Дайте детальний опис політики сервера. Команда GPResult: діагностика результуючих групових політик. Додаткові параметри безпеки політики провідних мереж. Команда GPResult: діагностика результуючих групових політик Об'єкти групової підлоги

Лекція 4 Сервер політики мережі: RADIUS-сервер, RADIUS-проксі та сервер політик захисту

Лекція 4

Тема: Сервер політики мережі: RADIUS-сервер, RADIUS-проксі та сервер політик захисту доступу до мережі

Вступ

Windows Server 2008 і Windows Server 2008 R2 - високотехнологічні операційні системи Windows Server, розроблені, щоб дати початок новому поколінню мереж, програм та веб-служб. За допомогою цих операційних систем можна розробляти, доставляти та керувати гнучкою та всеосяжною взаємодією з користувачами та додатками, створювати мережеві інфраструктури з високим рівнем безпеки та збільшувати технологічну ефективність та організованість у своїй організації.

Сервер мережевих політик

Сервер політики мережі дозволяє створювати та застосовувати політики доступу до мережі на рівні організації для забезпечення працездатності клієнтів, а також виконання автентифікації та авторизації запитів на підключення. Крім того, сервер політики мережі можна використовувати як RADIUS-проксі для перенаправлення запитів на підключення до сервера політики мережі або інших RADIUS-серверів, налаштованих у групах віддалених RADIUS-серверів.

Сервер політики мережі дозволяє централізовано налаштовувати політики автентифікації, авторизації та працездатності клієнта при наданні доступу до мережі та керувати цими політиками за допомогою наступних трьох можливостей:

RADIUS Server. Сервер політики мережі централізовано виконує перевірку автентичності, авторизацію та облік для бездротових підключень, підключень по комутаторам з автентифікацією, підключень віддаленого доступу та підключень по віртуальній приватній мережі (VPN). При використанні сервера політики мережі як RADIUS-сервера, сервери доступу до мережі, такі як точки бездротового доступу та VPN-сервери, налаштовуються як RADIUS-клієнти на сервері політики мережі. Крім того, настроюються політики мережі, які використовуються сервером політики мережі для авторизації запитів на підключення. На додаток до цього можна налаштувати облік RADIUS, щоб дані заносилися сервером політики мережі у файли журналу, що зберігаються на локальному жорсткому диску або в базі даних Microsoft SQL Server.

RADIUS proxy. Якщо сервер політики мережі використовується як RADIUS-проксі, необхідно налаштувати політики запитів на підключення, які визначають, які запити на підключення сервер політики мережі буде перенаправляти на інші RADIUS-сервери, а також на які RADIUS-сервери будуть перенаправлятися ці запити. На сервері політики мережі можна також налаштувати перенаправлення облікових даних для їх зберігання на одному або кількох комп'ютерах у групі віддалених RADIUS-серверів.

Network Access Protection (NAP) policy server. Якщо сервер політики мережі налаштований як сервер політик захисту доступу до мережі, сервер політики мережі оцінює стан працездатності, що направляються клієнтськими комп'ютерами з підтримкою захисту доступу до мережі, які намагаються підключитися до мережі. Сервер мережевих політик, на якому налаштований захист доступу до мережі, виступає як RADIUS-сервер, виконуючи автентифікацію та авторизацію запитів на підключення. На сервері політики мережі можна налаштувати політики та параметри захисту доступу до мережі, у тому числі пристрої перевірки працездатності системи, політику працездатності та групи серверів оновлень, які забезпечують оновлення конфігурації клієнтських комп'ютерів відповідно до політики мережі організації.

На сервері політики мережі можна налаштувати будь-яке поєднання перерахованих вище можливостей. Наприклад, сервер політики мережі може виступати як сервер політик захисту доступу до мережі з використанням одного або декількох методів застосування, одночасно виконуючи функції RADIUS-сервера для підключень віддаленого доступу та функції RADIUS-проксі для перенаправлення деяких запитів на підключення групі віддалених RADIUS-серверів, що дозволяє виконувати автентифікацію та авторизацію в іншому домені.

RADIUS-сервер та RADIUS-проксі

Сервер політики мережі може використовуватися як RADIUS-сервер, RADIUS-проксі або обидва ці пристрої одночасно.

RADIUS-сервер

Сервер політики мережі Майкрософт реалізований відповідно до стандарту RADIUS, описаного в документах IETF RFC 2865 і RFC 2866. Як RADIUS-сервер сервер політики мережі централізовано виконує перевірку автентичності, авторизацію та облік підключень для різних типів доступу до мережі, включаючи бездротовий доступ, комутування з автентифікацією, віддалений доступ і доступ до VPN, а також підключення між маршрутизаторами.

Сервер політики мережі дозволяє використовувати різноманітний набір обладнання для бездротового доступу, віддаленого доступу, мереж VPN та комутування. Сервер політики мережі можна використовувати зі службою маршрутизації та віддаленого доступу, доступною в операційних системах. Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition та Windows Server 2003, Datacenter Edition.

Якщо комп'ютер із сервером політики мережі є членом домену Active Directory®, сервер політики мережі використовує цю службу каталогів як базу даних облікових записів користувачів та є частиною рішення для єдиного входу. Той самий набір облікових даних використовується для керування доступом до мережі (автентифікація та авторизація доступу до мережі) і для входу в домен Active Directory.

Постачальники послуг Інтернету та організації, які забезпечують доступ до мережі, стикаються з більш складними завданнями, пов'язаними з необхідністю здійснювати управління будь-якими типами мереж з єдиної точки адміністрування незалежно від обладнання доступу до мережі, що використовується. Стандарт RADIUS підтримує таку функціональність як у однорідних, так і у різнорідних середовищах. Протокол RADIUS є клієнт-серверним протоколом, який дозволяє обладнанню доступу до мережі (виступає як RADIUS-клієнтів) надсилати RADIUS-серверу запити на автентифікацію та облік.

RADIUS-сервер має доступ до відомостей облікового запису користувача і може перевіряти облікові дані під час автентифікації для надання доступу до мережі. Якщо облікові дані користувача є справжніми, і спроба підключення пройшла авторизацію, RADIUS-сервер авторизує доступ даного користувача з урахуванням зазначених умов та заносить відомості про підключення до журналу обліку. Використання протоколу RADIUS дозволяє збирати та обслуговувати дані про автентифікацію, авторизацію та облік в єдиному розташуванні замість виконання цієї операції на кожному сервері доступу.

RADIUS-проксі

Як RADIUS-проксі сервер політики мережі перенаправляє повідомлення автентифікації та обліку на інші RADIUS-сервери.

За допомогою сервера політики мережі організації можуть передати інфраструктуру віддаленого доступу на зовнішнє управління постачальнику послуг, водночас зберігаючи контроль за автентифікацією, авторизацією та обліком користувачів.

Конфігурації сервера політики мережі можуть створюватися для таких сценаріїв:

Бездротовий доступ

Підключення віддаленого доступу або приватної віртуальної мережі в організації.

Віддалений доступабо бездротовий доступ, що забезпечується зовнішньою організацією

Доступ до Інтернету

Доступ з автентичністю до ресурсів зовнішньої мережі для ділових партнерів

Приклади конфігурацій RADIUS-сервера та RADIUS-проксі

У наступних прикладах конфігурації демонструється налаштування сервера політики мережі як RADIUS-сервер і RADIUS-проксі.

NPS як RADIUS server. У цьому прикладі сервер політики мережі налаштований як RADIUS-сервер, єдиною налаштованою політикою є встановлена ​​за замовчуванням політика запитів на підключення, всі запити на підключення обробляються локальним сервером політики мережі. Сервер політики мережі може виконувати автентифікацію та авторизацію користувачів, облікові записи яких знаходяться в домені даного сервера або в довірених доменах.

NPS як RADIUS proxy. У цьому прикладі сервер політики мережі налаштований як RADIUS-проксі, який перенаправляє запити на підключення до груп віддалених RADIUS-серверів у двох різних доменах без довіри. Установлена ​​за замовчуванням політика запитів на підключення видаляється, а замість неї створюються дві нові політики запитів на підключення, які передбачають перенаправлення запитів до кожного з двох доменів без довіри. У цьому прикладі сервер політики мережі не обробляє запити на підключення на локальному сервері.

NPS як both RADIUS server and RADIUS proxy. На додаток до встановленої за промовчанням політики запитів на підключення, яка передбачає локальну обробку запитів, створюється нова політика запитів на підключення, яка передбачає їх перенаправлення на сервер політики мережі або інший RADIUS-сервер, що знаходиться в домені без довіри. Друга політика має ім'я Проксі. У цьому прикладі політика "Проксі" відображається першою в упорядкованому списку політик. Якщо запит на підключення відповідає політиці "Проксі", даний запитна підключення перенаправляється на RADIUS-сервер у групі віддалених RADIUS-серверів. Якщо запит на підключення не відповідає політиці "Проксі", але відповідає встановленій за промовчанням політиці запитів на підключення, сервер політики мережі обробляє цей запит на підключення на локальному сервері. Якщо запит на підключення не відповідає жодній із цих політик, він відхиляється.

NPS як RADIUS server з remote accounting servers. У цьому прикладі локальний сервер політики мережі не налаштований на ведення обліку, а встановлена ​​за замовчуванням політика запитів на підключення змінена таким чином, щоб RADIUS-повідомлення обліку перенаправлялися на сервер політики мережі або на інший RADIUS-сервер у групі віддалених RADIUS-серверів. Незважаючи на те, що повідомлення обліку перенаправляються, повідомлення автентифікації та авторизації не перенаправляються, а відповідні функції для локального домену і всіх довірених доменів здійснюються локальним сервером політики мережі.

NPS with remote RADIUS для Windows user mapping. У цьому прикладі сервер політики мережі виступає як як RADIUS-сервер, так і як RADIUS-проксі для кожного окремого запиту на підключення, перенаправляючи запит на автентифікацію на віддалений RADIUS-сервер і одночасно виконуючи авторизацію з використанням локального облікового запису користувача Windows. Така конфігурація реалізується шляхом встановлення атрибуту зіставлення віддаленого сервера RADIUS користувачу Windows як умову політики запитів на підключення. (Крім того, на RADIUS-сервері необхідно створити локальний обліковий запис користувача з тим же ім'ям, що й віддалений обліковий запис, за яким буде виконуватися автентифікація віддаленим RADIUS-сервером.)

Сервер політики захисту доступу до мережі

Компонент захисту доступу до мережі включено до Windows Vista®, Windows® 7, Windows Server® 2008 та Windows Server® 2008 R2. Він допомагає забезпечити захист доступу до приватних мереж, гарантуючи відповідність параметрів клієнтських комп'ютерів політикам працездатності, що діють у мережі організації, при дозволі цим клієнтам доступу до мережевих ресурсів. Крім того, відповідність клієнтського комп'ютера політиці працездатності, що визначається адміністратором, відстежується компонентом захисту доступу до мережі в період, коли комп'ютер підключений до мережі. Завдяки можливості автоматичного оновлення захисту доступу до мережі може виконуватися автоматичне оновлення невідповідних комп'ютерів у відповідності до політики працездатності, що дозволяє згодом надати їм доступ до мережі.

Системні адміністратори визначають політики працездатності мережі та створюють ці політики з використанням компонентів захисту доступу до мережі, які доступні на сервері політики мережі або постачаються іншими компаніями (залежно від реалізації захисту доступу до мережі).

Політики працездатності можуть мати такі характеристики, як вимоги до програмного забезпечення, вимоги до оновлень системи безпеки та вимоги до параметрів конфігурації. Захист доступу до мережі застосовує політики працездатності, перевіряючи та оцінюючи працездатність клієнтських комп'ютерів, обмежуючи мережевий доступ для комп'ютерів, які не відповідають цим вимогам та виправляючи цю невідповідність з метою надання необмеженого доступу до мережі.

Під час інсталяції Windows більшість другорядних підсистем не активуються або не встановлюються. Це зроблено з причин безпеки. Оскільки система за замовчуванням захищена, системні адміністратори можуть зосередитися на проектуванні системи, яка виконуватиме виключно покладені на неї функції та нічого зайвого. Для допомоги при включенні потрібних функцій Windows пропонує вибрати роль сервера (Server Role).

Ролі

Роль сервера - це набір програм, які при правильному встановленні та налаштуванні дозволяють комп'ютеру виконувати певну функцію для кількох користувачів або інших комп'ютерів у мережі. Загалом усі ролі мають такі характеристики.

• Вони визначають основну функцію, призначення або мету використання комп'ютера. Можна призначити комп'ютер до виконання однієї ролі, яка інтенсивно використовується для підприємства, чи виконання кількох ролей, якщо кожна їх застосовується лише зрідка.
• Ролі надають користувачам у всій організації доступ до ресурсів, які керуються іншими комп'ютерами, такими як веб-сайти, принтери або файли, що зберігаються на різних комп'ютерах.
• Вони зазвичай мають власні бази даних, в яких створюються черги запитів користувача або комп'ютера або записуються відомості про мережевих користувачів та комп'ютерів, які стосуються ролі. Наприклад, служби домену Active Directory містять базу даних для зберігання імен та ієрархічних зв'язків усіх комп'ютерів у мережі.
• Після правильного встановлення та налаштування ролі функціонують автоматично. Це дозволяє комп'ютерам, на яких вони встановлені, виконувати призначені завдання з обмеженою участю користувача.

Служби ролей

Служби ролей – це програми, які забезпечують функціональні можливостіролі. Під час встановлення ролі можна вибрати, які послуги вона надає іншим користувачам та комп'ютерам на підприємстві. Деякі ролі, такі як DNS-сервер, виконують лише одну функцію, тому для них немає служб ролей. Інші ролі, такі як служби віддалених робочих столів, мають кілька служб, які можна встановити залежно від потреб підприємства у віддаленому доступі. Роль можна як сукупність тісно пов'язаних, взаємодоповнюючих служб ролей. Найчастіше встановлення ролі означає встановлення однієї чи кількох її служб.

Компоненти

Компоненти - це програми, які є безпосередньо частинами ролей, але підтримують чи розширюють функції однієї чи кількох ролей чи цілого сервера незалежно від цього, які ролі встановлені. Наприклад, компонент «Засіб відмови кластерів» розширює функції інших ролей, таких як Файлові служби та DHCP-сервер, дозволяючи їм приєднуватися до серверних кластерів, що забезпечує підвищену надмірність і продуктивність. Інший компонент – «Клієнт Telnet» – забезпечує віддалений зв'язок із сервером Telnet через мережеве підключення. Ця функція розширює можливості зв'язку сервера.

Коли Windows Server працює як основні серверні компоненти, підтримуються такі ролі сервера:

• служби сертифікатів Active Directory;
• доменні служби Active Directory;
• DHCP-сервер;
• DNS-сервер;
• файлові служби (у тому числі диспетчер ресурсів файлового сервера);
• служби Active Directory полегшеного доступу до каталогів;
• Hyper-V;
• служби друку та документів;
• служби потокового мультимедіа;
• веб-сервер (у тому числі підмножина ASP.NET);
• сервер оновлень Windows Server;
• сервер керування правами Active Directory;
• сервер маршрутизації та віддаленого доступу та наступні підлеглі ролі:
  • посередник підключень служб віддалених робочих столів;
  • ліцензування;
  • віртуалізація.

Коли Windows Server працює як основні серверні компоненти, підтримуються такі компоненти сервера:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фонова інтелектуальна служба передачі (BITS);
• шифрування диска BitLocker;
• мережеве розблокування BitLocker;
• BranchCache
• міст для центру обробки даних;
• Enhanced Storage;
• відмовостійка кластеризація;
• Multipath I/O;
• балансування мережного навантаження;
• протокол PNRP;
• qWave;
• віддалений різницевий стиск;
• прості служби TCP/IP;
• RPC через HTTP-проксі;
• сервер SMTP;
• служба SNMP;
• клієнт Telnet;
• сервер Telnet;
• клієнт TFTP;
• внутрішня база даних Windows;
• Windows PowerShell Web Access;
• служба активації Windows;
• стандартизоване керування сховищами Windows;
• розширення IIS WinRM;
• WINS-сервер;
• підтримка WoW64.

Встановлення ролей сервера за допомогою Server Manager

Для додавання відкриваємо Server Manager, і в меню Manage тиснемо Add Roles and features:

Відкриється майстер додавання ролей та компонентів. Тиснемо Next

Installation Type, вибираємо Role-based або feature-based installation. Next:

Server Selection – вибираємо наш сервер. Тиснемо Next Server Roles - Виберіть ролі, якщо необхідно, виберіть служби ролей і натисніть кнопку Next, щоб вибрати компоненти. Під час цієї процедури Майстер додавання ролей і компонентів автоматично інформує про конфлікти на кінцевому сервері, які можуть перешкодити встановленню або нормальній роботі вибраних ролей або компонентів. Також з'являється запит на додавання ролей, служб ролей та компонентів, необхідних для вибраних ролей чи компонентів.

Встановлення ролей за допомогою PowerShell

Відкриваємо Windows PowerShell Вводимо команду Get-WindowsFeature, щоб переглянути список доступних та встановлених ролей та компонентів на локальному сервері. Результати виконання цього командлета містять імена команд для ролей та компонентів, встановлених та доступних для встановлення.

Введіть Get-Help Install-WindowsFeature, щоб переглянути синтаксис та допустимі параметри командлета Install-WindowsFeature (MAN).

Вводимо наступну команду (-Restart перезавантажить сервер, якщо під час встановлення ролі потрібно перезавантаження).

Install-WindowsFeature -Name -Restart

Опис ролей та служб ролей

Нижче описані всі ролі та служби ролей. Розширене налаштування подивимося для Web Server Role і Remote Desktop Services, що найчастіше зустрічаються в нашій практиці.

Детальний опис IIS

• Common HTTP Features - Основні HTTP компоненти
  • Default Document – ​​дозволяє встановлювати індексну сторінку у сайту.
  • Directory Browsing – дозволяє користувачам бачити вміст каталогу на веб-сервері. Використовуйте Directory Browsing для того, щоб автоматично згенерувати список усіх каталогів та файлів, наявних у каталозі, коли користувачі не вказують файл в URL-адресі та індексна сторінка вимкнена або не налаштована
  • HTTP Errors - дозволяє налаштувати повідомлення про помилки, що повертаються клієнтам у браузері.
  • Static Content - дозволяє розміщувати статичний контент, наприклад картинки або html-файли.
  • HTTP Redirection – забезпечує підтримку перенаправлення запитів користувачів.
  • WebDAV Publishing дозволяє публікувати файли з веб-сервера за допомогою протоколу HTTP.
• Health and Diagnostics Features - Компоненти діагностики
  • HTTP Logging забезпечує ведення журналу активності веб-сайту для цього сервера.
  • Custom Logging забезпечує підтримку створення кастомних логів, які відрізняються від традиційних журналів.
  • Logging Tools забезпечує інфраструктуру для керування журналами веб-сервера та автоматизації загальних завдань ведення журналу.
  • ODBC Logging забезпечує інфраструктуру, яка підтримує ведення журналу активності веб-сервера в ODBC-сумісній базі даних.
  • Request Monitor надає інфраструктуру для моніторингу стану веб-застосунків шляхом збору інформації про HTTP-запити в робочому процесі IIS.
  • Tracing надає інфраструктуру для діагностики та усунення несправностей веб-застосунків. При використанні трасування невдалих запитів, ви можете відстежити події, що важко фіксуються, такі як погана продуктивність або збої аутентифікації.
• Performance компоненти збільшення продуктивності веб-сервера.
  • Static Content Compression надає інфраструктуру для налаштування статистичного вмісту HTTP.
  • Dynamic Content Compression надає інфраструктуру для налаштування HTTP-стиснення динамічного вмісту.
• Security компоненти безпеки
  • Request Filtering дозволяє фіксувати всі запити та фільтрувати їх на підставі правил, встановлених адміністратором.
  • Basic Authentication дозволяє встановити додаткову авторизацію
  • Centralized SSL Certificate Support – це функція, яка дозволяє зберігати сертифікати в централізованому місці, як загальний файловий ресурс.
  • Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів.
  • Digest Authentication працює шляхом відправки хеша пароля до контролера домену Windows, для аутентифікації користувачів. Якщо вам потрібно більше високий рівеньбезпеки у порівнянні зі звичайною автентифікацією, розгляньте питання про використання автентифікації Digest
  • IIS Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів. Сертифікат клієнта є цифровий ID, отриманий з надійного джерела.
  • IP and Domain Restrictions дозволяє дозволяти/забороняти доступ на основі запитуваної IP-адреси або доменного імені.
  • URL Authorization дозволяє створювати правила, що обмежують доступ до веб-контенту.
  • Windows Authentication Ця схема автентифікації дозволяє адміністраторам домену Windows користуватися перевагами доменної інфраструктури для автентифікації користувачів.
• Application Development Features компоненти розробки програм
• FTP Server
  • FTP Service Включає публікації FTP на веб-сервері.
  • FTP Extensibility Включає підтримку FTP функцій, що розширюють можливості
• Management Tools інструменти управління
  • IIS Management Console встановлює диспетчер IIS, який дозволяє керувати веб-сервером через графічний інтерфейс.
  • IIS 6.0 Management Compatibility забезпечує пряму сумісність для програм та сценаріїв, які використовують Admin Base Object (ABO) та інтерфейсу служби каталогів (ADSI) API Active Directory. Це дозволяє використовувати існуючі сценарії IIS 6.0 веб-сервером IIS 8.0
  • IIS Management Scripts and Tools надають інфраструктуру для керування веб-сервером IIS програмно, за допомогою команд у вікні командного рядкаабо за допомогою запуску сценаріїв.
  • Management Service надає інфраструктуру для налаштування інтерфейсу користувача диспетчера IIS.

Детальний опис RDS

• Remote Desktop Connection Broker - Забезпечує повторне підключення клієнтського пристрою до програм на основі сеансів настільних комп'ютерів та віртуальних робочих столів.
• Remote Desktop Gateway - Дозволяє авторизованим користувачам підключатися до віртуальних робочих столів, програм RemoteApp та заснованих на сесіях робочих столів у корпоративній мережі або через Інтернет.
• Remote Desktop Licensing - Засіб керування ліцензіями RDP
• Remote Desktop Session Host – Включає сервер для розміщення програм RemoteApp або сеансу на основі робочих столів.
• Remote Desktop Virtualization Host – дозволяє налаштовувати RDP на віртуальних машинах
• Remote Desktop WebAccess - Дозволяє користувачам підключатися до ресурсів робочого столу за допомогою меню Пуск або браузера.

Розглянемо встановлення та налаштування сервера термінальних ліцензій. Вище розказано як встановлювати ролі, установка RDS не відрізняється від інсталяції інших ролей, у Role Services нам потрібно буде вибрати Remote Desktop Licensing та Remote Desktop Session Host. Після інсталяції в Server Manager-Tools з'явиться пункт Terminal Services. Terminal Services має два пункти RD Licensing Diagnoser, це засіб діагностики роботи ліцензування віддалених робочих столів, і Remote Desktop Licensing Manager, це засіб управління ліцензіями.

Запустимо RD Licensing Diagnoser

Тут ми бачимо, що доступних ліцензій поки немає, тому що не встановлено режим ліцензування для сервера вузла сеансів віддалених робочих столів. Сервер ліцензування вказується у локальних групових політиках. Для запуску редактора виконаємо команду gpedit.msc. Відкриється редактор локальної групової політики. У дереві зліва розкриємо вкладки:

• "Конфігурація комп'ютера" (Computer Configuration)
• "Адміністративні шаблони" (Administrative Templates)
• Компоненти Windows (Windows Components)
• "Служби віддалених робочих столів" (Remote Desktop Services)
• "Вузол сеансів віддалених робочих столів" (Remote Desktop Session Host)
• Ліцензування (Licensing)

Відкриємо параметри Use the specified Remote Desktop license servers

У вікні редагування параметрів політики включаємо сервер ліцензування (Enabled). Потім потрібно визначити сервер ліцензування для служби віддалених робочих столів. У моєму прикладі сервер ліцензування знаходиться на тому самому фізичному сервері. Вказуємо ім'я мережі або IP-адресу сервера ліцензій і натискаємо OK. Якщо надалі буде змінюватися ім'я сервера, сервер ліцензій, потрібно змінити цей же розділ.

Після цього в RD Licensing Diagnoser можна побачити, що сервер термінальних ліцензій налаштований, але не увімкнений. Для включення запускаємо Remote Desktop Licensing Manager

Вибираємо сервер ліцензування, зі статусом Not Activated. Для активації клацаємо по ньому правою кнопкою миші та вибираємо Activate Server. Запуститься Майстер активації сервера. На вкладці Connection Method вибираємо Automatic Connection. Далі заповнюємо інформацію про організацію, після чого сервер ліцензій активовано.

Active Directory Certificate Services

Служби AD CS надають послуги з видачі цифрових сертифікатів, які використовуються в системах безпеки ПЗ, що застосовують технології відкритих ключів, та з управління цими сертифікатами. Цифрові сертифікати, які надаються AD CS, можна використовувати для шифрування та цифрового підписування електронних документів та повідомлень. Ці цифрові сертифікати можна використовувати для перевірки в мережі справжності облікових записів комп'ютерів, користувачів та пристроїв.

• конфіденційності за допомогою шифрування;
• цілісності за допомогою цифрових підписів;
• автентифікації за допомогою прив'язування ключів сертифіката до облікових записів комп'ютерів, користувачів та пристроїв у мережі.

AD CS можна використовувати для підвищення безпеки шляхом прив'язки посвідчення користувача, пристрою чи служби до відповідного закритого ключа. До застосування, підтримуваних AD CS, входять безпечні багатоцільові розширення стандарту пошти Інтернету (S/MIME), захищені бездротові мережі, віртуальні приватні мережі (VPN), протокол IPsec, шифрована файлова система (EFS), вхід за допомогою смарт-карт, протокол безпеки передачі даних та протокол безпеки транспортного рівня (SSL/TLS) та цифрові підписи.

Active Directory Domain Services

Використовуючи роль сервера доменних служб Active Directory (AD DS), можна створити масштабовану, безпечну та керовану інфраструктуру для керування користувачами та ресурсами; Крім того, можна забезпечити роботу програм, які підтримують каталоги, наприклад, Microsoft Exchange Server. Доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережні ресурси та дані додатків із підтримкою каталогів, а також здійснюється керування цією інформацією. Сервер, на якому виконуються AD DS, називається контролером домену. Адміністратори можуть використовувати AD DS для впорядкування ієрархічної вкладеної структури таких елементів мережі, як користувачі, комп'ютери та інші пристрої. Ієрархічна вкладена структура включає ліс Active Directory, домени в лісі та організаційні підрозділи у кожному домені. Засоби безпеки інтегровані в AD DS у вигляді автентичності та контролю доступу до ресурсів у каталозі. За допомогою єдиного входу до мережі адміністратори можуть керувати по мережі даними каталогу та організацією. Авторизовані користувачі мережі також можуть використовувати єдиний вхід до мережі для доступу до ресурсів, які розташовані в будь-якому місці мережі. Доменні служби Active Directory надають такі додаткові можливості.

• Набір правил - схема, що визначає класи об'єктів та атрибути, які містяться в каталозі, обмеження та межі для екземплярів цих об'єктів, а також формат їх імен.
• Глобальний каталог, що містить відомості про кожен об'єкт у каталозі. Користувачі та адміністратори можуть використовувати глобальний каталог для пошуку даних каталогу незалежно від того, який домен у каталозі дійсно містить дані, що шукаються.
• Механізм запитів та індексування, завдяки якому об'єкти та їх властивості можуть публікуватися та знаходитися мережевими користувачами та додатками.
• Служба реплікації, яка розподіляє дані каталогу мережі. Всі контролери домену, доступні для запису в домені, беруть участь у реплікації та містять повну копію всіх даних каталогу для свого домену. Будь-які зміни даних каталогу реплікуються в домені на всі контролери домену.
• Ролі господарів операцій (відомі також як гнучкі операції з єдиним господарем, або FSMO). Контролери доменів, що виконують ролі господарів операцій, призначені для виконання спеціальних завданьщодо забезпечення узгодженості даних та виключення конфліктуючих записів у каталозі.

Active Directory Federation Services

AD FS надають кінцевим користувачам, яким потрібний доступ до програм на захищеному за допомогою AD FS підприємстві, у партнерських організаціях федерації або у хмарі, можливості спрощеної та безпечної федерації посвідчень та веб-служби єдиного входу (SSO) У Windows Server AD FS включають службу ролі служби федерації, що діє як постачальник посвідчень (виконує автентифікацію користувачів для надання маркерів безпеки для додатків, що довіряють AD FS) або як постачальник федерації (застосовує маркери від інших постачальників посвідчень і надає маркери безпеки для додатків, що довіряють AD FS).

Active Directory Lightweight Directory Services

Служби Active Directory полегшеного доступу до каталогів (AD LDS) - це протокол LDAP, який забезпечує гнучку підтримку програм, що працюють з каталогами, без залежностей та пов'язаних з доменами обмежень доменних служб Active Directory. AD LDS можна запускати на рядових або ізольованих серверах. На одному сервері можна запустити кілька екземплярів AD LDS із незалежно керованими схемами. За допомогою ролі служби AD LDS можна надати служби каталогів для програм із підтримкою каталогів, не використовуючи службові дані доменів і лісів і не вимагаючи єдиної схеми для всього лісу.

Active Directory Rights Management Services

Служби AD RMS можна використовувати, щоб розширити безпекову стратегію в організації, забезпечивши захист документів за допомогою управління правами на доступ до даних (IRM). AD RMS дозволяє користувачам та адміністраторам призначати дозволи доступу до документів, робочих книг та презентацій за допомогою політик IRM. Це дозволяє захистити конфіденційну інформацію від друку, пересилання або копіювання користувачами, які не мають цього права. Після того, як дозволи для файлу обмежені за допомогою IRM, обмеження доступу та використання застосовуються незалежно від розташування інформації, оскільки дозвіл для файлу зберігається в самому файлі документа. За допомогою AD RMS та IRM окремі користувачі можуть застосовувати свої особисті налаштування щодо передачі особистих та конфіденційних відомостей. Вони також допоможуть організації застосовувати корпоративну політику для управління використанням та розповсюдженням конфіденційних та особистих відомостей. Рішення IRM, які підтримує AD RMS, використовуються для забезпечення наступних можливостей.

• Постійні політики використання, які залишаються з інформацією незалежно від її переміщення, надсилання або пересилання.
• Додатковий рівень конфіденційності для захисту конфіденційних даних – наприклад, звітів, специфікацій продуктів, відомостей про клієнтів та повідомлень електронної пошти – від навмисного чи випадкового потрапляння до чужих рук.
• Запобігання несанкціонованому пересиланню, копіюванням, змінам, друкуванню, передачі факсом або вставленням обмежуваного вмісту авторизованими одержувачами.
• Запобігання копіюванню обмежуваного вмісту за допомогою функції PRINT SCREEN у Microsoft Windows.
• Підтримка терміну дії файлу, що запобігає перегляду вмісту документів після закінчення заданого періоду часу.
• Впровадження корпоративних політик, що керують використанням та розповсюдженням вмісту в організації

Application Server

Сервер програм надає інтегроване середовище для розгортання та виконання користувацьких бізнес-додатків на базі сервера.

DHCP Server

DHCP - це технологія "клієнт-сервер", за допомогою якої DHCP-сервери можуть призначати або здавати в оренду IP-адреси комп'ютерам та іншим пристроям, що є DHCP-клієнтами. на базі IPv4 та IPv6 дійсних IP-адрес та додаткових конфігураційних параметрів, необхідних даним клієнтам та пристроям. Служба DHCP-сервера в Windows Server включає підтримку заснованих на політиці призначень та обробку відмов протоколу DHCP.

DNS Server

Служба DNS - це ієрархічна розподілена база даних, що містить зіставлення доменних імен DNS з різними типамиданих, таких як IP-адреси. Служба DNS дозволяє використовувати зрозумілі імена, такі як www.microsoft.com для полегшення знаходження комп'ютерів та інших ресурсів у мережах, що працюють на базі протоколу TCP/IP. Служба DNS у Windows Server забезпечує додаткову покращену підтримку Модулів безпеки DNS (DNSSEC), включаючи реєстрацію в мережі та автоматизоване керування параметрами.

FAX Server

Факс-сервер надсилає та отримує факси, а також дає можливість керувати ресурсами факсу, такими як завдання, налаштування, звіти та факс-пристрої на факс-сервері.

File and Storage Services

Адміністратори можуть використовувати роль "Файлові служби та служби сховища" для налаштування декількох файлових серверів та їх сховищ, а також для керування цими серверами за допомогою диспетчера серверів або Windows PowerShell. Деякі конкретні програми включають такі функції.

• Робочі папки. Використовувати, щоб дозволити користувачам зберігати робочі файли та доступ до них на особистих комп'ютерах та пристроях крім корпоративних ПК. Користувачі отримують зручне місце для зберігання робочих файлів та доступу до них із будь-якого місця. Організації контролюють корпоративні дані, зберігаючи файли на централізовано керованих файлових серверах і за потреби задаючи політики пристроїв користувачів (такі як шифрування та паролі блокування екрану).
• Дедуплікація даних. Використовувати для зниження вимог до місця на диску для зберігання файлів, заощаджуючи кошти на сховищі.
• Сервер мети iSCSI. Використовувати для створення централізованих, програмних та апаратно-незалежних дискових підсистем iSCSI у мережах зберігання даних (SAN).
• Дискові простір. Використовувати для розгортання сховища з високим рівнем доступності, відмовостійкого та масштабованого за рахунок застосування економічних стандартизованих у галузі дисків.
• Менеджер серверів. Використовувати для віддаленого керуванняДекількома файловими серверами з одного вікна.
• Windows PowerShell. Використовувати для автоматизації керування більшістю завдань адміністрування файлових серверів.

Hyper-V

Роль Hyper-V дозволяє створювати віртуалізоване обчислювальне середовище за допомогою технології віртуалізації, вбудованої в Windows Server, та керувати нею. Під час встановлення ролі Hyper-V виконується встановлення необхідних компонентів, а також необов'язкових засобів керування. До необхідних компонентів входять низькорівнева оболонка Windows, служба управління віртуальними машинами Hyper-V, постачальник віртуалізації WMI та компоненти віртуалізації, такі як шина VMbus, постачальник служби віртуалізації (VSP) та драйвер віртуальної інфраструктури (VID).

Network Policy and Access Services

Служби мережної політики та доступу надають такі рішення для підключення до мережі:

• Захист доступу до мережі – це технологія створення, примусового застосування та виправлення політик працездатності клієнта. За допомогою захисту доступу до мережі системні адміністратори можуть встановлювати та автоматично застосовувати політики працездатності, які включають вимоги до програмного забезпечення, оновлень для системи безпеки та інші параметри. Для клієнтських комп'ютерів, які не відповідають вимогам політики працездатності, можна обмежити доступ до мережі, доки їх конфігурація не буде оновлена ​​відповідно до вимог політики.
• Якщо розгорнуто точку бездротового доступу з підтримкою 802.1X, ви можете використовувати сервер політики мережі (NPS) для розгортання методів автентифікації на основі сертифікатів, які є більш безпечними, ніж автентифікація на основі паролів. Розгортання обладнання з підтримкою 802.1X із сервером NPS дозволяє забезпечити автентифікацію користувачів інтрамережі до того, як вони зможуть підключитися до мережі або отримати IP-адресу від DHCP-сервера.
• Замість того, щоб налаштовувати політику доступу до мережі на кожному сервері доступу до мережі, можна централізовано створити всі політики, в яких будуть визначені всі аспекти запитів на підключення до мережі (хто може підключатися, коли дозволено підключення, рівень безпеки, який необхідно використовувати для підключення до мережі ).

Print and Document Services

Служби друку та документів дозволяють централізувати завдання сервера друку та мережного принтера. Ця роль також дозволяє отримувати відскановані документи з мережевих сканерів і передавати документи до загальних мережних ресурсів - на веб-сайті Windows SharePoint Services або електронною поштою.

Remote Access

Роль сервера віддаленого доступу є логічною групою наступних технологій мережного доступу.

• DirectAccess
• Маршрутизація та віддалений доступ
• Проксі-сервер веб-програми

Ці технології є службами ролейролі сервера віддаленого доступу. Під час встановлення ролі сервера віддаленого доступу можна встановити одну або кілька служб ролей, запустивши майстер додавання ролей та компонентів.

У Windows Server роль сервера віддаленого доступу забезпечує можливість централізованого адміністрування, налаштування та спостереження за службами віддаленого доступу DirectAccess та VPN зі службою маршрутизації та віддаленого доступу (RRAS). DirectAccess і RRAS можна розгорнути на одному прикордонному сервері та керувати ними за допомогою команд Windows PowerShell та консолі керування (MMC) віддаленого доступу.

Remote Desktop Services

Служби віддалених робочих столів прискорюють та розширюють розгортання робочих столів та додатків на будь-якому пристрої, підвищуючи ефективність віддаленого працівника, одночасно забезпечуючи безпеку критично важливої ​​інтелектуальної власності та спрощуючи відповідність нормативним вимогам. Служби віддалених робочих столів включають інфраструктуру віртуальних робочих столів (VDI), робочі столи на основі сеансів та програми, надаючи користувачам можливість працювати будь-де.

Volume Activation Services

Служби активації корпоративних ліцензій - це роль сервера в Windows Server починаючи з Windows Server 2012, яка дозволяє автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення Microsoft, а також керування такими ліцензіями у різних сценаріях та середовищах. Поряд із службами активації корпоративних ліцензій можна встановити та настроїти службу керування ключами (KMS) та активацію за допомогою Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) у Windows Server забезпечує платформу для розміщення веб-вузлів, служб та програм. Використання веб-сервера забезпечує доступ до інформації користувачам в Інтернеті, інтрамережі та екстрамережі. Адміністратори можуть використовувати роль веб-сервера (IIS) для налаштування та керування кількома веб-сайтами, веб-застосунками та FTP-сайтами. До спеціальних можливостей входять такі.

• Використання диспетчера служб IIS для налаштування компонентів IIS та адміністрування веб-сайтів.
• Використання протоколу FTP для дозволу власникам веб-сайтів надсилати та завантажувати файли.
• Використання ізоляції веб-сайтів для запобігання впливу одного веб-сайту на сервер на інші.
• Налаштування веб-застосунків, розроблених з використанням різних технологій, таких як Classic ASP, ASP.NET і PHP.
• Використання Windows PowerShell для автоматичного керування здебільшого завдань адміністрування веб-сервера.
• Об'єднання кількох веб-серверів у ферму серверів, яку можна керувати за допомогою IIS.

Windows Deployment Services

Служби розгортання Windows дозволяють розгортати операційні системи Windows через мережу, що означає можливість не встановлювати кожну операційну систему безпосередньо з компакт-диска або DVD-диска.

Windows Server Essentials Experience

Ця роль дозволяє вирішувати такі задачи:

• захищати дані сервера та клієнтів, створюючи резервні копії сервера та всіх клієнтських комп'ютерів у мережі;
• керувати користувачами та групами користувачів через спрощену панель моніторингу сервера. Крім того, інтеграція з Windows Azure Active Directory забезпечує користувачам простий доступ до інтернет-служб Microsoft Online Services (наприклад, Office 365, Exchange Online і SharePoint Online) за допомогою їх облікових даних домену;
• зберігати дані компанії у централізованому місці;
• інтегрувати сервер з інтернет-службами Microsoft Online Services (наприклад, Office 365, Exchange Online, SharePoint Online та Windows Intune):
• використовувати на сервері функції повсюдного доступу (наприклад, віддалений веб-доступ та віртуальні приватні мережі) для доступу до сервера, комп'ютерів мережі та даних з віддалених позицій з високим ступенем безпеки;
• отримувати доступ до даних з будь-якого місця та з будь-якого пристрою за допомогою власного веб-порталу організації (за допомогою віддаленого веб-доступу);
• керувати мобільними пристроями, з яких здійснюється доступ до електронної пошти організації за допомогою Office 365 через протокол Active Sync, з панелі моніторингу;
• відстежувати працездатність мережі та отримувати звіти про працездатність, що настроюються; звіти можна створювати на вимогу, налаштовувати та надсилати електронною поштою певним одержувачам.

Windows Server Update Services

Сервер WSUS надає компоненти, які необхідні адміністраторам для керування оновленнями та їх розповсюдження через консоль керування. Крім того, сервер WSUS може бути джерелом оновлення для інших серверів WSUS в організації. При реалізації служб WSUS хоча б один сервер служб WSUS у мережі має бути підключений до Центру оновлення Майкрософт для отримання інформації про доступні оновлення. Залежно від безпеки та конфігурації мережі, адміністратор може визначити, скільки інших серверів безпосередньо підключено до Центру оновлення Майкрософт.

Функціонал в операційній системі Windows Server розрахунок і покращується від версії до версії, ролей та компонентів стає все більше, тому в сьогоднішньому матеріалі я спробую коротко розповісти опис та призначення кожної ролі у Windows Server 2016.

Перш ніж переходити до опису серверних ролей Windows Server, давайте дізнаємося, що взагалі таке « Роль сервера» в операційній системі Windows Server.

Що таке "Роль сервера" у Windows Server?

Роль сервера (Server Role)- Це програмний комплекс, який забезпечує виконання сервером певної функції, і ця функція є основною. Іншими словами, " Роль сервера» - Це призначення сервера, тобто. навіщо він потрібний. Щоб сервер міг виконувати власну основну функцію, тобто. певну роль, в « Роль сервера» включено все необхідне для цього програмне забезпечення ( програми, служби).

Сервер може мати одну роль, якщо вона активно використовується, або кілька, якщо кожна з них не сильно навантажує сервер і використовується рідко.

У роль сервера може включатися кілька служб ролі, які забезпечують функціональні можливості роли. Наприклад, у роль сервера « Веб-сервер (IIS)» включено досить багато служб, а роль « DNS-сервер» не входять служби ролі, оскільки ця роль виконує лише одну функцію.

Служби ролей можуть бути встановлені разом або окремо залежно від Ваших потреб. За своєю суттю встановлення ролі означає встановлення однієї чи кількох її служб.

У Windows Server також існують і « Компоненти» сервера.

Компоненти сервера (Feature)– це програмні засоби, які є роллю сервера, але розширюють можливості однієї чи кількох ролей, чи керують однією чи кількома ролями.

Деякі ролі не можуть бути встановлені, якщо на сервері не встановлені обов'язкові служби або компоненти, необхідні для функціонування даних ролей. Тому в момент встановлення таких ролей. Майстер додавання ролей та компонентів»саме, автоматично запропонує Вам встановити потрібні, додаткові служби ролей або компоненти.

Опис серверних ролей Windows Server 2016

З багатьма ролями, які є в Windows Server 2016, напевно, Ви вже знайомі, тому що вони існують досить довгий час, але як я вже сказав, з кожною новою версією Windows Server додаються нові ролі, з якими Ви ще не працювали, але хотіли б дізнатися, для чого вони потрібні, тому давайте приступати до їх розгляду.

Примітка! Про нові можливості операційної системи Windows Server 2016 можна прочитати у матеріалі «Встановлення Windows Server 2016 та огляд нових можливостей».

Так як дуже часто установка та адміністрування ролей, служб і компонентів відбувається з використанням Windows PowerShell, я для кожної ролі та її служби вказуватиму назву, яку можна використовувати в PowerShell, відповідно для її установки або для керування.

DHCP-сервер

Ця роль дозволяє централізовано налаштовувати динамічні IP-адреси та пов'язані з ними параметри комп'ютерів та пристроїв у мережі. У ролі DHCP-сервер немає служб участі.

Назва Windows PowerShell – DHCP.

DNS-сервер

Ця роль призначена для дозволу імен у мережах TCP/IP. Роль DNS-сервер забезпечує та підтримує роботу DNS. Для спрощення управління DNS-сервером його зазвичай встановлюють тому ж сервері, як і доменні служби Active Directory. У ролі DNS-сервер немає служб участі.

Назва ролі для PowerShell - DNS.

Hyper-V

За допомогою ролі Hyper-V можна створювати віртуалізоване середовище та керувати нею. Іншими словами, це інструмент для створення та управління віртуальними машинами.

Назва ролі для Windows PowerShell - Hyper-V.

Атестація працездатності пристроїв

Роль « » дозволяє оцінювати працездатність пристрою на основі виміряних показників параметрів безпеки, наприклад, показники стану безпечного завантаженнята кошти Bitlocker на клієнті.

Для функціонування цієї ролі необхідно чимало служб ролей і компонентів, наприклад: кілька служб із ролі « Веб-сервер (IIS)», компонент « », компонент « Функції .NET Framework 4.6».

Під час встановлення всі необхідні служби ролей та компоненти будуть вибрані автоматично. У ролі « Атестація працездатності пристроївсвоїх служб ролі немає.

Назва PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Надає надійну, керовану та масштабовану інфраструктуру веб-додатків. Складається із досить великої кількості служб (43).

Назва для Windows PowerShell - Web-Server.

Включає наступні служби ролі ( у дужках я вказуватиму назву для Windows PowerShell):

Веб-сервер (Web-WebServer)– група служб ролі, яка надає підтримку веб-сайтів HTML, розширень ASP.NET, ASP та веб-сервера. Складається з наступних служб:

• Безпека (Web-Security)— Набір служб для безпеки веб-сервера.
  • Фільтрування запитів (Web-Filtering) – за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, та фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб-сервера;
  • IP-адреса та обмеження домену (Web-IP-Security) – ці засоби дозволяють дозволяти або забороняти доступ до вмісту на веб-сервері з урахуванням IP-адреси або імені домену джерела в запиті;
  • Авторизація URL-адреси (Web-Url-Auth) — засоби дозволяють розробляти правила для обмеження доступу до веб-вмісту та пов'язувати їх з користувачами, групами або командами заголовка HTTP;
  • Дайджест-перевірка справжності (Web-Digest-Auth) - дана перевіркаавтентичності дозволяє забезпечити більш високий рівень безпеки в порівнянні зі звичайною автентифікацією. Дайджест-перевірка для автентифікації користувачів діє за принципом передачі хеша пароля контролеру домену Windows;
  • Звичайна автентифікація (Web-Basic-Auth) — цей метод автентифікації забезпечує надійну сумісність веб-браузера. Рекомендується використовувати у невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі, можна досить просто перехопити і розшифрувати, тому використовуйте цей метод у поєднанні з SSL;
  • Перевірка автентичності Windows (Web-Windows-Auth) – це автентифікація в домені Windows. Іншими словами, Ви можете використовувати облікові записи Active Directory для автентифікації користувачів своїх Web сайтів;
  • Перевірка автентичності зі зіставленням сертифіката клієнта (Web-Client-Auth) – цей метод автентифікації передбачає використання сертифіката клієнта. Для порівняння сертифікатів цей тип використовує служби Active Directory;
  • Перевірка автентичності зі зіставленням сертифіката клієнта IIS (Web-Cert-Auth) – у цьому методі для автентифікації також застосовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують вищу продуктивність;
  • Централізована підтримка SSL-сертифіката (Web-CertProvider) – ці кошти дозволяє централізовано керувати сертифікатами сервера SSL, що спрощує процес управління цими сертифікатами;
• Справність та діагностика (Web-Health)– набір служб для забезпечення контролю, управління та усунення порушень у роботі веб-серверів, сайтів та додатків:
  • Ведення журналу http (Web-Http-Logging) - засоби забезпечують ведення журналу активності веб-сайту даному сервері, тобто. запис лога;
  • Ведення журналу ODBC (Web-ODBC-Logging) – ці кошти також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності у базі даних, сумісної з ODBC;
  • Монітор запитів (Web-Request-Monitor) – це інструмент, який дозволяє спостерігати за справністю веб-програми, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
  • Настроювання ведення журналу (Web-Custom-Logging) – за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера у форматі, що значно відрізняється від стандартного формату IIS. Іншими словами Ви можете створити власний модуль ведення журналу;
  • Засоби ведення журналу (Web-Log-Libraries) – це інструменти для керування журналами веб-сервера та автоматизації завдань ведення журналу;
  • Трасування (Web-Http-Tracing) – це засіб для діагностування та усунення порушень у роботі веб-додатків.
• Загальні функції http (Web-Common-Http)- Набір служб, які надають основні функціональні можливості HTTP:
  • Документ за замовчуванням (Web-Default-Doc) – ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за замовчуванням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресі запиту, завдяки чому користувачам стає зручніше звертатися до веб-сайту, наприклад, по домену, не вказуючи при цьому файл;
  • Огляд каталогу (Web-Dir-Browsing) – за допомогою цього засобу можна налаштувати веб-сервер так, щоб користувачі могли переглядати список усіх каталогів та файлів на веб-сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресі запиту, документи за замовчуванням або заборонені, або не налаштовані;
  • Помилки http (Web-Http-Errors) – ця можливість дозволяє налаштовувати повідомлення про помилки, які будуть повертатися на веб-браузери користувачів у момент виявлення веб-сервером помилки. Цей засіб використовується для зручнішого подання користувачам повідомлень про помилки;
  • Статичний вміст (Web-Static-Content) – цей засіб дозволяє використовувати на веб-сервері контент у вигляді статичних форматів файлів, наприклад, HTML файлиабо файли зображень;
  • Перенаправлення http (Web-Http-Redirect) – за допомогою цієї можливості можна перенаправити запит користувача за конкретним призначенням, тобто. це Redirect;
  • Публікація WebDAV (Web-DAV-Publishing) дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) – це технологія, що дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщувати) над файлами на віддалених веб-серверах, використовуючи при цьому протокол HTTP.
• Продуктивність (Web-Performance)– набір служб для досягнення більш високої продуктивності веб-сервера, за рахунок кешування вихідних даних та загальних механізмів стиснення, таких як Gzip та Deflate:
  • Стиснення статичного вмісту (Web-Stat-Compression) – це засіб для налаштування стиснення статичного вмісту http, що дозволяє більш ефективно використовувати пропускну здатність, при цьому без зайвого навантаження на ЦП;
  • Стиснення динамічного вмісту (Web-Dyn-Compression) — це засіб налаштування стиснення динамічного вмісту HTTP. Цей засіб забезпечує більш ефективне використання пропускну здатність, але в даному випадку навантаження на ЦП сервера, пов'язане з динамічним стиском, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення високе.
• Розробка програм (Web-App-Dev)– набір служб та засобів для розробки та розміщення веб-додатків, іншими словами технології розробки сайтів:
  • ASP (Web-ASP) – середовище підтримки та розробки web сайтів та web додатків з використанням технології ASP. На даний момент існує нова і просунута технологія розробки сайтів - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) - це об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням технології ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням нової версії ASP.NET;
  • CGI (Web-CGI) – це можливість використання CGI передачі веб-сервером інформації у зовнішню програму. CGI - це стандарт інтерфейсу для зв'язку зовнішньої програми з web-сервером. Є недолік, застосування CGI впливає продуктивність;
  • Увімкнення на стороні сервера (SSI) (Web-Includes) – це підтримка мови сценаріїв SSI ( включення на стороні сервера), який використовується для динамічного формування сторінок HTML;
  • Ініціалізація додатків (Web-AppInit) – цей засіб виконує завдання ініціалізації web-додатків перед пересиланням веб-сторінки;
  • Протокол WebSocket (Web-WebSockets) — додавання можливості створення серверних програм, які взаємодіють за допомогою протоколу WebSocket. WebSocket — це протокол, який може передавати та приймати одночасно дані між браузером та web сервером поверх TCP-з'єднання, свого роду розширення протоколу HTTP;
  • Розширення ISAPI (Web-ISAPI-Ext) – підтримка динамічної розробки веб-вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI – це API для веб-сервера IIS. Програми ISAPI працюють набагато швидше порівняно з файлами ASP або файлами, що викликають компоненти COM+;
  • Розширюваність.NET 3.5 (Web-Net-Ext) – це засіб розширюваності.NET 3.5, який дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації та в інтерфейсі користувача;
  • Розширюваність.NET 4.6 (Web-Net-Ext45) – це засіб розширюваності.NET 4.6, який також дозволяє змінювати, додавати та розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, у конфігурації та в інтерфейсі користувача;
  • Фільтри ISAPI (Web-ISAPI-Filter) – додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI являють собою програми, які викликаються при отриманні web сервером певного запиту HTTP, що підлягає обробці цим фільтром.

FTP – сервер (Web-Ftp-Server)– служби, які забезпечують підтримку протоколу FTP. Докладніше про FTP сервер ми говорили в матеріалі – «Встановлення та налаштування FTP сервера на Windows Server 2016». Містить такі служби:

• Служба FTP (Web-Ftp-Service) – додає підтримку протоколу FTP на веб-сервері;
• Розширюваність FTP (Web-Ftp-Ext) – розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як постачальники, що настроюються, користувачі ASP.NET або користувачі диспетчера IIS.

Засоби керування (Web-Mgmt-Tools)– це засоби керування веб-сервером IIS 10. До них можна віднести: інтерфейс користувача IIS, засоби командного рядка і скрипти.

• Консоль керування службами IIS (Web-Mgmt-Console) – це інтерфейс керування службами IIS;
• Набори символів та засоби керування службами IIS (Web-Scripting-Tools) — це засоби та скрипти керування службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації керування;
• Служба керування (Web-Mgmt-Service) – ця служба додає можливість керувати web-сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
• Керування сумісністю з IIS 6 (Web-Mgmt-Compat) — забезпечує сумісність програм та сценаріїв, які використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для керування веб-сервером IIS 10:
  • Метабаза сумісності з IIS 6 (Web-Metabase) — засіб сумісності, який дозволяє запускати додатки та набори символів, перенесені з попередніх версій IIS;
  • Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) – ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для керування IIS 6, у IIS 10;
  • Консоль керування службами IIS 6 (Web-Lgcy-Mgmt-Console) – засіб адміністрування віддалених серверів IIS 6.0;
  • Сумісність з WMI IIS 6 (Web-WMI) – це інтерфейси скриптів інструментарію керування Windows (WMI) для програмного контролю та автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного у постачальнику WMI.

Доменні служби Active Directory

Роль « Доменні служби Active Directory» (AD DS) забезпечує розподілену базу даних, яка зберігає та обробляє інформацію про мережеві ресурси. Цю роль використовують для організації елементів мережі, таких як користувачі, комп'ютери та інші пристрої в ієрархічну структуру захисної оболонки. Ієрархічна структура включає ліси, домени в лісі, а також організаційні одиниці (OU) в кожному домені. Сервер, який працює під керуванням AD DS, називається контролером домену.

Назва ролі для Windows PowerShell - AD-Domain-Services.

Режим Windows Server Essentials

Ця роль є комп'ютерною інфраструктурою та надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці та захист цих даних за рахунок резервного копіюваннясервера та клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримувати доступ до даних практично з будь-якого пристрою. Для роботи цієї ролі необхідно кілька служб ролей та компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба ролі « Простори імен DFS».

Назва PowerShell – ServerEssentialsRole.

Мережевий контролер

Ця роль з'явилася в Windows Server 2016, вона є єдиною точкою автоматизації для управління, моніторингу та діагностики, фізичної та віртуальної мережевої інфраструктури в центрі обробки даних. За допомогою цієї ролі можна з однієї точки налаштовувати IP-підмережі, VLAN, фізичні мережеві адаптери Hyper-V хостів, керувати віртуальними комутаторами, фізичними маршрутизаторами, налаштуваннями файрвола та VPN-шлюзами.

Назва для Windows PowerShell - NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, що дозволяють захищеним вузлам запускати екрановані віртуальні машини. Для функціонування цієї ролі необхідно кілька додаткових ролей та компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « Відмовостійка кластеризація" та інші.

Назва PowerShell – HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

Роль « Служби Active Directory полегшеного доступу до каталогів» (AD LDS) – це полегшена версія AD DS, яка має меншу функціональність, але не вимагає розгортання доменів або контролерів доменів, а також не має залежностей і доменних обмежень, які потрібні для служб AD DS. AD LDS працює за протоколом LDAP ( Lightweight Directory Access Protocol). На одному сервері можна розгорнути кілька екземплярів AD LDS із незалежно керованими схемами.

Назва для PowerShell - ADLDS.

Служби MultiPoint

Це також нова роль, яка з'явилася в Windows Server 2016. Служби MultiPoint (MPS) надають базову функціональність віддалених робочих столів, що дозволяє кільком користувачам одночасно незалежно один від одного працювати на тому самому комп'ютері. Для встановлення та функціонування цієї ролі потрібно встановити кілька додаткових служб та компонентів, наприклад: Сервер друку, службу Windows Search, засіб перегляду XPS та інші, всі вони будуть вибрані автоматично в момент встановлення MPS.

Назва ролі PowerShell – MultiPointServerRole.

Служби Windows Server Update Services

За допомогою цієї ролі (WSUS) системні адміністратори можуть керувати оновленнями Microsoft. Наприклад, створювати окремі групи комп'ютерів для різних наборів оновлень, а також отримувати звіти про відповідність комп'ютерів вимогам та оновленням, які потрібно встановити. Для функціонування « Служби Windows Server Update Services» потрібні такі служби ролей та компоненти як: Веб-сервер (IIS), внутрішня база даних Windows, служба активації процесів Windows.

Назва Windows PowerShell – UpdateServices.

• WID Connectivity (UpdateServices-WidDB) - встановлення в WID ( Windows Internal Database) бази даних, що використовується WSUS. Іншими словами, свої службові дані WSUS зберігатиме у WID;
• WSUS Services (UpdateServices-Services) – це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленої взаємодії з API, веб-служба клієнта, веб-служба простої автентифікації через Інтернет, служба синхронізація сервера та веб-служба автентифікації DSS;
• SQL Server Connectivity (UpdateServices-DB) – це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних у базі даних Microsoft SQL Server. У даному випадку у Вас вже повинен бути встановлений принаймні один екземпляр SQL Server.

Служби активації корпоративних ліцензій

За допомогою цієї ролі сервера можна автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення від компанії Microsoft, а також вона дозволяє керувати цими ліцензіями.

Назва PowerShell – VolumeActivation.

Служби друку та документів

Ця роль сервера призначена для надання спільного доступу до принтерів та сканерів у мережі, для централізованого налаштування та керування серверами друку та сканування, а також керування мережними принтерами та сканерами. Служби друку та документів також дозволяють надсилати відскановані документи електронною поштою, спільними мережевими папками або на веб-сайти Windows SharePoint Services.

Назва для PowerShell - Print-Services.

• Сервер друку (Print-Server) – дана служба ролі включає оснастку « Управління печаткою», яка використовується для керування принтерами або серверами друку, а також міграції принтерів та інших серверів друку;
• Друк через Інтернет (Print-Internet) – для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть керувати завданнями друку на сервері. Для роботи цієї служби як Ви знаєте необхідно встановити « Веб-сервер (IIS)». Усі необхідні компоненти будуть вибрані автоматично, коли Ви позначите цей пункт під час процесу встановлення служби ролі « Друк через Інтернет»;
• Сервер розподіленого сканування (Print-Scan-Server) – це служба, яка дозволяє приймати відскановані документи з мережевих сканерів та надсилати їх за місцем призначення. Ця служба також містить оснастку « Управління скануванням», яка використовується для керування мережевими сканерами та для налаштування сканування;
• Служба LPD (Print-LPD-Service) – служба LPD ( Line Printer Daemon) дозволяє комп'ютерам на базі UNIX та іншим комп'ютерам, що використовують службу Line Printer Remote (LPR), друкувати на загальних принтерах сервера.

Служби політики мережі та доступу

Роль « » (NPAS) дозволяє за допомогою сервера політики мережі (NPS) задавати та застосовувати політики доступу до мережі, автентифікації та авторизації, а також працездатності клієнта, іншими словами, забезпечувати безпеку мережі.

Назва Windows PowerShell – NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено інсталювати операційну систему Windows через мережу.

Назва ролі PowerShell – WDS.

• Сервер розгортання (WDS-Deployment) – дана служба ролі призначена для віддаленого розгортання та налаштування операційних систем Windows. Вона також дозволяє створювати та налаштовувати образи для повторного використання;
• Транспортний сервер (WDS-Transport) – це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом багатоадресної розсилки на автономному сервері.

Служби сертифікатів Active Directory

Ця роль призначена для створення центрів сертифікації та пов'язаних служб ролей, які дозволяють видавати сертифікати для різних програм та керувати такими сертифікатами.

Назва Windows PowerShell – AD-Certificate.

Включає такі ролі:

• Центр сертифікації (ADCS-Cert-Authority) – за допомогою цієї служби ролі можна видавати сертифікати користувачам, комп'ютерам та службам, а також керувати дійсністю сертифіката;
• Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) – ця служба дозволяє користувачам та комп'ютерам отримувати інформацію про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить до домену. Для її функціонування необхідний Веб-сервер (IIS)»;
• Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) – дана служба дозволяє користувачам та комп'ютерам реєструвати та продовжувати сертифікати за допомогою веб-браузера за протоколом HTTPS, навіть якщо комп'ютер не входить до домену. Для її функціонування також необхідний Веб-сервер (IIS)»;
• Мережевий відповідач (ADCS-Online-Cert) – служба, призначена для перевірки відкликання сертифіката для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів та надсилає зворотно підписану відповідь з інформацією про статус. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) – ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити та продовження сертифікатів, отримання списків відкликання сертифікатів та реєстрація сертифікатів смарт-карток. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації на мережних пристроях (ADCS-Device-Enrollment) – за допомогою цієї служби можна видавати сертифікати для маршрутизаторів та інших мережних пристроїв, які не мають облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованих на сеансах, та до віддалених програм RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

• Веб-доступ до віддалених робочих столів (RDS-Web-Access) — дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів та програм RemoteApp через меню « Пуск» або за допомогою веб-браузера;
• Ліцензування віддалених робочих столів (RDS-Licensing) — служба призначена для керування ліцензіями, які необхідні для підключення до сервера вузла сеансів віддалених робочих столів або до віртуального робочого столу. Її можна використовувати для встановлення, видачі ліцензій та відстеження їхньої доступності. Для роботи цієї служби необхідний Веб-сервер (IIS)»;
• Посередник підключень до віддаленого робочого столу (RDS-Connection-Broker) - служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, додатку RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів робочих столів чи між віртуальними робочими столами у складі пулу. Для роботи цієї служби необхідний компонент « »;
• Вузол віртуалізації віддалених робочих столів (DS-Virtualization) — служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів та програм RemoteApp. Ця служба працює разом із Hyper-V, тобто. дана роль має бути встановлена;
• Вузол сеансів віддалених робочих столів (RDS-RD-Server) – за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і на основі сеансів робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого столу або віддалених програм RemoteApp;
• Шлюз віддалених робочих столів (RDS-Gateway) – служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддалених програм RemoteApp та робочих столів, заснованих на сеансах, в корпоративній мережі або через Інтернет. Для функціонування цієї служби необхідні такі додаткові служби та компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби керування правами Active Directory

Це роль сервера, яка дозволить захистити інформацію від несанкціонованого використання. Вона перевіряє посвідчення користувачів та надає авторизованим користувачам ліцензії на доступ до захищених даних. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Служба активації процесів Windows», « Функції .NET Framework 4.6».

Назва для Windows PowerShell - ADRMS.

• Сервер управління правами Active Directory (ADRMS-Server) - основна служба ролі, обов'язкова для встановлення;
• Підтримка федерації посвідчень (ADRMS-Identity) — це додаткова служба ролі, яка дозволяє федеративним посвідченням використовувати захищений вміст за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Ця роль надає спрощені та безпечні можливості федерації посвідчень, а також функцію єдиного входу (SSO) на веб-сайти за допомогою браузера.

Назва PowerShell – ADFS-Federation.

Віддалений доступ

Ця роль забезпечує підключення через DirectAccess, VPN та проксі веб-програми. Також роль « Віддалений доступ» надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес (NAT) та інші параметри підключень. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

• DirectAccess та VPN (RAS) (DirectAccess-VPN) — служба дозволяє користувачам підключатися до корпоративної мережі у будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключення у поєднанні з технологіями тунелювання та шифрування даних;
• Маршрутизація (Routing) - служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережіз протоколами BGP, RIP та маршрутизаторів з підтримкою багатоадресної розсилки (IGMP-проксі);
• Проксі-сервер веб-додатків (Web-Application-Proxy) — служба дозволяє публікувати програми на основі протоколів HTTP та HTTPS із корпоративної мережі на клієнтських пристроях, що знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Це роль сервера, за допомогою якої можна надавати спільний доступ до файлів та папок, керувати спільними ресурсами та контролювати їх, здійснювати реплікацію файлів, забезпечувати швидкий пошук файлів, а також надавати доступ клієнтським комп'ютерам UNIX. Докладніше файлові служби та зокрема файловий сервер ми розглядали у матеріалі «Встановлення файлового сервера (File Server) на Windows Server 2016».

Назва Windows PowerShell – FileAndStorage-Services.

Служби зберігання (Storage-Services)– ця служба надає функціональність управління сховищем, яка встановлюється завжди і не може бути видалена.

Файлові служби та служби iSCSI (File-Services)– це технології, які спрощують керування файловими серверами та сховищами, дозволяють заощаджувати місце на диску, забезпечують реплікацію та кешування файлів у філіях, а також надають загальний доступ до файлів за протоколом NFS. Включає такі ролі:

• Файловий сервер (FS-FileServer) – служба ролі, яка керує спільними папками та надає користувачам доступ до файлів на цьому комп'ютері через мережу;
• Дедуплікація даних (FS-Data-Deduplication) – ця служба заощаджує місце на диску за рахунок зберігання на томі лише однієї копії ідентичних даних;
• Диспетчер ресурсів файлового сервера (FS-Resource-Manager) – за допомогою цієї служби можна керувати файлами та папками на файловому сервері, створювати звіти сховища, класифікувати файли та папки, налаштовувати квоти папок та визначати політики блокування файлів;
• Постачальник цільового сховища iSCSI (апаратні постачальники VDS та VSS) (iSCSITarget-VSS-VDS) – служба дозволяє програмам на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
• Простір імен DFS (FS-DFS-Namespace) – за допомогою цієї служби можна групувати спільні папки, розміщені на різних серверах, в один або кілька логічно структурованих просторів імен;
• Робочі папки (FS-SyncShareService) – служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робочі та особисті. У робочих папках можна зберігати файли, синхронізувати їх та отримувати доступ до них з локальної мережі або Інтернету. Для функціонування служби необхідний компонент « Внутрішньопроцесне веб-ядро IIS»;
• Реплікація DFS (FS-DFS-Replication) — це модуль реплікації даних між кількома серверами, що дозволяє синхронізувати папки через підключення до локальної або глобальної мережі. Ця технологія використовує протокол віддаленого стиснення (RDC) для оновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна застосовувати як разом із просторами імен DFS, так і окремо;
• Сервер для NFS (FS-NFS-Service) – служба дозволяє цьому комп'ютеру спільно використовувати файли з комп'ютерами на базі UNIX та іншим комп'ютерам, які використовують мережний протокол файлової системи(NFS);
• Сервер мети iSCSI (FS-iSCSITarget-Server) – надає служби та засоби керування для цілей iSCSI;
• Служба BranchCache для мережевих файлів(FS-BranchCache) – служба забезпечує підтримку BranchCache на цьому файловому сервері;
• Служба агента VSS файлового сервера (FS-VSS-Agent) — служба дозволяє виконувати тіньове копіювання томів для програм, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Роль надсилає та приймає факси, а також дозволяє керувати ресурсами факсу, такими як завдання, параметри, звіти та факсимільні пристрої на цьому комп'ютері або в мережі. Для роботи необхідний Сервер друку».

Назва ролі для Windows PowerShell - Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчено, сподіваюся, матеріал був Вам корисний, поки що!

Під час інсталяції Windows більшість другорядних підсистем не активуються або не встановлюються. Це зроблено з причин безпеки. Оскільки система за замовчуванням захищена, системні адміністратори можуть зосередитися на проектуванні системи, яка виконуватиме виключно покладені на неї функції та нічого зайвого. Для допомоги при включенні потрібних функцій Windows пропонує вибрати роль сервера (Server Role).

Ролі

Роль сервера - це набір програм, які при правильному встановленні та налаштуванні дозволяють комп'ютеру виконувати певну функцію для кількох користувачів або інших комп'ютерів у мережі. Загалом усі ролі мають такі характеристики.

• Вони визначають основну функцію, призначення або мету використання комп'ютера. Можна призначити комп'ютер до виконання однієї ролі, яка інтенсивно використовується для підприємства, чи виконання кількох ролей, якщо кожна їх застосовується лише зрідка.
• Ролі надають користувачам у всій організації доступ до ресурсів, які керуються іншими комп'ютерами, такими як веб-сайти, принтери або файли, що зберігаються на різних комп'ютерах.
• Вони зазвичай мають власні бази даних, в яких створюються черги запитів користувача або комп'ютера або записуються відомості про мережевих користувачів та комп'ютерів, які стосуються ролі. Наприклад, служби домену Active Directory містять базу даних для зберігання імен та ієрархічних зв'язків усіх комп'ютерів у мережі.
• Після правильного встановлення та налаштування ролі функціонують автоматично. Це дозволяє комп'ютерам, на яких вони встановлені, виконувати призначені завдання з обмеженою участю користувача.

Служби ролей

Служби ролей – це програми, які забезпечують функціональні можливості участі. Під час встановлення ролі можна вибрати, які послуги вона надає іншим користувачам та комп'ютерам на підприємстві. Деякі ролі, такі як DNS-сервер, виконують лише одну функцію, тому для них немає служб ролей. Інші ролі, такі як служби віддалених робочих столів, мають кілька служб, які можна встановити залежно від потреб підприємства у віддаленому доступі. Роль можна як сукупність тісно пов'язаних, взаємодоповнюючих служб ролей. Найчастіше встановлення ролі означає встановлення однієї чи кількох її служб.

Компоненти

Компоненти - це програми, які є безпосередньо частинами ролей, але підтримують чи розширюють функції однієї чи кількох ролей чи цілого сервера незалежно від цього, які ролі встановлені. Наприклад, компонент «Засіб відмови кластерів» розширює функції інших ролей, таких як Файлові служби та DHCP-сервер, дозволяючи їм приєднуватися до серверних кластерів, що забезпечує підвищену надмірність і продуктивність. Інший компонент – «Клієнт Telnet» – забезпечує віддалений зв'язок із сервером Telnet через мережеве підключення. Ця функція розширює можливості зв'язку сервера.

Коли Windows Server працює як основні серверні компоненти, підтримуються такі ролі сервера:

• служби сертифікатів Active Directory;
• доменні служби Active Directory;
• DHCP-сервер;
• DNS-сервер;
• файлові служби (у тому числі диспетчер ресурсів файлового сервера);
• служби Active Directory полегшеного доступу до каталогів;
• Hyper-V;
• служби друку та документів;
• служби потокового мультимедіа;
• веб-сервер (у тому числі підмножина ASP.NET);
• сервер оновлень Windows Server;
• сервер керування правами Active Directory;
• сервер маршрутизації та віддаленого доступу та наступні підлеглі ролі:
  • посередник підключень служб віддалених робочих столів;
  • ліцензування;
  • віртуалізація.

Коли Windows Server працює як основні серверні компоненти, підтримуються такі компоненти сервера:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фонова інтелектуальна служба передачі (BITS);
• шифрування диска BitLocker;
• мережеве розблокування BitLocker;
• BranchCache
• міст для центру обробки даних;
• Enhanced Storage;
• відмовостійка кластеризація;
• Multipath I/O;
• балансування мережного навантаження;
• протокол PNRP;
• qWave;
• віддалений різницевий стиск;
• прості служби TCP/IP;
• RPC через HTTP-проксі;
• сервер SMTP;
• служба SNMP;
• клієнт Telnet;
• сервер Telnet;
• клієнт TFTP;
• внутрішня база даних Windows;
• Windows PowerShell Web Access;
• служба активації Windows;
• стандартизоване керування сховищами Windows;
• розширення IIS WinRM;
• WINS-сервер;
• підтримка WoW64.

Встановлення ролей сервера за допомогою Server Manager

Для додавання відкриваємо Server Manager, і в меню Manage тиснемо Add Roles and features:

Відкриється майстер додавання ролей та компонентів. Тиснемо Next

Installation Type, вибираємо Role-based або feature-based installation. Next:

Server Selection – вибираємо наш сервер. Тиснемо Next Server Roles - Виберіть ролі, якщо необхідно, виберіть служби ролей і натисніть кнопку Next, щоб вибрати компоненти. Під час цієї процедури Майстер додавання ролей і компонентів автоматично інформує про конфлікти на кінцевому сервері, які можуть перешкодити встановленню або нормальній роботі вибраних ролей або компонентів. Також з'являється запит на додавання ролей, служб ролей та компонентів, необхідних для вибраних ролей чи компонентів.

Встановлення ролей за допомогою PowerShell

Відкриваємо Windows PowerShell Вводимо команду Get-WindowsFeature, щоб переглянути список доступних та встановлених ролей та компонентів на локальному сервері. Результати виконання цього командлета містять імена команд для ролей та компонентів, встановлених та доступних для встановлення.

Введіть Get-Help Install-WindowsFeature, щоб переглянути синтаксис та допустимі параметри командлета Install-WindowsFeature (MAN).

Вводимо наступну команду (-Restart перезавантажить сервер, якщо під час встановлення ролі потрібно перезавантаження).

Install-WindowsFeature -Name -Restart

Опис ролей та служб ролей

Нижче описані всі ролі та служби ролей. Розширене налаштування подивимося для Web Server Role і Remote Desktop Services, що найчастіше зустрічаються в нашій практиці.

Детальний опис IIS

• Common HTTP Features - Основні HTTP компоненти
  • Default Document – ​​дозволяє встановлювати індексну сторінку у сайту.
  • Directory Browsing – дозволяє користувачам бачити вміст каталогу на веб-сервері. Використовуйте Directory Browsing для того, щоб автоматично згенерувати список усіх каталогів та файлів, наявних у каталозі, коли користувачі не вказують файл в URL-адресі та індексна сторінка вимкнена або не налаштована
  • HTTP Errors - дозволяє налаштувати повідомлення про помилки, що повертаються клієнтам у браузері.
  • Static Content - дозволяє розміщувати статичний контент, наприклад картинки або html-файли.
  • HTTP Redirection – забезпечує підтримку перенаправлення запитів користувачів.
  • WebDAV Publishing дозволяє публікувати файли з веб-сервера за допомогою протоколу HTTP.
• Health and Diagnostics Features - Компоненти діагностики
  • HTTP Logging забезпечує ведення журналу активності веб-сайту для цього сервера.
  • Custom Logging забезпечує підтримку створення кастомних логів, які відрізняються від традиційних журналів.
  • Logging Tools забезпечує інфраструктуру для керування журналами веб-сервера та автоматизації загальних завдань ведення журналу.
  • ODBC Logging забезпечує інфраструктуру, яка підтримує ведення журналу активності веб-сервера в ODBC-сумісній базі даних.
  • Request Monitor надає інфраструктуру для моніторингу стану веб-застосунків шляхом збору інформації про HTTP-запити в робочому процесі IIS.
  • Tracing надає інфраструктуру для діагностики та усунення несправностей веб-застосунків. При використанні трасування невдалих запитів, ви можете відстежити події, що важко фіксуються, такі як погана продуктивність або збої аутентифікації.
• Performance компоненти збільшення продуктивності веб-сервера.
  • Static Content Compression надає інфраструктуру для налаштування статистичного вмісту HTTP.
  • Dynamic Content Compression надає інфраструктуру для налаштування HTTP-стиснення динамічного вмісту.
• Security компоненти безпеки
  • Request Filtering дозволяє фіксувати всі запити та фільтрувати їх на підставі правил, встановлених адміністратором.
  • Basic Authentication дозволяє встановити додаткову авторизацію
  • Centralized SSL Certificate Support – це функція, яка дозволяє зберігати сертифікати в централізованому місці, як загальний файловий ресурс.
  • Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів.
  • Digest Authentication працює шляхом відправки хеша пароля до контролера домену Windows, для аутентифікації користувачів. Якщо вам потрібний більш високий рівень безпеки в порівнянні зі звичайною автентифікацією, розгляньте питання про використання автентифікації Digest
  • IIS Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів. Сертифікат клієнта є цифровий ID, отриманий з надійного джерела.
  • IP and Domain Restrictions дозволяє дозволяти/забороняти доступ на основі запитуваної IP-адреси або доменного імені.
  • URL Authorization дозволяє створювати правила, що обмежують доступ до веб-контенту.
  • Windows Authentication Ця схема автентифікації дозволяє адміністраторам домену Windows користуватися перевагами доменної інфраструктури для автентифікації користувачів.
• Application Development Features компоненти розробки програм
• FTP Server
  • FTP Service Включає публікації FTP на веб-сервері.
  • FTP Extensibility Включає підтримку FTP функцій, що розширюють можливості
• Management Tools інструменти управління
  • IIS Management Console встановлює диспетчер IIS, який дозволяє керувати веб-сервером через графічний інтерфейс.
  • IIS 6.0 Management Compatibility забезпечує пряму сумісність для програм та сценаріїв, які використовують Admin Base Object (ABO) та інтерфейсу служби каталогів (ADSI) API Active Directory. Це дозволяє використовувати існуючі сценарії IIS 6.0 веб-сервером IIS 8.0
  • IIS Management Scripts and Tools надають інфраструктуру для керування веб-сервером IIS програмно, за допомогою команд у вікні командного рядка або за допомогою запуску сценаріїв.
  • Management Service надає інфраструктуру для налаштування інтерфейсу користувача диспетчера IIS.

Детальний опис RDS

• Remote Desktop Connection Broker - Забезпечує повторне підключення клієнтського пристрою до програм на основі сеансів настільних комп'ютерів та віртуальних робочих столів.
• Remote Desktop Gateway - Дозволяє авторизованим користувачам підключатися до віртуальних робочих столів, програм RemoteApp та заснованих на сесіях робочих столів у корпоративній мережі або через Інтернет.
• Remote Desktop Licensing - Засіб керування ліцензіями RDP
• Remote Desktop Session Host – Включає сервер для розміщення програм RemoteApp або сеансу на основі робочих столів.
• Remote Desktop Virtualization Host – дозволяє налаштовувати RDP на віртуальних машинах
• Remote Desktop WebAccess - Дозволяє користувачам підключатися до ресурсів робочого столу за допомогою меню Пуск або браузера.

Розглянемо встановлення та налаштування сервера термінальних ліцензій. Вище розказано як встановлювати ролі, установка RDS не відрізняється від інсталяції інших ролей, у Role Services нам потрібно буде вибрати Remote Desktop Licensing та Remote Desktop Session Host. Після інсталяції в Server Manager-Tools з'явиться пункт Terminal Services. Terminal Services має два пункти RD Licensing Diagnoser, це засіб діагностики роботи ліцензування віддалених робочих столів, і Remote Desktop Licensing Manager, це засіб управління ліцензіями.

Запустимо RD Licensing Diagnoser

Тут ми бачимо, що доступних ліцензій поки немає, тому що не встановлено режим ліцензування для сервера вузла сеансів віддалених робочих столів. Сервер ліцензування вказується у локальних групових політиках. Для запуску редактора виконаємо команду gpedit.msc. Відкриється редактор локальної групової політики. У дереві зліва розкриємо вкладки:

• "Конфігурація комп'ютера" (Computer Configuration)
• "Адміністративні шаблони" (Administrative Templates)
• Компоненти Windows (Windows Components)
• "Служби віддалених робочих столів" (Remote Desktop Services)
• "Вузол сеансів віддалених робочих столів" (Remote Desktop Session Host)
• Ліцензування (Licensing)

Відкриємо параметри Use the specified Remote Desktop license servers

У вікні редагування параметрів політики включаємо сервер ліцензування (Enabled). Потім потрібно визначити сервер ліцензування для служби віддалених робочих столів. У моєму прикладі сервер ліцензування знаходиться на тому самому фізичному сервері. Вказуємо ім'я мережі або IP-адресу сервера ліцензій і натискаємо OK. Якщо надалі буде змінюватися ім'я сервера, сервер ліцензій, потрібно змінити цей же розділ.

Після цього в RD Licensing Diagnoser можна побачити, що сервер термінальних ліцензій налаштований, але не увімкнений. Для включення запускаємо Remote Desktop Licensing Manager

Вибираємо сервер ліцензування, зі статусом Not Activated. Для активації клацаємо по ньому правою кнопкою миші та вибираємо Activate Server. Запуститься Майстер активації сервера. На вкладці Connection Method вибираємо Automatic Connection. Далі заповнюємо інформацію про організацію, після чого сервер ліцензій активовано.

Active Directory Certificate Services

Служби AD CS надають послуги з видачі цифрових сертифікатів, які використовуються в системах безпеки ПЗ, що застосовують технології відкритих ключів, та з управління цими сертифікатами. Цифрові сертифікати, які надаються AD CS, можна використовувати для шифрування та цифрового підписування електронних документів та повідомлень. Ці цифрові сертифікати можна використовувати для перевірки в мережі справжності облікових записів комп'ютерів, користувачів та пристроїв.

• конфіденційності за допомогою шифрування;
• цілісності за допомогою цифрових підписів;
• автентифікації за допомогою прив'язування ключів сертифіката до облікових записів комп'ютерів, користувачів та пристроїв у мережі.

AD CS можна використовувати для підвищення безпеки шляхом прив'язки посвідчення користувача, пристрою чи служби до відповідного закритого ключа. До застосування, підтримуваних AD CS, входять безпечні багатоцільові розширення стандарту пошти Інтернету (S/MIME), захищені бездротові мережі, віртуальні приватні мережі (VPN), протокол IPsec, шифрована файлова система (EFS), вхід за допомогою смарт-карток, протокол безпеки передачі даних та протокол безпеки транспортного рівня (SSL/TLS) та цифрові підписи.

Active Directory Domain Services

Використовуючи роль сервера доменних служб Active Directory (AD DS), можна створити масштабовану, безпечну та керовану інфраструктуру для керування користувачами та ресурсами; Крім того, можна забезпечити роботу програм, які підтримують каталоги, наприклад, Microsoft Exchange Server. Доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережні ресурси та дані додатків із підтримкою каталогів, а також здійснюється керування цією інформацією. Сервер, на якому виконуються AD DS, називається контролером домену. Адміністратори можуть використовувати AD DS для впорядкування ієрархічної вкладеної структури таких елементів мережі, як користувачі, комп'ютери та інші пристрої. Ієрархічна вкладена структура включає ліс Active Directory, домени в лісі та організаційні підрозділи у кожному домені. Засоби безпеки інтегровані в AD DS у вигляді автентичності та контролю доступу до ресурсів у каталозі. За допомогою єдиного входу до мережі адміністратори можуть керувати по мережі даними каталогу та організацією. Авторизовані користувачі мережі також можуть використовувати єдиний вхід до мережі для доступу до ресурсів, які розташовані в будь-якому місці мережі. Доменні служби Active Directory надають такі додаткові можливості.

• Набір правил - схема, що визначає класи об'єктів та атрибути, які містяться в каталозі, обмеження та межі для екземплярів цих об'єктів, а також формат їх імен.
• Глобальний каталог, що містить відомості про кожен об'єкт у каталозі. Користувачі та адміністратори можуть використовувати глобальний каталог для пошуку даних каталогу незалежно від того, який домен у каталозі дійсно містить дані, що шукаються.
• Механізм запитів та індексування, завдяки якому об'єкти та їх властивості можуть публікуватися та знаходитися мережевими користувачами та додатками.
• Служба реплікації, яка розподіляє дані каталогу мережі. Всі контролери домену, доступні для запису в домені, беруть участь у реплікації та містять повну копію всіх даних каталогу для свого домену. Будь-які зміни даних каталогу реплікуються в домені на всі контролери домену.
• Ролі господарів операцій (відомі також як гнучкі операції з єдиним господарем, або FSMO). Контролери доменів, що виконують ролі господарів операцій, призначені для виконання спеціальних завдань із забезпечення узгодженості даних та виключення конфліктуючих записів у каталозі.

Active Directory Federation Services

AD FS надають кінцевим користувачам, яким потрібний доступ до програм на захищеному за допомогою AD FS підприємстві, у партнерських організаціях федерації або у хмарі, можливості спрощеної та безпечної федерації посвідчень та веб-служби єдиного входу (SSO) У Windows Server AD FS включають службу ролі служби федерації, що діє як постачальник посвідчень (виконує автентифікацію користувачів для надання маркерів безпеки для додатків, що довіряють AD FS) або як постачальник федерації (застосовує маркери від інших постачальників посвідчень і надає маркери безпеки для додатків, що довіряють AD FS).

Active Directory Lightweight Directory Services

Служби Active Directory полегшеного доступу до каталогів (AD LDS) - це протокол LDAP, який забезпечує гнучку підтримку програм, що працюють з каталогами, без залежностей та пов'язаних з доменами обмежень доменних служб Active Directory. AD LDS можна запускати на рядових або ізольованих серверах. На одному сервері можна запустити кілька екземплярів AD LDS із незалежно керованими схемами. За допомогою ролі служби AD LDS можна надати служби каталогів для програм із підтримкою каталогів, не використовуючи службові дані доменів і лісів і не вимагаючи єдиної схеми для всього лісу.

Active Directory Rights Management Services

Служби AD RMS можна використовувати, щоб розширити безпекову стратегію в організації, забезпечивши захист документів за допомогою управління правами на доступ до даних (IRM). AD RMS дозволяє користувачам та адміністраторам призначати дозволи доступу до документів, робочих книг та презентацій за допомогою політик IRM. Це дозволяє захистити конфіденційну інформацію від друку, пересилання або копіювання користувачами, які не мають цього права. Після того, як дозволи для файлу обмежені за допомогою IRM, обмеження доступу та використання застосовуються незалежно від розташування інформації, оскільки дозвіл для файлу зберігається в самому файлі документа. За допомогою AD RMS та IRM окремі користувачі можуть застосовувати свої особисті налаштування щодо передачі особистих та конфіденційних відомостей. Вони також допоможуть організації застосовувати корпоративну політику для управління використанням та розповсюдженням конфіденційних та особистих відомостей. Рішення IRM, які підтримує AD RMS, використовуються для забезпечення наступних можливостей.

• Постійні політики використання, які залишаються з інформацією незалежно від її переміщення, надсилання або пересилання.
• Додатковий рівень конфіденційності для захисту конфіденційних даних – наприклад, звітів, специфікацій продуктів, відомостей про клієнтів та повідомлень електронної пошти – від навмисного чи випадкового потрапляння до чужих рук.
• Запобігання несанкціонованому пересиланню, копіюванням, змінам, друкуванню, передачі факсом або вставленням обмежуваного вмісту авторизованими одержувачами.
• Запобігання копіюванню обмежуваного вмісту за допомогою функції PRINT SCREEN у Microsoft Windows.
• Підтримка терміну дії файлу, що запобігає перегляду вмісту документів після закінчення заданого періоду часу.
• Впровадження корпоративних політик, що керують використанням та розповсюдженням вмісту в організації

Application Server

Сервер програм надає інтегроване середовище для розгортання та виконання користувацьких бізнес-додатків на базі сервера.

DHCP Server

DHCP - це технологія "клієнт-сервер", за допомогою якої DHCP-сервери можуть призначати або здавати в оренду IP-адреси комп'ютерам та іншим пристроям, що є DHCP-клієнтами. на базі IPv4 та IPv6 дійсних IP-адрес та додаткових конфігураційних параметрів, необхідних даним клієнтам та пристроям. Служба DHCP-сервера в Windows Server включає підтримку заснованих на політиці призначень та обробку відмов протоколу DHCP.

DNS Server

Служба DNS - це ієрархічна розподілена база даних, що містить зіставлення доменних імен DNS з різними типами даних, таких як IP-адреси. Служба DNS дозволяє використовувати зрозумілі імена, такі як www.microsoft.com для полегшення знаходження комп'ютерів та інших ресурсів у мережах, що працюють на базі протоколу TCP/IP. Служба DNS у Windows Server забезпечує додаткову покращену підтримку Модулів безпеки DNS (DNSSEC), включаючи реєстрацію в мережі та автоматизоване керування параметрами.

FAX Server

Факс-сервер надсилає та отримує факси, а також дає можливість керувати ресурсами факсу, такими як завдання, налаштування, звіти та факс-пристрої на факс-сервері.

File and Storage Services

Адміністратори можуть використовувати роль "Файлові служби та служби сховища" для налаштування декількох файлових серверів та їх сховищ, а також для керування цими серверами за допомогою диспетчера серверів або Windows PowerShell. Деякі конкретні програми включають такі функції.

• Робочі папки. Використовувати, щоб дозволити користувачам зберігати робочі файли та доступ до них на особистих комп'ютерах та пристроях крім корпоративних ПК. Користувачі отримують зручне місце для зберігання робочих файлів та доступу до них із будь-якого місця. Організації контролюють корпоративні дані, зберігаючи файли на централізовано керованих файлових серверах і за потреби задаючи політики пристроїв користувачів (такі як шифрування та паролі блокування екрану).
• Дедуплікація даних. Використовувати для зниження вимог до місця на диску для зберігання файлів, заощаджуючи кошти на сховищі.
• Сервер мети iSCSI. Використовувати для створення централізованих, програмних та апаратно-незалежних дискових підсистем iSCSI у мережах зберігання даних (SAN).
• Дискові простір. Використовувати для розгортання сховища з високим рівнем доступності, відмовостійкого та масштабованого за рахунок застосування економічних стандартизованих у галузі дисків.
• Менеджер серверів. Використовувати для віддаленого керування кількома файловими серверами з одного вікна.
• Windows PowerShell. Використовувати для автоматизації керування більшістю завдань адміністрування файлових серверів.

Hyper-V

Роль Hyper-V дозволяє створювати віртуалізоване обчислювальне середовище за допомогою технології віртуалізації, вбудованої в Windows Server, та керувати нею. Під час встановлення ролі Hyper-V виконується встановлення необхідних компонентів, а також необов'язкових засобів керування. Серед необхідних компонентів є низькорівнева оболонка Windows, служба керування віртуальними машинами Hyper-V, постачальник віртуалізації WMI та компоненти віртуалізації, такі як шина VMbus, постачальник служби віртуалізації (VSP) та драйвер віртуальної інфраструктури (VID).

Network Policy and Access Services

Служби мережної політики та доступу надають такі рішення для підключення до мережі:

• Захист доступу до мережі – це технологія створення, примусового застосування та виправлення політик працездатності клієнта. За допомогою захисту доступу до мережі системні адміністратори можуть встановлювати та автоматично застосовувати політики працездатності, які включають вимоги до програмного забезпечення, оновлень для системи безпеки та інші параметри. Для клієнтських комп'ютерів, які не відповідають вимогам політики працездатності, можна обмежити доступ до мережі, доки їх конфігурація не буде оновлена ​​відповідно до вимог політики.
• Якщо розгорнуто точку бездротового доступу з підтримкою 802.1X, ви можете використовувати сервер політики мережі (NPS) для розгортання методів автентифікації на основі сертифікатів, які є більш безпечними, ніж автентифікація на основі паролів. Розгортання обладнання з підтримкою 802.1X із сервером NPS дозволяє забезпечити автентифікацію користувачів інтрамережі до того, як вони зможуть підключитися до мережі або отримати IP-адресу від DHCP-сервера.
• Замість того, щоб налаштовувати політику доступу до мережі на кожному сервері доступу до мережі, можна централізовано створити всі політики, в яких будуть визначені всі аспекти запитів на підключення до мережі (хто може підключатися, коли дозволено підключення, рівень безпеки, який необхідно використовувати для підключення до мережі ).

Print and Document Services

Служби друку та документів дозволяють централізувати завдання сервера друку та мережного принтера. Ця роль також дозволяє отримувати відскановані документи з мережевих сканерів і передавати документи до загальних мережних ресурсів - на веб-сайті Windows SharePoint Services або електронною поштою.

Remote Access

Роль сервера віддаленого доступу є логічною групою наступних технологій мережного доступу.

• DirectAccess
• Маршрутизація та віддалений доступ
• Проксі-сервер веб-програми

Ці технології є службами ролейролі сервера віддаленого доступу. Під час встановлення ролі сервера віддаленого доступу можна встановити одну або кілька служб ролей, запустивши майстер додавання ролей та компонентів.

У Windows Server роль сервера віддаленого доступу забезпечує можливість централізованого адміністрування, налаштування та спостереження за службами віддаленого доступу DirectAccess та VPN зі службою маршрутизації та віддаленого доступу (RRAS). DirectAccess і RRAS можна розгорнути на одному прикордонному сервері та керувати ними за допомогою команд Windows PowerShell та консолі керування (MMC) віддаленого доступу.

Remote Desktop Services

Служби віддалених робочих столів прискорюють та розширюють розгортання робочих столів та додатків на будь-якому пристрої, підвищуючи ефективність віддаленого працівника, одночасно забезпечуючи безпеку критично важливої ​​інтелектуальної власності та спрощуючи відповідність нормативним вимогам. Служби віддалених робочих столів включають інфраструктуру віртуальних робочих столів (VDI), робочі столи на основі сеансів та програми, надаючи користувачам можливість працювати будь-де.

Volume Activation Services

Служби активації корпоративних ліцензій - це роль сервера в Windows Server починаючи з Windows Server 2012, яка дозволяє автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення Microsoft, а також керування такими ліцензіями у різних сценаріях та середовищах. Поряд із службами активації корпоративних ліцензій можна встановити та настроїти службу керування ключами (KMS) та активацію за допомогою Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) у Windows Server забезпечує платформу для розміщення веб-вузлів, служб та програм. Використання веб-сервера забезпечує доступ до інформації користувачам в Інтернеті, інтрамережі та екстрамережі. Адміністратори можуть використовувати роль веб-сервера (IIS) для налаштування та керування кількома веб-сайтами, веб-застосунками та FTP-сайтами. До спеціальних можливостей входять такі.

• Використання диспетчера служб IIS для налаштування компонентів IIS та адміністрування веб-сайтів.
• Використання протоколу FTP для дозволу власникам веб-сайтів надсилати та завантажувати файли.
• Використання ізоляції веб-сайтів для запобігання впливу одного веб-сайту на сервер на інші.
• Налаштування веб-застосунків, розроблених з використанням різних технологій, таких як Classic ASP, ASP.NET і PHP.
• Використання Windows PowerShell для автоматичного керування здебільшого завдань адміністрування веб-сервера.
• Об'єднання кількох веб-серверів у ферму серверів, яку можна керувати за допомогою IIS.

Windows Deployment Services

Служби розгортання Windows дозволяють розгортати операційні системи Windows через мережу, що означає можливість не встановлювати кожну операційну систему безпосередньо з компакт-диска або DVD-диска.

Windows Server Essentials Experience

Ця роль дозволяє вирішувати такі задачи:

• захищати дані сервера та клієнтів, створюючи резервні копії сервера та всіх клієнтських комп'ютерів у мережі;
• керувати користувачами та групами користувачів через спрощену панель моніторингу сервера. Крім того, інтеграція з Windows Azure Active Directory забезпечує користувачам простий доступ до інтернет-служб Microsoft Online Services (наприклад, Office 365, Exchange Online і SharePoint Online) за допомогою їх облікових даних домену;
• зберігати дані компанії у централізованому місці;
• інтегрувати сервер з інтернет-службами Microsoft Online Services (наприклад, Office 365, Exchange Online, SharePoint Online та Windows Intune):
• використовувати на сервері функції повсюдного доступу (наприклад, віддалений веб-доступ та віртуальні приватні мережі) для доступу до сервера, комп'ютерів мережі та даних з віддалених позицій з високим ступенем безпеки;
• отримувати доступ до даних з будь-якого місця та з будь-якого пристрою за допомогою власного веб-порталу організації (за допомогою віддаленого веб-доступу);
• керувати мобільними пристроями, з яких здійснюється доступ до електронної пошти організації за допомогою Office 365 через протокол Active Sync, з панелі моніторингу;
• відстежувати працездатність мережі та отримувати звіти про працездатність, що настроюються; звіти можна створювати на вимогу, налаштовувати та надсилати електронною поштою певним одержувачам.

Windows Server Update Services

Сервер WSUS надає компоненти, які необхідні адміністраторам для керування оновленнями та їх розповсюдження через консоль керування. Крім того, сервер WSUS може бути джерелом оновлення для інших серверів WSUS в організації. При реалізації служб WSUS хоча б один сервер служб WSUS у мережі має бути підключений до Центру оновлення Майкрософт для отримання інформації про доступні оновлення. Залежно від безпеки та конфігурації мережі, адміністратор може визначити, скільки інших серверів безпосередньо підключено до Центру оновлення Майкрософт.

Вступ

Зі збільшенням парку комп'ютерів для підприємства дедалі гостріше постає питання вартості його управління та змісту. Ручне налаштування комп'ютерів забирає чимало часу у персоналу і змушує, зі збільшенням кількості комп'ютерів, збільшувати штат персоналу, що їх обслуговує. До того ж, при великій кількості машин стежити за дотриманням прийнятих на підприємстві стандартів налаштування стає все важче. Групові політики (Group Policy) є комплексним інструментом централізованого керування комп'ютерами з Windows 2000 та вище в домені Active Directory. До комп'ютерів під керуванням ОС Windows NT4/9x групові політики не застосовуються: вони керуються системними політиками (System Policy), які в цій статті не розглядатимуться.

Об'єкти групових політик

Усі налаштування, які ви створите в рамках групових політик, зберігатимуться в об'єктах групової політики (Group Policy Object, GPO). Об'єкти групових політик бувають двох типів: локальний об'єкт групової політики та об'єкти групових політик Active Directory. Локальний об'єкт групової політики на комп'ютерах під керуванням Windows 2000 і вище. Він може бути лише один, і це єдиний GPO, який може бути на комп'ютері, що не входить до домену.

Об'єкт групової політики - це загальна назва набору файлів, директорій та записів у базі Active Directory (якщо це не локальний об'єкт), які зберігають ваші налаштування та визначають, які параметри ви можете змінити за допомогою групових політик. Створюючи політику, ви фактично створюєте та змінюєте об'єкт групової політики. Локальний об'єкт групової політики зберігається в %SystemRoot%\System32\GroupPolicy. GPO Active Directory зберігаються на контролері домену і можуть бути пов'язані з сайтом, доменом або OU (Organizational Unit, підрозділ або організаційна одиниця). Прив'язка об'єкта визначає його сферу дії. За замовчуванням у домені створюються два об'єкти групової політики: Default Domain Policy та Default Domain Controller Policy. У першому визначається політика за промовчанням для паролів та облікових записів у домені. Другий зв'язується з OU Domain Controllers та підвищує налаштування безпеки для контролерів домену.

Створення об'єкта групової політики

Щоб створити політику (тобто фактично створити новий об'єкт групової політики), відкриваємо Active Directory Users & Computers і вибираємо, де створити новий об'єкт. Створювати та прив'язувати об'єкт групової політики можна лише до об'єкта сайту, домену або OU.

Мал. 1. Створення об'єкта групової політики.

Щоб створити GPO і зв'язати його, наприклад, з OU testers, клацаємо правою кнопкою миші на цьому OU і в контекстному меню вибираємо properties. У вікні властивостей відкриваємо вкладку Group Policy і натискаємо New.

Мал. 2. Створення об'єкта групової політики.

Даємо назву об'єкту GP, після чого об'єкт створено, і можна приступати до конфігурування політики. Двічі клацаємо на створеному об'єкті або натискаємо кнопку Edit, відкриється вікно редактора GPO, де можна налаштувати конкретні параметри об'єкта.

Мал. 3. Опис налаштувань у вкладці Extended.

Більшість основних налаштувань інтуїтивно зрозумілі (до того ж мають опис, якщо відкрити вкладку Extended), і ми не будемо детально зупинятися на кожній. Як видно із рис. 3, GPO складається з двох розділів: Computer Configuration та User Configuration. Налаштування першого розділу застосовуються під час завантаження Windows до комп'ютерів, що знаходяться в цьому контейнері та нижче (якщо не скасовано спадкування), і не залежать від того, який користувач увійшов до системи. Параметри другого розділу використовуються під час входу користувача до системи.

Порядок застосування об'єктів групової політики

Коли комп'ютер запускається, відбуваються такі дії:

1. Читається реєстр та визначається, до якого сайту належить комп'ютер. Робиться запит серверу DNS з метою отримання IP адрес контролерів домену, розміщених на цьому сайті.
2. Отримавши адресу, комп'ютер з'єднується з контролером домену.
3. Клієнт запитує список об'єктів GP у контролера домену та застосовує їх. Останній надсилає список об'єктів GP у порядку, в якому вони повинні застосовуватися.
4. Коли користувач входить до системи, комп'ютер знову запитує список об'єктів GP, які необхідно застосувати до користувача, виймає та застосовує їх.

Групові політики застосовуються при завантаженні OC та при вході користувача до системи. Потім вони застосовують кожні 90 хвилин, з варіацією в 30 хвилин для виключення перевантаження контролера домену у разі одночасного запиту великої кількості клієнтів. Для контролерів домену інтервал оновлення становить 5 хвилин. Змінити цю поведінку можна в розділі Computer Configuration\Administrative Templates\System\Group Policy. Об'єкт групової політики може діяти лише на об'єкти «комп'ютер» та «користувач». Політика діє лише на об'єкти, що знаходяться в об'єкті каталогу (сайт, домен, підрозділ), з яким пов'язаний GPO і нижче за «деревом» (якщо не заборонено успадкування). Наприклад: Об'єкт GPO створено в OU testers (як ми зробили вище).

Мал. 4. Спадкування налаштувань.

Усі налаштування, зроблені в цьому GPO, діятимуть лише на користувачів та комп'ютери, що знаходяться в OU testers та OU InTesters. Розглянемо порядок застосування політик на прикладі. Користувач test, розташований у OU testers, входить у комп'ютер comp, що у OU compOU (див. рис. 5).

Мал. 5. Порядок застосування політик.

У домені існують чотири GPO:

1. SitePolicy, пов'язаний із контейнером сайту;
2. Default Domain Policy, пов'язаний із контейнером домену;
3. Policy1, пов'язаний з OU testers;
4. Policy2, пов'язаний із OU compOU.

При завантаженні Windowsна робочій станції comp, параметри, визначені розділах Computer Configuration, застосовуються так:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;

4. Параметри GPO Policy2.

При вході користувача test на комп'ютер comp - параметри, визначені розділах User Configuration:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;
3. Параметри GPO Default Domain Policy;
4. Параметри GPO Policy1.

Тобто GPO застосовують у такому порядку: локальні політики, політики рівня сайту, політики рівня домену, політики рівня OU.

Групові політики застосовуються до клієнтів з ОС Windows XP асинхронно, а з ОС Windows 2000 - синхронно, тобто екран входу з'являється тільки після застосування всіх політик комп'ютера, а політики користувача застосовуються до того, як з'явився робочий стіл. Асинхронне застосування політик означає, що екран користувача входу з'являється раніше, ніж встигають застосувати всі політики комп'ютера, а робочий стіл - раніше, ніж застосовуються всі політики користувача, що призводить до прискорення завантаження і входу користувача.
Описана вище поведінка змінюється у двох випадках. Перший - комп'ютер клієнта виявив повільне підключення до мережі. За промовчанням у цьому випадку застосовуються лише параметри захисту та адміністративні шаблони. Повільним вважається підключення з пропускною здатністю менше 500 Кб/сек. Змінити це значення можна в Computer Configuration \ Administrative Templates \ System \ Group Policy \ Group Policy slow link detection. Також у розділі Computer Configuration\Administrative Templates\System\Group Policy можна налаштувати деякі інші параметри політик так, щоб вони оброблялися по повільному з'єднанню. Другий спосіб зміни порядку застосування політик – опція User Group policy loopback processing. Ця опція змінює порядок застосування політик за умовчанням, при якому політики користувача застосовуються після комп'ютерних і перезаписують останні. Ви можете встановити опцію loopback, щоб політики комп'ютера застосовувалися після користувачів політик і перезаписували всі політики, що суперечать політикам комп'ютера. У параметра loopback є 2 режими:

1. Merge (з'єднати) - спочатку застосовується комп'ютерна політика, потім користувальницька та знову комп'ютерна. При цьому комп'ютерна політика замінює параметри користувальницької політики, що суперечать їй, своїми.
2. Replace (замінити) - політика користувача не обробляється.

Проілюструвати застосування параметра User Group policy loopback processing можна, наприклад, на загальнодоступному комп'ютері, на якому необхідно мати ті самі обмежені налаштування, незалежно від того, який користувач ним користується.

Пріоритетність, наслідування та вирішення конфліктів

Як ви вже помітили, на всіх рівнях об'єкти групової політики містять однакові параметри налаштування, і той самий параметр може бути визначений на декількох рівнях по-різному. У такому разі чинним значенням буде застосоване останнім (про порядок застосування об'єктів групової політики говорилося вище). Це правило поширюється попри всі параметри, крім визначених як не configured. Для цих параметрів Windows не робить жодних дій. Але є один виняток: усі параметри налаштування облікових записів та паролів можуть бути визначені лише на рівні домену, на інших рівнях ці налаштування будуть проігноровані.

Мал. 6. Active Directory Users and Computers.

Якщо одному рівні розташовані кілька GPO, всі вони застосовуються «знизу нагору». Змінюючи положення об'єкта політик у списку (кнопками Up та Down) можна вибрати необхідний порядок застосування.

Мал. 7. Порядок застосування політик.

Іноді потрібно, щоб певна OU не отримувала параметрів політик від GPO, пов'язаних із вищими контейнерами. У цьому випадку слід заборонити успадкування політик, поставивши прапорець Block Policy inheritance (Блокувати успадкування політик). Блокуються всі успадковані параметри політик, немає способу блокувати окремі параметри. Параметри налаштування рівня домену, які визначають політику паролів та політику облікових записів, не можуть бути заблоковані.

Мал. 9. Блокування наслідування політик.

Якщо потрібно, щоб певні налаштування в цьому GPO не перезаписувалися, слід вибрати потрібний GPO, натиснути кнопку Options і вибрати No Override. Ця опція наказує застосовувати параметри GPO там, де заблоковано спадкування політик. No Override встановлюється там, де GPO зв'язується з об'єктом каталогу, а чи не в самому GPO. Якщо GPO пов'язаний з кількома контейнерами в домені, для інших зв'язків цей параметр не буде налаштований автоматично. Якщо параметр No Override налаштований для декількох зв'язків на одному рівні, пріоритетними (і діючими) будуть параметри GPO, що знаходиться вгорі списку. Якщо параметри No Override налаштовані для кількох GPO, що знаходяться на різних рівнях, діючими будуть параметри GPO, що знаходиться вище в ієрархії каталогу. Тобто, якщо параметри No override налаштовані для зв'язку GPO з об'єктом домену та для зв'язку з GPO об'єктом OU, діючими будуть параметри, визначені на рівні домену. Галочка Disabled скасовує дію цього GPO на цей контейнер.

Мал. 10. Опції No Override та Disabled.

Як уже було сказано вище, політики діють лише на користувачів та комп'ютери. Часто виникає питання: «як зробити так, щоб певна політика діяла на всіх користувачів, які входять до певної групи безпеки?». Для цього GPO прив'язується до об'єкта домену (або будь-якого контейнера, що знаходиться вище за контейнери або OU, в яких знаходяться всі об'єкти користувачів з потрібної групи) і налаштовуються параметри доступу. Натискаємо Properties, на вкладці Security видаляємо групу Authenticated Users та додаємо необхідну групу з правами Read та Apply Group Policy.

Визначення установок, що діють на комп'ютер користувача

Для визначення кінцевої конфігурації та виявлення проблем вам знадобиться, які настройки політик діють на даного користувача або комп'ютер в даний момент. І тому існує інструмент Resultant Set of Policy (результуючий набір політик, RSoP). RSoP може працювати як у режимі реєстрації, і у режимі планування. Щоб викликати RSoP, слід натиснути правою кнопкою на об'єкті "користувач" або "комп'ютер" і вибрати All Tasks.

Мал. 11. Виклик інструмента Resultant Set of Policy.

Після запуску (у режимі реєстрації, logging) вас попросять вибрати, для якого комп'ютера та користувача визначити результуючий набір, і з'явиться вікно результуючих налаштувань із зазначенням, з якого GPO який параметр застосувався.

Мал. 12. Resultant Set of Policy.

Інші інструменти управління груповими політиками

GPResult – це інструмент командного рядка, що забезпечує частину функціоналу RSoP. GPResult є за промовчанням на всіх комп'ютерах з Windows XP та Windows Server 2003.

GPUpdate примусово запускає застосування групових політик - як локальних, і заснованих на Active Directory. У Windows XP/2003 прийшла зміну параметру /refreshpolicy в інструменті secedit для Windows 2000.

Опис синтаксису команд доступний при запуску їх з ключем /?.

Замість ув'язнення

Ця стаття не має на меті пояснити всі аспекти роботи з груповими політиками, вона не орієнтована на досвідчених системних адміністраторів. Все вищевикладене, на мою думку, лише має якось допомогти зрозуміти основні принципи роботи з політиками тим, хто ніколи не працював із ними, або лише починає освоювати.

Утиліта GPResult.exe– це консольна програма, призначена для аналізу налаштувань та діагностики групових політик, які застосовуються до комп'ютера та/або користувача в домені Active Directory. Зокрема, GPResult дозволяє отримати дані результуючого набору політик (Resultant Set of Policy, RSOP), список застосованих доменних політик (GPO), їх налаштування та детальну інформацію про помилки їх обробки. Утиліта входить до складу ОС Windows, починаючи з часів Windows XP. Утиліта GPResult дозволяє відповісти на такі питання: чи застосовується конкретна політика до комп'ютера, яка саме GPO змінила ту чи іншу налаштування Windowsрозібратися з причинами.

У цій статті ми розглянемо особливості використання команди GPResult для діагностування роботи та налагодження застосування групових політик у домені Active Directory.

Спочатку для діагностики застосування групових політик у Windows використовувалася графічна консоль RSOP.msc, яка дозволяла отримати налаштування результуючих політик (доменних + локальних), застосовані до комп'ютера та користувача в графічному вигляді аналогічному консолі редактора GPO (нижче на прикладі представлення консолі RSOP.msc видно, що налаштування оновлень задані).

Однак, консоль RSOP.msc у сучасних версіях Windows використовувати недоцільно, оскільки вона не відображає налаштування, застосовані різними розширеннями групових політик (CSE), наприклад GPP (Group Policy Preferences), не дозволяє виконувати пошук, надає мало діагностичної інформації. Тому зараз команда GPResult є основним засобом діагностики застосування GPO в Windows (у Windows 10 навіть з'являється попередження, що RSOP не дає повний звіт на відміну від GPResult).

Використання утиліти GPResult.exe

Команда GPResult виконується на комп'ютері, де потрібно перевірити застосування групових політик. Команда GPResult має наступний синтаксис:

GPRESULT ]] [(/X | /H) ]

Щоб отримати детальну інформацію про групові політики, які застосовуються до даного об'єкта AD (користувача та комп'ютера), та інші параметри, що стосуються інфраструктури GPO (тобто результуючі налаштування політик GPO – RsoP), виконайте команду:

Результати виконання команди розділені на 2 секції:

• COMPUTER SETTINGS (Конфігурація комп'ютера) – розділ містить інформацію про об'єкти GPO, які діють комп'ютер (як об'єкт Active Directory);
• USER SETTINGS – розділ користувача (політики, що діють на обліковий запис користувача в AD).

Коротко пробіжимося за основними параметрами/розділами, які нас можуть зацікавити у висновку GPResult:

• SiteName(Ім'я сайту:) - ім'я сайту AD, в якому знаходиться комп'ютер;
• CN– повне канонічне користувача/комп'ютера, для якого було згенеровано дані RSoP;
• LasttimeGroupPolicywasapplied(Останнє застосування групової політики) - час, коли востаннє застосовувалися групові політики;
• GroupPolicywasappliedfrom(Групова політика була застосована з) - контролер домену, з якого була завантажена остання версія GPO;
• DomainNameта DomainType(Ім'я домену, тип домену) – ім'я та версія схеми домену Active Directory;
• AppliedGroupPolicyObjects(Застосовані об'єкти групової політики)- Списки діючих об'єктів групової політики;
• ThefollowingGPOsбулиnotappliedbecausetheyбулиfilteredout(Наступні політики GPO не були застосовані, оскільки вони відфільтровані) - не застосовані (відфільтровані) GPO;
• Theuser/computerisapartofthefollowingsecuritygroups(Користувач/комп'ютер є членом наступних груп безпеки) – доменні групи, в яких є користувач.

У прикладі видно, що у об'єкт користувача діють 4 групові політики.

• Default Domain Policy;
• Enable Windows Firewall;
• DNS Suffix Search List;

Якщо ви не хочете, щоб в консоль одночасно виводилася інформація і про політиків користувача і про політиків комп'ютера, ви можете за допомогою опції /scope вивести тільки розділ, що вас цікавить. Тільки результуючі політики користувача:

gpresult /r /scope:user

або тільки застосовані політики комп'ютера:

gpresult /r /scope:computer

Т.к. утиліта Gpresult виводить свої дані безпосередньо в консоль командного рядка, що буває не завжди зручно для подальшого аналізу, її висновок можна перенаправити в буфер обміну:

Gpresult /r |clip

або текстовий файл:

Gpresult /r > c:\gpresult.txt

Щоб вивести понад детальну інформацію RSOP, потрібно додати /z.

HTML звіт RSOP за допомогою GPResult

Крім того, утиліта GPResult може згенерувати HTML-звіт за застосованими результуючим політикам(доступно у Windows 7 та вище). У цьому звіті буде Детальна інформаціяпро всі параметри системи, які задаються груповими політиками та іменами конкретних GPO, які їх задали (звіт по структурі нагадує вкладку Settings в консолі управління доменними груповими політиками – GPMC). Згенерувати HTML звіт GPResult можна за допомогою команди:

GPResult /h c:\gp-report\report.html /f

Щоб згенерувати звіт та автоматично відкрити його у браузері, виконайте команду:

GPResult /h GPResult.html & GPResult.html

У HTML звіті gpresult міститься досить багато корисної інформації: видно помилки застосування GPO, час обробки (в мс.) та застосування конкретних політик та CSE (у розділі Computer Details -> Component Status). Наприклад, на скріншоті вище видно, що політика з налаштуваннями 24 passwords remember застосована політикою Default Domain Policy (стовпець Winning GPO). Як ви бачите, такий звіт HTML набагато зручніший для аналізу застосованих політик, ніж консоль rsop.msc.

Отримання даних GPResult з віддаленого комп'ютера

GPResult може зібрати дані з віддаленого комп'ютера, позбавляючи адміністратора від необхідності локального або RDP входу на віддалений комп'ютер. Формат команди збору даних RSOP з віддаленого комп'ютера такий:

GPResult /s server-ts1 /r

Аналогічним чином ви можете віддалено зібрати дані як за політиками користувача, так і за політиками комп'ютера.

Користувач username не має даних RSOP

При включеному UAC запуск GPResult без підвищених привілеїв виводить параметри лише розділу користувача групових політик. Якщо потрібно одночасно відобразити обидва розділи (USER SETTINGS та COMPUTER SETTINGS), команду потрібно запускати. Якщо командний рядок з підвищеними привілеями відмінним від поточного користувача системи, утиліта видасть попередження INFO: Theuser“domain\user” doesnothaveRSOPdata (Користувач "domain\user" не має даних RSOP). Це тому, що GPResult намагається зібрати інформацію користувача, її запустив, але т.к. цей користувач не виконав вхід (logon) у систему, інформація RSOP для нього відсутня. Щоб зібрати інформацію RSOP щодо користувача з активною сесією, потрібно вказати його обліковий запис:

gpresult /r /user:tn\edward

Якщо ви не знаєте ім'я облікового запису, залогіненого на віддаленому комп'ютері, обліковий запис можна отримати так:

qwinsta /SERVER:remotePC1

Також перевірте час (і) на клієнта. Час повинен відповідати часу PDC (Primary Domain Controller).

Наступні політики GPO не були застосовані, оскільки вони відфільтровані

При траблшутинг групових політик варто також звертати увагу на секцію: Наступні політики GPO не були застосовані, так як вони відфільтровані. Ця секція відображає список GPO, які з тієї чи іншої причини не застосовуються до цього об'єкта. Можливі варіанти, за якими політика може не застосовуватись:

Також ви можете зрозуміти, чи повинна застосовуватися політика до конкретного об'єкта AD на вкладці ефективних дозволів (Advanced -> Effective Access).

Отже, у цій статті ми розглянули особливості діагностики застосування групових політик за допомогою утиліти GPResult та розглянули типові сценарії її використання.

Функціонал в операційній системі Windows Server розрахунок і покращується від версії до версії, ролей та компонентів стає все більше, тому в сьогоднішньому матеріалі я спробую коротко розповісти опис та призначення кожної ролі у Windows Server 2016.

Перш ніж переходити до опису серверних ролей Windows Server, давайте дізнаємося, що взагалі таке « Роль сервера» в операційній системі Windows Server.

Що таке "Роль сервера" у Windows Server?

Роль сервера (Server Role)- Це програмний комплекс, який забезпечує виконання сервером певної функції, і ця функція є основною. Іншими словами, " Роль сервера»- це призначення сервера, тобто. навіщо він потрібний. Щоб сервер міг виконувати власну основну функцію, тобто. певну роль, в « Роль сервера» включено все необхідне для цього програмне забезпечення ( програми, служби).

Сервер може мати одну роль, якщо вона активно використовується, або кілька, якщо кожна з них не сильно навантажує сервер і використовується рідко.

У роль сервера може включатися кілька служб ролі, які забезпечують функціональні можливості роли. Наприклад, у роль сервера « Веб-сервер (IIS)» включено досить багато служб, а роль « DNS-сервер» не входять служби ролі, оскільки ця роль виконує лише одну функцію.

Служби ролей можуть бути встановлені разом або окремо залежно від Ваших потреб. За своєю суттю встановлення ролі означає встановлення однієї чи кількох її служб.

У Windows Server також існують і « Компоненти» сервера.

Компоненти сервера (Feature)– це програмні засоби, які є роллю сервера, але розширюють можливості однієї чи кількох ролей, чи керують однією чи кількома ролями.

Деякі ролі не можуть бути встановлені, якщо на сервері не встановлені обов'язкові служби або компоненти, необхідні для функціонування даних ролей. Тому в момент встановлення таких ролей. Майстер додавання ролей та компонентів»саме, автоматично запропонує Вам встановити потрібні, додаткові служби ролей або компоненти.

Опис серверних ролей Windows Server 2016

З багатьма ролями, які є в Windows Server 2016, напевно, Ви вже знайомі, тому що вони існують досить довгий час, але як я вже сказав, з кожною новою версією Windows Server додаються нові ролі, з якими можливо Ви ще не працювали, але хотіли б дізнатися, навіщо вони потрібні, тому давайте розпочинати їх розгляду.

Примітка! Про нові можливості операційної системи Windows Server 2016 можна прочитати у матеріалі «Встановлення Windows Server 2016 та огляд нових можливостей».

Так як дуже часто установка та адміністрування ролей, служб та компонентів відбувається з використанням Windows PowerShell , я для кожної ролі та її служби вказуватиму назву, яку можна використовувати в PowerShell, відповідно для її установки або для керування.

DHCP-сервер

Ця роль дозволяє централізовано налаштовувати динамічні IP-адреси та пов'язані з ними параметри комп'ютерів та пристроїв у мережі. У ролі DHCP-сервер немає служб участі.

Назва Windows PowerShell – DHCP.

DNS-сервер

Ця роль призначена для дозволу імен у мережах TCP/IP. Роль DNS-сервер забезпечує та підтримує роботу DNS. Для спрощення управління DNS-сервером його зазвичай встановлюють тому ж сервері, як і доменні служби Active Directory. У ролі DNS-сервер немає служб участі.

Назва ролі для PowerShell – DNS.

Hyper-V

За допомогою ролі Hyper-V можна створювати віртуалізоване середовище та керувати нею. Іншими словами, це інструмент для створення та управління віртуальними машинами.

Назва ролі для Windows PowerShell – Hyper-V.

Атестація працездатності пристроїв

Роль « » дозволяє оцінювати працездатність пристрою на основі виміряних показників параметрів безпеки, наприклад, показники стану безпечного завантаження та засоби Bitlocker на клієнті.

Для функціонування цієї ролі необхідно чимало служб ролей і компонентів, наприклад: кілька служб із ролі « Веб-сервер (IIS)», компонент « », компонент « Функції .NET Framework 4.6».

Під час встановлення всі необхідні служби ролей та компоненти будуть вибрані автоматично. У ролі « Атестація працездатності пристроївсвоїх служб ролі немає.

Назва PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Надає надійну, керовану та масштабовану інфраструктуру веб-додатків. Складається із досить великої кількості служб (43).

Назва для Windows PowerShell – Web-Server.

Включає наступні служби ролі ( у дужках я вказуватиму назву для Windows PowerShell):

Веб-сервер (Web-WebServer)– група служб ролі, яка надає підтримку веб-сайтів HTML, розширень ASP.NET, ASP та веб-сервера. Складається з наступних служб:

• Безпека (Web-Security)- Набір служб для безпеки веб-сервера.
  • Фільтрування запитів (Web-Filtering) – за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, та фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб-сервера;
  • IP-адреса та обмеження домену (Web-IP-Security) – ці засоби дозволяють дозволяти або забороняти доступ до вмісту на веб-сервері з урахуванням IP-адреси або імені домену джерела в запиті;
  • Авторизація URL-адреси (Web-Url-Auth) - засоби дозволяють розробляти правила для обмеження доступу до веб-вмісту та пов'язувати їх з користувачами, групами або командами заголовка HTTP;
  • Дайджест-перевірка автентичності (Web-Digest-Auth) – дана автентифікація дозволяє забезпечити більш високий рівень безпеки в порівнянні зі звичайною автентифікацією. Дайджест-перевірка для автентифікації користувачів діє за принципом передачі хеша пароля контролеру домену Windows;
  • Звичайна автентифікація (Web-Basic-Auth) - цей метод автентифікації забезпечує надійну сумісність веб-браузера. Рекомендується використовувати у невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі, можна досить просто перехопити і розшифрувати, тому використовуйте цей метод у поєднанні з SSL;
  • Перевірка автентичності Windows (Web-Windows-Auth) – це автентифікація в домені Windows. Іншими словами, Ви можете використовувати облікові записи Active Directory для автентифікації користувачів своїх Web сайтів;
  • Перевірка автентичності зі зіставленням сертифіката клієнта (Web-Client-Auth) – цей метод автентифікації передбачає використання сертифіката клієнта. Для порівняння сертифікатів цей тип використовує служби Active Directory;
  • Перевірка автентичності зі зіставленням сертифіката клієнта IIS (Web-Cert-Auth) – у цьому методі для автентифікації також застосовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують вищу продуктивність;
  • Централізована підтримка SSL-сертифіката (Web-CertProvider) – ці кошти дозволяє централізовано керувати сертифікатами сервера SSL, що спрощує процес управління цими сертифікатами;
• Справність та діагностика (Web-Health)– набір служб для забезпечення контролю, управління та усунення порушень у роботі веб-серверів, сайтів та додатків:
  • Ведення журналу http (Web-Http-Logging) - гроші забезпечують ведення журналу активності сайту цьому сервері, тобто. запис лога;
  • Ведення журналу ODBC (Web-ODBC-Logging) – ці кошти також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності у базі даних, сумісної з ODBC;
  • Монітор запитів (Web-Request-Monitor) – це інструмент, який дозволяє спостерігати за справністю веб-програми, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
  • Настроювання ведення журналу (Web-Custom-Logging) – за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера у форматі, що значно відрізняється від стандартного формату IIS. Іншими словами Ви можете створити власний модуль ведення журналу;
  • Засоби ведення журналу (Web-Log-Libraries) – це інструменти для керування журналами веб-сервера та автоматизації завдань ведення журналу;
  • Трасування (Web-Http-Tracing) – це засіб для діагностування та усунення порушень у роботі веб-додатків.
• Загальні функції http (Web-Common-Http)- Набір служб, які надають основні функціональні можливості HTTP:
  • Документ за замовчуванням (Web-Default-Doc) – ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за замовчуванням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресі запиту, завдяки чому користувачам стає зручніше звертатися до веб-сайту, наприклад, по домену, не вказуючи при цьому файл;
  • Огляд каталогу (Web-Dir-Browsing) – за допомогою цього засобу можна налаштувати веб-сервер так, щоб користувачі могли переглядати список усіх каталогів та файлів на веб-сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресі запиту, документи за замовчуванням або заборонені, або не налаштовані;
  • Помилки http (Web-Http-Errors) – ця можливість дозволяє налаштовувати повідомлення про помилки, які будуть повертатися на веб-браузери користувачів у момент виявлення веб-сервером помилки. Цей засіб використовується для зручнішого подання користувачам повідомлень про помилки;
  • Статичний вміст (Web-Static-Content) – цей засіб дозволяє використовувати на веб-сервері контент у вигляді статичних форматів файлів, наприклад HTML файли або файли зображень;
  • Перенаправлення http (Web-Http-Redirect) – за допомогою цієї можливості можна перенаправити запит користувача за конкретним призначенням, тобто. це Redirect;
  • Публікація WebDAV (Web-DAV-Publishing) дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) – це технологія, що дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщувати) над файлами на віддалених веб-серверах, використовуючи при цьому протокол HTTP.
• Продуктивність (Web-Performance)– набір служб для досягнення більш високої продуктивності веб-сервера, за рахунок кешування вихідних даних та загальних механізмів стиснення, таких як Gzip та Deflate:
  • Стиснення статичного вмісту (Web-Stat-Compression) – це засіб для налаштування стиснення статичного вмісту http, що дозволяє більш ефективно використовувати пропускну здатність, при цьому без зайвого навантаження на ЦП;
  • Стиснення динамічного вмісту (Web-Dyn-Compression) - це засіб для налаштування стиснення динамічного вмісту HTTP. Цей засіб забезпечує більш ефективне використання пропускної спроможності, але в даному випадку навантаження на ЦП сервера, пов'язане з динамічним стисненням, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення високе.
• Розробка програм (Web-App-Dev)– набір служб та засобів для розробки та розміщення веб-додатків, іншими словами технології розробки сайтів:
  • ASP (Web-ASP) – середовище підтримки та розробки web сайтів та web додатків з використанням технології ASP. На даний момент існує нова та просунута технологія розробки сайтів - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) – це об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням технології ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням нової версії ASP.NET;
  • CGI (Web-CGI) – це можливість використання CGI передачі веб-сервером інформації у зовнішню програму. CGI - це стандарт інтерфейсу для зв'язку зовнішньої програми з web-сервером. Є недолік, застосування CGI впливає продуктивність;
  • Увімкнення на стороні сервера (SSI) (Web-Includes) – це підтримка мови сценаріїв SSI ( включення на стороні сервера), який використовується для динамічного формування сторінок HTML;
  • Ініціалізація додатків (Web-AppInit) – цей засіб виконує завдання ініціалізації web-додатків перед пересиланням веб-сторінки;
  • Протокол WebSocket (Web-WebSockets) - додавання можливості створення серверних програм, які взаємодіють за допомогою протоколу WebSocket. WebSocket - це протокол, який може передавати та приймати одночасно дані між браузером та web сервером поверх TCP-з'єднання, свого роду розширення протоколу HTTP;
  • Розширення ISAPI (Web-ISAPI-Ext) – підтримка динамічної розробки веб-вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI – це API для веб-сервера IIS. Програми ISAPI працюють набагато швидше порівняно з файлами ASP або файлами, що викликають компоненти COM+;
  • Розширюваність.NET 3.5 (Web-Net-Ext) – це засіб розширюваності.NET 3.5, який дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації та в інтерфейсі користувача;
  • Розширюваність.NET 4.6 (Web-Net-Ext45) – це засіб розширюваності.NET 4.6, який також дозволяє змінювати, додавати та розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, у конфігурації та в інтерфейсі користувача;
  • Фільтри ISAPI (Web-ISAPI-Filter) – додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI являють собою програми, які викликаються при отриманні web сервером певного запиту HTTP, що підлягає обробці цим фільтром.

FTP – сервер (Web-Ftp-Server)– служби, які забезпечують підтримку протоколу FTP. Докладніше про FTP сервер ми говорили в матеріалі – «Встановлення та налаштування FTP сервера на Windows Server 2016». Містить такі служби:

• Служба FTP (Web-Ftp-Service) – додає підтримку протоколу FTP на веб-сервері;
• Розширюваність FTP (Web-Ftp-Ext) – розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як постачальники, що настроюються, користувачі ASP.NET або користувачі диспетчера IIS.

Засоби керування (Web-Mgmt-Tools)– це засоби керування веб-сервером IIS 10. До них можна віднести: інтерфейс користувача IIS, засоби командного рядка і скрипти.

• Консоль керування службами IIS (Web-Mgmt-Console) – це інтерфейс керування службами IIS;
• Набори символів та засоби керування службами IIS (Web-Scripting-Tools) - це засоби та скрипти керування службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації керування;
• Служба керування (Web-Mgmt-Service) – ця служба додає можливість керувати web-сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
• Управління сумісністю з IIS 6 (Web-Mgmt-Compat) – забезпечує сумісність додатків та сценаріїв, що використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для керування веб-сервером IIS 10:
  • Метабаза сумісності з IIS 6 (Web-Metabase) - засіб сумісності, який дозволяє запускати додатки та набори символів, перенесені з попередніх версій IIS;
  • Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) – ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для керування IIS 6, у IIS 10;
  • Консоль керування службами IIS 6 (Web-Lgcy-Mgmt-Console) – засіб адміністрування віддалених серверів IIS 6.0;
  • Сумісність з WMI IIS 6 (Web-WMI) – це інтерфейси скриптів інструментарію керування Windows (WMI) для програмного контролю та автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного у постачальнику WMI.

Доменні служби Active Directory

Роль « Доменні служби Active Directory» (AD DS) забезпечує розподілену базу даних, яка зберігає та обробляє інформацію про мережеві ресурси. Цю роль використовують для організації елементів мережі, таких як користувачі, комп'ютери та інші пристрої в ієрархічну структуру захисної оболонки. Ієрархічна структура включає ліси, домени в лісі, а також організаційні одиниці (OU) в кожному домені. Сервер, який працює під керуванням AD DS, називається контролером домену.

Назва ролі для Windows PowerShell – AD-Domain-Services.

Режим Windows Server Essentials

Ця роль є комп'ютерною інфраструктурою і надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці та захист цих даних за рахунок резервного копіювання сервера та клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримувати доступ до даних практично з будь-якого пристрою. Для роботи цієї ролі необхідно кілька служб ролей та компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба ролі « Простори імен DFS».

Назва PowerShell – ServerEssentialsRole.

Мережевий контролер

Ця роль з'явилася в Windows Server 2016, вона є єдиною точкою автоматизації для управління, моніторингу та діагностики, фізичної та віртуальної мережевої інфраструктури в центрі обробки даних. За допомогою цієї ролі можна з однієї точки налаштовувати IP-підмережі, VLAN, фізичні мережеві адаптери Hyper-V хостів, керувати віртуальними комутаторами, фізичними маршрутизаторами, налаштуваннями файрвола та VPN-шлюзами.

Назва для Windows PowerShell - NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, що дозволяють захищеним вузлам запускати екрановані віртуальні машини. Для функціонування цієї ролі необхідно кілька додаткових ролей та компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « Відмовостійка кластеризація" та інші.

Назва PowerShell – HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

Роль « Служби Active Directory полегшеного доступу до каталогів» (AD LDS) – це полегшена версія AD DS, яка має меншу функціональність, але не вимагає розгортання доменів або контролерів доменів, а також не має залежностей і доменних обмежень, які потрібні для служб AD DS. AD LDS працює за протоколом LDAP ( Lightweight Directory Access Protocol). На одному сервері можна розгорнути кілька екземплярів AD LDS із незалежно керованими схемами.

Назва для PowerShell - ADLDS.

Служби MultiPoint

Це також нова роль, яка з'явилася в Windows Server 2016. Служби MultiPoint (MPS) надають базову функціональність віддалених робочих столів, що дозволяє кільком користувачам одночасно незалежно один від одного працювати на тому самому комп'ютері. Для встановлення та функціонування цієї ролі потрібно встановити кілька додаткових служб та компонентів, наприклад: Сервер друку, службу Windows Search, засіб перегляду XPS та інші, всі вони будуть вибрані автоматично в момент встановлення MPS.

Назва ролі PowerShell – MultiPointServerRole.

Служби Windows Server Update Services

За допомогою цієї ролі (WSUS) системні адміністратори можуть керувати оновленнями Microsoft. Наприклад, створювати окремі групи комп'ютерів для різних наборів оновлень, а також отримувати звіти про відповідність комп'ютерів вимогам та оновленням, які потрібно встановити. Для функціонування « Служби Windows Server Update Services» потрібні такі служби ролей та компоненти як: Веб-сервер (IIS), внутрішня база даних Windows, служба активації процесів Windows.

Назва Windows PowerShell – UpdateServices.

• WID Connectivity (UpdateServices-WidDB) - встановлення в WID ( Windows Internal Database) бази даних, що використовується WSUS. Іншими словами, свої службові дані WSUS зберігатиме у WID;
• WSUS Services (UpdateServices-Services) – це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленої взаємодії з API, веб-служба клієнта, веб-служба простої автентифікації через Інтернет, служба синхронізація сервера та веб-служба автентифікації DSS;
• SQL Server Connectivity (UpdateServices-DB) – це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних у базі даних Microsoft SQL Server. У даному випадку у Вас вже повинен бути встановлений принаймні один екземпляр SQL Server.

Служби активації корпоративних ліцензій

За допомогою цієї ролі сервера можна автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення від компанії Microsoft, а також вона дозволяє керувати цими ліцензіями.

Назва PowerShell – VolumeActivation.

Служби друку та документів

Ця роль сервера призначена для надання спільного доступу до принтерів та сканерів у мережі, для централізованого налаштування та керування серверами друку та сканування, а також керування мережними принтерами та сканерами. Служби друку та документів також дозволяють надсилати відскановані документи електронною поштою, спільними мережевими папками або на веб-сайти Windows SharePoint Services.

Назва для PowerShell - Print-Services.

• Сервер друку (Print-Server) – дана служба ролі включає оснастку « Управління печаткою», яка використовується для керування принтерами або серверами друку, а також міграції принтерів та інших серверів друку;
• Друк через Інтернет (Print-Internet) – для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть керувати завданнями друку на сервері. Для роботи цієї служби як Ви знаєте необхідно встановити « Веб-сервер (IIS)». Усі необхідні компоненти будуть вибрані автоматично, коли Ви позначите цей пункт під час процесу встановлення служби ролі « Друк через Інтернет»;
• Сервер розподіленого сканування (Print-Scan-Server) – це служба, яка дозволяє приймати відскановані документи з мережевих сканерів та надсилати їх за місцем призначення. Ця служба також містить оснастку « Управління скануванням», яка використовується для керування мережевими сканерами та для налаштування сканування;
• Служба LPD (Print-LPD-Service) – служба LPD ( Line Printer Daemon) дозволяє комп'ютерам на базі UNIX та іншим комп'ютерам, що використовують службу Line Printer Remote (LPR), друкувати на загальних принтерах сервера.

Служби політики мережі та доступу

Роль « » (NPAS) дозволяє за допомогою сервера політики мережі (NPS) задавати та застосовувати політики доступу до мережі, автентифікації та авторизації, а також працездатності клієнта, іншими словами, забезпечувати безпеку мережі.

Назва Windows PowerShell – NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено інсталювати операційну систему Windows через мережу.

Назва ролі PowerShell – WDS.

• Сервер розгортання (WDS-Deployment) – дана служба ролі призначена для віддаленого розгортання та налаштування операційних систем Windows. Вона також дозволяє створювати та налаштовувати образи для повторного використання;
• Транспортний сервер (WDS-Transport) – це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом багатоадресної розсилки на автономному сервері.

Служби сертифікатів Active Directory

Ця роль призначена для створення центрів сертифікації та пов'язаних служб ролей, які дозволяють видавати сертифікати для різних програм та керувати такими сертифікатами.

Назва Windows PowerShell – AD-Certificate.

Включає такі ролі:

• Центр сертифікації (ADCS-Cert-Authority) – за допомогою цієї служби ролі можна видавати сертифікати користувачам, комп'ютерам та службам, а також керувати дійсністю сертифіката;
• Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) – ця служба дозволяє користувачам та комп'ютерам отримувати інформацію про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить до домену. Для її функціонування необхідний Веб-сервер (IIS)»;
• Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) – дана служба дозволяє користувачам та комп'ютерам реєструвати та продовжувати сертифікати за допомогою веб-браузера за протоколом HTTPS, навіть якщо комп'ютер не входить до домену. Для її функціонування також необхідний Веб-сервер (IIS)»;
• Мережевий відповідач (ADCS-Online-Cert) – служба, призначена для перевірки відкликання сертифіката для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів та надсилає зворотно підписану відповідь з інформацією про статус. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) – ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити та продовження сертифікатів, отримання списків відкликання сертифікатів та реєстрація сертифікатів смарт-карток. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації на мережних пристроях (ADCS-Device-Enrollment) – за допомогою цієї служби можна видавати сертифікати для маршрутизаторів та інших мережних пристроїв, які не мають облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованих на сеансах, та до віддалених програм RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

• Веб-доступ до віддалених робочих столів (RDS-Web-Access) - дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів та програм RemoteApp через меню « Пуск» або за допомогою веб-браузера;
• Ліцензування віддалених робочих столів (RDS-Licensing) – служба призначена для керування ліцензіями, які необхідні для підключення до сервера вузла сеансів віддалених робочих столів або до віртуального робочого столу. Її можна використовувати для встановлення, видачі ліцензій та відстеження їхньої доступності. Для роботи цієї служби необхідний Веб-сервер (IIS)»;
• Посередник підключень до віддаленого робочого столу (RDS-Connection-Broker) - служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, додатку RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів робочих столів чи між віртуальними робочими столами у складі пулу. Для роботи цієї служби необхідний компонент « »;
• Вузол віртуалізації віддалених робочих столів (DS-Virtualization) - служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів та програм RemoteApp. Ця служба працює разом із Hyper-V, тобто. дана роль має бути встановлена;
• Вузол сеансів віддалених робочих столів (RDS-RD-Server) – за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і на основі сеансів робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого столу або віддалених програм RemoteApp;
• Шлюз віддалених робочих столів (RDS-Gateway) – служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддалених програм RemoteApp та робочих столів, заснованих на сеансах, в корпоративній мережі або через Інтернет. Для функціонування цієї служби необхідні такі додаткові служби та компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби керування правами Active Directory

Це роль сервера, яка дозволить захистити інформацію від несанкціонованого використання. Вона перевіряє посвідчення користувачів та надає авторизованим користувачам ліцензії на доступ до захищених даних. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Служба активації процесів Windows», « Функції .NET Framework 4.6».

Назва для Windows PowerShell - ADRMS.

• Сервер управління правами Active Directory (ADRMS-Server) – основна служба ролі, обов'язкова для встановлення;
• Підтримка федерації посвідчень (ADRMS-Identity) – це додаткова служба ролі, яка дозволяє федеративним посвідченням використовувати захищений вміст за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Ця роль надає спрощені та безпечні можливості федерації посвідчень, а також функцію єдиного входу (SSO) на веб-сайти за допомогою браузера.

Назва PowerShell – ADFS-Federation.

Віддалений доступ

Ця роль забезпечує підключення через DirectAccess, VPN та проксі веб-програми. Також роль « Віддалений доступ» надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес (NAT) та інші параметри підключень. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

• DirectAccess та VPN (RAS) (DirectAccess-VPN) - служба дозволяє користувачам підключатися до корпоративної мережі у будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключення у поєднанні з технологіями тунелювання та шифрування даних;
• Маршрутизація (Routing) – служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережі з протоколами BGP, RIP та маршрутизаторів з підтримкою багатоадресної розсилки (IGMP-проксі);
• Проксі-сервер веб-застосунків (Web-Application-Proxy) - служба дозволяє публікувати програми на основі протоколів HTTP і HTTPS з корпоративної мережі на клієнтських пристроях, що знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Це роль сервера, за допомогою якої можна надавати спільний доступ до файлів та папок, керувати спільними ресурсами та контролювати їх, здійснювати реплікацію файлів, забезпечувати швидкий пошук файлів, а також надавати доступ клієнтським комп'ютерам UNIX. Докладніше файлові служби та зокрема файловий сервер ми розглядали у матеріалі «Встановлення файлового сервера (File Server) на Windows Server 2016».

Назва Windows PowerShell – FileAndStorage-Services.

Служби зберігання (Storage-Services)– ця служба надає функціональність управління сховищем, яка встановлюється завжди і не може бути видалена.

Файлові служби та служби iSCSI (File-Services)– це технології, які спрощують керування файловими серверами та сховищами, дозволяють заощаджувати місце на диску, забезпечують реплікацію та кешування файлів у філіях, а також надають загальний доступ до файлів за протоколом NFS. Включає такі ролі:

• Файловий сервер (FS-FileServer) – служба ролі, яка керує спільними папками та надає користувачам доступ до файлів на цьому комп'ютері через мережу;
• Дедуплікація даних (FS-Data-Deduplication) – ця служба заощаджує місце на диску за рахунок зберігання на томі лише однієї копії ідентичних даних;
• Диспетчер ресурсів файлового сервера (FS-Resource-Manager) – за допомогою цієї служби можна керувати файлами та папками на файловому сервері, створювати звіти сховища, класифікувати файли та папки, налаштовувати квоти папок та визначати політики блокування файлів;
• Постачальник цільового сховища iSCSI (апаратні постачальники VDS та VSS) (iSCSITarget-VSS-VDS) – служба дозволяє програмам на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
• Простір імен DFS (FS-DFS-Namespace) – за допомогою цієї служби можна групувати спільні папки, розміщені на різних серверах, в один або кілька логічно структурованих просторів імен;
• Робочі папки (FS-SyncShareService) – служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робочі та особисті. У робочих папках можна зберігати файли, синхронізувати їх та отримувати доступ до них з локальної мережі або Інтернету. Для функціонування служби необхідний компонент « Внутрішньопроцесне веб-ядро IIS»;
• Реплікація DFS (FS-DFS-Replication) – це модуль реплікації даних між кількома серверами, що дозволяє синхронізувати папки через підключення до локальної чи глобальної мережі. Ця технологія використовує протокол віддаленого стиснення (RDC) для оновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна застосовувати як разом із просторами імен DFS, так і окремо;
• Сервер для NFS (FS-NFS-Service) – служба дозволяє цьому комп'ютеру спільно використовувати файли з комп'ютерами на базі UNIX та іншим комп'ютерам, які використовують протокол мережної файлової системи (NFS);
• Сервер мети iSCSI (FS-iSCSITarget-Server) – надає служби та засоби керування для цілей iSCSI;
• Служба BranchCache для мережних файлів (FS-BranchCache) – служба забезпечує підтримку BranchCache на цьому файловому сервері;
• Служба агента VSS файлового сервера (FS-VSS-Agent) – служба дозволяє виконувати тіньове копіювання томів для програм, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Роль надсилає та приймає факси, а також дозволяє керувати ресурсами факсу, такими як завдання, параметри, звіти та факсимільні пристрої на цьому комп'ютері або в мережі. Для роботи необхідний Сервер друку».

Назва ролі для Windows PowerShell - Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчено, сподіваюся, матеріал був Вам корисний, поки що!

Перед розробкою сокетного сервера потрібно створити сервер політики, який повідомляє Silverlight, яким клієнтам дозволено встановлювати з'єднання із сокетним сервером.

Як було показано вище, Silverlight не дозволяє завантажувати вміст або викликати веб-службу, якщо в домені немає файлу clientaccesspolicy .xml або crossdomain. xml, де ці операції явно дозволені. Аналогічне обмеження налбжено і сокетний сервер. Якщо не надати клієнтському пристрою можливість завантажити файл clientaccesspolicy .xml, що дозволяє віддалений доступ, Silverlight відмовиться встановлювати з'єднання.

На жаль, надається файл клієнтськогообліку. cml сокетному додатку - більш складне завдання, ніж його надання за допомогою веб-сайту. При використанні веб-сайту програмне забезпечення веб-сервера може надати файл clientaccesspolicy .xml, потрібно лише не забути додати його. У той же час при використанні сокетної програми потрібно відкрити сокет, до якого клієнтські програми можуть звертатися із запитами політики. Крім того, потрібно створити вручну код, який обслуговує сокет. Для вирішення цих завдань потрібно створити сервер політики.

Далі буде показано, що сервер політики працює так само, як сервер повідомлень, він лише обслуговує трохи простіші взаємодії. Сервери повідомлень та політики можна створити окремо або об'єднати в одному додатку. У другому випадку вони мають прослуховувати запити у різних потоках. У цьому прикладі ми створимо сервер політики, а потім об'єднаємо його з сервером повідомлень.

Для створення сервера політики потрібно спочатку створити .NET. Як сервер політики може бути додаток.NET будь-якого типу. Найпростіше застосувати консольну програму. Налагодивши консольну програму, можна перемістити код у службу Windows, щоб він постійно виконувався у фоновому режимі.

Файл політики

Нижче наведено файл політики, який надається сервером політики.

Файл політики визначає три правила.

Дозволяє доступ до всіх портів від 4502 до 4532 (це повний діапазон портів, що підтримуються надбудовою Silverlight). Щоб змінити діапазон доступних портів, потрібно змінити значення атрибута port елемента.

Дозволяє доступ TCP (роздільна здатність визначена в атрибуті protocol елемента).

Дозволяє виклик з будь-якого домену. Отже, програма Silverlight, яка встановлює з'єднання, може хостуватися будь-яким веб-сайтом. Щоб змінити це правило, потрібно відредагувати атрибут uri елемента.

Для полегшення завдання правила політики розміщуються у файлі clientaccess-ploi.cy.xml, що додається до проекту. У Visual Studio параметру Copy to Output Directory (Копіювати у вихідну папку) файлу політики потрібно присвоїти значення Сору Always (Завжди копіювати). повинен лише знайти файл на жорсткому диску, відкрити його і повернути вміст клієнтського пристрою.

Клас PolicyServer

Функціональність сервера політики ґрунтується на двох ключових класах: PolicyServer та PolicyConnection. Клас PolicyServer забезпечує очікування з'єднань. Отримавши з'єднання, він передає керування новому екземпляру класу PoicyConnection, який передає файл політики клієнту. Така процедура, що складається із двох частин, часто зустрічається в мережевому програмуванні. Ви ще не раз побачите її під час роботи з серверами повідомлень.

Клас PolicyServer завантажує файл політики з жорсткого дискаі зберігає їх у полі як масив байтів.

public class PolicyServer

private byte policy;

public PolicyServer(string policyFile) (

Щоб розпочати прослуховування, серверний додаток повинен викликати метод PolicyServer. Start (). Він створює об'єкт TcpListener, який чекає на запити. Об'єкт TcpListener налаштований на прослуховування порту 943. У Silverlight цей порт зарезервований для серверів політики. При створенні запитів на файли політики програма Silverlight автоматично надсилає їх до порту 943.

private TcpListener listener;

public void Start ()

// Створення об'єкта, що прослуховує

listener = New TcpListener (IPAddress.Any, 943);

// Початок прослуховування; метод Start() повертається II негайно після виклику listener.Start();

// Очікування з'єднання; метод повертається негайно;

ІІ очікування виконується в окремому потоці

Щоб прийняти запропоноване з'єднання, сервер політики викликає метод BeginAcceptTcpClient(). Як і всі методи Beginxxx () інфраструктури.NET, він повертається негайно після виклику, виконуючи необхідні операції в окремому потоці. Для мережевих додатківце дуже суттєвий фактор, тому що завдяки йому можливе одночасне опрацювання багатьох запитів на файли політики.

Примітка. Мережеві програмісти-початківці часто дивуються, як можна обробляти більше одного запиту одночасно, і думають, що для цього потрібно кілька серверів. Однак, це не так. При такому підході клієнтські програми швидко вичерпали б доступні порти. На практиці серверні програми обробляють багато запитів через один порт. Цей процес невидимий для програм, тому що вбудована в Windows підсистема TCP автоматично ідентифікує повідомлення і направляє їх у відповідні об'єкти в програмному коді. Кожне з'єднання унікально ідентифікується на основі чотирьох параметрів: IP-адреса клієнта, номер порту клієнта, IP-адреса сервера та номер порту сервера.

При кожному запиті запускається метод зворотного виклику OnAcceptTcpClient(). Він знову викликає метод BeginAcceptTcpClient, щоб почати очікування наступного запиту в іншому потоці, і після цього починає обробляти поточний запит.

public void OnAcceptTcpClient(IAsyncResult аг) (

if (isStopped) return;

Console.WriteLine("Отриманий запит політики."); // Очікування наступного з'єднання.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

/ / Обробка поточного з'єднання.

TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = новий PolicyConnection(client, policy); policyConnection.HandleRequest() ;

catch (Exception err) (

Щоразу після отримання нового з'єднання створюється новий об'єкт PolicyConnection, щоб обробити його. Крім того, PolicyConnection обслуговує файл політики.

Останній компонент класу PolicyServer – метод Stop(), який зупиняє очікування запитів. Програма викликає його при завершенні.

private bool isStopped;

public void StopO (

isStopped = true;

Listener. Stop();

catch (Exception err) (

Console.WriteLine(err.Message);

Для запуску сервера політики у методі Main() сервера програми використовується наступний код.

static void Main(string args) (

PolicyServer policyServer = новий PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Запущено сервер політики."); Console.WriteLine("Натисніть клавішу Enter для виходу.");

// Очікування натискання кнопки; за допомогою методу // Console.ReadKey() можна задати очікування певного // рядка (наприклад, quit) або натискання будь-якої клавіші Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Завершення сервера політики.");

Клас PolicyConnection

Клас PolicyConnection виконує більш просте завдання. Об'єкт PolicyConnection зберігає посилання на дані файлу політики. Потім, після виклику методу HandleRequest(), об'єкт PolicyConnection витягує з мережевого потоку нове з'єднання та намагається прочитати його. Клієнтський пристрій повинен передати рядок, що містить текст Після читання цього тексту, клієнтський пристрій записує дані політики в потік і закриває з'єднання. Нижче наведено код класу PolicyConnection.

public class PolicyConnection (

private TcpClient client; private byte policy;

Public PolicyConnection(TcpClient client, byte policy) (

this.client = client; this.policy = policy;

// Створення запиту клієнта private static string policyRequestString = "

public void HandleRequest () (

Stream s = client.GetStream(); // Читання рядка запиту політики

byte buffer=new byte;

// Очікування виконується лише 5 секунд client.ReceiveTimeout = 5000;

s.Read(buffer, 0, buffer.Length);

// Передача політики (можна також перевірити, чи є //у запиті політики необхідний вміст) s.Write(policy, 0, policy.Length);

// Закриття з'єднання client.Close();

Console.WriteLine("Файл політики обслужений.");

Отже, ми маємо повністю працездатний сервер політики. На жаль, його поки що не можна протестувати, тому що надбудова Silverlight не дозволяє явно вимагати файли політики. Натомість вона автоматично запитує їх при спробі використовувати сокетну програму. Перед створенням клієнтської програми для цієї сокетної програми необхідно створити сервер.

Продовження теми:

Нові статті

Вітання. Не можеш самостійно зареєструвати собі обліковий запис?
пишіть у лс - vk.com/watsonshit
- Реєструємо акаунти на замовлення.
- Допомагаємо з 1 та 2 етапом UCP.
- Швидке та якісне обслуговування.
- Гарантії, відгуки. За безпеку відповідаємо.
- Абсолютно різні сервери з UCP реєстрацією.
Pacific Coast Project – SW Project тощо.

Не знайшли відповідь на запитання?Пишіть у коментарі відповідь видам.

) Для чого призначений OOC чат?
- 1) Це чат, який не впливає на ігровий процес.

2) Що мається на увазі під терміном рольова гра?
- 2) Рольова гра - це вид гри в якій потрібно відігравати обрану мною роль.

3) Якщо якась ситуація складається не на вашу користь (вбивство/грабіж). Ваші події?
- 2) Продовжу грати незважаючи ні на що.

2) Ви отримали гроші від читера, що ви робитимете?
- 4) Повідомлю адміністрацію сервера, відпишуся в спеціальну тему і сіллю гроші в /charity.

3) Чи маєте ви право вбити офіцера поліції?
- 1) Звичайно, я можу вбити офіцера поліції, тільки якщо у мене є вагома причина.

1) Чи дозволено проводити проїзд повз з місця водія?
- 4) Ні, такі дії заборонені правилами сервера.

4) Чи дозволені ліки знаменитостей та героїв фільмів/серіалів/мультфільмів?
- 3) Ні, заборонено.

5) Під час перестрілки технічно вбили трьох персонажів, але через деякий час ці самі персонажі вже знову грали свої ролі. До якого типу вбивств це стосується?
- 2) Player Kill.

7) У вас стріляють, але ви не хочете вмирати, і тому...
- 4) Ви спробуєте втекти та вижити рольовим шляхом.

2) Чи маєте ви право користуватися Bunny-Hop??
- 3) Так, я маю право ним користуватися, якщо я нікому не заважаю.

7) Що ви зробите, якщо у вас є пропозиція щодо розвитку сервера?
- 3) Напишу про це у відповідному розділі на форумі.

3) Чи є обов'язковим відписувати дії під час використання малогабаритної зброї?
- 4) Ні.

2) Ви вперше на сервері і зовсім не знаєте команд, що ви робитимете?
- 3) Поставлю питання адміністрації командою /askq, потім дочекаюся відповіді.

3) Навіщо призначена команда /coin?
- для вирішення всіх спірних ситуацій

1) Що таке Metagaming?
- 2) Це використання позарольової інформації при відіграванні ролі.

6) Гравець, чий персонаж був технічно вбитий під час перестрілки, вирішив помститися кривдникам і без жодних рольових причин убив одного з опонентів. Які порушення тут із боку гравця?
- 3) Revenge kill.

10) Чи дозволено поповнювати кількість здоров'я під час бійки перестрілки?
- 4) Ні.

8) Чи дозволено вогонь по співробітникам LSPD і чим він загрожує?
- 4) Так, звичайна перестрілка закінчується ПК для обох сторін. Якщо це кейс-файл або рейд, поліції видається PK, а злочинцям СК.

6) Яка максимальна сума для пограбування, яка не потребує перевірок адміністрації?
- 1) $500

9) Які мови можна використовувати на сервері?
- 1) Російська.

7) Після довгої та ретельної підготовки, кілер виконав замовлення – він убив. План був прорахований до дрібниць, тому замовник щедро заплатив. Що в цьому випадку зараховується до жертви?
- 1) Character Kill.

9) Чи дозволено викрадення урядових автомобілів?
- 2) Так, але необхідно попередньо запитати у адміністратора, а також діяти згідно з 9 пунктом ігрових правил.

8) У яких випадках ви можете відігравати сексуальне насильство та жорстокість?
- 2) Сексуальне насильство і жорстокість можна грати лише за згодою всіх осіб, які беруть участь у РП.

10) Що потрібно робити, якщо ви вважаєте, що гра йде не за правилами?
- 1) Написати в /report, якщо адміністратор відсутня - написати скаргу на форумі.

7) Скільки награного годинника має бути у гравця для того, щоб його можна було пограбувати?
- 3) 8 годин.

8) Вкажіть правильне використання команди /coin. Після:
- Me зупинив дихання, і завдав удару по м'ячу, намагаючись закинути його в лунку.

8) Вкажіть правильне використання команди /me:
- /me широко посміхнувся, дивлячись прямо в очі Лінди. Підійшов ближче, акуратно прийняв її.

ПРОДАЖ ВІРТУАЛЬНОЇ ВАЛЮТУ НА СЕРВЕРАХ PACIFIC COAST PROJECT І GRINCH ROLE PLAY.
ВСЯ ІНФОРМАЦІЯ У ГРУПІ!
vk.com/virtongarant