osonlashtirish uchun siyosat qoidalari loyihaga qo'shilgan clientaccess-ploi.cy.xml fayliga joylashtirilgan. Visual Studio'da siyosat faylining Chiqish katalogiga nusxa ko'chirish sozlamasi Doim nusxa ko'chirishga o'rnatilishi kerak. Siz qilishingiz kerak bo'lgan yagona narsa - qattiq diskingizdagi faylni topish, uni ochish va tarkibni mijoz qurilmasiga qaytarish.

PolicyServer klassi

Policy Server funksiyasi ikkita asosiy sinfga asoslangan: PolicyServer va PolicyConnection. PolicyServer klassi ulanishlarni kutish bilan shug'ullanadi. U ulanishni qabul qilgandan so'ng, u boshqaruvni PoicyConnection sinfining yangi namunasiga o'tkazadi, u siyosat faylini mijozga uzatadi. Ushbu ikki qismli protsedura tarmoq dasturlashda keng tarqalgan. Xabar serverlari bilan ishlashda siz buni bir necha marta ko'rasiz.

PolicyServer klassi siyosat faylini qattiq diskdan yuklaydi va uni bayt massivi sifatida maydonda saqlaydi.

ommaviy sinf PolicyServer

shaxsiy bayt siyosati;

public PolicyServer (string policyfile) (

Tinglashni boshlash uchun server ilovasi PolicyServerga qo'ng'iroq qilishi kerak. Start(). U so'rovlarni tinglaydigan TcpListener ob'ektini yaratadi. TcpListener obyekti 943-portda tinglash uchun tuzilgan. Silverlight-da bu port siyosat serverlari uchun ajratilgan. Siyosat fayllari uchun so'rovlar yuborilganda, Silverlight ularni avtomatik ravishda 943-portga yo'naltiradi.

shaxsiy TcpListener tinglovchisi;

public void Start()

// Tinglash ob'ektini yarating

tinglovchi = yangi TcpListener(IPAddress.Any, 943);

// Tinglashni boshlang; Start() usuli listener.Start() chaqirilgandan keyin darhol qaytadi;

// Ulanish kutilmoqda; usul darhol qaytadi;

II kutish alohida ipda amalga oshiriladi

Taklif etilgan ulanishni qabul qilish uchun siyosat serveri BeginAcceptTcpClient() usulini chaqiradi. .NET Frameworkning barcha Beginxxx() usullari singari, u chaqirilgandan so'ng darhol qaytadi va alohida ipda kerakli operatsiyalarni bajaradi. Tarmoq ilovalari uchun bu juda muhim omil, chunki u siyosat fayllari uchun ko'plab so'rovlarni bir vaqtning o'zida qayta ishlashga imkon beradi.

Eslatma. Ajam tarmoq dasturchilari ko'pincha bir vaqtning o'zida bir nechta so'rovlarni qanday bajarish mumkinligi haqida hayron bo'lishadi va bu bir nechta serverlarni talab qiladi deb o'ylashadi. Biroq, unday emas. Ushbu yondashuv bilan mijoz ilovalari tezda tugaydi mavjud portlar. Amalda, server ilovalari ko'plab so'rovlarni bitta port orqali qayta ishlaydi. Bu jarayon ilovalar uchun ko'rinmaydi, chunki Windows-ning o'rnatilgan TCP quyi tizimi xabarlarni avtomatik ravishda aniqlaydi va ularni dastur kodidagi tegishli ob'ektlarga yo'naltiradi. Har bir ulanish to'rtta parametr asosida noyob tarzda aniqlanadi: mijoz IP manzili, mijoz port raqami, server IP manzili va server port raqami.

Har bir so'rovda OnAcceptTcpClient() qayta qo'ng'iroq qilish usuli ishga tushiriladi. U boshqa ish zarrachasida keyingi so'rovni kutishni boshlash uchun O'ning BeginAcceptTcpClient usulini qayta chaqiradi va keyin joriy so'rovni qayta ishlashni boshlaydi.

ommaviy bekor qilingan OnAcceptTcpClient(IAsyncResult ag) (

agar (to'xtatilgan) qaytsa;

Console.WriteLine("Siyosat so'rovi qabul qilindi."); // Keyingi ulanish kutilmoqda.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Joriy ulanishni qayta ishlash.

TcpClient mijozi = listener.EndAcceptTcpClient(ag); PolicyConnection policyConnection = yangi PolicyConnection(mijoz, siyosat); PolicyConnection.HandleRequest() ;

catch (istisno xatosi) (

Har safar yangi ulanish qabul qilinganda, uni boshqarish uchun yangi PolicyConnection obyekti yaratiladi. Bundan tashqari, PolicyConnection obyekti siyosat faylini saqlaydi.

PolicyServer sinfining oxirgi komponenti so'rovlarni kutishni to'xtatuvchi Stop() usuli hisoblanadi. Ilova chiqib ketganda uni chaqiradi.

shaxsiy bool to'xtatildi;

umumiy bekor StopO (

isStopped = rost;

tinglovchi. STOP();

catch (istisno xatosi) (

Console.WriteLine(err.Message);

Siyosat serverini ishga tushirish uchun dastur serverining Main() usulida quyidagi kod ishlatiladi.

statik bekor Asosiy (string args) (

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine("Siyosat serveri ishlayapti."); Console.WriteLine("Chiqish uchun Enter tugmasini bosing.");

// Klaviatura bosilishi kutilmoqda; // Console.ReadKey() usulidan foydalanib, ma'lum bir // qatori uchun kutishni o'rnatishingiz mumkin (masalan, chiqish) yoki istalgan Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("Siyosat serverini tugatish.");

PolicyConnection klassi

PolicyConnection klassi oddiyroq vazifani bajaradi. PolicyConnection ob'ekti siyosat fayli ma'lumotlariga havolani saqlaydi. Keyin, HandleRequest() usulini chaqirgandan so'ng, PolicyConnection obyekti tarmoq oqimidan yangi ulanishni oladi va uni o'qishga harakat qiladi. Mijoz qurilmasi matnni o'z ichiga olgan qatorni o'tkazishi kerak. Ushbu matnni o'qib bo'lgach, mijoz qurilmasi oqimga siyosat ma'lumotlarini yozadi va ulanishni yopadi. Quyida PolicyConnection klassi uchun kod keltirilgan.

ommaviy sinf PolicyConnection(

xususiy TcpClient mijozi; shaxsiy bayt siyosati;

public PolicyConnection (TcpClient mijozi, bayt siyosati) (

this.client = mijoz; this.policy = siyosat;

// Mijoz so'rovini shaxsiy statik satr yaratish policyRequestString = "

ommaviy bekor HandleRequest() (

Stream s = client.GetStream(); // Siyosat so'rovi qatorini o'qing

bayt buferi = yangi bayt;

// Faqat 5 soniya kuting client.ReceiveTimeout = 5000;'

s.Read(bufer, 0, bufer.Length);

// Siyosatdan o'tish (siz siyosat // so'rovda kerakli tarkibga ega yoki yo'qligini ham tekshirishingiz mumkin) s.Write(policy, 0, policy.Length);

//Ulanish mijozini yoping.Close();

Console.WriteLine("Siyosat fayli taqdim etilgan.");

Shunday qilib, bizda to'liq ishlaydigan siyosat serveri mavjud. Afsuski, uni hali sinovdan o‘tkazib bo‘lmaydi, chunki Silverlight qo‘shimchasi siyosat fayllarini aniq so‘rashga ruxsat bermaydi. Buning o'rniga, rozetka ilovasidan foydalanmoqchi bo'lganingizda, u avtomatik ravishda ularni so'raydi. Berilgan soket ilovasi uchun mijoz ilovasini yaratishdan oldin server yaratishingiz kerak.

Mavzuni davom ettirish:

Yangi maqolalar

/

 

O'qing:



Nima uchun noutbukga kichik SSD kerak va unga Windows-ni o'rnatishga arziydimi?

Nima uchun noutbukga kichik SSD kerak va unga Windows-ni o'rnatishga arziydimi?

O'yinlar uchun SSD drayveri qanchalik muhim, u nimaga ta'sir qiladi va ushbu texnologiyaning foydaliligi nimada - bu bizning maqolamizda muhokama qilinadi. Qattiq holat...

Dasturlar yordamida flesh-diskni ta'mirlash Noutbukdagi USB portni qanday tuzatish kerak

Dasturlar yordamida flesh-diskni ta'mirlash Noutbukdagi USB portni qanday tuzatish kerak

USB portini qanday tuzatish mumkin? Mutaxassisdan javob: Kompyuterdan foydalanganda USB portlari tez-tez buziladi. Birinchidan, ular muvaffaqiyatsizlikka uchradi ...

Disk tuzilishi buzilgan, o'qish mumkin emas, nima qilish kerak?

Disk tuzilishi buzilgan, o'qish mumkin emas, nima qilish kerak?

Foydalanuvchilarning shaxsiy kompyuterlarida ko'pincha muhim ma'lumotlar - hujjatlar, fotosuratlar, videolar saqlanadi, ammo ma'lumotlarning zaxira nusxasi odatda...

Kompyuter nimadan iborat?

Kompyuter nimadan iborat?

Nashr etilgan: 14.01.2017 Assalomu alaykum, do'stlar, bugun biz kompyuter tizim blokining dizaynini batafsil ko'rib chiqamiz. Keling, nima ekanligini bilib olaylik ...
tasma tasviri RSS