Вітання. Не можеш самостійно зареєструвати собі обліковий запис?
пишіть у лс - vk.com/watsonshit
- Реєструємо акаунти на замовлення.
- Допомагаємо з 1 та 2 етапом UCP.
- Швидке та якісне обслуговування.
- Гарантії, відгуки. За безпеку відповідаємо.
- Абсолютно різні сервери з UCP реєстрацією.
Pacific Coast Project – SW Project тощо.

Не знайшли відповідь на запитання?Пишіть у коментарі відповідь видам.

) Для чого призначений OOC чат?
- 1) Це чат, який не впливає на ігровий процес.

2) Що мається на увазі під терміном рольова гра?
- 2) Рольова граце вид гри, у якій потрібно відігравати обрану мною роль.

3) Якщо якась ситуація складається не на вашу користь (вбивство/грабіж). Ваші події?
- 2) Продовжу грати незважаючи ні на що.

2) Ви отримали гроші від читера, що ви робитимете?
- 4) Повідомлю адміністрацію сервера, відпишуся в спеціальну тему і сіллю гроші в /charity.

3) Чи маєте ви право убити офіцера поліції?
- 1) Звичайно, я можу вбити офіцера поліції, тільки якщо у мене є вагома причина.

1) Чи дозволено проводити проїзд повз з місця водія?
- 4) Ні, такі дії заборонені правилами сервера.

4) Чи дозволені ліки знаменитостей та героїв фільмів/серіалів/мультфільмів?
- 3) Ні, заборонено.

5) Під час перестрілки технічно вбили трьох персонажів, але через деякий час ці самі персонажі вже знову грали свої ролі. До якого типу вбивств це стосується?
- 2) Player Kill.

7) У вас стріляють, але ви не хочете вмирати, і тому...
- 4) Ви спробуєте втекти та вижити рольовим шляхом.

2) Чи маєте ви право користуватися Bunny-Hop??
- 3) Так, я маю право ним користуватися, якщо я нікому не заважаю.

7) Що ви зробите, якщо у вас є пропозиція щодо розвитку сервера?
- 3) Напишу про це у відповідному розділі на форумі.

3) Чи обов'язково відписувати дії при використанні малогабаритної зброї?
- 4) Ні.

2) Ви вперше на сервері і зовсім не знаєте команд, що ви робитимете?
- 3) Задам питання адміністрації командою /askq, потім дочекаюся відповіді.

3) Навіщо призначена команда /coin?
- для вирішення всіх спірних ситуацій

1) Що таке Metagaming?
- 2) Це використання позарольової інформації при відіграванні ролі.

6) Гравець, чий персонаж був технічно вбитий під час перестрілки, вирішив помститися кривдникам і без жодних рольових причин убив одного з опонентів. Які порушення тут із боку гравця?
- 3) Revenge kill.

10) Чи дозволено поповнювати кількість здоров'я під час бійки/перестрілки?
- 4) Ні.

8) Чи дозволено вогонь по співробітникам LSPD і чим він загрожує?
- 4) Так, звичайна перестрілка закінчується ПК для обох сторін. Якщо це кейс-файл або рейд, поліції видається PK, а злочинцям СК.

6) Яка максимальна сума для пограбування, яка не потребує перевірок адміністрації?
- 1) $500

9) Які мови можна використовувати на сервері?
- 1) Російська.

7) Після довгої та ретельної підготовки, кілер виконав замовлення – він убив. План був прорахований до дрібниць, тому замовник щедро заплатив. Що в цьому випадку зараховується до жертви?
- 1) Character Kill.

9) Чи дозволено викрадення урядових автомобілів?
- 2) Так, але необхідно попередньо запитати у адміністратора, а також діяти згідно з 9 пунктом ігрових правил.

8) У яких випадках ви можете відігравати сексуальне насильство та жорстокість?
- 2) Сексуальне насильство та жорстокість можна грати лише за згодою всіх осіб, що беруть участь у РП.

10) Що потрібно робити, якщо ви вважаєте, що гра йде не за правилами?
- 1) Написати в /report, якщо адміністратор відсутня - написати скаргу на форумі.

7) Скільки награного годинника має бути у гравця для того, щоб його можна було пограбувати?
- 3) 8 годин.

8) Вкажіть правильне використання команди /coin. Після:
- Me зупинив подих, і завдав удару по м'ячу, намагаючись закинути його в лунку.

8) Вкажіть правильне використання команди /me:
- /me широко посміхнувся, дивлячись прямо в очі Лінди. Підійшов ближче, акуратно прийняв її.

ПРОДАЖ ВІРТУАЛЬНОЇ ВАЛЮТУ НА СЕРВЕРАХ PACIFIC COAST PROJECT І GRINCH ROLE PLAY.
ВСЯ ІНФОРМАЦІЯ У ГРУПІ!
vk.com/virtongarant

Функціонал в операційній системі Windows Server розрахунок і покращується від версії до версії, ролей та компонентів стає все більше, тому в сьогоднішньому матеріалі я спробую коротко розповісти опис та призначення кожної ролі у Windows Server 2016.

Перш ніж переходити до опису серверних ролей Windows Server, давайте дізнаємося, що взагалі таке « Роль сервера» в операційній системі Windows Server.

Що таке "Роль сервера" у Windows Server?

Роль сервера (Server Role)– це програмний комплекс, який забезпечує виконання сервером певної функції, та дана функціяє основною. Іншими словами, " Роль сервера» - Це сервер, тобто. навіщо він потрібний. Щоб сервер міг виконувати основну функцію, тобто. певну роль, в « Роль сервера» включено все необхідне для цього програмне забезпечення ( програми, служби).

Сервер може мати одну роль, якщо вона активно використовується, або кілька, якщо кожна з них не сильно навантажує сервер і використовується рідко.

У роль сервера може включатися кілька служб ролі, які забезпечують функціональні можливостіролі. Наприклад, у роль сервера « Веб-сервер (IIS)» включено досить велику кількість служб, а роль « DNS-сервер» не входять служби ролі, оскільки ця роль виконує лише одну функцію.

Служби ролей можуть бути встановлені разом або окремо залежно від Ваших потреб. По суті установка ролі означає установку однієї чи кількох її служб.

У Windows Server також існують і « Компоненти» сервера.

Компоненти сервера (Feature)– це програмні засоби, які є роллю сервера, але розширюють можливості однієї чи кількох ролей, чи управляють однієї чи кількома ролями.

Деякі ролі не можуть бути встановлені, якщо на сервері не встановлені обов'язкові служби або компоненти, які потрібні для функціонування даних ролей. Тому в момент встановлення таких ролей. Майстер додавання ролей та компонентів» сам, автоматично запропонує Вам встановити потрібні додаткові служби ролей або компоненти.

Опис серверних ролей Windows Server 2016

З багатьма ролями, які є в Windows Server 2016, напевно, Ви вже знайомі, тому що вони існують досить довгий час, але як я вже сказав, з кожною новою версією Windows Server додаються нові ролі, з якими Ви ще не працювали, але хотіли б дізнатися, для чого вони потрібні, тому давайте приступати до їх розгляду.

Примітка! Про нові можливості операційної системи Windows Server 2016 можете прочитати у матеріалі «Установка Windows Server 2016 та огляд нових можливостей».

Так як дуже часто установка і адміністрування ролей, служб і компонентів відбувається з використанням Windows PowerShell , я для кожної ролі та її служби вказуватиму назву, яку можна використовувати в PowerShell, відповідно для її установки або для керування.

DHCP-сервер

Ця роль дозволяє централізовано настроювати динамічні IP-адреси та пов'язані з ними параметри комп'ютерів та пристроїв у мережі. У ролі DHCP-сервер немає служб участі.

Назва для Windows PowerShell- DHCP.

DNS-сервер

Ця роль призначена для дозволу імен у мережах TCP/IP. Роль DNS-сервер забезпечує та підтримує роботу DNS. Для спрощення керування DNS-сервером його зазвичай встановлюють на тому ж сервері, що й доменні служби Active Directory. У ролі DNS-сервер немає служб участі.

Назва ролі для PowerShell - DNS.

Hyper-V

За допомогою ролі Hyper-V можна створювати віртуалізоване середовище та керувати нею. Іншими словами, це інструмент для створення та управління віртуальними машинами.

Назва ролі для Windows PowerShell - Hyper-V.

Атестація працездатності пристроїв

Роль « » дозволяє оцінювати працездатність пристрою на основі виміряних показників параметрів безпеки, наприклад, показники стану безпечного завантаження та засоби Bitlocker на клієнті.

Для функціонування цієї ролі необхідно чимало служб ролей і компонентів, наприклад: кілька служб із ролі « Веб-сервер (IIS)», компонент « », компонент « Функції .NET Framework 4.6».

Під час встановлення всі необхідні служби ролей та компоненти будуть вибрані автоматично. У ролі « Атестація працездатності пристроїв»Своїх служб ролі немає.

Назва PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Надає надійну, керовану та масштабовану інфраструктуру веб-додатків. Складається із досить великої кількості служб (43).

Назва для Windows PowerShell - Web-Server.

Включає такі ролі ( у дужках я вказуватиму назву для Windows PowerShell):

Веб-сервер (Web-WebServer)– група служб ролі, яка забезпечує підтримку веб-сайтів HTML, розширень ASP.NET, ASP та веб-сервера. Складається з наступних служб:

• Безпека (Web-Security)— Набір служб для безпеки веб-сервера.
  • Фільтрування запитів (Web-Filtering) – за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, та фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб-сервера;
  • IP-адреса та обмеження домену (Web-IP-Security) – ці засоби дозволяють дозволяти або забороняти доступ до вмісту на веб-сервері з урахуванням IP-адреси або імені домену джерела в запиті;
  • Авторизація URL-адреси (Web-Url-Auth) — засоби дозволяють розробляти правила для обмеження доступу до веб-вмісту та пов'язувати їх з користувачами, групами або командами заголовка HTTP;
  • Дайджест-перевірка автентичності (Web-Digest-Auth) – дана автентифікація дозволяє забезпечити більш високий рівень безпеки в порівнянні зі звичайною автентичністю. Дайджест-перевірка для автентифікації користувачів діє за принципом передачі хеша пароля контролеру домену Windows;
  • Звичайна автентифікація (Web-Basic-Auth) — цей метод автентифікації забезпечує надійну сумісність веб-браузера. Рекомендується використовувати у невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі, можна досить просто перехопити і розшифрувати, тому використовуйте цей метод у поєднанні з SSL;
  • Перевірка автентичності Windows (Web-Windows-Auth) – це автентифікація в домені Windows. Іншими словами, Ви можете використати облікові записи Active Directory для автентифікації користувачів своїх Web сайтів;
  • Перевірка автентичності зі зіставленням сертифіката клієнта (Web-Client-Auth) – цей спосіб автентичності передбачає використання сертифіката клієнта. Для порівняння сертифікатів цей тип використовує служби Active Directory;
  • Перевірка автентичності зі зіставленням сертифіката клієнта IIS (Web-Cert-Auth) – у цьому методі для автентифікації також використовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують більш високу продуктивність;
  • Централізована підтримка SSL-сертифіката (Web-CertProvider) – ці засоби дозволяє централізовано керувати сертифікатами сервера SSL, що спрощує процес управління цими сертифікатами;
• Справність та діагностика (Web-Health)– набір служб для забезпечення контролю, управління та усунення порушень у роботі веб-серверів, сайтів та додатків:
  • Ведення журналу http (Web-Http-Logging) — гроші забезпечують ведення журналу активності сайту цьому сервері, тобто. запис лога;
  • Веде журнал ODBC (Web-ODBC-Logging) – ці засоби також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності в базі даних, сумісної з ODBC;
  • Монітор запитів (Web-Request-Monitor) – це інструмент, який дозволяє спостерігати за справністю веб-програми, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
  • Настроювання ведення журналу (Web-Custom-Logging) – за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера у форматі, що значно відрізняється від стандартного формату IIS. Іншими словами, Ви можете створити власний модуль ведення журналу;
  • Засоби ведення журналу (Web-Log-Libraries) – це інструменти управління журналами веб-сервера і автоматизації завдань ведення журналу;
  • Трасування (Web-Http-Tracing) – це засіб для діагностування та усунення порушень у роботі веб-додатків.
• Загальні функції http (Web-Common-Http)- Набір служб, які надають основні функціональні можливості HTTP:
  • Документ за промовчанням (Web-Default-Doc) – ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за замовчуванням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресі запиту, завдяки цьому користувачам стає зручніше звертатися до веб-сайту, наприклад, по домену, не вказуючи при цьому файл;
  • Огляд каталогу (Web-Dir-Browsing) – за допомогою цього засобу можна налаштувати веб-сервер так, щоб користувачі могли переглядати список усіх каталогів та файлів на веб-сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресі запиту, документи за замовчуванням або заборонені, або не налаштовані;
  • Помилки http (Web-Http-Errors) – ця можливість дозволяє налаштовувати повідомлення про помилки, які повертатимуться на веб-браузери користувачів у момент виявлення веб-сервером помилки. Цей засіб використовується для зручнішого подання користувачам повідомлень про помилки;
  • Статичний вміст (Web-Static-Content) - даний засібдозволяє використовувати на веб-сервері контент у вигляді статичних форматів файлів, наприклад, HTML файлиабо файли зображень;
  • Перенаправлення http (Web-Http-Redirect) – за допомогою цієї можливості можна перенаправити запит користувача за конкретним призначенням, тобто. це Redirect;
  • Публікація WebDAV (Web-DAV-Publishing) дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) – це технологія, що дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщувати) над файлами на віддалених веб-серверах, використовуючи при цьому протокол HTTP.
• Продуктивність (Web-Performance)– набір служб для досягнення більш високої продуктивності веб-сервера, за рахунок кешування вихідних даних та загальних механізмів стиснення, таких як Gzip та Deflate:
  • Стиснення статичного вмісту (Web-Stat-Compression) – це засіб для налаштування стиснення статичного вмісту http, воно дозволяє ефективніше використовувати пропускну здатність, причому без зайвого навантаження на ЦП;
  • Стиснення динамічного вмісту (Web-Dyn-Compression) — це засіб налаштування стиснення динамічного вмісту HTTP. Цей засіб забезпечує більш ефективне використання пропускної спроможності, але в даному випадку навантаження на ЦП сервера, пов'язане з динамічним стисненням, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення високе.
• Розробка програм (Web-App-Dev)– набір служб та засобів для розробки та розміщення веб-додатків, іншими словами технології розробки сайтів:
  • ASP (Web-ASP) – середовище підтримки та розробки web сайтів та web додатківз використанням технології ASP. На сьогоднішній день існує більш нова та просунута технологія розробки сайтів — ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) - це об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням технології ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням нової версії ASP.NET;
  • CGI (Web-CGI) – це можливість використання CGI передачі веб-сервером інформації у зовнішню програму. CGI - це стандарт інтерфейсу для зв'язку зовнішньої програми з web-сервером. Є недолік, що застосування CGI впливає на продуктивність;
  • Увімкнення на стороні сервера (SSI) (Web-Includes) – це підтримка мови сценаріїв SSI ( включення на стороні сервера), який використовується для динамічного формування сторінок HTML;
  • Ініціалізація додатків (Web-AppInit) – цей засіб виконує завдання ініціалізації web-додатків перед пересиланням веб-сторінки;
  • Протокол WebSocket (Web-WebSockets) — додавання можливості створення серверних програм, які взаємодіють за допомогою протоколу WebSocket. WebSocket — це протокол, який може передавати та приймати одночасно дані між браузером та web сервером поверх TCP-з'єднання, свого роду розширення протоколу HTTP;
  • Розширення ISAPI (Web-ISAPI-Ext) – підтримка динамічної розробки web вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI – це API для веб-сервера IIS. Програми ISAPI працюють набагато швидше, ніж файли ASP або файли, що викликають компоненти COM+;
  • Розширюваність.NET 3.5 (Web-Net-Ext) – це засіб розширюваності.NET 3.5, який дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації та в інтерфейсі користувача;
  • Розширюваність.NET 4.6 (Web-Net-Ext45) – це засіб розширюваності.NET 4.6, який також дозволяє змінювати, додавати та розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, у конфігурації та в інтерфейсі користувача;
  • Фільтри ISAPI (Web-ISAPI-Filter) – додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI являють собою програми, які викликаються при отриманні web сервером певного запиту HTTP, що підлягає обробці цим фільтром.

FTP – сервер (Web-Ftp-Server)– служби, які забезпечують підтримку FTP-протоколу. Докладніше про FTP сервер ми говорили в матеріалі – «Встановлення та налаштування FTP сервера на Windows Server 2016». Містить такі служби:

• Служба FTP (Web-Ftp-Service) – додає підтримку протоколу FTP на веб-сервері;
• Розширюваність FTP (Web-Ftp-Ext) – розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як постачальники, користувачі ASP.NET або користувачі диспетчера IIS.

Засоби керування (Web-Mgmt-Tools)– це засоби керування веб-сервером IIS 10. До них можна віднести: інтерфейс користувача IIS, засоби командного рядка і скрипти.

• Консоль керування службами IIS (Web-Mgmt-Console) – це інтерфейс керування службами IIS;
• Набори символів та засоби керування службами IIS (Web-Scripting-Tools) — це засоби та скрипти керування службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації керування;
• Служба керування (Web-Mgmt-Service) – ця служба додає можливість керувати web-сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
• Управління сумісністю з IIS 6 (Web-Mgmt-Compat) — забезпечує сумісність програм та сценаріїв, які використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для керування веб-сервером IIS 10:
  • Метабаза сумісності з IIS 6 (Web-Metabase) — засіб сумісності, який дозволяє запускати програми та набори символів, перенесені з більш ранніх версій IIS;
  • Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) – ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для керування IIS 6, IIS 10;
  • Консоль управління службами IIS 6 (Web-Lgcy-Mgmt-Console) - засіб адміністрування віддалених серверів IIS 6.0;
  • Сумісність із WMI IIS 6 (Web-WMI) — це інтерфейси скриптів інструментарію керування Windows (WMI) для програмного контролю та автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного в постачальнику WMI.

Доменні служби Active Directory

Роль « Доменні служби Active Directory» (AD DS) забезпечує розподілену базу даних, яка зберігає та обробляє інформацію про мережеві ресурси. Цю роль використовують для організації елементів мережі, таких як користувачі, комп'ютери та інші пристрої в ієрархічну структуру захисної оболонки. Ієрархічна структура включає ліси, домени в лісі, а також організаційні одиниці (OU) в кожному домені. Сервер, який працює під керуванням AD DS, називається контролером домену.

Назва ролі для Windows PowerShell - AD-Domain-Services.

Режим Windows Server Essentials

Ця роль являє собою комп'ютерну інфраструктуру та надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці та захист цих даних за рахунок резервного копіювання сервера та клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримувати доступ до даних практично з будь-якого пристрою. Для роботи цієї ролі необхідно кілька служб ролей та компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба участі « Простори імен DFS».

Назва PowerShell – ServerEssentialsRole.

Мережевий контролер

Ця роль з'явилася в Windows Server 2016, вона є єдиною точкою автоматизації для управління, моніторингу та діагностики, фізичної та віртуальної мережевої інфраструктури в центрі обробки даних. За допомогою цієї ролі можна з однієї точки налаштовувати IP-підмережі, VLAN, фізичні мережеві адаптери Hyper-V хостів, управляти віртуальними комутаторами, фізичними маршрутизаторами, налаштуваннями файрвола та VPN-шлюзами.

Назва Windows PowerShell – NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, що дозволяють захищеним вузлам запускати екрановані віртуальні машини. Для функціонування цієї ролі необхідно кілька додаткових ролей та компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « Відмовостійка кластеризація" та інші.

Назва PowerShell – HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

Роль « Служби Active Directory полегшеного доступу до каталогів» (AD LDS) – це полегшена версія AD DS, яка має меншу функціональність, але не вимагає розгортання доменів або контролерів доменів, а також не має залежностей і доменних обмежень, які потрібні для служб AD DS. AD LDS працює за протоколом LDAP ( Lightweight Directory Access Protocol). На одному сервері можна розгорнути кілька екземплярів AD LDS із незалежно керованими схемами.

Назва PowerShell – ADLDS.

Служби MultiPoint

Це також нова роль, яка з'явилася в Windows Server 2016. Служби MultiPoint (MPS) надають базову функціональність віддалених робочих столів, що дозволяє кільком користувачам одночасно незалежно одно від одного працювати на тому самому комп'ютері. Для встановлення та функціонування цієї ролі потрібно встановити кілька додаткових служб та компонентів, наприклад: Сервер друку, службу Windows Search, засіб перегляду XPS та інші, всі вони будуть вибрані автоматично в момент встановлення MPS.

Назва ролі PowerShell – MultiPointServerRole.

Служби Windows Server Update Services

За допомогою цієї ролі (WSUS) системні адміністратори можуть керувати оновленнями Microsoft. Наприклад, створювати окремі групи комп'ютерів для різних наборів оновлень, а також отримувати звіти про відповідність комп'ютерів вимогам та оновленням, які потрібно встановити. Для функціонування « Служби Windows Server Update Services» потрібні такі служби ролей та компоненти як: Веб-сервер (IIS), внутрішня база даних Windows, служба активації процесів Windows.

Назва Windows PowerShell – UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – встановлення в WID ( Windows Internal Database) бази даних, що використовується WSUS. Іншими словами, свої службові дані WSUS зберігатиметься в WID;
• WSUS Services (UpdateServices-Services) – це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленої взаємодії з API, веб-служба клієнта, веб-служба простої автентифікації через Інтернет, служба синхронізація сервера та веб-служба автентифікації DSS;
• SQL Server Connectivity (UpdateServices-DB) – це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних у базі даних Microsoft SQL Server. В даному випадку у Вас вже повинен бути встановлений принаймні один екземпляр SQL Server.

Служби активації корпоративних ліцензій

За допомогою цієї ролі сервера можна автоматизувати та спростити видачу корпоративних ліцензійна програмне забезпечення від компанії Microsoft, а також дозволяє керувати цими ліцензіями.

Назва PowerShell – VolumeActivation.

Служби друку та документів

Ця роль сервера призначена для надання спільного доступу до принтерів та сканерів у мережі, для централізованого налаштування та управління серверами друку та сканування, а також управління мережевими принтерами та сканерами. Служби друку та документів також дозволяє надсилати відскановані документи електронній пошті, у спільні папки мережі або на веб-сайти Windows SharePoint Services.

Назва PowerShell – Print-Services.

• Сервер друку (Print-Server) – дана служба ролі включає оснастку « Управління печаткою», яка використовується для керування принтерами або серверами друку, а також міграції принтерів та інших серверів друку;
• Друк через Інтернет (Print-Internet) — для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть керувати завданнями друку на сервері. Для роботи цієї служби як Ви знаєте необхідно встановити « Веб-сервер (IIS)». Усі необхідні компоненти будуть обрані автоматично, коли Ви позначите цей пункт під час процесу встановлення служби ролі « Друк через Інтернет»;
• Сервер розподіленого сканування (Print-Scan-Server) – це служба, яка дозволяє приймати відскановані документи з мережевих сканерів та надсилати їх за місцем призначення. Ця служба також містить оснастку « Управління скануванням», яка використовується для керування мережевими сканерами та для налаштування сканування;
• Служба LPD (Print-LPD-Service) – служба LPD ( Line Printer Daemon) дозволяє комп'ютерам на базі UNIX та іншим комп'ютерам, що використовують службу Line Printer Remote (LPR), друкувати на спільних принтерахсервера.

Служби політики мережі та доступу

Роль « » (NPAS) дозволяє за допомогою сервера політики мережі (NPS) задавати та застосовувати політики доступу до мережі, автентифікації та авторизації, а також працездатності клієнта, іншими словами, забезпечувати безпеку мережі.

Назва Windows PowerShell – NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено встановлювати операційну систему Windows через мережу.

Назва ролі PowerShell – WDS.

• Сервер розгортання (WDS-Deployment) – дана служба ролі призначена для віддаленого розгортання та налаштування операційних систем Windows. Вона також дозволяє створювати та налаштовувати образи для повторного використання;
• Транспортний сервер (WDS-Transport) – це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом багатоадресного розсилання на автономному сервері.

Служби сертифікатів Active Directory

Ця роль призначена для створення центрів сертифікації та пов'язаних служб ролей, які дозволяють видавати сертифікати для різних програм та керувати такими сертифікатами.

Назва Windows PowerShell – AD-Certificate.

Включає такі ролі:

• Центр сертифікації (ADCS-Cert-Authority) – за допомогою цієї служби ролі можна видавати сертифікати користувачам, комп'ютерам та службам, а також керувати дійсністю сертифіката;
• Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) – ця служба дозволяє користувачам та комп'ютерам отримувати інформацію про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить до домену. Для її функціонування необхідний Веб-сервер (IIS)»;
• Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) – дана служба дозволяє користувачам та комп'ютерам реєструвати та продовжувати сертифікати за допомогою веб-браузера за протоколом HTTPS, навіть якщо комп'ютер не входить до домену. Для її функціонування також необхідний Веб-сервер (IIS)»;
• Мережевий відповідач (ADCS-Online-Cert) – служба призначена для перевірки відкликання сертифіката для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів і надсилає підписану відповідь, з інформацією про статус. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) – ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити та продовження сертифікатів, отримання списків відгуків сертифікатів та реєстрація сертифікатів смарт-карток. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації на мережевих пристроях (ADCS-Device-Enrollment) – за допомогою цієї служби можна видавати сертифікати для маршрутизаторів та інших мережних пристроїв, що не мають облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованих на сеансах, та до віддалених програм RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

• Веб-доступ до віддалених робочих столів (RDS-Web-Access) — дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів та програм RemoteApp через меню « Пуск» або за допомогою веб-браузера;
• Ліцензування віддалених робочих столів (RDS-Licensing) — служба призначена для керування ліцензіями, які потрібні для підключення до сервера вузла сеансів віддалених робочих столів або до віртуального робочого столу. Її можна використовувати для встановлення, видачі ліцензій та відстеження їхньої доступності. Для роботи цієї служби необхідний Веб-сервер (IIS)»;
• Посередник підключень до віддаленого робочого столу (RDS-Connection-Broker) — служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, додатку RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів робочих столів чи між віртуальними робочими столами у складі пулу. Для роботи цієї служби необхідний компонент « »;
• Вузол віртуалізації віддалених робочих столів (DS-Virtualization) — служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів та програм RemoteApp. Ця служба працює разом із Hyper-V, тобто. дана роль має бути встановлена;
• Вузол сеансів віддалених робочих столів (RDS-RD-Server) – за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і на основі сеансів робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого стола або віддалених програм RemoteApp;
• Шлюз віддалених робочих столів (RDS-Gateway) – служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддалених програм RemoteApp та робочих столів, заснованих на сеансах, в корпоративній мережі або через Інтернет. Для функціонування цієї служби необхідні такі додаткові служби та компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби керування правами Active Directory

Це роль сервера, яка дозволить захистити інформацію від несанкціонованого використання. Вона перевіряє посвідчення користувачів та надає авторизованим користувачам ліцензії на доступ до захищених даних. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Служба активації процесів Windows», « Функції .NET Framework 4.6».

Назва Windows PowerShell – ADRMS.

• Сервер управління правами Active Directory (ADRMS-Server) - основна служба ролі, обов'язкова для встановлення;
• Підтримка федерації посвідчень (ADRMS-Identity) — це додаткова служба ролі, яка дозволяє федеративним посвідченням використовувати захищений вміст за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Ця роль забезпечує спрощені та безпечні можливості федерації посвідчень, а також функцію єдиного входу (SSO) на веб-сайти за допомогою браузера.

Назва PowerShell – ADFS-Federation.

Віддалений доступ

Ця роль забезпечує підключення через DirectAccess, VPN та проксі веб-програми. Також роль « Віддалений доступ» надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес (NAT) та інші параметри підключень. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

• DirectAccess та VPN (RAS) (DirectAccess-VPN) — служба дозволяє користувачам підключатися до корпоративної мережі у будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключення у поєднанні з технологіями тунелювання та шифрування даних;
• Маршрутизація (Routing) - служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережіз протоколами BGP, RIP та маршрутизаторів з підтримкою багатоадресної розсилки (IGMP-проксі);
• Проксі-сервер веб-застосунків (Web-Application-Proxy) — служба дозволяє публікувати програми на основі протоколів HTTPта HTTPS із корпоративної мережі на клієнтських пристроях, що знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Це роль сервера, за допомогою якої можна надавати спільний доступ до файлів та папок, керувати загальними ресурсами та контролювати їх, здійснювати реплікацію файлів, забезпечувати швидкий пошукфайлів, а також надавати доступ до клієнтських комп'ютерів UNIX. Докладніше файлові служби і, зокрема, файловий сервер ми розглядали у матеріалі «Встановлення файлового сервера (File Server) на Windows Server 2016».

Назва Windows PowerShell – FileAndStorage-Services.

Служби зберігання (Storage-Services)– ця служба надає функціональність управління сховищем, яка встановлюється завжди і не може бути видалена.

Файлові служби та служби iSCSI (File-Services)– це технології, які спрощують управління файловими серверами та сховищами, дозволяють заощаджувати місце на диску, забезпечують реплікацію та кешування файлів у філіях, а також надають загальний доступ до файлів протоколу NFS. Включає такі ролі:

• Файловий сервер (FS-FileServer) – служба ролі, яка керує загальними папками та надає користувачам доступ до файлів на цьому комп'ютері через мережу;
• Дедуплікація даних (FS-Data-Deduplication) – ця служба заощаджує місце на диску за рахунок зберігання на томі лише однієї копії ідентичних даних;
• Диспетчер ресурсів файлового сервера (FS-Resource-Manager) – за допомогою цієї служби можна керувати файлами та папками на файловому сервері, створювати звіти сховища, класифікувати файли та папки, налаштовувати квоти папок та визначати політики блокування файлів;
• Постачальник цільового сховища iSCSI (апаратні постачальники VDS та VSS) (iSCSITarget-VSS-VDS) – служба дозволяє програмам на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
• Простір імен DFS (FS-DFS-Namespace) – за допомогою цієї служби можна групувати спільні папки, розміщені на різних серверах, в один або кілька логічно структурованих просторів імен;
• Робочі папки (FS-SyncShareService) – служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робітників та особистих. У робочих папках можна зберігати файли, синхронізувати їх та отримувати доступ до них з локальної мережі або Інтернету. Для функціонування служби необхідний компонент Внутрішньопроцесне веб-ядро IIS»;
• Реплікація DFS (FS-DFS-Replication) – це модуль реплікації даних між кількома серверами, що дозволяє синхронізувати папки через підключення до локальної або глобальної мережі. Ця технологія використовує протокол віддаленого стиснення (RDC) для оновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна використовувати як з просторами імен DFS, так і окремо;
• Сервер для NFS (FS-NFS-Service) – служба дозволяє цьому комп'ютеру спільно використовувати файли з комп'ютерами на базі UNIX та іншим комп'ютерам, які використовують протокол мережевої файлової системи (NFS);
• Сервер мети iSCSI (FS-iSCSITarget-Server) – надає служби та засоби керування для цілей iSCSI;
• Служба BranchCache для мережних файлів (FS-BranchCache) – служба забезпечує підтримку BranchCache на цьому файловому сервері;
• Служба агента VSS файлового сервера (FS-VSS-Agent) — служба дозволяє виконувати тіньове копіювання томів для програм, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Роль надсилає та приймає факси, а також дозволяє керувати ресурсами факсу, такими як завдання, параметри, звіти та факсимільні пристрої на цьому комп'ютері або в мережі. Для роботи необхідний Сервер друку».

Назва ролі Windows PowerShell – Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчено, сподіваюся, матеріал був Вам корисний, поки що!

При інсталяції Windows більшість другорядних підсистем не активується або не встановлюється. Це зроблено з причин безпеки. Оскільки система за замовчуванням захищена, системні адміністратори можуть зосередитись на проектуванні системи, яка виконуватиме виключно покладені на неї функції та нічого зайвого. Щоб допомогти при включенні потрібних функцій, Windows пропонує вибрати роль сервера (Server Role).

Ролі

Роль сервера - це набір програм, які при правильному встановленні та налаштуванні дозволяють комп'ютеру виконувати певну функцію для кількох користувачів або інших комп'ютерів у мережі. У загальних випадках всі ролі мають такі характеристики.

• Вони визначають основну функцію, призначення або мету використання комп'ютера. Можна призначити комп'ютер до виконання однієї ролі, яка інтенсивно використовується на підприємстві, або для виконання кількох ролей, якщо кожна з них застосовується лише зрідка.
• Ролі надають користувачам у всій організації доступ до ресурсів, керованих іншими комп'ютерами, такими як веб-сайти, принтери або файли, що зберігаються на різних комп'ютерах.
• Вони зазвичай мають власні бази даних, в яких створюються черги запитів користувача або комп'ютера або записуються відомості про мережевих користувачів та комп'ютерів, що стосуються ролі. Наприклад, служби домену Active Directory містять базу даних для зберігання імен та ієрархічних зв'язків усіх комп'ютерів у мережі.
• Після правильного встановлення та налаштування ролі функціонують автоматично. Це дозволяє комп'ютерам, на яких вони встановлені, виконувати призначені завдання з обмеженою участю користувача.

Служби ролей

Служби ролей – це програми, які забезпечують функціональні можливості участі. Під час встановлення ролі можна вибрати, які послуги вона надає іншим користувачам та комп'ютерам на підприємстві. Деякі ролі, такі як DNS-сервер, виконують лише одну функцію, тому для них немає ролей. Інші ролі, такі як служби віддалених робочих столів, мають кілька служб, які можна встановити залежно від потреб підприємства у віддаленому доступі. Роль можна як сукупність тісно пов'язаних, взаємодоповнюючих служб ролей. Найчастіше установка ролі означає встановлення однієї чи кількох її служб.

Компоненти

Компоненти - це програми, які є безпосередньо частинами ролей, але підтримують чи розширюють функції однієї чи кількох ролей чи цілого сервера незалежно від цього, які ролі встановлені. Наприклад, компонент «Засіб відмови кластерів» розширює функції інших ролей, таких як Файлові служби та DHCP-сервер, дозволяючи їм приєднуватися до серверних кластерів, що забезпечує підвищену надмірність та продуктивність. Інший компонент – «Клієнт Telnet» – забезпечує віддалений зв'язок із сервером Telnet через мережеве підключення. Ця функція розширює можливості зв'язку сервера.

Коли Windows Server працює як основні серверні компоненти, підтримуються такі ролі сервера:

• служби сертифікатів Active Directory;
• доменні служби Active Directory;
• DHCP-сервер;
• DNS-сервер;
• файлові служби (зокрема диспетчер ресурсів файлового сервера);
• служби Active Directory полегшеного доступу до каталогів;
• Hyper-V;
• служби друку та документів;
• служби потокового мультимедіа;
• веб-сервер (зокрема підмножина ASP.NET);
• сервер оновлення Windows Server;
• сервер керування правами Active Directory;
• сервер маршрутизації та віддаленого доступуі такі підлеглі ролі:
  • посередник підключень служб віддалених робочих столів;
  • ліцензування;
  • віртуалізація.

Коли Windows Server працює в режимі основних серверних компонентів, підтримуються такі компоненти сервера:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фонова інтелектуальна служба передачі (BITS);
• шифрування диска BitLocker;
• мережеве розблокування BitLocker;
• BranchCache
• міст для центру обробки даних;
• Enhanced Storage;
• відмовостійка кластеризація;
• Multipath I/O;
• балансування мережного навантаження;
• протокол PNRP;
• qWave;
• віддалений різницевий стиск;
• прості служби TCP/IP;
• RPC через HTTP-проксі;
• сервер SMTP;
• служба SNMP;
• клієнт Telnet;
• сервер Telnet;
• клієнт TFTP;
• внутрішня база даних Windows;
• Windows PowerShell Web Access;
• служба активації Windows;
• стандартизоване керування сховищами Windows;
• розширення IIS WinRM;
• WINS-сервер;
• підтримка WoW64.

Встановлення ролей сервера за допомогою Server Manager

Для додавання відкриваємо Server Manager, і в меню Manage тиснемо Add Roles and features:

Відкриється майстер додавання ролей та компонентів. Тиснемо Next

Installation Type, вибираємо Role-based або feature-based installation. Next:

Server Selection – вибираємо наш сервер. Тиснемо Next Server Roles - Виберіть ролі, якщо необхідно, виберіть служби ролей і натисніть кнопку Next, щоб вибрати компоненти. Під час цієї процедури Майстер додавання ролей і компонентів автоматично інформує про конфлікти на кінцевому сервері, які можуть перешкодити установці або нормальній роботівибраних ролей чи компонентів. З'являється також запит на додавання ролей, служб ролей та компонентів, необхідних для вибраних ролей або компонентів.

Встановлення ролей за допомогою PowerShell

Відкриваємо Windows PowerShell Вводимо команду Get-WindowsFeature, щоб переглянути список доступних та встановлених ролей та компонентів на локальному сервері. Результати виконання цього командлета містять імена команд для ролей та компонентів, встановлених та доступних для встановлення.

Введіть Get-Help Install-WindowsFeature, щоб переглянути синтаксис та допустимі параметри командлета Install-WindowsFeature (MAN).

Вводимо наступну команду (-Restart перезавантажить сервер, якщо під час встановлення ролі потрібно перезавантаження).

Install-WindowsFeature -Name -Restart

Опис ролей та служб ролей

Нижче описані всі ролі та служби ролей. Розширене налаштування подивимося для Web Role і Remote Desktop Services, що найчастіше зустрічаються в нашій практиці.

Детальний опис IIS

• Common HTTP Features - Основні HTTP компоненти
  • Default Document – ​​дозволяє встановлювати індексну сторінку у сайту.
  • Directory Browsing – дозволяє користувачам бачити вміст каталогу на веб-сервері. Використовуйте Directory Browsing для того, щоб автоматично згенерувати список усіх каталогів та файлів, наявних у каталозі, коли користувачі не вказують файл в URL-адресі та індексна сторінка вимкнена або не налаштована
  • HTTP Errors - дозволяє настроїти повідомлення про помилки, що повертаються клієнтам у браузері.
  • Static Content - дозволяє розміщувати статичний контент, наприклад картинки або html-файли.
  • HTTP Redirection – забезпечує підтримку перенаправлення запитів користувачів.
  • WebDAV Publishing дозволяє публікувати файли із веб-сервера за допомогою протоколу HTTP.
• Health and Diagnostics Features - Компоненти діагностики
  • HTTP Logging забезпечує ведення журналу активності веб-сайту для цього сервера.
  • Custom Logging забезпечує підтримку створення кастомних логів, які відрізняються від традиційних журналів.
  • Logging Tools забезпечує інфраструктуру для керування журналами веб-сервера та автоматизації загальних завдань ведення журналу.
  • ODBC Logging забезпечує інфраструктуру, яка підтримує ведення журналу активності веб-сервера в ODBC-сумісній базі даних.
  • Request Monitor надає інфраструктуру для моніторингу стану веб-застосунків шляхом збору інформації про HTTP-запити в робочому процесі IIS.
  • Tracing надає інфраструктуру для діагностики та усунення несправностей веб-застосунків. При використанні трасування невдалих запитів, ви можете відстежити події, що важко фіксуються, такі як погана продуктивність або збої аутентифікації.
• Performance компоненти для збільшення продуктивності веб-сервера.
  • Static Content Compression надає інфраструктуру для налаштування статистичного вмісту HTTP.
  • Dynamic Content Compression надає інфраструктуру для налаштування HTTP-стиснення динамічного вмісту.
• Security компоненти безпеки
  • Request Filtering дозволяє фіксувати всі запити та фільтрувати їх на підставі правил, встановлених адміністратором.
  • Basic Authentication дозволяє встановити додаткову авторизацію
  • Centralized SSL Certificate Support – це функція, яка дозволяє зберігати сертифікати в централізованому місці як загальний файловий ресурс.
  • Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів.
  • Digest Authentication працює шляхом відправки хеша пароля до контролера домену Windows, для аутентифікації користувачів. Якщо вам необхідно більш високий рівень безпеки в порівнянні зі звичайною автентифікацією, розгляньте питання про використання автентичності Digest
  • IIS Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів. Сертифікат клієнта є цифровий ID, отриманий з надійного джерела.
  • IP and Domain Restrictions дозволяє дозволяти/забороняти доступ на основі запитуваної IP-адреси або доменного імені.
  • URL Authorization дозволяє створювати правила, що обмежують доступ до веб-контенту.
  • Windows Authentication Ця схема автентифікації дозволяє адміністраторам домену Windows користуватися перевагами доменної інфраструктури для автентифікації користувачів.
• Application Development Features компоненти розробки програм
• FTP Server
  • FTP Service Включає публікації FTP на веб-сервері.
  • FTP Extensibility Включає підтримку функцій FTP, що розширюють можливості
• Management Tools інструменти управління
  • IIS Management Console встановлює диспетчер IIS, який дозволяє керувати веб-сервером через графічний інтерфейс
  • IIS 6.0 Management Compatibility забезпечує пряму сумісність для програм та сценаріїв, які використовують Admin Base Object (ABO) та інтерфейсу служби каталогів (ADSI) API Active Directory. Це дозволяє використовувати існуючі сценарії IIS 6.0 веб-сервером IIS 8.0
  • IIS Management Scripts and Tools надають інфраструктуру для керування веб-сервером IIS програмно, за допомогою команд у вікні командного рядка або за допомогою запуску сценаріїв.
  • Management Service надає інфраструктуру для налаштування інтерфейсу користувача диспетчера IIS.

Детальний опис RDS

• Remote Desktop Connection Broker - Забезпечує повторне підключення клієнтського пристрою до програм на основі сеансів настільних комп'ютерівта віртуальних робочих столів.
• Remote Desktop Gateway - Дозволяє авторизованим користувачам підключатися до віртуальних робочих столів, програм RemoteApp та заснованих на сесіях робочих столів у корпоративній мережі або через Інтернет.
• Remote Desktop Licensing - Засіб керування ліцензіями RDP
• Remote Desktop Session Host – Включає сервер для розміщення програм RemoteApp або сеансу на основі робочих столів.
• Remote Desktop Virtualization Host – дозволяє налаштовувати RDP на віртуальних машинах
• Remote Desktop WebAccess - Дозволяє користувачам підключатися до ресурсів робочого стола за допомогою меню Пуск або веб-браузера.

Розглянемо встановлення та настроювання сервера термінальних ліцензій. Вище розказано як встановлювати ролі, установка RDS не відрізняється від інсталяції інших ролей, у Role Services нам потрібно буде вибрати Remote Desktop Licensing та Remote Desktop Session Host. Після інсталяції в Server Manager-Tools з'явиться пункт Terminal Services. Terminal Services має два пункти RD Licensing Diagnoser, це засіб діагностики роботи ліцензування віддалених робочих столів, і Remote Desktop Licensing Manager, це засіб управління ліцензіями.

Запустимо RD Licensing Diagnoser

Тут ми бачимо, що доступних ліцензій поки що немає, тому що не встановлено режим ліцензування для сервера вузла сеансів віддалених робочих столів. Сервер ліцензування вказується у локальних групових політиках. Для запуску редактора виконаємо команду gpedit.msc. Відкриється редактор локальної групової політики. У дереві зліва розкриємо вкладки:

• "Конфігурація комп'ютера" (Computer Configuration)
• "Адміністративні шаблони" (Administrative Templates)
• Компоненти Windows (Windows Components)
• "Служби віддалених робочих столів" (Remote Desktop Services)
• "Вузол сеансів віддалених робочих столів" (Remote Desktop Session Host)
• Ліцензування (Licensing)

Відкриємо параметри Use the specified Remote Desktop license servers

У вікні редагування параметрів політики включаємо сервер ліцензування (Enabled). Потім потрібно визначити сервер ліцензування для служби віддалених робочих столів. У моєму прикладі сервер ліцензування знаходиться на тому самому фізичному сервері. Вказуємо мережеве ім'я або IP-адресу сервера ліцензій та натискаємо OK. Якщо надалі змінюватиметься ім'я сервера, сервер ліцензій, потрібно змінити цей же розділ.

Після цього в RD Licensing Diagnoser можна побачити, що сервер термінальних ліцензій налаштований, але не увімкнено. Для увімкнення запускаємо Remote Desktop Licensing Manager

Вибираємо сервер ліцензування, зі статусом Not Activated. Для активації клацаємо по ньому правою кнопкою миші та вибираємо Activate Server. Запуститься Майстер активації сервера. На вкладці Connection Method вибираємо Automatic Connection. Далі заповнюємо інформацію про організацію, після чого сервер ліцензій активовано.

Active Directory Certificate Services

Служби AD CS надають послуги з видачі цифрових сертифікатів, що використовуються в системах безпеки ПЗ, що застосовують технології відкритих ключів, та з управління цими сертифікатами. Цифрові сертифікати AD CS можна використовувати для шифрування та цифрового підписування електронних документів та повідомлень. цифрові сертифікатиможна використовувати для перевірки справжності облікових записів комп'ютерів, користувачів та пристроїв.Цифрові сертифікати використовуються для забезпечення:

• конфіденційності за допомогою шифрування;
• цілісності за допомогою цифрових підписів;
• автентифікації за допомогою прив'язування ключів сертифіката до облікових записів комп'ютерів, користувачів та пристроїв у мережі.

AD CS можна використовувати для підвищення безпеки шляхом прив'язки посвідчення користувача, пристрою або служби до відповідного закритого ключа. До застосувань ADCS входять безпечні багатоцільові розширення стандарту пошти Інтернету (S/MIME), захищені бездротові мережі, віртуальні приватні мережі (VPN), протокол IPsec, шифрована файлова система(EFS), вхід за допомогою смарт-карт, протокол безпеки передачі даних та протокол безпеки транспортного рівня (SSL/TLS) та цифрові підписи.

Active Directory Domain Services

Використовуючи роль сервера доменних служб Active Directory (AD DS), можна створити масштабовану, безпечну та керовану інфраструктуру для керування користувачами та ресурсами; Крім того, можна забезпечити роботу програм, які підтримують каталоги, наприклад Microsoft Exchange Server. Доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережні ресурси та дані додатків з підтримкою каталогів, а також здійснюється керування цією інформацією. Сервер, на якому виконуються AD DS, називається контролером домену. Адміністратори можуть використовувати AD DS для впорядкування ієрархічної вкладеної структури таких елементів мережі, як користувачі, комп'ютери та інші пристрої. Ієрархічна вкладена структура включає ліс Active Directory, домени у лісі та організаційні підрозділи у кожному домені. Засоби безпеки інтегровані в AD DS у вигляді автентичності та контролю доступу до ресурсів у каталозі. За допомогою єдиного входу в мережу адміністратори можуть управляти мережею даними каталогу та організацією. Авторизовані користувачі мережі також можуть використовувати єдиний вхід до мережі для доступу до ресурсів, розташованих у будь-якому місці мережі. Доменні служби Active Directory надають такі додаткові можливості.

• Набір правил - схема, що визначає класи об'єктів та атрибути, що містяться в каталозі, обмеження та межі для екземплярів цих об'єктів, а також формат їх імен.
• Глобальний каталог, який містить відомості про кожен об'єкт у каталозі. Користувачі та адміністратори можуть використовувати глобальний каталог для пошуку даних каталогу незалежно від того, який домен у каталозі дійсно містить дані, що шукаються.
• Механізм запитів та індексування, завдяки якому об'єкти та їх властивості можуть публікуватися та перебувати мережними користувачамита додатками.
• Служба реплікації, яка розподіляє дані каталогу через мережу. Всі контролери домену, доступні для запису в домені, беруть участь у реплікації та містять повну копію всіх даних каталогу для свого домену. Будь-які зміни даних каталогу реплікуються в домені на всі контролери домену.
• Ролі господарів операцій (відомі також як гнучкі операції з єдиним господарем, або FSMO). Контролери доменів, що виконують ролі господарів операцій, призначені для виконання спеціальних завдань із забезпечення узгодженості даних та виключення конфліктуючих записів у каталозі.

Active Directory Federation Services

AD FS надають кінцевим користувачам, яким потрібний доступ до програм на захищеному за допомогою AD FS підприємстві, у партнерських організаціях федерації або у хмарі, можливості спрощеної та безпечної федерації посвідчень та веб-служби єдиного входу (SSO) У Windows Server AD FS включають службу ролі служби федерації, що діє як постачальник посвідчень (виконує автентифікацію користувачів для надання маркерів безпеки для додатків, що довіряють AD FS) або як постачальник федерації (застосовує маркери від інших постачальників посвідчень і надає маркери безпеки для додатків, що довіряють AD FS).

Active Directory Lightweight Directory Services

Служби Active Directory полегшеного доступу до каталогів (AD LDS) - це протокол LDAP, який забезпечує гнучку підтримку програм, що працюють із каталогами, без залежностей та пов'язаних із доменами обмежень доменних служб Active Directory. AD LDS можна запускати на рядових або ізольованих серверах. На одному сервері можна запустити кілька екземплярів AD LDS із незалежно керованими схемами. За допомогою ролі AD LDS можна надати служби каталогів для додатків з підтримкою каталогів, не використовуючи службові дані доменів і лісів і не вимагаючи єдиної схеми для всього лісу.

Active Directory Rights Management Services

Служби AD RMS можна використовувати, щоб розширити безпеку в організації, забезпечивши захист документів за допомогою управління правами на доступ до даних (IRM). AD RMS дозволяє користувачам та адміністраторам призначати дозволи доступу до документів, робочих книг та презентацій за допомогою політик IRM. Це дозволяє захистити конфіденційну інформацію від друку, надсилання або копіювання користувачами, які не мають на це прав. Після того, як дозволи для файлу обмежені за допомогою IRM, обмеження доступу та використання застосовуються незалежно від розташування інформації, оскільки дозвіл для файлу зберігається в самому файлі документа. За допомогою AD RMS та IRM окремі користувачі можуть застосовувати свої особисті налаштування щодо передачі особистих та конфіденційних відомостей. Вони також допоможуть організації застосовувати корпоративну політику для управління використанням та розповсюдженням конфіденційних та особистих відомостей. Рішення IRM, які підтримує AD RMS, використовуються для забезпечення наступних можливостей.

• Постійні політики використання, які залишаються з інформацією незалежно від її переміщення, надсилання або пересилання.
• Додатковий рівень конфіденційності для захисту конфіденційних даних – наприклад, звітів, специфікацій продуктів, відомостей про клієнтів та повідомлень електронної пошти – від навмисного або випадкового влучення в чужі руки.
• Запобігання несанкціонованому пересиланню, копіювання, зміни, друку, передачі факсом або вставки обмежуваного вмісту авторизованими одержувачами.
• Запобігання копіюванню обмежуваного вмісту за допомогою функції PRINT SCREEN у Microsoft Windows.
• Підтримка терміну дії файлу, що запобігає перегляду вмісту документів після закінчення заданого періоду часу.
• Впровадження корпоративних політик, що управляють використанням та розповсюдженням вмісту в організації

Application Server

Сервер програм надає інтегроване середовище для розгортання та виконання власних бізнес-додатків на базі сервера.

DHCP Server

DHCP - це технологія "клієнт-сервер", за допомогою якої DHCP-сервери можуть призначати або здавати в оренду IP-адреси комп'ютерам та іншим пристроям, що є DHCP-клієнтами. на базі IPv4 та IPv6 дійсних IP-адрес та додаткових конфігураційних параметрів, необхідних даним клієнтам та пристроям. Служба DHCP-сервера в Windows Server включає підтримку заснованих на політиці призначень та обробку відмов протоколу DHCP.

DNS Server

Служба DNS - це ієрархічна розподілена база даних, що містить зіставлення доменних імен DNS з різними типами даних, як-от IP-адреси. Служба DNS дозволяє використовувати імена, такі як www.microsoft.com, для полегшення знаходження комп'ютерів та інших ресурсів у мережах, що працюють на базі протоколу TCP/IP. Служба DNS у Windows Server забезпечує додаткову покращену підтримку Модулей безпеки DNS (DNSSEC), включаючи реєстрацію в мережі та автоматизоване керування параметрами.

FAX Server

Факс-сервер надсилає та отримує факси, а також дає можливість керувати ресурсами факсу, такими як завдання, налаштування, звіти та факс-пристрої на факс-сервері.

File and Storage Services

Адміністратори можуть використовувати роль "Файлові служби та служби сховища" для налаштування декількох файлових серверів та їх сховищ, а також для керування цими серверами за допомогою диспетчера серверів або Windows PowerShell. Деякі конкретні програми включають такі функції.

• Робочі папки. Використовувати, щоб дозволити користувачам зберігання робочих файлів та доступ до них на особистих комп'ютерах та пристроях, крім корпоративних ПК. Користувачі отримують зручне місце для зберігання робочих файлів та доступу до них із будь-якого місця. Організації контролюють корпоративні дані, зберігаючи файли на централізовано керованих файлових серверах і за потреби задаючи політики пристроїв користувачів (такі як шифрування та паролі блокування екрана).
• Дедуплікація даних. Використовувати для зниження вимог до місця на диску для зберігання файлів, заощаджуючи кошти на сховищі.
• Сервер мети iSCSI. Використовувати для створення централізованих, програмних та апаратно-незалежних дискових підсистем iSCSI у мережах зберігання даних (SAN).
• Дисковий простір. Використовувати для розгортання сховища з високим рівнем доступності, відмовостійким та масштабованим за рахунок застосування економічних стандартизованих у галузі дисків.
• Диспетчер серверів. Використовувати для дистанційного керуванняДекількома файловими серверами з одного вікна.
• Windows PowerShell. Використовувати для автоматизації керування більшістю завдань адміністрування файлових серверів.

Hyper-V

Роль Hyper-V дозволяє створювати віртуалізоване обчислювальне середовище за допомогою технології віртуалізації, вбудованої в Windows Server, та керувати нею. Під час встановлення ролі Hyper-V виконується встановлення необхідних компонентів, а також необов'язкових засобів керування. До необхідних компонентів є низькорівнева оболонка Windows, служба керування віртуальними машинами Hyper-V, постачальник віртуалізації WMI та компоненти віртуалізації, такі як шина VMbus, постачальник служби віртуалізації (VSP) та драйвер віртуальної інфраструктури (VID).

Network Policy and Access Services

Служби мережі та доступу надають такі рішення для підключення до мережі:

• Захист доступу до мережі – це технологія створення, примусового застосування та виправлення політик працездатності клієнта. За допомогою захисту доступу до мережі системні адміністратори можуть встановлювати та автоматично застосовувати політики працездатності, які включають вимоги до програмного забезпечення, оновлень для системи безпеки та інші параметри. Для клієнтських комп'ютерів, які не відповідають вимогам політики працездатності, можна обмежити доступ до мережі, доки їх конфігурація не буде оновлена ​​відповідно до вимог політики.
• Якщо розгорнуті точки бездротового доступу з підтримкою 802.1X, ви можете використовувати сервер політики мережі (NPS) для розгортання методів автентифікації на основі сертифікатів, які є більш безпечними, ніж автентифікація на основі паролів. Розгортання обладнання з підтримкою 802.1X із сервером NPS дозволяє забезпечити автентифікацію користувачів інтрамережі до того, як вони зможуть підключитися до мережі або отримати IP-адресу від DHCP-сервера.
• Замість того, щоб налаштовувати політику доступу до мережі на кожному сервері доступу до мережі, можна централізовано створити всі політики, в яких будуть визначені всі аспекти запитів на підключення до мережі (хто може підключатися, коли дозволено підключення, рівень безпеки, який необхідно використовувати для підключення до мережі ).

Print and Document Services

Служби друку та документів дозволяють централізувати завдання сервера друку та мережевого принтера. Ця роль також дозволяє отримувати відскановані документи з мережевих сканерів і передавати документи в загальні мережеві ресурси - на веб-сайті Windows SharePoint Services або електронною поштою.

Remote Access

Роль сервера віддаленого доступу є логічною групою наступних технологій мережного доступу.

• DirectAccess
• Маршрутизація та віддалений доступ
• Проксі-сервер веб-програми

Ці технології є службами ролейролі сервера віддаленого доступу. Під час встановлення ролі сервера віддаленого доступу можна встановити одну або кілька служб ролей, запустивши майстер додавання ролей та компонентів.

У Windows Server роль сервера віддаленого доступу забезпечує можливість централізованого адміністрування, налаштування та спостереження за службами віддаленого доступу DirectAccess та VPN зі службою маршрутизації та віддаленого доступу (RRAS). DirectAccess і RRAS можна розвернути на одному прикордонному сервері та керувати ними за допомогою команд Windows PowerShell та консолі керування (MMC) віддаленого доступу.

Remote Desktop Services

Служби віддалених робочих столів прискорюють та розширюють розгортання робочих столів та додатків на будь-якому пристрої, підвищуючи ефективність віддаленого працівника, одночасно забезпечуючи безпеку критично важливої ​​інтелектуальної власності та спрощуючи відповідність нормативним вимогам. Служби віддалених робочих столів включають інфраструктуру віртуальних робочих столів (VDI), робочі столи на основі сеансів та програми, надаючи користувачам можливість працювати будь-де.

Volume Activation Services

Служби активації корпоративних ліцензій - це роль сервера в Windows Server починаючи з Windows Server 2012, яка дозволяє автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення Microsoft, а також керування такими ліцензіями у різних сценаріях та середовищах. Поряд із службами активації корпоративних ліцензій можна встановити та настроїти службу керування ключами (KMS) та активацію за допомогою Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) у Windows Server забезпечує платформу для розміщення веб-вузлів, служб та програм. Використання веб-сервера забезпечує доступ до інформації користувачам в Інтернеті, інтрамережі та екстрамережі. Адміністратори можуть використовувати роль веб-сервера (IIS) для налаштування та керування кількома веб-сайтами, веб-застосунками та FTP-сайтами. До спеціальних можливостей входять такі.

• Використання диспетчера IIS для налаштування компонентів IIS та адміністрування веб-сайтів.
• Використання протоколу FTP для дозволу власникам веб-сайтів надсилати та завантажувати файли.
• Використання ізоляції веб-сайтів для запобігання впливу одного веб-сайту на сервер на інші.
• Налаштування веб-застосунків, розроблених з використанням різних технологій, таких як Classic ASP, ASP.NET і PHP.
• Використання Windows PowerShell для автоматичного керування здебільшого завдань адміністрування веб-сервера.
• Об'єднання кількох веб-серверів у ферму серверів, якою можна керувати за допомогою IIS.

Windows Deployment Services

Служби розгортання Windows дозволяють розгортати операційні системи Windows через мережу, що означає можливість не встановлювати кожну операційну систему безпосередньо з компакт- або DVD-диска.

Windows Server Essentials Experience

Ця роль дозволяє вирішувати такі завдання:

• захищати дані сервера та клієнтів, створюючи резервні копії сервера та всіх клієнтських комп'ютерів у мережі;
• керувати користувачами та групами користувачів через спрощену панель моніторингу сервера. Крім того, інтеграція з Windows Azure Active Directory забезпечує користувачам простий доступ до інтернет-служб Microsoft Online Services (наприклад, Office 365, Exchange Online і SharePoint Online) за допомогою їх облікових даних домену;
• зберігати дані підприємства у централізованому місці;
• інтегрувати сервер з інтернет-службами Microsoft Online Services (наприклад, Office 365, Exchange Online, SharePoint Online та Windows Intune):
• використовувати на сервері функції повсюдного доступу (наприклад, віддалений веб-доступ та віртуальні приватні мережі) для доступу до сервера, комп'ютерів мережі та даних із віддалених розташування з високим ступенем безпеки;
• отримувати доступ до даних з будь-якого місця та з будь-якого пристрою за допомогою власного веб-порталу організації (за допомогою віддаленого веб-доступу);
• керувати мобільними пристроями, з яких здійснюється доступ до електронної пошти організації за допомогою Office 365 через протокол Active Sync, з панелі моніторингу;
• відстежувати працездатність мережі та отримувати звіти про працездатність, що настроюються; звіти можна створювати на вимогу, налаштовувати та надсилати електронною поштою певним одержувачам.

Windows Server Update Services

Сервер WSUS надає компоненти, які необхідні адміністраторам для керування оновленнями та їх розповсюдження через консоль керування. Крім того, сервер WSUS може бути джерелом оновлень інших серверів WSUS в організації. У разі реалізації служб WSUS хоча б один сервер служб WSUS в мережі має бути підключений до Центру оновлення Майкрософт для отримання інформації про доступні оновлення. Залежно від безпеки та конфігурації мережі, адміністратор може визначити, скільки інших серверів безпосередньо підключено до Центру оновлення Майкрософт.

Вступ

Зі збільшенням парку комп'ютерів для підприємства дедалі гостріше постає питання вартості його управління та змісту. Ручне налаштуваннякомп'ютерів забирає чимало часу у персоналу і змушує, зі збільшенням кількості комп'ютерів, збільшувати штат персоналу, що їх обслуговує. До того ж, при великій кількості машин стежити за дотриманням прийнятих на підприємстві стандартів налаштування стає все важче. Групові політики (Group Policy) є комплексним інструментом централізованого керування комп'ютерами з Windows 2000 і вище в домені Active Directory. До комп'ютерів під керуванням ОС Windows NT4/9x групові політики не застосовуються: вони управляються системними політиками (System Policy), які у цій статті не розглядатимуться.

Об'єкти групових політик

Усі налаштування, які ви створите в рамках групових політик, зберігатимуться в об'єктах групової політики (Group Policy Object, GPO). Об'єкти групових політик бувають двох типів: локальний об'єкт групової політики та об'єкти групових політик Active Directory. Локальний об'єкт групової політики є на комп'ютерах під керуванням Windows 2000 та вище. Він може бути лише один, і це єдиний GPO, який може бути на комп'ютері, що не входить до домену.

Об'єкт групової політики - це загальна назва набору файлів, директорій та записів у базі Active Directory (якщо це не локальний об'єкт), які зберігають ваші налаштування та визначають, які параметри ви можете змінити за допомогою групових політик. Створюючи політику, ви фактично створюєте та змінюєте об'єкт групової політики. Локальний об'єкт групової політики зберігається в %SystemRoot%\System32\GroupPolicy. GPO Active Directory зберігаються на контролері домену та можуть бути пов'язані з сайтом, доменом або OU (Organizational Unit, підрозділ або організаційна одиниця). Прив'язка об'єкта визначає його дію. За замовчуванням у домені створюються два об'єкти групової політики: Default Domain Policy та Default Domain Controller Policy. У першому визначається політика за замовчуванням для паролів та облікових записів у домені. Другий зв'язується з OU Domain Controllers та підвищує налаштування безпеки для контролерів домену.

Створення об'єкта групової політики

Щоб створити політику (тобто фактично створити новий об'єкт групової політики), відкриваємо Active Directory Users & Computers і вибираємо, де створити новий об'єкт. Створювати та прив'язувати об'єкт групової політики можна лише до об'єкта сайту, домену або OU.

Рис. 1. Створення об'єкта групової політики.

Щоб створити GPO і зв'язати його, наприклад, з OU testers, клацаємо правою кнопкою миші на цьому OU і в контекстному менювибираємо properties. У вікні властивостей відкриваємо вкладку Group Policy і натискаємо New.

Рис. 2. Створення об'єкта групової політики.

Даємо назву об'єкту GP, після чого об'єкт створено, і можна приступати до конфігурування політики. Двічі клацаємо на створеному об'єкті або натискаємо кнопку Edit, відкриється вікно редактора GPO, де можна налаштувати конкретні параметри об'єкта.

Рис. 3. Опис установок у вкладці Extended.

Більшість основних налаштувань інтуїтивно зрозумілі (до того ж мають опис, якщо відкрити вкладку Extended), і ми не будемо детально зупинятися на кожній. Як видно із рис. 3, GPO складається з двох розділів: Computer Configuration та User Configuration. Налаштування першого розділу застосовуються під час завантаження Windows до комп'ютерів, що знаходяться в цьому контейнері та нижче (якщо не скасовано успадкування), і не залежать від того, який користувач увійшов до системи. Параметри другого розділу використовуються під час входу користувача до системи.

Порядок застосування об'єктів групової політики

Коли комп'ютер запускається, відбуваються такі дії:

1. Читається реєстр та визначається, до якого сайту належить комп'ютер. Робиться запит серверу DNSз метою отримання IP адрес контролерів домену, розміщених у цьому сайті.
2. Отримавши адресу, комп'ютер з'єднується з контролером домену.
3. Клієнт запитує список об'єктів GP у контролера домену та застосовує їх. Останній надсилає список об'єктів GP у порядку, в якому вони повинні застосовуватися.
4. Коли користувач входить до системи, комп'ютер знову запитує список об'єктів GP, які потрібно застосувати до користувача, виймає та застосовує їх.

Групові політики застосовуються при завантаженні OC та при вході користувача до системи. Потім вони застосовуються кожні 90 хвилин, з варіацією 30 хвилин для виключення перевантаження контролера домену у разі одночасного запиту великої кількості клієнтів. Для контролерів домену інтервал оновлення становить 5 хвилин. Змінити цю поведінку можна в розділі Computer Configuration\Administrative Templates\System\Group Policy. Об'єкт групової політики може діяти лише на об'єкти «комп'ютер» та «користувач». Політика діє лише на об'єкти, що знаходяться в об'єкті каталогу (сайт, домен, підрозділ), з яким пов'язаний GPO і нижче за «деревом» (якщо не заборонено успадкування). Наприклад: Об'єкт GPO створено в OU testers (як ми зробили вище).

Рис. 4. Спадкування налаштувань.

Усі налаштування, зроблені в цьому GPO, діятимуть лише на користувачів та комп'ютери, що знаходяться в OU testers та OU InTesters. Розглянемо порядок застосування політик на прикладі. Користувач test, розташований у OU testers, входить до комп'ютера comp, що у OU compOU (див. рис. 5).

Рис. 5. Порядок застосування політик.

У домені існують чотири GPO:

1. SitePolicy, пов'язаний із контейнером сайту;
2. Default Domain Policy, пов'язаний із контейнером домену;
3. Policy1, пов'язаний з OU testers;
4. Policy2, пов'язаний із OU compOU.

При завантаженні Windows на робочій станції comp параметри, визначені в розділах Computer Configuration, застосовуються в такому порядку:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;

4. Параметри GPO Policy2.

При вході користувача test на комп'ютер comp - параметри, визначені розділах User Configuration:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;
3. Параметри GPO Default Domain Policy;
4. Параметри GPO Policy1.

Тобто GPO застосовуються так: локальні політики, політики рівня сайту, політики рівня домену, політики рівня OU.

Групові політики застосовуються до клієнтів з ОС Windows XP асинхронно, а з ОС Windows 2000 - синхронно, тобто екран входу з'являється тільки після застосування всіх політик комп'ютера, а політики користувача застосовуються до того, як з'явився робочий стіл. Асинхронне застосування політик означає, що екран користувача входу з'являється раніше, ніж встигають застосувати всі політики комп'ютера, а робочий стіл - раніше, ніж застосовуються всі політики користувача, що призводить до прискорення завантаження і входу користувача.
Описана вище поведінка змінюється у двох випадках. Перший - комп'ютер клієнта виявив повільне підключення до мережі. За замовчуванням у цьому випадку застосовуються лише параметри захисту та адміністративні шаблони. Повільним вважається підключення з пропускною здатністю менше 500 Кб/с. Змінити це значення можна в Computer Configuration\Administrative Templates\System\Group Policy\Group Policy slow link detection. Також у розділі Computer Configuration\Administrative Templates\System\Group Policy можна налаштувати деякі інші параметри політик так, щоб вони оброблялися по повільному з'єднанню. Другий спосіб зміни порядку застосування політик – опція User Group policy loopback processing. Ця опція змінює порядок застосування політик за замовчуванням, при якому користувачі застосовуються після комп'ютерних і перезаписують останні. Ви можете встановити опцію loopback, щоб політики комп'ютера застосовувалися після користувачів політик і перезаписували всі політики, що суперечать політикам комп'ютера. У параметра loopback є 2 режими:

1. Merge (з'єднати) - спочатку застосовується комп'ютерна політика, потім користувальницька та знову комп'ютерна. При цьому комп'ютерна політика замінює параметри користувальницької політики, що суперечать їй, своїми.
2. Replace (замінити) - політика користувача не обробляється.

Проілюструвати застосування параметра User Group policy loopback processing можна, наприклад, на загальнодоступному комп'ютері, на якому необхідно мати ті самі обмежені настройки, незалежно від того, який користувач ним користується.

Пріоритетність, успадкування та вирішення конфліктів

Як ви вже помітили, на всіх рівнях об'єкти групової політики містять однакові параметри настройки, і той самий параметр може бути визначений на декількох рівнях по-різному. У такому разі чинним значенням буде застосоване останнім (про порядок застосування об'єктів групової політики говорилося вище). Це правило поширюється на всі параметри, крім визначених як configured. Для цих параметрів Windows не робить жодних дій. Але є один виняток: всі параметри налаштування облікових записів та паролів можуть бути визначені лише на рівні домену, на інших рівнях ці настройки будуть проігноровані.

Рис. 6. Active Directory Users and Computers.

Якщо одному рівні розташовано кілька GPO, всі вони застосовуються «знизу нагору». Змінюючи положення об'єкта політик у списку (кнопками Up та Down) можна вибрати необхідний порядок застосування.

Рис. 7. Порядок застосування політик.

Іноді потрібно, щоб певна OU не отримувала параметрів політик від GPO, пов'язаних з контейнерами, що стоять вище. У цьому випадку слід заборонити успадкування політик, поставивши прапорець Block Policy inheritance (Блокувати успадкування політик). Блокуються всі успадковані параметри політик, немає способу блокувати окремі параметри. Параметри налаштування рівня домену, які визначають політику паролів та політику облікових записів, не можуть бути заблоковані.

Рис. 9. Блокування спадкування політик.

Якщо потрібно, щоб певні налаштування в даному GPO не перезаписувалися, слід вибрати потрібний GPO, натиснути кнопку Options і вибрати No Override. Ця опція наказує застосовувати параметри GPO там, де заблоковано спадкування політик. No Override встановлюється там, де GPO зв'язується з об'єктом каталогу, а чи не в самому GPO. Якщо GPO пов'язаний з кількома контейнерами в домені, то для інших зв'язків цей параметр не буде автоматично налаштований. Якщо параметр No Override налаштований для кількох зв'язків на одному рівні, пріоритетними (і діючими) будуть параметри GPO, що знаходиться вгорі списку. Якщо параметри No Override налаштовані для кількох GPO, що знаходяться на різних рівнях, діючи будуть параметри GPO, що знаходиться вище в ієрархії каталогу. Тобто, якщо параметри No override налаштовані для зв'язку GPO з об'єктом домену та для зв'язку з GPO об'єктом OU, діючи будуть параметри, визначені на рівні домену. Галочка Disabled скасовує дію цього GPO на цей контейнер.

Рис. 10. Опції No Override та Disabled.

Як було зазначено вище, політики діють лише користувачів і комп'ютери. Часто виникає питання: «як зробити так, щоб певна політика діяла на всіх користувачів, які входять до певної групи безпеки?». Для цього GPO прив'язується до об'єкта домену (або будь-якого контейнера, що знаходиться вище контейнерів або OU, де знаходяться всі об'єкти користувачів з потрібної групи) і налаштовуються параметри доступу. Натискаємо Properties, на вкладці Security видаляємо групу Authenticated Users та додаємо необхідну групу з правами Read та Apply Group Policy.

Визначення установок, що діють на комп'ютер користувача

Для визначення кінцевої конфігурації та виявлення проблем вам знадобиться, які настройки політик діють на даного користувача або комп'ютер в даний момент. І тому існує інструмент Resultant Set of Policy (результуючий набір політик, RSoP). RSoP може працювати як у режимі реєстрації, так і в режимі планування. Щоб викликати RSoP, слід натиснути правою кнопкою на об'єкті «користувач» або «комп'ютер» та вибрати All Tasks.

Рис. 11. Виклик інструменту «Resultant Set of Policy».

Після запуску (в режимі реєстрації, logging) вас попросять вибрати, для якого комп'ютера та користувача визначити результуючий набір, і з'явиться вікно результуючих налаштувань із зазначенням, з якого GPO який параметр застосувався.

Рис. 12. Resultant Set of Policy.

Інші інструменти управління груповими політиками

GPResult – це інструмент командного рядка, що забезпечує частину функціоналу RSoP. GPResult є за промовчанням на всіх комп'ютерах з Windows XP та Windows Server 2003.

GPUpdate примусово запускає застосування групових політик як локальних, так і заснованих на Active Directory. У Windows XP/2003 прийшла зміну параметру /refreshpolicy в інструменті secedit для Windows 2000.

Опис синтаксису команд доступний при запуску їх з ключем /?.

Замість ув'язнення

Ця стаття не має на меті пояснити всі аспекти роботи з груповими політиками, вона не орієнтована на досвідчених системних адміністраторів. Все вищевикладене, на мою думку, лише має якось допомогти зрозуміти основні принципи роботи з політиками тим, хто ніколи не працював із ними, або лише починає освоювати.

Утиліта GPResult.exe– це консольна програма, призначена для аналізу настройок та діагностики групових політик, які застосовуються до комп'ютера та/або користувача в домені Active Directory. Зокрема, GPResult дозволяє отримати дані результуючого набору політик (Resultant Set of Policy, RSOP), список застосованих доменних політик (GPO), їх налаштування та детальну інформаціюпро помилки їх обробки. Утиліта входить до складу ОС Windows, починаючи з часів Windows XP. Утиліта GPResult дозволяє відповісти на такі питання: чи застосовується конкретна політика до комп'ютера, яка саме GPO змінила ту чи іншу налаштування Windows, Розібратися з причинами.

У цій статті ми розглянемо особливості використання команди GPResult для діагностування роботи та налагодження застосування групових політик у домені Active Directory.

Спочатку для діагностики застосування групових політик у Windows використовувалася графічна консоль RSOP.msc, яка дозволяла отримати налаштування результуючих політик (доменних + локальних), застосовані до комп'ютера та користувача в графічному вигляді аналогічному консолі редактора GPO (нижче на прикладі представлення консолі RSOP.msc видно, що установки оновлень задані).

Проте, консоль RSOP.msc у сучасних версіях Windows використовувати недоцільно, тому що. вона не відображає настройки, застосовані різними розширеннями групових політик (CSE), наприклад GPP (Group Policy Preferences), не дозволяє виконувати пошук, надає мало діагностичної інформації. Тому зараз команда GPResult є основним засобом діагностики застосування GPO в Windows (у Windows 10 навіть з'являється попередження, що RSOP не дає повний звіт на відміну від GPResult).

Використання утиліти GPResult.exe

Команда GPResult виконується на комп'ютері, де потрібно перевірити застосування групових політик. Команда GPResult має наступний синтаксис:

GPRESULT ]] [(/X | /H) ]

Щоб отримати детальну інформацію про групові політики, які застосовуються до даного об'єкта AD (користувача та комп'ютера), та інші параметри, що стосуються інфраструктури GPO (тобто результуючі налаштування політик GPO – RsoP), виконайте команду:

Результати виконання команди розділені на 2 секції:

• COMPUTER SETTINGS (Конфігурація комп'ютера) – розділ містить інформацію про об'єкти GPO, що діють на комп'ютер (як Active Directory);
• USER SETTINGS – розділ користувача політик (політики, що діють на обліковий запис користувача в AD).

Коротко пробіжимося за основними параметрами/розділами, які можуть зацікавити виведення GPResult:

• SiteName(Ім'я сайту:)– ім'я сайту AD, в якому знаходиться комп'ютер;
• CN– повне канонічне користувача/комп'ютера, для якого було згенеровано дані RSoP;
• LasttimeGroupPolicywasapplied(Останнє застосування групової політики) - час, коли останній раз застосовувалися групові політики;
• GroupPolicywasappliedfrom(Групова політика була застосована з) - контролер домену, з якого була завантажена остання версія GPO;
• DomainNameта DomainType(Ім'я домену, тип домену) – ім'я та версія схеми домену Active Directory;
• AppliedGroupPolicyObjects(Застосовані об'єкти групової політики)- Списки діючих об'єктів групової політики;
• ThefollowingGPOsбулиnotappliedbecauseвонибулиfilteredout(Наступні політики GPO не були застосовані, оскільки вони відфільтровані) - не застосовані (відфільтровані) GPO;
• Theuser/computerisapartofthefollowingsecuritygroups(Користувач/комп'ютер є членом наступних груп безпеки) – доменні групи, в яких є користувач.

У прикладі видно, що у об'єкт користувача діють 4 групові політики.

• Default Domain Policy;
• Enable Windows Firewall;
• DNS Suffix Search List;

Якщо ви не хочете, щоб в консоль одночасно виводилася інформація і про політиків користувача і про політиків комп'ютера, ви можете за допомогою опції /scope вивести тільки розділ, що вас цікавить. Тільки результуючі політики користувача:

gpresult /r /scope:user

або тільки застосовані політики комп'ютера:

gpresult /r /scope:computer

Т.к. утиліта Gpresult виводить свої дані безпосередньо в консоль командного рядка, що буває не завжди зручно для подальшого аналізу, її висновок можна перенаправити в буфер обміну:

Gpresult /r |clip

або текстовий файл:

Gpresult /r > c:\gpresult.txt

Щоб вивести над детальну інформацію RSOP, потрібно додати ключ /z.

HTML звіт RSOP за допомогою GPResult

Крім того, утиліта GPResult може згенерувати HTML-звіт щодо застосованих результуючих політик (доступно в Windows 7 і вище). У цьому звіті буде міститься докладна інформація про всі параметри системи, які задаються груповими політиками та іменами конкретних GPO, які їх задали (звіт по структурі нагадує вкладку Settings в консолі управління доменними груповими політиками – GPMC). Згенерувати HTML звіт GPResult можна за допомогою команди:

GPResult /h c:\gp-report\report.html /f

Щоб згенерувати звіт та автоматично відкрити його у браузері, виконайте команду:

GPResult /h GPResult.html & GPResult.html

У HTML звіті gpresult міститься досить багато корисної інформації: видно помилки застосування GPO, час обробки (в мс.) та застосування конкретних політик та CSE (у розділі Computer Details -> Component Status). Наприклад, на скріншоті вище видно, що політика з налаштуваннями 24 passwords remember застосована політикою Default Domain Policy (стовпчик Winning GPO). Як ви бачите, такий звіт HTML набагато зручніший для аналізу застосованих політик, ніж консоль rsop.msc.

Отримання даних GPResult з віддаленого комп'ютера

GPResult може зібрати дані з віддаленого комп'ютера, позбавляючи адміністратора від необхідності локального або RDP входу на віддалений комп'ютер. Формат команди збору даних RSOP з віддаленого комп'ютера такий:

GPResult /s server-ts1 /r

Аналогічним чином ви можете віддалено зібрати дані як за політиками користувача, так і за політиками комп'ютера.

Користувач username не має даних RSOP

При включеному UAC запуск GPResult без підвищених привілеїв виводить параметри лише розділу користувача групових політик. Якщо потрібно одночасно відобразити обидва розділи (USER SETTINGS та COMPUTER SETTINGS), команду потрібно запускати. Якщо командний рядок із підвищеними привілеями відмінною від поточного користувача системи, утиліта видасть попередження INFO: Theuser“domain\user” doesnothaveRSOPdata (Користувач "domain\user" не має даних (RSOP). Це тому, що GPResult намагається зібрати інформацію користувача, її запустив, але т.к. даний користувачне виконав вхід (logon) у систему, інформація RSOP для нього відсутня. Щоб зібрати інформацію RSOP щодо користувача з активною сесією, потрібно вказати його обліковий запис:

gpresult /r /user:tn\edward

Якщо ви не знаєте ім'я врахованого запису, залогіненого на віддаленому комп'ютері, обліковий запис можна отримати так:

qwinsta /SERVER:remotePC1

Також перевірте час (і) на клієнта. Час повинен відповідати часу PDC (Primary Domain Controller).

Наступні політики GPO не були застосовані, оскільки вони відфільтровані

При траблшутинг групових політик варто також звертати увагу на секцію: Наступні політики GPO не були застосовані, так як вони відфільтровані. Ця секція відображає список GPO, які з тієї чи іншої причини не застосовуються до цього об'єкта. Можливі варіанти, за якими політика може не застосовуватись:

Також ви можете зрозуміти, чи повинна застосовуватися політика до конкретного об'єкта AD на вкладці ефективних дозволів (Advanced -> Effective Access).

Отже, у цій статті ми розглянули особливості діагностики застосування групових політик за допомогою утиліти GPResult та розглянули типові сценарії її використання.

Функціонал в операційній системі Windows Server розрахунок і покращується від версії до версії, ролей та компонентів стає все більше, тому в сьогоднішньому матеріалі я спробую коротко розповісти опис та призначення кожної ролі у Windows Server 2016.

Перш ніж переходити до опису серверних ролей Windows Server, давайте дізнаємося, що взагалі таке « Роль сервера» в операційній системі Windows Server.

Що таке "Роль сервера" у Windows Server?

Роль сервера (Server Role)- Це програмний комплекс, який забезпечує виконання сервером певної функції, і ця функція є основною. Іншими словами, " Роль сервера» - це сервер, тобто. навіщо він потрібний. Щоб сервер міг виконувати основну функцію, тобто. певну роль, в « Роль сервера» включено все необхідне для цього програмне забезпечення ( програми, служби).

Сервер може мати одну роль, якщо вона активно використовується, або кілька, якщо кожна з них не сильно навантажує сервер і використовується рідко.

У роль сервера може включатися кілька служб участі, які забезпечують функціональні можливості ролі. Наприклад, у роль сервера « Веб-сервер (IIS)» включено досить велику кількість служб, а роль « DNS-сервер» не входять служби ролі, оскільки ця роль виконує лише одну функцію.

Служби ролей можуть бути встановлені разом або окремо залежно від Ваших потреб. По суті установка ролі означає установку однієї чи кількох її служб.

У Windows Server також існують і « Компоненти» сервера.

Компоненти сервера (Feature)– це програмні засоби, які є роллю сервера, але розширюють можливості однієї чи кількох ролей, чи управляють однієї чи кількома ролями.

Деякі ролі не можуть бути встановлені, якщо на сервері не встановлені обов'язкові служби або компоненти, які потрібні для функціонування даних ролей. Тому в момент встановлення таких ролей. Майстер додавання ролей та компонентів» сам, автоматично запропонує Вам встановити потрібні додаткові служби ролей або компоненти.

Опис серверних ролей Windows Server 2016

З багатьма ролями, які є в Windows Server 2016, напевно, Ви вже знайомі, тому що вони існують досить довгий час, але як я вже сказав, з кожною новою версією Windows Server додаються нові ролі, з якими можливо Ви ще не працювали, але хотіли б дізнатися, навіщо вони потрібні, тому давайте розпочинати їх розгляду.

Примітка! Про нові можливості операційної системи Windows Server 2016 можна прочитати у матеріалі «Установка Windows Server 2016 та огляд нових можливостей».

Так як дуже часто установка і адміністрування ролей, служб і компонентів відбувається з використанням Windows PowerShell , я для кожної ролі та її служби вказуватиму назву, яку можна використовувати в PowerShell, відповідно для її установки або для керування.

DHCP-сервер

Ця роль дозволяє централізовано настроювати динамічні IP-адреси та пов'язані з ними параметри комп'ютерів та пристроїв у мережі. У ролі DHCP-сервер немає служб участі.

Назва Windows PowerShell – DHCP.

DNS-сервер

Ця роль призначена для дозволу імен у мережах TCP/IP. Роль DNS-сервер забезпечує та підтримує роботу DNS. Для спрощення керування DNS-сервером його зазвичай встановлюють на тому ж сервері, що й доменні служби Active Directory. У ролі DNS-сервер немає служб участі.

Назва ролі для PowerShell – DNS.

Hyper-V

За допомогою ролі Hyper-V можна створювати віртуалізоване середовище та керувати нею. Іншими словами, це інструмент для створення та управління віртуальними машинами.

Назва ролі для Windows PowerShell – Hyper-V.

Атестація працездатності пристроїв

Роль « » дозволяє оцінювати працездатність пристрою на основі виміряних показників параметрів безпеки, наприклад, показники стану безпечного завантаження та засоби Bitlocker на клієнті.

Для функціонування цієї ролі необхідно чимало служб ролей і компонентів, наприклад: кілька служб із ролі « Веб-сервер (IIS)», компонент « », компонент « Функції .NET Framework 4.6».

Під час встановлення всі необхідні служби ролей та компоненти будуть вибрані автоматично. У ролі « Атестація працездатності пристроїв»Своїх служб ролі немає.

Назва PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Надає надійну, керовану та масштабовану інфраструктуру веб-додатків. Складається із досить великої кількості служб (43).

Назва для Windows PowerShell – Web-Server.

Включає такі ролі ( у дужках я вказуватиму назву для Windows PowerShell):

Веб-сервер (Web-WebServer)– група служб ролі, яка забезпечує підтримку веб-сайтів HTML, розширень ASP.NET, ASP та веб-сервера. Складається з наступних служб:

• Безпека (Web-Security)- Набір служб для безпеки веб-сервера.
  • Фільтрування запитів (Web-Filtering) – за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, та фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб-сервера;
  • IP-адреса та обмеження домену (Web-IP-Security) – ці засоби дозволяють дозволяти або забороняти доступ до вмісту на веб-сервері з урахуванням IP-адреси або імені домену джерела в запиті;
  • Авторизація URL-адреси (Web-Url-Auth) - засоби дозволяють розробляти правила для обмеження доступу до веб-вмісту та пов'язувати їх з користувачами, групами або командами заголовка HTTP;
  • Дайджест-перевірка автентичності (Web-Digest-Auth) – дана автентифікація дозволяє забезпечити більш високий рівень безпеки в порівнянні зі звичайною автентичністю. Дайджест-перевірка для автентифікації користувачів діє за принципом передачі хеша пароля контролеру домену Windows;
  • Звичайна автентифікація (Web-Basic-Auth) - цей метод автентифікації забезпечує надійну сумісність веб-браузера. Рекомендується використовувати у невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі, можна досить просто перехопити і розшифрувати, тому використовуйте цей метод у поєднанні з SSL;
  • Перевірка автентичності Windows (Web-Windows-Auth) – це автентифікація в домені Windows. Іншими словами, Ви можете використовувати облікові записи Active Directory для автентифікації користувачів своїх Web сайтів;
  • Перевірка автентичності зі зіставленням сертифіката клієнта (Web-Client-Auth) – цей спосіб автентичності передбачає використання сертифіката клієнта. Для порівняння сертифікатів цей тип використовує служби Active Directory;
  • Перевірка автентичності зі зіставленням сертифіката клієнта IIS (Web-Cert-Auth) – у цьому методі для автентифікації також використовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують більш високу продуктивність;
  • Централізована підтримка SSL-сертифіката (Web-CertProvider) – ці засоби дозволяє централізовано керувати сертифікатами сервера SSL, що спрощує процес управління цими сертифікатами;
• Справність та діагностика (Web-Health)– набір служб для забезпечення контролю, управління та усунення порушень у роботі веб-серверів, сайтів та додатків:
  • Ведення журналу http (Web-Http-Logging) - гроші забезпечують ведення журналу активності сайту цьому сервері, тобто. запис лога;
  • Веде журнал ODBC (Web-ODBC-Logging) – ці засоби також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності в базі даних, сумісної з ODBC;
  • Монітор запитів (Web-Request-Monitor) – це інструмент, який дозволяє спостерігати за справністю веб-програми, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
  • Настроювання ведення журналу (Web-Custom-Logging) – за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера у форматі, що значно відрізняється від стандартного формату IIS. Іншими словами, Ви можете створити власний модуль ведення журналу;
  • Засоби ведення журналу (Web-Log-Libraries) – це інструменти управління журналами веб-сервера і автоматизації завдань ведення журналу;
  • Трасування (Web-Http-Tracing) – це засіб для діагностування та усунення порушень у роботі веб-додатків.
• Загальні функції http (Web-Common-Http)- Набір служб, які надають основні функціональні можливості HTTP:
  • Документ за промовчанням (Web-Default-Doc) – ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за замовчуванням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресі запиту, завдяки цьому користувачам стає зручніше звертатися до веб-сайту, наприклад, по домену, не вказуючи при цьому файл;
  • Огляд каталогу (Web-Dir-Browsing) – за допомогою цього засобу можна налаштувати веб-сервер так, щоб користувачі могли переглядати список усіх каталогів та файлів на веб-сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресі запиту, документи за замовчуванням або заборонені, або не налаштовані;
  • Помилки http (Web-Http-Errors) – ця можливість дозволяє налаштовувати повідомлення про помилки, які повертатимуться на веб-браузери користувачів у момент виявлення веб-сервером помилки. Цей засіб використовується для зручнішого подання користувачам повідомлень про помилки;
  • Статичний вміст (Web-Static-Content) – цей засіб дозволяє використовувати на веб-сервері контент у вигляді статичних форматів файлів, наприклад HTML файли або файли зображень;
  • Перенаправлення http (Web-Http-Redirect) – за допомогою цієї можливості можна перенаправити запит користувача за конкретним призначенням, тобто. це Redirect;
  • Публікація WebDAV (Web-DAV-Publishing) дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) – це технологія, що дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщувати) над файлами на віддалених веб-серверах, використовуючи при цьому протокол HTTP.
• Продуктивність (Web-Performance)– набір служб для досягнення більш високої продуктивності веб-сервера, за рахунок кешування вихідних даних та загальних механізмів стиснення, таких як Gzip та Deflate:
  • Стиснення статичного вмісту (Web-Stat-Compression) – це засіб для налаштування стиснення статичного вмісту http, воно дозволяє ефективніше використовувати пропускну здатність, причому без зайвого навантаження на ЦП;
  • Стиснення динамічного вмісту (Web-Dyn-Compression) - це засіб налаштування стиснення динамічного вмісту HTTP. Цей засіб забезпечує більш ефективне використання пропускної спроможності, але в даному випадку навантаження на ЦП сервера, пов'язане з динамічним стисненням, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення високе.
• Розробка програм (Web-App-Dev)– набір служб та засобів для розробки та розміщення веб-додатків, іншими словами технології розробки сайтів:
  • ASP (Web-ASP) – середовище підтримки та розробки web сайтів та web додатків з використанням технології ASP. На даний момент існує більш нова та просунута технологія розробки сайтів – ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) - це об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням технології ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням нової версії ASP.NET;
  • CGI (Web-CGI) – це можливість використання CGI передачі веб-сервером інформації у зовнішню програму. CGI - це стандарт інтерфейсу для зв'язку зовнішньої програми з web-сервером. Є недолік, що застосування CGI впливає на продуктивність;
  • Увімкнення на стороні сервера (SSI) (Web-Includes) – це підтримка мови сценаріїв SSI ( включення на стороні сервера), який використовується для динамічного формування сторінок HTML;
  • Ініціалізація додатків (Web-AppInit) – цей засіб виконує завдання ініціалізації web-додатків перед пересиланням веб-сторінки;
  • Протокол WebSocket (Web-WebSockets) - додавання можливості створення серверних програм, які взаємодіють за допомогою протоколу WebSocket. WebSocket - це протокол, який може передавати та приймати одночасно дані між браузером та web сервером поверх TCP-з'єднання, свого роду розширення протоколу HTTP;
  • Розширення ISAPI (Web-ISAPI-Ext) – підтримка динамічної розробки веб-вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI – це API для веб-сервера IIS. Програми ISAPI працюють набагато швидше, ніж файли ASP або файли, що викликають компоненти COM+;
  • Розширюваність.NET 3.5 (Web-Net-Ext) – це засіб розширюваності.NET 3.5, який дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації та в інтерфейсі користувача;
  • Розширюваність.NET 4.6 (Web-Net-Ext45) – це засіб розширюваності.NET 4.6, який також дозволяє змінювати, додавати та розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, у конфігурації та в інтерфейсі користувача;
  • Фільтри ISAPI (Web-ISAPI-Filter) – додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI являють собою програми, які викликаються при отриманні web сервером певного запиту HTTP, що підлягає обробці цим фільтром.

FTP – сервер (Web-Ftp-Server)– служби, які забезпечують підтримку FTP-протоколу. Докладніше про FTP сервер ми говорили в матеріалі – «Встановлення та налаштування FTP сервера на Windows Server 2016». Містить такі служби:

• Служба FTP (Web-Ftp-Service) – додає підтримку протоколу FTP на веб-сервері;
• Розширюваність FTP (Web-Ftp-Ext) – розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як постачальники, користувачі ASP.NET або користувачі диспетчера IIS.

Засоби керування (Web-Mgmt-Tools)– це засоби керування веб-сервером IIS 10. До них можна віднести: інтерфейс користувача IIS, засоби командного рядка і скрипти.

• Консоль керування службами IIS (Web-Mgmt-Console) – це інтерфейс керування службами IIS;
• Набори символів та засоби керування службами IIS (Web-Scripting-Tools) - це засоби та скрипти керування службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації керування;
• Служба керування (Web-Mgmt-Service) – ця служба додає можливість керувати web-сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
• Управління сумісністю з IIS 6 (Web-Mgmt-Compat) - забезпечує сумісність програм та сценаріїв, що використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для керування веб-сервером IIS 10:
  • Метабаза сумісності з IIS 6 (Web-Metabase) - засіб сумісності, який дозволяє запускати додатки та набори символів, перенесені з попередніх версій IIS;
  • Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) – ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для керування IIS 6, IIS 10;
  • Консоль управління службами IIS 6 (Web-Lgcy-Mgmt-Console) - засіб адміністрування віддалених серверів IIS 6.0;
  • Сумісність із WMI IIS 6 (Web-WMI) - це інтерфейси скриптів інструментарію керування Windows (WMI) для програмного контролю та автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного в постачальнику WMI.

Доменні служби Active Directory

Роль « Доменні служби Active Directory» (AD DS) забезпечує розподілену базу даних, яка зберігає та обробляє інформацію про мережеві ресурси. Цю роль використовують для організації елементів мережі, таких як користувачі, комп'ютери та інші пристрої в ієрархічну структуру захисної оболонки. Ієрархічна структура включає ліси, домени в лісі, а також організаційні одиниці (OU) в кожному домені. Сервер, який працює під керуванням AD DS, називається контролером домену.

Назва ролі для Windows PowerShell – AD-Domain-Services.

Режим Windows Server Essentials

Ця роль являє собою комп'ютерну інфраструктуру та надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці та захист цих даних за рахунок резервного копіювання сервера та клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримувати доступ до даних практично з будь-якого пристрою. Для роботи цієї ролі необхідно кілька служб ролей та компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба ролі « Простори імен DFS».

Назва PowerShell – ServerEssentialsRole.

Мережевий контролер

Ця роль з'явилася в Windows Server 2016, вона є єдиною точкою автоматизації для управління, моніторингу та діагностики, фізичної та віртуальної мережевої інфраструктури в центрі обробки даних. За допомогою цієї ролі можна з однієї точки налаштовувати IP-підмережі, VLAN, фізичні мережеві адаптери Hyper-V хостів, управляти віртуальними комутаторами, фізичними маршрутизаторами, налаштуваннями файрвола та VPN-шлюзами.

Назва Windows PowerShell – NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, що дозволяють захищеним вузлам запускати екрановані віртуальні машини. Для функціонування цієї ролі необхідно кілька додаткових ролей та компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « Відмовостійка кластеризація" та інші.

Назва PowerShell – HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

Роль « Служби Active Directory полегшеного доступу до каталогів» (AD LDS) – це полегшена версія AD DS, яка має меншу функціональність, але не вимагає розгортання доменів або контролерів доменів, а також не має залежностей і доменних обмежень, які потрібні для служб AD DS. AD LDS працює за протоколом LDAP ( Lightweight Directory Access Protocol). На одному сервері можна розгорнути кілька екземплярів AD LDS із незалежно керованими схемами.

Назва PowerShell – ADLDS.

Служби MultiPoint

Це також нова роль, яка з'явилася в Windows Server 2016. Служби MultiPoint (MPS) надають базову функціональність віддалених робочих столів, що дозволяє кільком користувачам одночасно незалежно одно від одного працювати на тому самому комп'ютері. Для встановлення та функціонування цієї ролі потрібно встановити кілька додаткових служб та компонентів, наприклад: Сервер друку, службу Windows Search, засіб перегляду XPS та інші, всі вони будуть вибрані автоматично в момент встановлення MPS.

Назва ролі PowerShell – MultiPointServerRole.

Служби Windows Server Update Services

За допомогою цієї ролі (WSUS) системні адміністратори можуть керувати оновленнями Microsoft. Наприклад, створювати окремі групи комп'ютерів для різних наборів оновлень, а також отримувати звіти про відповідність комп'ютерів вимогам та оновленням, які потрібно встановити. Для функціонування « Служби Windows Server Update Services» потрібні такі служби ролей та компоненти як: Веб-сервер (IIS), внутрішня база даних Windows, служба активації процесів Windows.

Назва Windows PowerShell – UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – встановлення в WID ( Windows Internal Database) бази даних, що використовується WSUS. Іншими словами, свої службові дані WSUS зберігатиметься в WID;
• WSUS Services (UpdateServices-Services) – це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленої взаємодії з API, веб-служба клієнта, веб-служба простої автентифікації через Інтернет, служба синхронізація сервера та веб-служба автентифікації DSS;
• SQL Server Connectivity (UpdateServices-DB) – це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних у базі даних Microsoft SQL Server. В даному випадку у Вас вже повинен бути встановлений принаймні один екземпляр SQL Server.

Служби активації корпоративних ліцензій

За допомогою цієї ролі сервера можна автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення від компанії Microsoft, а також дозволяє керувати цими ліцензіями.

Назва PowerShell – VolumeActivation.

Служби друку та документів

Ця роль сервера призначена для надання спільного доступу до принтерів та сканерів у мережі, для централізованого налаштування та управління серверами друку та сканування, а також управління мережевими принтерами та сканерами. Служби друку та документів також дають змогу надсилати відскановані документи електронною поштою, у спільні папки мережі або на веб-сайти Windows SharePoint Services.

Назва PowerShell – Print-Services.

• Сервер друку (Print-Server) – дана служба ролі включає оснастку « Управління печаткою», яка використовується для керування принтерами або серверами друку, а також міграції принтерів та інших серверів друку;
• Друк через Інтернет (Print-Internet) – для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть керувати завданнями друку на сервері. Для роботи цієї служби як Ви знаєте необхідно встановити « Веб-сервер (IIS)». Усі необхідні компоненти будуть обрані автоматично, коли Ви позначите цей пункт під час процесу встановлення служби ролі « Друк через Інтернет»;
• Сервер розподіленого сканування (Print-Scan-Server) – це служба, яка дозволяє приймати відскановані документи з мережевих сканерів та надсилати їх за місцем призначення. Ця служба також містить оснастку « Управління скануванням», яка використовується для керування мережевими сканерами та для налаштування сканування;
• Служба LPD (Print-LPD-Service) – служба LPD ( Line Printer Daemon) дозволяє комп'ютерам на базі UNIX та іншим комп'ютерам, що використовують службу Line Printer Remote (LPR), друкувати на спільних принтерах сервера.

Служби політики мережі та доступу

Роль « » (NPAS) дозволяє за допомогою сервера політики мережі (NPS) задавати та застосовувати політики доступу до мережі, автентифікації та авторизації, а також працездатності клієнта, іншими словами, забезпечувати безпеку мережі.

Назва Windows PowerShell – NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено встановлювати операційну систему Windows через мережу.

Назва ролі PowerShell – WDS.

• Сервер розгортання (WDS-Deployment) – дана служба ролі призначена для віддаленого розгортання та налаштування операційних систем Windows. Вона також дозволяє створювати та налаштовувати образи для повторного використання;
• Транспортний сервер (WDS-Transport) – це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом багатоадресного розсилання на автономному сервері.

Служби сертифікатів Active Directory

Ця роль призначена для створення центрів сертифікації та пов'язаних служб ролей, які дозволяють видавати сертифікати для різних програм та керувати такими сертифікатами.

Назва Windows PowerShell – AD-Certificate.

Включає такі ролі:

• Центр сертифікації (ADCS-Cert-Authority) – за допомогою цієї служби ролі можна видавати сертифікати користувачам, комп'ютерам та службам, а також керувати дійсністю сертифіката;
• Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) – ця служба дозволяє користувачам та комп'ютерам отримувати інформацію про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить до домену. Для її функціонування необхідний Веб-сервер (IIS)»;
• Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) – дана служба дозволяє користувачам та комп'ютерам реєструвати та продовжувати сертифікати за допомогою веб-браузера за протоколом HTTPS, навіть якщо комп'ютер не входить до домену. Для її функціонування також необхідний Веб-сервер (IIS)»;
• Мережевий відповідач (ADCS-Online-Cert) – служба призначена для перевірки відкликання сертифіката для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів і надсилає підписану відповідь, з інформацією про статус. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) – ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити та продовження сертифікатів, отримання списків відгуків сертифікатів та реєстрація сертифікатів смарт-карток. Для функціонування служби необхідний Веб-сервер (IIS)»;
• Служба реєстрації на мережевих пристроях (ADCS-Device-Enrollment) – за допомогою цієї служби можна видавати сертифікати для маршрутизаторів та інших мережних пристроїв, що не мають облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованих на сеансах, та до віддалених програм RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

• Веб-доступ до віддалених робочих столів (RDS-Web-Access) - дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів та програм RemoteApp через меню « Пуск» або за допомогою веб-браузера;
• Ліцензування віддалених робочих столів (RDS-Licensing) - служба призначена для керування ліцензіями, які необхідні для підключення до сервера вузла сеансів віддалених робочих столів або віртуального робочого столу. Її можна використовувати для встановлення, видачі ліцензій та відстеження їхньої доступності. Для роботи цієї служби необхідний Веб-сервер (IIS)»;
• Посередник підключень до віддаленого робочого стола (RDS-Connection-Broker) - служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, додатку RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів робочих столів чи між віртуальними робочими столами у складі пулу. Для роботи цієї служби необхідний компонент « »;
• Вузол віртуалізації віддалених робочих столів (DS-Virtualization) - служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів та програм RemoteApp. Ця служба працює разом із Hyper-V, тобто. дана роль має бути встановлена;
• Вузол сеансів віддалених робочих столів (RDS-RD-Server) – за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і на основі сеансів робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого стола або віддалених програм RemoteApp;
• Шлюз віддалених робочих столів (RDS-Gateway) – служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддалених програм RemoteApp та робочих столів, заснованих на сеансах, в корпоративній мережі або через Інтернет. Для функціонування цієї служби необхідні такі додаткові служби та компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби керування правами Active Directory

Це роль сервера, яка дозволить захистити інформацію від несанкціонованого використання. Вона перевіряє посвідчення користувачів та надає авторизованим користувачам ліцензії на доступ до захищених даних. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Служба активації процесів Windows», « Функції .NET Framework 4.6».

Назва Windows PowerShell – ADRMS.

• Сервер управління правами Active Directory (ADRMS-Server) - основна служба ролі, обов'язкова установки;
• Підтримка федерації посвідчень (ADRMS-Identity) - це додаткова служба ролі, яка дозволяє федеративним посвідченням використовувати захищений вміст за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Ця роль забезпечує спрощені та безпечні можливості федерації посвідчень, а також функцію єдиного входу (SSO) на веб-сайти за допомогою браузера.

Назва PowerShell – ADFS-Federation.

Віддалений доступ

Ця роль забезпечує підключення через DirectAccess, VPN та проксі веб-програми. Також роль « Віддалений доступ» надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес (NAT) та інші параметри підключень. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

• DirectAccess та VPN (RAS) (DirectAccess-VPN) - служба дозволяє користувачам підключатися до корпоративної мережі у будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключення у поєднанні з технологіями тунелювання та шифрування даних;
• Маршрутизація (Routing) - служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережі з протоколами BGP, RIP та маршрутизаторів з підтримкою багатоадресного розсилання (IGMP-проксі);
• Проксі-сервер веб-додатків (Web-Application-Proxy) - служба дозволяє публікувати програми на основі протоколів HTTP та HTTPS із корпоративної мережі на клієнтських пристроях, що знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Це роль сервера, за допомогою якої можна надавати спільний доступ до файлів та папок, керувати спільними ресурсами та контролювати їх, здійснювати реплікацію файлів, забезпечувати швидкий пошук файлів, а також надавати доступ клієнтським комп'ютерам UNIX. Докладніше файлові служби і, зокрема, файловий сервер ми розглядали у матеріалі «Встановлення файлового сервера (File Server) на Windows Server 2016».

Назва Windows PowerShell – FileAndStorage-Services.

Служби зберігання (Storage-Services)– ця служба надає функціональність управління сховищем, яка встановлюється завжди і не може бути видалена.

Файлові служби та служби iSCSI (File-Services)– це технології, які спрощують керування файловими серверами та сховищами, дозволяють заощаджувати місце на диску, забезпечують реплікацію та кешування файлів у філіях, а також надають загальний доступ до файлів за протоколом NFS. Включає такі ролі:

• Файловий сервер (FS-FileServer) – служба ролі, яка керує загальними папками та надає користувачам доступ до файлів на цьому комп'ютері через мережу;
• Дедуплікація даних (FS-Data-Deduplication) – ця служба заощаджує місце на диску за рахунок зберігання на томі лише однієї копії ідентичних даних;
• Диспетчер ресурсів файлового сервера (FS-Resource-Manager) – за допомогою цієї служби можна керувати файлами та папками на файловому сервері, створювати звіти сховища, класифікувати файли та папки, налаштовувати квоти папок та визначати політики блокування файлів;
• Постачальник цільового сховища iSCSI (апаратні постачальники VDS та VSS) (iSCSITarget-VSS-VDS) – служба дозволяє програмам на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
• Простір імен DFS (FS-DFS-Namespace) – за допомогою цієї служби можна групувати спільні папки, розміщені на різних серверах, в один або кілька логічно структурованих просторів імен;
• Робочі папки (FS-SyncShareService) – служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робочі та особисті. У робочих папках можна зберігати файли, синхронізувати їх та отримувати доступ до них з локальної мережі або Інтернету. Для функціонування служби необхідний компонент Внутрішньопроцесне веб-ядро IIS»;
• Реплікація DFS (FS-DFS-Replication) – це модуль реплікації даних між кількома серверами, що дозволяє синхронізувати папки через підключення до локальної чи глобальної мережі. Ця технологія використовує протокол віддаленого стиснення (RDC) для оновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна використовувати як з просторами імен DFS, так і окремо;
• Сервер для NFS (FS-NFS-Service) – служба дозволяє цьому комп'ютеру спільно використовувати файли з комп'ютерами на базі UNIX та іншим комп'ютерам, які використовують протокол мережевої файлової системи (NFS);
• Сервер мети iSCSI (FS-iSCSITarget-Server) – надає служби та засоби керування для цілей iSCSI;
• Служба BranchCache для мережних файлів (FS-BranchCache) – служба забезпечує підтримку BranchCache на цьому файловому сервері;
• Служба агента VSS файлового сервера (FS-VSS-Agent) - служба дозволяє виконувати тіньове копіювання томів для програм, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Роль надсилає та приймає факси, а також дозволяє керувати ресурсами факсу, такими як завдання, параметри, звіти та факсимільні пристрої на цьому комп'ютері або в мережі. Для роботи необхідний Сервер друку».

Назва ролі Windows PowerShell – Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчено, сподіваюся, матеріал був Вам корисний, поки що!

Перед розробкою сокетного сервера необхідно створити сервер політики, який повідомляє Silverlight, яким клієнтам дозволено встановлювати з'єднання з сокетним сервером.

Як було показано вище, Silverlight не дозволяє завантажувати вміст або викликати веб-службу, якщо в домені немає файлу clientaccesspolicy .xml або crossdomain. xml, де ці операції явно дозволені. Аналогічне обмеження надане і на сокетний сервер. Якщо не надати клієнтському пристрою можливість завантажити файл clientaccesspolicy .xml, що дозволяє віддалений доступ, Silverlight відмовиться встановлювати з'єднання.

На жаль, надає файл клієнтськогообліку. cml сокетному додатку - більш складне завдання, ніж його надання через веб-сайт. При використанні веб-сайту програмне забезпечення веб-сервера може надати файл clientaccesspolicy .xml, потрібно лише не забути додати його. У той же час при використанні сокетної програми потрібно відкрити сокет, до якого клієнтські програми можуть звертатися із запитами політики. Крім того, потрібно створити вручну код, що обслуговує сокет. Для вирішення цих завдань потрібно створити сервер політики.

Далі буде показано, що сервер політики працює так само, як сервер повідомлень, він лише обслуговує трохи простіші взаємодії. Сервери повідомлень та політики можна створити окремо або об'єднати в одному додатку. У другому випадку вони мають прослуховувати запити у різних потоках. У цьому прикладі ми створимо сервер політики, а потім об'єднаємо його з сервером повідомлень.

Для створення сервера політики потрібно спочатку створити .NET. Як сервер політики може служити додаток .NET будь-якого типу. Найпростіше застосувати консольну програму. Відладнавши консольну програму, можна перемістити код у службу Windows, щоб він постійно виконувався у фоновому режимі.

Файл політики

Нижче наведено файл політики, який надається сервером політики.

Файл політики визначає три правила.

Дозволяє доступ до всіх портів від 4502 до 4532 (це повний діапазон портів, що підтримуються надбудовою Silverlight). Щоб змінити діапазон доступних портів, потрібно змінити значення атрибута port елемента.

Дозволяє доступ TCP (роздільна здатність визначена в атрибуті protocol елемента).

Дозволяє виклик із будь-якого домену. Отже, програма Silverlight, яка встановлює з'єднання, може хостуватися будь-яким веб-сайтом. Щоб змінити це правило, потрібно відредагувати атрибут uri елемента.

Для полегшення завдання правила політики розміщуються у файлі clientaccess-ploi.cy.xml, що додається до проекту. У Visual Studio параметру Copy to Output Directory (Копіювати у вихідну папку) файлу політики потрібно надати значення Сору Always (Завжди копіювати). повинен лише знайти файл на жорсткому диску, відкрити його і повернути вміст клієнтського пристрою.

Клас PolicyServer

Функціональність сервера політики ґрунтується на двох ключових класах: PolicyServer та PolicyConnection. Клас PolicyServer забезпечує очікування з'єднань. Отримавши з'єднання, він передає керування новим екземпляром класу PoicyConnection, який передає файл політики клієнту. Така процедура, що складається із двох частин, часто зустрічається в мережевому програмуванні. Ви ще не раз побачите її під час роботи з серверами повідомлень.

Клас PolicyServer завантажує файл політики з жорсткого дискаі зберігає їх у полі як масив байтів.

public class PolicyServer

private byte policy;

public PolicyServer(string policyFile) (

Щоб розпочати прослуховування, серверний додаток має викликати метод PolicyServer. Start (). Він створює об'єкт TcpListener, який чекає на запити. Об'єкт TcpListener налаштований на прослуховування порту 943. У Silverlight цей порт зарезервований для серверів політики. При створенні запитів на файли політики програма Silverlight автоматично надсилає їх до порту 943.

private TcpListener listener;

public void Start ()

// Створення об'єкта, що прослуховує

listener = New TcpListener (IPAddress.Any, 943);

// Початок прослуховування; метод Start() повертається II негайно після виклику listener.Start();

// Очікування з'єднання; метод повертається негайно;

II очікування виконується в окремому потоці

Щоб прийняти запропоноване з'єднання, сервер політики викликає метод BeginAcceptTcpClient(). Як і всі методи Beginxxx () інфраструктури.NET, він повертається негайно після виклику, виконуючи необхідні операції в окремому потоці. Для мережних програм це дуже істотний фактор, тому що завдяки йому можлива одночасна обробка багатьох запитів на файли політики.

Примітка. Мережеві програмісти-початківці часто дивуються, як можна обробляти більше одного запиту одночасно, і думають, що для цього потрібно кілька серверів. Однак, це не так. При такому підході клієнтські програми швидко вичерпали доступні порти. На практиці серверні програми обробляють багато запитів через один порт. Цей процес невидимий для програм, тому що вбудована у Windows підсистема TCP автоматично ідентифікує повідомлення та направляє їх у відповідні об'єкти в коді програм. Кожне з'єднання унікально ідентифікується на основі чотирьох параметрів: ІР-адреса клієнта, номер порту клієнта, ІР-адреса сервера та номер порту сервера.

При кожному запиті запускається метод зворотного виклику OnAcceptTcpClient(). Він знову викликає метод BeginAcceptTcpClient, щоб почати очікування наступного запиту в іншому потоці, і після цього починає обробляти поточний запит.

public void OnAcceptTcpClient(IAsyncResult аг) (

if (isStopped) return;

Console.WriteLine("Отриманий запит політики."); // Очікування наступного з'єднання.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

/ / Обробка поточного з'єднання.

TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = New PolicyConnection(client, policy); policyConnection.HandleRequest() ;

catch (Exception err) (

Щоразу після отримання нового з'єднання створюється новий об'єкт PolicyConnection, щоб обробити його. Також об'єкт PolicyConnection обслуговує файл політики.

Останній компонент класу PolicyServer – метод Stop(), який зупиняє очікування запитів. Програма викликає його при завершенні.

private bool isStopped;

public void StopO (

isStopped = true;

Listener. Stop();

catch (Exception err) (

Console.WriteLine(err.Message);

Для запуску сервера політики у методі Main() сервера програми використовується наступний код.

static void Main(string args) (

PolicyServer policyServer = New PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Запущений сервер політики"); Console.WriteLine("Натисніть клавішу Enter для виходу.");

// Очікування натискання кнопки; за допомогою методу // Console.ReadKey() можна задати очікування певного // рядка (наприклад, quit) або натискання будь-якої клавіші Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Завершення сервера політики.");

Клас PolicyConnection

Клас PolicyConnection виконує більш просте завдання. Об'єкт PolicyConnection зберігає посилання на дані файлу політики. Потім, після виклику методу HandleRequest(), об'єкт PolicyConnection витягує з мережевого потоку нове з'єднання та намагається прочитати його. Клієнтський пристрій повинен передати рядок, що містить текст Після читання цього тексту, клієнтський пристрій записує дані політики в потік і закриває з'єднання. Нижче наведено код класу PolicyConnection.

public class PolicyConnection (

private TcpClient client; private byte policy;

public PolicyConnection(TcpClient client, byte policy) (

this.client = client; this.policy = policy;

// Створення запиту клієнта private static string policyRequestString = "

public void HandleRequest () (

Stream s = client.GetStream(); // Читання рядка запиту політики

byte buffer=new byte;

// Очікування виконується лише 5 секунд client.ReceiveTimeout = 5000;

s.Read(buffer, 0, buffer.Length);

// Передача політики (можна також перевірити, чи є //необхідний вміст у запиті політики) s.Write(policy, 0, policy.Length);

// Закриття з'єднання client.Close();

Console.WriteLine("Файл політики обслужений.");

Отже, ми маємо повністю працездатний сервер політики. На жаль, його поки що не можна протестувати, тому що надбудова Silverlight не дозволяє явно вимагати файли політики. Натомість вона автоматично запитує їх при спробі використати сокетну програму. Перед створенням клієнтської програми для цього програмного забезпечення необхідно створити сервер.

Продовження теми:

Нові статті

/

При інсталяції Windows більшість другорядних підсистем не активується або не встановлюється. Це зроблено з причин безпеки. Оскільки система за замовчуванням захищена, системні адміністратори можуть зосередитись на проектуванні системи, яка виконуватиме виключно покладені на неї функції та нічого зайвого. Щоб допомогти при включенні потрібних функцій, Windows пропонує вибрати роль сервера (Server Role).

Ролі

Роль сервера - це набір програм, які при правильному встановленні та налаштуванні дозволяють комп'ютеру виконувати певну функцію для кількох користувачів або інших комп'ютерів у мережі. У загальних випадках всі ролі мають такі характеристики.

• Вони визначають основну функцію, призначення або мету використання комп'ютера. Можна призначити комп'ютер до виконання однієї ролі, яка інтенсивно використовується на підприємстві, або для виконання кількох ролей, якщо кожна з них застосовується лише зрідка.
• Ролі надають користувачам у всій організації доступ до ресурсів, керованих іншими комп'ютерами, такими як веб-сайти, принтери або файли, що зберігаються на різних комп'ютерах.
• Вони зазвичай мають власні бази даних, в яких створюються черги запитів користувача або комп'ютера або записуються відомості про мережевих користувачів та комп'ютерів, що стосуються ролі. Наприклад, служби домену Active Directory містять базу даних для зберігання імен та ієрархічних зв'язків усіх комп'ютерів у мережі.
• Після правильного встановлення та налаштування ролі функціонують автоматично. Це дозволяє комп'ютерам, на яких вони встановлені, виконувати призначені завдання з обмеженою участю користувача.

Служби ролей

Служби ролей – це програми, які забезпечують функціональні можливості участі. Під час встановлення ролі можна вибрати, які послуги вона надає іншим користувачам та комп'ютерам на підприємстві. Деякі ролі, такі як DNS-сервер, виконують лише одну функцію, тому для них немає ролей. Інші ролі, такі як служби віддалених робочих столів, мають кілька служб, які можна встановити залежно від потреб підприємства у віддаленому доступі. Роль можна як сукупність тісно пов'язаних, взаємодоповнюючих служб ролей. Найчастіше установка ролі означає встановлення однієї чи кількох її служб.

Компоненти

Компоненти - це програми, які є безпосередньо частинами ролей, але підтримують чи розширюють функції однієї чи кількох ролей чи цілого сервера незалежно від цього, які ролі встановлені. Наприклад, компонент «Засіб відмови кластерів» розширює функції інших ролей, таких як Файлові служби та DHCP-сервер, дозволяючи їм приєднуватися до серверних кластерів, що забезпечує підвищену надмірність та продуктивність. Інший компонент – «Клієнт Telnet» – забезпечує віддалений зв'язок із сервером Telnet через мережеве підключення. Ця функція розширює можливості зв'язку сервера.

Коли Windows Server працює як основні серверні компоненти, підтримуються такі ролі сервера:

• служби сертифікатів Active Directory;
• доменні служби Active Directory;
• DHCP-сервер;
• DNS-сервер;
• файлові служби (зокрема диспетчер ресурсів файлового сервера);
• служби Active Directory полегшеного доступу до каталогів;
• Hyper-V;
• служби друку та документів;
• служби потокового мультимедіа;
• веб-сервер (зокрема підмножина ASP.NET);
• сервер оновлень Windows Server;
• сервер керування правами Active Directory;
• сервер маршрутизації та віддаленого доступу та наступні підпорядковані ролі:
  • посередник підключень служб віддалених робочих столів;
  • ліцензування;
  • віртуалізація.

Коли Windows Server працює в режимі основних серверних компонентів, підтримуються такі компоненти сервера:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фонова інтелектуальна служба передачі (BITS);
• шифрування диска BitLocker;
• мережеве розблокування BitLocker;
• BranchCache
• міст для центру обробки даних;
• Enhanced Storage;
• відмовостійка кластеризація;
• Multipath I/O;
• балансування мережного навантаження;
• протокол PNRP;
• qWave;
• віддалений різницевий стиск;
• прості служби TCP/IP;
• RPC через HTTP-проксі;
• сервер SMTP;
• служба SNMP;
• клієнт Telnet;
• сервер Telnet;
• клієнт TFTP;
• внутрішня база даних Windows;
• Windows PowerShell Web Access;
• служба активації Windows;
• стандартизоване керування сховищами Windows;
• розширення IIS WinRM;
• WINS-сервер;
• підтримка WoW64.

Встановлення ролей сервера за допомогою Server Manager

Для додавання відкриваємо Server Manager, і в меню Manage тиснемо Add Roles and features:

Відкриється майстер додавання ролей та компонентів. Тиснемо Next

Installation Type, вибираємо Role-based або feature-based installation. Next:

Server Selection – вибираємо наш сервер. Тиснемо Next Server Roles - Виберіть ролі, якщо необхідно, виберіть служби ролей і натисніть кнопку Next, щоб вибрати компоненти. Під час цієї процедури Майстер додавання ролей і компонентів автоматично інформує про конфлікти на кінцевому сервері, які можуть завадити встановленню або нормальній роботі вибраних ролей або компонентів. З'являється також запит на додавання ролей, служб ролей та компонентів, необхідних для вибраних ролей або компонентів.

Встановлення ролей за допомогою PowerShell

Відкриваємо Windows PowerShell Вводимо команду Get-WindowsFeature, щоб переглянути список доступних та встановлених ролей та компонентів на локальному сервері. Результати виконання цього командлета містять імена команд для ролей та компонентів, встановлених та доступних для встановлення.

Введіть Get-Help Install-WindowsFeature, щоб переглянути синтаксис та допустимі параметри командлета Install-WindowsFeature (MAN).

Вводимо наступну команду (-Restart перезавантажить сервер, якщо під час встановлення ролі потрібно перезавантаження).

Install-WindowsFeature -Name -Restart

Опис ролей та служб ролей

Нижче описані всі ролі та служби ролей. Розширене налаштування подивимося для Web Role і Remote Desktop Services, що найчастіше зустрічаються в нашій практиці.

Детальний опис IIS

• Common HTTP Features - Основні HTTP компоненти
  • Default Document – ​​дозволяє встановлювати індексну сторінку у сайту.
  • Directory Browsing – дозволяє користувачам бачити вміст каталогу на веб-сервері. Використовуйте Directory Browsing для того, щоб автоматично згенерувати список усіх каталогів та файлів, наявних у каталозі, коли користувачі не вказують файл в URL-адресі та індексна сторінка вимкнена або не налаштована
  • HTTP Errors - дозволяє настроїти повідомлення про помилки, що повертаються клієнтам у браузері.
  • Static Content - дозволяє розміщувати статичний контент, наприклад картинки або html-файли.
  • HTTP Redirection – забезпечує підтримку перенаправлення запитів користувачів.
  • WebDAV Publishing дозволяє публікувати файли із веб-сервера за допомогою протоколу HTTP.
• Health and Diagnostics Features - Компоненти діагностики
  • HTTP Logging забезпечує ведення журналу активності веб-сайту для цього сервера.
  • Custom Logging забезпечує підтримку створення кастомних логів, які відрізняються від традиційних журналів.
  • Logging Tools забезпечує інфраструктуру для керування журналами веб-сервера та автоматизації загальних завдань ведення журналу.
  • ODBC Logging забезпечує інфраструктуру, яка підтримує ведення журналу активності веб-сервера в ODBC-сумісній базі даних.
  • Request Monitor надає інфраструктуру для моніторингу стану веб-застосунків шляхом збору інформації про HTTP-запити в робочому процесі IIS.
  • Tracing надає інфраструктуру для діагностики та усунення несправностей веб-застосунків. При використанні трасування невдалих запитів, ви можете відстежити події, що важко фіксуються, такі як погана продуктивність або збої аутентифікації.
• Performance компоненти для збільшення продуктивності веб-сервера.
  • Static Content Compression надає інфраструктуру для налаштування статистичного вмісту HTTP.
  • Dynamic Content Compression надає інфраструктуру для налаштування HTTP-стиснення динамічного вмісту.
• Security компоненти безпеки
  • Request Filtering дозволяє фіксувати всі запити та фільтрувати їх на підставі правил, встановлених адміністратором.
  • Basic Authentication дозволяє встановити додаткову авторизацію
  • Centralized SSL Certificate Support – це функція, яка дозволяє зберігати сертифікати в централізованому місці як загальний файловий ресурс.
  • Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів.
  • Digest Authentication працює шляхом відправки хеша пароля до контролера домену Windows, для аутентифікації користувачів. Якщо вам необхідно більш високий рівень безпеки в порівнянні зі звичайною автентифікацією, розгляньте питання про використання автентичності Digest
  • IIS Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів. Сертифікат клієнта є цифровий ID, отриманий з надійного джерела.
  • IP and Domain Restrictions дозволяє дозволяти/забороняти доступ на основі запитуваної IP-адреси або доменного імені.
  • URL Authorization дозволяє створювати правила, що обмежують доступ до веб-контенту.
  • Windows Authentication Ця схема автентифікації дозволяє адміністраторам домену Windows користуватися перевагами доменної інфраструктури для автентифікації користувачів.
• Application Development Features компоненти розробки програм
• FTP Server
  • FTP Service Включає публікації FTP на веб-сервері.
  • FTP Extensibility Включає підтримку функцій FTP, що розширюють можливості
• Management Tools інструменти управління
  • IIS Management Console встановлює диспетчер IIS, який дозволяє керувати веб-сервером через графічний інтерфейс
  • IIS 6.0 Management Compatibility забезпечує пряму сумісність для програм та сценаріїв, які використовують Admin Base Object (ABO) та інтерфейсу служби каталогів (ADSI) API Active Directory. Це дозволяє використовувати існуючі сценарії IIS 6.0 веб-сервером IIS 8.0
  • IIS Management Scripts and Tools надають інфраструктуру для керування веб-сервером IIS програмно, за допомогою команд у вікні командного рядка або за допомогою запуску сценаріїв.
  • Management Service надає інфраструктуру для налаштування інтерфейсу користувача диспетчера IIS.

Детальний опис RDS

• Remote Desktop Connection Broker - Забезпечує повторне підключення клієнтського пристрою до програм на основі сеансів настільних комп'ютерів та віртуальних робочих столів.
• Remote Desktop Gateway - Дозволяє авторизованим користувачам підключатися до віртуальних робочих столів, програм RemoteApp та заснованих на сесіях робочих столів у корпоративній мережі або через Інтернет.
• Remote Desktop Licensing - Засіб керування ліцензіями RDP
• Remote Desktop Session Host – Включає сервер для розміщення програм RemoteApp або сеансу на основі робочих столів.
• Remote Desktop Virtualization Host – дозволяє налаштовувати RDP на віртуальних машинах
• Remote Desktop WebAccess - Дозволяє користувачам підключатися до ресурсів робочого стола за допомогою меню Пуск або веб-браузера.

Розглянемо встановлення та настроювання сервера термінальних ліцензій. Вище розказано як встановлювати ролі, установка RDS не відрізняється від інсталяції інших ролей, у Role Services нам потрібно буде вибрати Remote Desktop Licensing та Remote Desktop Session Host. Після інсталяції в Server Manager-Tools з'явиться пункт Terminal Services. Terminal Services має два пункти RD Licensing Diagnoser, це засіб діагностики роботи ліцензування віддалених робочих столів, і Remote Desktop Licensing Manager, це засіб управління ліцензіями.

Запустимо RD Licensing Diagnoser

Тут ми бачимо, що доступних ліцензій поки що немає, тому що не встановлено режим ліцензування для сервера вузла сеансів віддалених робочих столів. Сервер ліцензування вказується у локальних групових політиках. Для запуску редактора виконаємо команду gpedit.msc. Відкриється редактор локальної групової політики. У дереві зліва розкриємо вкладки:

• "Конфігурація комп'ютера" (Computer Configuration)
• "Адміністративні шаблони" (Administrative Templates)
• Компоненти Windows (Windows Components)
• "Служби віддалених робочих столів" (Remote Desktop Services)
• "Вузол сеансів віддалених робочих столів" (Remote Desktop Session Host)
• Ліцензування (Licensing)

Відкриємо параметри Use the specified Remote Desktop license servers

У вікні редагування параметрів політики включаємо сервер ліцензування (Enabled). Потім потрібно визначити сервер ліцензування для служби віддалених робочих столів. У моєму прикладі сервер ліцензування знаходиться на тому самому фізичному сервері. Вказуємо мережеве ім'я або IP-адресу сервера ліцензій та натискаємо OK. Якщо надалі змінюватиметься ім'я сервера, сервер ліцензій, потрібно змінити цей же розділ.

Після цього в RD Licensing Diagnoser можна побачити, що сервер термінальних ліцензій налаштований, але не увімкнено. Для увімкнення запускаємо Remote Desktop Licensing Manager

Вибираємо сервер ліцензування, зі статусом Not Activated. Для активації клацаємо по ньому правою кнопкою миші та вибираємо Activate Server. Запуститься Майстер активації сервера. На вкладці Connection Method вибираємо Automatic Connection. Далі заповнюємо інформацію про організацію, після чого сервер ліцензій активовано.

Active Directory Certificate Services

Служби AD CS надають послуги з видачі цифрових сертифікатів, що використовуються в системах безпеки ПЗ, що застосовують технології відкритих ключів, та з управління цими сертифікатами. Цифрові сертифікати, що надаються AD CS, можна використовувати для шифрування та цифрового підписування електронних документів та повідомлень. Ці цифрові сертифікати можна використовувати для перевірки в мережі справжності облікових записів комп'ютерів, користувачів та пристроїв.

• конфіденційності за допомогою шифрування;
• цілісності за допомогою цифрових підписів;
• автентифікації за допомогою прив'язування ключів сертифіката до облікових записів комп'ютерів, користувачів та пристроїв у мережі.

AD CS можна використовувати для підвищення безпеки шляхом прив'язки посвідчення користувача, пристрою або служби до відповідного закритого ключа. До застосувань, підтримуваних AD CS, входять безпечні багатоцільові розширення стандарту пошти Інтернету (S/MIME), захищені бездротові мережі, віртуальні приватні мережі (VPN), протокол IPsec, шифрована файлова система (EFS), вхід за допомогою смарт-карток, протокол безпеки передачі даних та протокол безпеки транспортного рівня (SSL/TLS) та цифрові підписи.

Active Directory Domain Services

Використовуючи роль сервера доменних служб Active Directory (AD DS), можна створити масштабовану, безпечну та керовану інфраструктуру для керування користувачами та ресурсами; Крім того, можна забезпечити роботу програм, які підтримують каталоги, наприклад Microsoft Exchange Server. Доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережні ресурси та дані додатків з підтримкою каталогів, а також здійснюється керування цією інформацією. Сервер, на якому виконуються AD DS, називається контролером домену. Адміністратори можуть використовувати AD DS для впорядкування ієрархічної вкладеної структури таких елементів мережі, як користувачі, комп'ютери та інші пристрої. Ієрархічна вкладена структура включає ліс Active Directory, домени у лісі та організаційні підрозділи у кожному домені. Засоби безпеки інтегровані в AD DS у вигляді автентичності та контролю доступу до ресурсів у каталозі. За допомогою єдиного входу в мережу адміністратори можуть управляти мережею даними каталогу та організацією. Авторизовані користувачі мережі також можуть використовувати єдиний вхід до мережі для доступу до ресурсів, розташованих у будь-якому місці мережі. Доменні служби Active Directory надають такі додаткові можливості.

• Набір правил - схема, що визначає класи об'єктів та атрибути, що містяться в каталозі, обмеження та межі для екземплярів цих об'єктів, а також формат їх імен.
• Глобальний каталог, який містить відомості про кожен об'єкт у каталозі. Користувачі та адміністратори можуть використовувати глобальний каталог для пошуку даних каталогу незалежно від того, який домен у каталозі дійсно містить дані, що шукаються.
• Механізм запитів та індексування, завдяки якому об'єкти та їх властивості можуть публікуватися та знаходитися мережними користувачами та додатками.
• Служба реплікації, яка розподіляє дані каталогу через мережу. Всі контролери домену, доступні для запису в домені, беруть участь у реплікації та містять повну копію всіх даних каталогу для свого домену. Будь-які зміни даних каталогу реплікуються в домені на всі контролери домену.
• Ролі господарів операцій (відомі також як гнучкі операції з єдиним господарем, або FSMO). Контролери доменів, що виконують ролі господарів операцій, призначені для виконання спеціальних завдань із забезпечення узгодженості даних та виключення конфліктуючих записів у каталозі.

Active Directory Federation Services

AD FS надають кінцевим користувачам, яким потрібний доступ до програм на захищеному за допомогою AD FS підприємстві, у партнерських організаціях федерації або у хмарі, можливості спрощеної та безпечної федерації посвідчень та веб-служби єдиного входу (SSO) У Windows Server AD FS включають службу ролі служби федерації, що діє як постачальник посвідчень (виконує автентифікацію користувачів для надання маркерів безпеки для додатків, що довіряють AD FS) або як постачальник федерації (застосовує маркери від інших постачальників посвідчень і надає маркери безпеки для додатків, що довіряють AD FS).

Active Directory Lightweight Directory Services

Служби Active Directory полегшеного доступу до каталогів (AD LDS) - це протокол LDAP, який забезпечує гнучку підтримку програм, що працюють із каталогами, без залежностей та пов'язаних із доменами обмежень доменних служб Active Directory. AD LDS можна запускати на рядових або ізольованих серверах. На одному сервері можна запустити кілька екземплярів AD LDS із незалежно керованими схемами. За допомогою ролі AD LDS можна надати служби каталогів для додатків з підтримкою каталогів, не використовуючи службові дані доменів і лісів і не вимагаючи єдиної схеми для всього лісу.

Active Directory Rights Management Services

Служби AD RMS можна використовувати, щоб розширити безпеку в організації, забезпечивши захист документів за допомогою управління правами на доступ до даних (IRM). AD RMS дозволяє користувачам та адміністраторам призначати дозволи доступу до документів, робочих книг та презентацій за допомогою політик IRM. Це дозволяє захистити конфіденційну інформацію від друку, надсилання або копіювання користувачами, які не мають на це прав. Після того, як дозволи для файлу обмежені за допомогою IRM, обмеження доступу та використання застосовуються незалежно від розташування інформації, оскільки дозвіл для файлу зберігається в самому файлі документа. За допомогою AD RMS та IRM окремі користувачі можуть застосовувати свої особисті налаштування щодо передачі особистих та конфіденційних відомостей. Вони також допоможуть організації застосовувати корпоративну політику для управління використанням та розповсюдженням конфіденційних та особистих відомостей. Рішення IRM, які підтримує AD RMS, використовуються для забезпечення наступних можливостей.

• Постійні політики використання, які залишаються з інформацією незалежно від її переміщення, надсилання або пересилання.
• Додатковий рівень конфіденційності для захисту конфіденційних даних – наприклад, звітів, специфікацій продуктів, відомостей про клієнтів та повідомлень електронної пошти – від навмисного або випадкового влучення в чужі руки.
• Запобігання несанкціонованому пересиланню, копіювання, зміни, друку, передачі факсом або вставки обмежуваного вмісту авторизованими одержувачами.
• Запобігання копіюванню обмежуваного вмісту за допомогою функції PRINT SCREEN у Microsoft Windows.
• Підтримка терміну дії файлу, що запобігає перегляду вмісту документів після закінчення заданого періоду часу.
• Впровадження корпоративних політик, що управляють використанням та розповсюдженням вмісту в організації

Application Server

Сервер програм надає інтегроване середовище для розгортання та виконання власних бізнес-додатків на базі сервера.

DHCP Server

DHCP - це технологія "клієнт-сервер", за допомогою якої DHCP-сервери можуть призначати або здавати в оренду IP-адреси комп'ютерам та іншим пристроям, що є DHCP-клієнтами. на базі IPv4 та IPv6 дійсних IP-адрес та додаткових конфігураційних параметрів, необхідних даним клієнтам та пристроям. Служба DHCP-сервера в Windows Server включає підтримку заснованих на політиці призначень та обробку відмов протоколу DHCP.

DNS Server

Служба DNS - це ієрархічна розподілена база даних, що містить зіставлення доменних імен DNS з різними типами даних, як-от IP-адреси. Служба DNS дозволяє використовувати імена, такі як www.microsoft.com, для полегшення знаходження комп'ютерів та інших ресурсів у мережах, що працюють на базі протоколу TCP/IP. Служба DNS у Windows Server забезпечує додаткову покращену підтримку Модулей безпеки DNS (DNSSEC), включаючи реєстрацію в мережі та автоматизоване керування параметрами.

FAX Server

Факс-сервер надсилає та отримує факси, а також дає можливість керувати ресурсами факсу, такими як завдання, налаштування, звіти та факс-пристрої на факс-сервері.

File and Storage Services

Адміністратори можуть використовувати роль "Файлові служби та служби сховища" для налаштування декількох файлових серверів та їх сховищ, а також для керування цими серверами за допомогою диспетчера серверів або Windows PowerShell. Деякі конкретні програми включають такі функції.

• Робочі папки. Використовувати, щоб дозволити користувачам зберігання робочих файлів та доступ до них на особистих комп'ютерах та пристроях, крім корпоративних ПК. Користувачі отримують зручне місце для зберігання робочих файлів та доступу до них із будь-якого місця. Організації контролюють корпоративні дані, зберігаючи файли на централізовано керованих файлових серверах і за потреби задаючи політики пристроїв користувачів (такі як шифрування та паролі блокування екрана).
• Дедуплікація даних. Використовувати для зниження вимог до місця на диску для зберігання файлів, заощаджуючи кошти на сховищі.
• Сервер мети iSCSI. Використовувати для створення централізованих, програмних та апаратно-незалежних дискових підсистем iSCSI у мережах зберігання даних (SAN).
• Дисковий простір. Використовувати для розгортання сховища з високим рівнем доступності, відмовостійким та масштабованим за рахунок застосування економічних стандартизованих у галузі дисків.
• Диспетчер серверів. Використовувати для віддаленого керування кількома файловими серверами одного вікна.
• Windows PowerShell. Використовувати для автоматизації керування більшістю завдань адміністрування файлових серверів.

Hyper-V

Роль Hyper-V дозволяє створювати віртуалізоване обчислювальне середовище за допомогою технології віртуалізації, вбудованої в Windows Server, та керувати нею. Під час встановлення ролі Hyper-V виконується встановлення необхідних компонентів, а також необов'язкових засобів керування. До необхідних компонентів є низькорівнева оболонка Windows, служба керування віртуальними машинами Hyper-V, постачальник віртуалізації WMI та компоненти віртуалізації, такі як шина VMbus, постачальник служби віртуалізації (VSP) та драйвер віртуальної інфраструктури (VID).

Network Policy and Access Services

Служби мережі та доступу надають такі рішення для підключення до мережі:

• Захист доступу до мережі – це технологія створення, примусового застосування та виправлення політик працездатності клієнта. За допомогою захисту доступу до мережі системні адміністратори можуть встановлювати та автоматично застосовувати політики працездатності, які включають вимоги до програмного забезпечення, оновлень для системи безпеки та інші параметри. Для клієнтських комп'ютерів, які не відповідають вимогам політики працездатності, можна обмежити доступ до мережі, доки їх конфігурація не буде оновлена ​​відповідно до вимог політики.
• Якщо розгорнуті точки бездротового доступу з підтримкою 802.1X, ви можете використовувати сервер політики мережі (NPS) для розгортання методів автентифікації на основі сертифікатів, які є більш безпечними, ніж автентифікація на основі паролів. Розгортання обладнання з підтримкою 802.1X із сервером NPS дозволяє забезпечити автентифікацію користувачів інтрамережі до того, як вони зможуть підключитися до мережі або отримати IP-адресу від DHCP-сервера.
• Замість того, щоб налаштовувати політику доступу до мережі на кожному сервері доступу до мережі, можна централізовано створити всі політики, в яких будуть визначені всі аспекти запитів на підключення до мережі (хто може підключатися, коли дозволено підключення, рівень безпеки, який необхідно використовувати для підключення до мережі ).

Print and Document Services

Служби друку та документів дозволяють централізувати завдання сервера друку та мережевого принтера. Ця роль також дозволяє отримувати відскановані документи з мережевих сканерів і передавати документи в загальні мережеві ресурси - на веб-сайті Windows SharePoint Services або електронною поштою.

Remote Access

Роль сервера віддаленого доступу є логічною групою наступних технологій мережного доступу.

• DirectAccess
• Маршрутизація та віддалений доступ
• Проксі-сервер веб-програми

Ці технології є службами ролейролі сервера віддаленого доступу. Під час встановлення ролі сервера віддаленого доступу можна встановити одну або кілька служб ролей, запустивши майстер додавання ролей та компонентів.

У Windows Server роль сервера віддаленого доступу забезпечує можливість централізованого адміністрування, налаштування та спостереження за службами віддаленого доступу DirectAccess та VPN зі службою маршрутизації та віддаленого доступу (RRAS). DirectAccess і RRAS можна розвернути на одному прикордонному сервері та керувати ними за допомогою команд Windows PowerShell та консолі керування (MMC) віддаленого доступу.

Remote Desktop Services

Служби віддалених робочих столів прискорюють та розширюють розгортання робочих столів та додатків на будь-якому пристрої, підвищуючи ефективність віддаленого працівника, одночасно забезпечуючи безпеку критично важливої ​​інтелектуальної власності та спрощуючи відповідність нормативним вимогам. Служби віддалених робочих столів включають інфраструктуру віртуальних робочих столів (VDI), робочі столи на основі сеансів та програми, надаючи користувачам можливість працювати будь-де.

Volume Activation Services

Служби активації корпоративних ліцензій - це роль сервера в Windows Server починаючи з Windows Server 2012, яка дозволяє автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення Microsoft, а також керування такими ліцензіями у різних сценаріях та середовищах. Поряд із службами активації корпоративних ліцензій можна встановити та настроїти службу керування ключами (KMS) та активацію за допомогою Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) у Windows Server забезпечує платформу для розміщення веб-вузлів, служб та програм. Використання веб-сервера забезпечує доступ до інформації користувачам в Інтернеті, інтрамережі та екстрамережі. Адміністратори можуть використовувати роль веб-сервера (IIS) для налаштування та керування кількома веб-сайтами, веб-застосунками та FTP-сайтами. До спеціальних можливостей входять такі.

• Використання диспетчера IIS для налаштування компонентів IIS та адміністрування веб-сайтів.
• Використання протоколу FTP для дозволу власникам веб-сайтів надсилати та завантажувати файли.
• Використання ізоляції веб-сайтів для запобігання впливу одного веб-сайту на сервер на інші.
• Налаштування веб-застосунків, розроблених з використанням різних технологій, таких як Classic ASP, ASP.NET і PHP.
• Використання Windows PowerShell для автоматичного керування здебільшого завдань адміністрування веб-сервера.
• Об'єднання кількох веб-серверів у ферму серверів, якою можна керувати за допомогою IIS.

Windows Deployment Services

Служби розгортання Windows дозволяють розгортати операційні системи Windows через мережу, що означає можливість не встановлювати кожну операційну систему безпосередньо з компакт- або DVD-диска.

Windows Server Essentials Experience

Ця роль дозволяє вирішувати такі завдання:

• захищати дані сервера та клієнтів, створюючи резервні копії сервера та всіх клієнтських комп'ютерів у мережі;
• керувати користувачами та групами користувачів через спрощену панель моніторингу сервера. Крім того, інтеграція з Windows Azure Active Directory забезпечує користувачам простий доступ до інтернет-служб Microsoft Online Services (наприклад, Office 365, Exchange Online і SharePoint Online) за допомогою їх облікових даних домену;
• зберігати дані підприємства у централізованому місці;
• інтегрувати сервер з інтернет-службами Microsoft Online Services (наприклад, Office 365, Exchange Online, SharePoint Online та Windows Intune):
• використовувати на сервері функції повсюдного доступу (наприклад, віддалений веб-доступ та віртуальні приватні мережі) для доступу до сервера, комп'ютерів мережі та даних із віддалених розташування з високим ступенем безпеки;
• отримувати доступ до даних з будь-якого місця та з будь-якого пристрою за допомогою власного веб-порталу організації (за допомогою віддаленого веб-доступу);
• керувати мобільними пристроями, з яких здійснюється доступ до електронної пошти організації за допомогою Office 365 через протокол Active Sync, з панелі моніторингу;
• відстежувати працездатність мережі та отримувати звіти про працездатність, що настроюються; звіти можна створювати на вимогу, налаштовувати та надсилати електронною поштою певним одержувачам.

Windows Server Update Services

Сервер WSUS надає компоненти, які необхідні адміністраторам для керування оновленнями та їх розповсюдження через консоль керування. Крім того, сервер WSUS може бути джерелом оновлень інших серверів WSUS в організації. У разі реалізації служб WSUS хоча б один сервер служб WSUS в мережі має бути підключений до Центру оновлення Майкрософт для отримання інформації про доступні оновлення. Залежно від безпеки та конфігурації мережі, адміністратор може визначити, скільки інших серверів безпосередньо підключено до Центру оновлення Майкрософт.

Планшети