Дайте докладний опис політики сервера. Робота з групами адміністрування та маршрутизації. Служби активації корпоративних ліцензій Команда GPResult: діагностика результуючих групових політик Додаткові параметри безпеки політ

Утиліта GPResult.exe– являє собою консольний додаток, призначений для аналізу налаштувань та діагностики групових політик, які застосовуються до комп'ютера та/або користувача в домені Active Directory. Зокрема, GPResult дозволяє отримати дані результуючого набору політик (Resultant Set of Policy, RSOP), список застосованих доменних політик (GPO), їх налаштування та детальну інформаціюпро помилки їх обробки. Утиліта входить до складу ОС Windows, починаючи з часів Windows XP. Утиліта GPResult дозволяє відповісти на такі питання: чи застосовується конкретна політика до комп'ютера, яка саме GPO змінила те чи інше налаштування Windows, розібратися з причинами.

У цій статті ми розглянемо особливості використання команди GPResult для діагностування роботи та налагодження застосування групових політик у домені Active Directory.

Спочатку для діагностики застосування групових політик у Windows використовувалася графічна консоль RSOP.msc, яка дозволяла отримати налаштування результуючих політик (доменних + локальних), застосовані до комп'ютера та користувача в графічному вигляді аналогічному консолі редактора GPO (нижче на прикладі представлення консолі RSOP.msc видно, що установки оновлень задані ).

Проте, консоль RSOP.msc у сучасних версіях Windows використовувати недоцільно, тому що. вона не відображає налаштування, застосовані різними розширеннями групових політик (CSE), наприклад GPP (Group Policy Preferences), не дозволяє виконувати пошук, надає мало діагностичної інформації. Тому зараз команда GPResult є основним засобом діагностики застосування GPO в Windows (у Windows 10 навіть з'являється попередження, що RSOP не дає повний звіт на відміну від GPResult).

Використання утиліти GPResult.exe

Команда GPResult виконується на комп'ютері, де потрібно перевірити застосування групових політик. Команда GPResult має наступний синтаксис:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Щоб отримати детальну інформацію про групові політики, які застосовуються до даного об'єкта AD (користувача та комп'ютера), та інші параметри, що стосуються інфраструктури GPO (тобто результуючі налаштування політик GPO – RsoP), виконайте команду:

Результати виконання команди розділені на 2 секції:

COMPUTER SETTINGS (Конфігурація комп'ютера) – розділ містить інформацію про об'єкти GPO, що діють на комп'ютер (як Active Directory);
USER SETTINGS - Політик користувача (політики, що діють на обліковий запискористувача в AD).

Коротко пробіжимося за основними параметрами/розділами, які можуть зацікавити виведення GPResult:

SiteName(Ім'я сайту:)– ім'я сайту AD, в якому знаходиться комп'ютер;
CN– повне канонічне користувача/комп'ютера, для якого було згенеровано дані RSoP;
LasttimeGroupPolicywasapplied(Останнє застосування групової політики) - час, коли останній раз застосовувалися групові політики;
GroupPolicywasappliedfrom(Групова політика була застосована з) - контролер домену, з якого була завантажена остання версія GPO;
DomainNameта DomainType(Ім'я домену, тип домену) – ім'я та версія схеми домену Active Directory;
AppliedGroupPolicyObjects(Застосовані об'єкти групової політики)- Списки діючих об'єктів групової політики;
ThefollowingGPOsбулиnotappliedbecauseвонибулиfilteredout(Наступні політики GPO не були застосовані, оскільки вони відфільтровані) - не застосовані (відфільтровані) GPO;
Theuser/computerisapartofthefollowingsecuritygroups(Користувач/комп'ютер є членом наступних груп безпеки) – доменні групи, в яких є користувач.

У прикладі видно, що у об'єкт користувача діють 4 групові політики.

Default Domain Policy;
Enable Windows Firewall;
DNS Suffix Search List;

Якщо ви не хочете, щоб в консоль одночасно виводилася інформація і про політиків користувача і про політиків комп'ютера, ви можете за допомогою опції /scope вивести тільки розділ, що вас цікавить. Тільки результуючі політики користувача:

gpresult /r /scope:user

або тільки застосовані політики комп'ютера:

gpresult /r /scope:computer

Т.к. утиліта Gpresult виводить свої дані безпосередньо в консоль командного рядка, що не завжди зручно для подальшого аналізу, її висновок можна перенаправити в буфер обміну:

Gpresult /r |clip

або текстовий файл:

Gpresult /r > c:\gpresult.txt

Щоб вивести над детальну інформацію RSOP, потрібно додати ключ /z.

HTML звіт RSOP за допомогою GPResult

Крім того, утиліта GPResult може згенерувати HTML-звіт щодо застосованих результуючих політик (доступно в Windows 7 і вище). У цьому звіті буде міститься докладна інформація про всі параметри системи, які задаються груповими політиками та іменами конкретних GPO, які їх задали (звіт по структурі нагадує вкладку Settings в консолі управління доменними груповими політиками – GPMC). Згенерувати HTML звіт GPResult можна за допомогою команди:

GPResult /h c:\gp-report\report.html /f

Щоб згенерувати звіт та автоматично відкрити його у браузері, виконайте команду:

GPResult /h GPResult.html & GPResult.html

У HTML звіті gpresult міститься досить багато корисної інформації: видно помилки застосування GPO, час обробки (в мс.) та застосування конкретних політик та CSE (у розділі Computer Details -> Component Status). Наприклад, на скріншоті вище видно, що політика з налаштуваннями 24 passwords remember застосована політикою Default Domain Policy (стовпчик Winning GPO). Як ви бачите, такий звіт HTML набагато зручніший для аналізу застосованих політик, ніж консоль rsop.msc.

Отримання даних GPResult з віддаленого комп'ютера

GPResult може зібрати дані з віддаленого комп'ютера, позбавляючи адміністратора від необхідності локального або RDP входу на віддалений комп'ютер. Формат команди збору даних RSOP з віддаленого комп'ютера такий:

GPResult /s server-ts1 /r

Аналогічним чином ви можете віддалено зібрати дані як за політиками користувача, так і за політиками комп'ютера.

Користувач username не має даних RSOP

При включеному UAC запуск GPResult без підвищених привілеїв виводить параметри лише розділу користувача групових політик. Якщо потрібно одночасно відобразити обидва розділи (USER SETTINGS та COMPUTER SETTINGS), команду потрібно запускати . Якщо командний рядок із підвищеними привілеями відмінною від поточного користувача системи, утиліта видасть попередження INFO: Theuser“domain\user” doesnothaveRSOPdata (Користувач "domain\user" не має даних (RSOP). Це тому, що GPResult намагається зібрати інформацію користувача, її запустив, але т.к. цей користувач не виконав вхід (logon) у систему, інформація RSOP для нього відсутня. Щоб зібрати інформацію RSOP щодо користувача з активною сесією, потрібно вказати його обліковий запис:

gpresult /r /user:tn\edward

Якщо ви не знаєте ім'я врахованого запису, залогіненого на віддаленому комп'ютері, обліковий запис можна отримати так:

qwinsta /SERVER:remotePC1

Також перевірте час (і) на клієнта. Час повинен відповідати часу PDC (Primary Domain Controller).

Наступні політики GPO не були застосовані, оскільки вони відфільтровані

При траблшутинг групових політик варто також звертати увагу на секцію: Наступні політики GPO не були застосовані, так як вони відфільтровані. Ця секція відображає список GPO, які з тієї чи іншої причини не застосовуються до цього об'єкта. Можливі варіанти, за якими політика може не застосовуватись:

Також ви можете зрозуміти, чи повинна застосовуватися політика до конкретного об'єкта AD на вкладці ефективних дозволів (Advanced -> Effective Access).

Отже, у цій статті ми розглянули особливості діагностики застосування групових політик за допомогою утиліти GPResult та розглянули типові сценарії її використання.

При інсталяції Windows більшість другорядних підсистем не активується або не встановлюється. Це зроблено з причин безпеки. Оскільки система за замовчуванням захищена, системні адміністратори можуть зосередитись на проектуванні системи, яка виконуватиме виключно покладені на неї функції та нічого зайвого. Щоб допомогти при включенні потрібних функцій, Windows пропонує вибрати роль сервера (Server Role).

Ролі

Роль сервера - це набір програм, які при правильному встановленні та налаштуванні дозволяють комп'ютеру виконувати певну функцію для кількох користувачів або інших комп'ютерів у мережі. У загальних випадках всі ролі мають такі характеристики.

Вони визначають основну функцію, призначення або мету використання комп'ютера. Можна призначити комп'ютер до виконання однієї ролі, яка інтенсивно використовується на підприємстві, або для виконання кількох ролей, якщо кожна з них застосовується лише зрідка.
Ролі надають користувачам у всій організації доступ до ресурсів, які керуються іншими комп'ютерами, такими як веб-сайти, принтери або файли, що зберігаються на різних комп'ютерах.
Вони зазвичай мають власні бази даних, в яких створюються черги запитів користувача або комп'ютера або записуються відомості про мережевих користувачів та комп'ютерів, що стосуються ролі. Наприклад, служби домену Active Directory містять базу даних для зберігання імен та ієрархічних зв'язків усіх комп'ютерів у мережі.
Після правильного встановлення та налаштування ролі функціонують автоматично. Це дозволяє комп'ютерам, на яких вони встановлені, виконувати призначені завдання з обмеженою участю користувача.

Служби ролей

Служби ролей – це програми, які забезпечують функціональні можливості участі. Під час встановлення ролі можна вибрати, які послуги вона надає іншим користувачам та комп'ютерам на підприємстві. Деякі ролі, такі як DNS-сервер, виконують лише одну функцію, тому для них немає ролей. Інші ролі, такі як служби віддалених робочих столів, мають кілька служб, які можна встановити залежно від потреб підприємства у віддаленому доступі. Роль можна як сукупність тісно пов'язаних, взаємодоповнюючих служб ролей. Найчастіше установка ролі означає встановлення однієї чи кількох її служб.

Компоненти

Компоненти - це програми, які є безпосередньо частинами ролей, але підтримують чи розширюють функції однієї чи кількох ролей чи цілого сервера незалежно від цього, які ролі встановлені. Наприклад, компонент «Засіб відмови кластерів» розширює функції інших ролей, таких як Файлові служби та DHCP-сервер, дозволяючи їм приєднуватися до серверних кластерів, що забезпечує підвищену надмірність та продуктивність. Інший компонент – «Клієнт Telnet» – забезпечує віддалений зв'язок із сервером Telnet через мережеве підключення. Ця функція розширює можливості зв'язку сервера.

Коли Windows Server працює як основні серверні компоненти, підтримуються такі ролі сервера:

служби сертифікатів Active Directory;
доменні служби Active Directory;
DHCP-сервер;
DNS-сервер;
файлові служби (зокрема диспетчер ресурсів файлового сервера);
служби Active Directory полегшеного доступу до каталогів;
Hyper-V;
служби друку та документів;
служби потокового мультимедіа;
веб-сервер (зокрема підмножина ASP.NET);
сервер оновлень Windows Server;
сервер керування правами Active Directory;
сервер маршрутизації та віддаленого доступуі такі підлеглі ролі:
- посередник підключень служб віддалених робочих столів;
- ліцензування;
- віртуалізація.

Коли Windows Server працює в режимі основних серверних компонентів, підтримуються такі компоненти сервера:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
фонова інтелектуальна служба передачі (BITS);
шифрування диска BitLocker;
мережеве розблокування BitLocker;
BranchCache
міст для центру обробки даних;
Enhanced Storage;
відмовостійка кластеризація;
Multipath I/O;
балансування мережного навантаження;
протокол PNRP;
qWave;
віддалений різницевий стиск;
прості служби TCP/IP;
RPC через HTTP-проксі;
сервер SMTP;
служба SNMP;
клієнт Telnet;
сервер Telnet;
клієнт TFTP;
внутрішня база даних Windows;
Windows PowerShell Web Access;
служба активації Windows;
стандартизоване керування сховищами Windows;
розширення IIS WinRM;
WINS-сервер;
підтримка WoW64.

Встановлення ролей сервера за допомогою Server Manager

Для додавання відкриваємо Server Manager, і в меню Manage тиснемо Add Roles and features:

Відкриється майстер додавання ролей та компонентів. Тиснемо Next

Installation Type, вибираємо Role-based або feature-based installation. Next:

Server Selection – вибираємо наш сервер. Тиснемо Next Server Roles - Виберіть ролі, якщо необхідно, виберіть служби ролей і натисніть кнопку Next, щоб вибрати компоненти. Під час цієї процедури Майстер додавання ролей і компонентів автоматично інформує про конфлікти на кінцевому сервері, які можуть завадити встановленню або нормальній роботі вибраних ролей або компонентів. З'являється також запит на додавання ролей, служб ролей та компонентів, необхідних для вибраних ролей або компонентів.

Встановлення ролей за допомогою PowerShell

Відкриваємо Windows PowerShell Вводимо команду Get-WindowsFeature, щоб переглянути список доступних та встановлених ролей та компонентів на локальному сервері. Результати виконання цього командлета містять імена команд для ролей та компонентів, встановлених та доступних для встановлення.

Введіть Get-Help Install-WindowsFeature, щоб переглянути синтаксис та допустимі параметри командлета Install-WindowsFeature (MAN).

Вводимо наступну команду (-Restart перезавантажить сервер, якщо під час встановлення ролі потрібно перезавантаження).

Install-WindowsFeature -Name -Restart

Опис ролей та служб ролей

Нижче описані всі ролі та служби ролей. Розширене налаштування подивимося для Web Role і Remote Desktop Services, що найчастіше зустрічаються в нашій практиці.

Детальний опис IIS

Common HTTP Features - Основні HTTP компоненти
- Default Document – дозволяє встановлювати індексну сторінку у сайту.
- Directory Browsing – дозволяє користувачам бачити вміст каталогу на веб-сервері. Використовуйте Directory Browsing для того, щоб автоматично згенерувати список усіх каталогів та файлів, наявних у каталозі, коли користувачі не вказують файл в URL-адресі та індексна сторінка вимкнена або не налаштована
- HTTP Errors - дозволяє настроїти повідомлення про помилки, що повертаються клієнтам у браузері.
- Static Content - дозволяє розміщувати статичний контент, наприклад картинки або html-файли.
- HTTP Redirection – забезпечує підтримку перенаправлення запитів користувачів.
- WebDAV Publishing дозволяє публікувати файли із веб-сервера за допомогою протоколу HTTP.
Health and Diagnostics Features - Компоненти діагностики
- HTTP Logging забезпечує ведення журналу активності веб-сайту для цього сервера.
- Custom Logging забезпечує підтримку створення кастомних логів, які відрізняються від традиційних журналів.
- Logging Tools забезпечує інфраструктуру для керування журналами веб-сервера та автоматизації загальних завдань ведення журналу.
- ODBC Logging забезпечує інфраструктуру, яка підтримує ведення журналу активності веб-сервера в ODBC-сумісній базі даних.
- Request Monitor надає інфраструктуру для моніторингу стану веб-застосунків шляхом збору інформації про HTTP-запити в робочому процесі IIS.
- Tracing надає інфраструктуру для діагностики та усунення несправностей веб-застосунків. При використанні трасування невдалих запитів, ви можете відстежити події, що важко фіксуються, такі як погана продуктивність або збої аутентифікації.
Performance компоненти для збільшення продуктивності веб-сервера.
- Static Content Compression надає інфраструктуру для налаштування статистичного вмісту HTTP.
- Dynamic Content Compression надає інфраструктуру для налаштування HTTP-стиснення динамічного вмісту.
Security компоненти безпеки
- Request Filtering дозволяє фіксувати всі запити та фільтрувати їх на підставі правил, встановлених адміністратором.
- Basic Authentication дозволяє встановити додаткову авторизацію
- Centralized SSL Certificate Support – це функція, яка дозволяє зберігати сертифікати в централізованому місці як загальний файловий ресурс.
- Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів.
- Digest Authentication працює шляхом відправки хеша пароля до контролера домену Windows, для аутентифікації користувачів. Якщо вам необхідно більш високий рівень безпеки в порівнянні зі звичайною автентифікацією, розгляньте питання про використання автентичності Digest
- IIS Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів. Сертифікат клієнта є цифровий ID, отриманий з надійного джерела.
- IP and Domain Restrictions дозволяє дозволяти/забороняти доступ на основі запитуваної IP-адреси або доменного імені.
- URL Authorization дозволяє створювати правила, що обмежують доступ до веб-контенту.
- Windows Authentication Ця схема автентифікації дозволяє адміністраторам домену Windows користуватися перевагами доменної інфраструктури для автентифікації користувачів.
Application Development Features компоненти розробки програм
FTP Server
- FTP Service Включає публікації FTP на веб-сервері.
- FTP Extensibility Включає підтримку функцій FTP, що розширюють можливості
Management Tools інструменти керування
- IIS Management Console встановлює диспетчер IIS, який дозволяє керувати веб-сервером через графічний інтерфейс
- IIS 6.0 Management Compatibility забезпечує пряму сумісність для програм та сценаріїв, які використовують Admin Base Object (ABO) та інтерфейсу служби каталогів (ADSI) API Active Directory. Це дозволяє використовувати існуючі сценарії IIS 6.0 веб-сервером IIS 8.0
- IIS Management Scripts and Tools надають інфраструктуру для керування веб-сервером IIS програмно, за допомогою команд у вікні командного рядка або запуском сценаріїв.
- Management Service надає інфраструктуру для налаштування інтерфейсу користувача диспетчера IIS.

Детальний опис RDS

Remote Desktop Connection Broker - Забезпечує повторне підключення клієнтського пристрою до програм на основі сеансів настільних комп'ютерів та віртуальних робочих столів.
Remote Desktop Gateway - Дозволяє авторизованим користувачам підключатися до віртуальних робочих столів, програм RemoteApp і заснованих на сесіях робочих столів корпоративної мережіабо через Інтернет.
Remote Desktop Licensing - Засіб керування ліцензіями RDP
Remote Desktop Session Host - включає сервер для розміщення програм RemoteApp або сеансу на основі робочих столів.
Remote Desktop Virtualization Host – дозволяє налаштовувати RDP на віртуальних машинах
Remote Desktop WebAccess - Дозволяє користувачам підключатися до ресурсів робочого стола за допомогою меню Пуск або браузера.

Розглянемо встановлення та налаштування сервера термінальних ліцензій. Вище розказано як встановлювати ролі, установка RDS не відрізняється від інсталяції інших ролей, у Role Services нам потрібно вибрати Remote Desktop Licensing та Remote Desktop Session Host. Після інсталяції в Server Manager-Tools з'явиться пункт Terminal Services. Terminal Services має два пункти RD Licensing Diagnoser, це засіб діагностики роботи ліцензування віддалених робочих столів, і Remote Desktop Licensing Manager, це засіб управління ліцензіями.

Запустимо RD Licensing Diagnoser

Тут ми бачимо, що доступних ліцензій поки немає, тому що не встановлено режим ліцензування для сервера вузла сеансів віддалених робочих столів. Сервер ліцензування вказується у локальних групових політиках. Для запуску редактора виконаємо команду gpedit.msc. Відкриється редактор локальної групової політики. У дереві зліва розкриємо вкладки:

"Конфігурація комп'ютера" (Computer Configuration)
"Адміністративні шаблони" (Administrative Templates)
Компоненти Windows (Windows Components)
"Служби віддалених робочих столів" (Remote Desktop Services)
"Вузол сеансів віддалених робочих столів" (Remote Desktop Session Host)
Ліцензування (Licensing)

Відкриємо параметри Use the specified Remote Desktop license servers

У вікні редагування параметрів політики включаємо сервер ліцензування (Enabled). Потім потрібно визначити сервер ліцензування для служби віддалених робочих столів. У моєму прикладі сервер ліцензування знаходиться на тому самому фізичному сервері. Вказуємо мережеве ім'я або IP-адресу сервера ліцензій та натискаємо OK. Якщо надалі змінюватиметься ім'я сервера, сервер ліцензій, потрібно змінити цей же розділ.

Після цього в RD Licensing Diagnoser можна побачити, що сервер термінальних ліцензій налаштований, але не увімкнено. Для увімкнення запускаємо Remote Desktop Licensing Manager

Вибираємо сервер ліцензування, зі статусом Not Activated. Для активації клацаємо по ньому правою кнопкою миші та вибираємо Activate Server. Запуститься Майстер активації сервера. На вкладці Connection Method вибираємо Automatic Connection. Далі заповнюємо інформацію про організацію, після чого сервер ліцензій активовано.

Active Directory Certificate Services

Служби AD CS надають послуги з видачі цифрових сертифікатів, що використовуються в системах безпеки ПЗ, що застосовують технології відкритих ключів, та з управління цими сертифікатами. Цифрові сертифікати AD CS можна використовувати для шифрування та цифрового підписування електронних документів та повідомлень. цифрові сертифікатиможна використовувати для перевірки справжності облікових записів комп'ютерів, користувачів та пристроїв.Цифрові сертифікати використовуються для забезпечення:

конфіденційності за допомогою шифрування;
цілісності за допомогою цифрових підписів;
автентифікації за допомогою прив'язування ключів сертифіката до облікових записів комп'ютерів, користувачів та пристроїв у мережі.

AD CS можна використовувати для підвищення безпеки шляхом прив'язки посвідчення користувача, пристрою або служби до відповідного закритого ключа. До застосування, підтримуваних AD CS, входять безпечні багатоцільові розширення стандарту пошти Інтернету (S/MIME), захищені бездротові мережі, віртуальні приватні мережі (VPN), протокол IPsec, шифрована файлова система (EFS), вхід за допомогою смарт-карт, протокол безпеки передачі даних та протокол безпеки транспортного рівня (SSL/TLS) та цифрові підписи.

Active Directory Domain Services

Використовуючи роль сервера доменних служб Active Directory (AD DS), можна створити масштабовану, безпечну та керовану інфраструктуру для керування користувачами та ресурсами; крім того, можна забезпечити роботу додатків, які підтримують каталоги, наприклад Microsoft Exchange Server. Доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережні ресурси та дані додатків з підтримкою каталогів, а також здійснюється керування цією інформацією. Сервер, на якому виконуються AD DS, називається контролером домену. Адміністратори можуть використовувати AD DS для впорядкування ієрархічної вкладеної структури таких елементів мережі, як користувачі, комп'ютери та інші пристрої. Ієрархічна вкладена структура включає ліс Active Directory, домени у лісі та організаційні підрозділи у кожному домені. Засоби безпеки інтегровані в AD DS у вигляді автентичності та контролю доступу до ресурсів у каталозі. За допомогою єдиного входу в мережу адміністратори можуть управляти мережею даними каталогу та організацією. Авторизовані користувачі мережі також можуть використовувати єдиний вхід до мережі для доступу до ресурсів, розташованих у будь-якому місці мережі. Доменні служби Active Directory надають такі додаткові можливості.

Набір правил - схема, що визначає класи об'єктів та атрибути, що містяться в каталозі, обмеження та межі для екземплярів цих об'єктів, а також формат їх імен.
Глобальний каталог, який містить відомості про кожен об'єкт у каталозі. Користувачі та адміністратори можуть використовувати глобальний каталог для пошуку даних каталогу незалежно від того, який домен у каталозі дійсно містить дані, що шукаються.
Механізм запитів та індексування, завдяки якому об'єкти та їх властивості можуть публікуватися та знаходитися мережними користувачами та додатками.
Служба реплікації, яка розподіляє дані каталогу через мережу. Всі контролери домену, доступні для запису в домені, беруть участь у реплікації та містять повну копію всіх даних каталогу для свого домену. Будь-які зміни даних каталогу реплікуються в домені на всі контролери домену.
Ролі господарів операцій (відомі також як гнучкі операції з єдиним господарем, або FSMO). Контролери доменів, що виконують ролі господарів операцій, призначені для виконання спеціальних завдань із забезпечення узгодженості даних та виключення конфліктуючих записів у каталозі.

Active Directory Federation Services

AD FS надають кінцевим користувачам, яким потрібний доступ до програм на захищеному за допомогою AD FS підприємстві, у партнерських організаціях федерації або у хмарі, можливості спрощеної та безпечної федерації посвідчень та веб-служби єдиного входу (SSO) У Windows Server AD FS включають службу ролі служби федерації, що діє як постачальник посвідчень (виконує автентифікацію користувачів для надання маркерів безпеки для додатків, що довіряють AD FS) або як постачальник федерації (застосовує маркери від інших постачальників посвідчень і надає маркери безпеки для додатків, що довіряють AD FS).

Active Directory Lightweight Directory Services

Служби Active Directory полегшеного доступу до каталогів (AD LDS) - це протокол LDAP, який забезпечує гнучку підтримку програм, що працюють із каталогами, без залежностей та пов'язаних з доменами обмежень доменних служб Active Directory. AD LDS можна запускати на рядових або ізольованих серверах. На одному сервері можна запустити кілька екземплярів AD LDS із незалежно керованими схемами. За допомогою ролі AD LDS можна надати служби каталогів для додатків з підтримкою каталогів, не використовуючи службові дані доменів і лісів і не вимагаючи єдиної схеми для всього лісу.

Active Directory Rights Management Services

Служби AD RMS можна використовувати, щоб розширити безпеку в організації, забезпечивши захист документів за допомогою управління правами на доступ до даних (IRM). AD RMS дозволяє користувачам та адміністраторам призначати дозволи доступу до документів, робочих книг та презентацій за допомогою політик IRM. Це дозволяє захистити конфіденційну інформацію від друку, надсилання або копіювання користувачами, які не мають на це прав. Після того, як дозволи для файлу обмежені за допомогою IRM, обмеження доступу та використання застосовуються незалежно від розташування інформації, оскільки дозвіл для файлу зберігається в самому файлі документа. За допомогою AD RMS та IRM окремі користувачі можуть застосовувати свої особисті налаштування щодо передачі особистих та конфіденційних відомостей. Вони також допоможуть організації застосовувати корпоративну політику для управління використанням та розповсюдженням конфіденційних та особистих відомостей. Рішення IRM, які підтримує AD RMS, використовуються для забезпечення наступних можливостей.

Постійні політики використання, які залишаються з інформацією незалежно від її переміщення, надсилання або пересилання.
Додатковий рівень конфіденційності для захисту конфіденційних даних – наприклад, звітів, специфікацій продуктів, відомостей про клієнтів та повідомлень електронної пошти – від навмисного або випадкового влучення в чужі руки.
Запобігання несанкціонованому пересиланню, копіювання, зміни, друку, передачі факсом або вставки обмежуваного вмісту авторизованими одержувачами.
Запобігання копіюванню обмежуваного вмісту за допомогою функції PRINT SCREEN у Microsoft Windows.
Підтримка терміну дії файлу, що запобігає перегляду вмісту документів після закінчення заданого періоду часу.
Впровадження корпоративних політик, що управляють використанням та розповсюдженням вмісту в організації

Application Server

Сервер програм надає інтегроване середовище для розгортання та виконання власних бізнес-додатків на базі сервера.

DHCP Server

DHCP - це технологія "клієнт-сервер", за допомогою якої DHCP-сервери можуть призначати або здавати в оренду IP-адреси комп'ютерам та іншим пристроям, що є DHCP-клієнтами. на базі IPv4 та IPv6 дійсних IP-адрес та додаткових конфігураційних параметрів, необхідних даним клієнтам та пристроям. Служба DHCP-сервера в Windows Server включає підтримку заснованих на політиці призначень та обробку відмов протоколу DHCP.

DNS Server

Служба DNS - це ієрархічна розподілена база даних, що містить зіставлення доменних імен DNS з різними типами даних, як-от IP-адреси. Служба DNS дозволяє використовувати імена, такі як www.microsoft.com, для полегшення знаходження комп'ютерів та інших ресурсів у мережах, що працюють на базі протоколу TCP/IP. Служба DNS у Windows Server забезпечує додаткову покращену підтримку Модулів безпеки DNS (DNSSEC), включаючи реєстрацію в мережі та автоматизоване керування параметрами.

FAX Server

Факс-сервер надсилає та отримує факси, а також дає можливість керувати ресурсами факсу, такими як завдання, налаштування, звіти та факс-пристрої на факс-сервері.

File and Storage Services

Адміністратори можуть використовувати роль "Файлові служби та служби сховища" для налаштування декількох файлових серверів та їх сховищ, а також для керування цими серверами за допомогою диспетчера серверів або Windows PowerShell. Деякі конкретні програми включають такі функції.

Робочі папки. Використовувати, щоб дозволити користувачам зберігання робочих файлів та доступ до них на особистих комп'ютерах та пристроях, крім корпоративних ПК. Користувачі отримують зручне місцедля зберігання робочих файлів та доступу до них із будь-якого місця. Організації контролюють корпоративні дані, зберігаючи файли на централізовано керованих файлових серверах і за потреби задаючи політики пристроїв користувачів (такі як шифрування та паролі блокування екрана).
Дедуплікація даних. Використовувати для зниження вимог до місця на диску для зберігання файлів, заощаджуючи кошти на сховищі.
Сервер мети iSCSI. Використовувати для створення централізованих, програмних та апаратно-незалежних дискових підсистем iSCSI у мережах зберігання даних (SAN).
Дисковий простір. Використовувати для розгортання сховища з високим рівнем доступності, відмовостійким та масштабованим за рахунок застосування економічних стандартизованих у галузі дисків.
Диспетчер серверів. Використовувати для дистанційного керуванняДекількома файловими серверами з одного вікна.
Windows PowerShell. Використовувати для автоматизації керування більшістю завдань адміністрування файлових серверів.

Hyper-V

Роль Hyper-V дозволяє створювати віртуалізоване обчислювальне середовище за допомогою технології віртуалізації, вбудованої в Windows Server, та керувати нею. Під час встановлення ролі Hyper-V виконується встановлення необхідних компонентів, а також необов'язкових засобів керування. До необхідних компонентів є низькорівнева оболонка Windows, служба керування віртуальними машинами Hyper-V, постачальник віртуалізації WMI та компоненти віртуалізації, такі як шина VMbus, постачальник служби віртуалізації (VSP) та драйвер віртуальної інфраструктури (VID).

Network Policy and Access Services

Служби мережі та доступу надають такі рішення для підключення до мережі:

Захист доступу до мережі – це технологія створення, примусового застосування та виправлення політик працездатності клієнта. За допомогою захисту доступу до мережі системні адміністратори можуть встановлювати та автоматично застосовувати політики працездатності, які включають вимоги до програмного забезпечення, оновлення для системи безпеки та інші параметри. Для клієнтських комп'ютерів, які не відповідають вимогам політики працездатності, можна обмежити доступ до мережі, доки їх конфігурація не буде оновлена відповідно до вимог політики.
Якщо розгорнуті точки бездротового доступуз підтримкою 802.1X, ви можете використовувати сервер політики мережі (NPS) для розгортання методів автентифікації на основі сертифікатів, які є більш безпечними, ніж автентифікація на основі паролів. Розгортання обладнання з підтримкою 802.1X із сервером NPS дозволяє забезпечити автентифікацію користувачів інтрамережі до того, як вони зможуть підключитися до мережі або отримати IP-адресу від DHCP-сервера.
Замість того, щоб налаштовувати політику доступу до мережі на кожному сервері доступу до мережі, можна централізовано створити всі політики, в яких будуть визначені всі аспекти запитів на підключення до мережі (хто може підключатися, коли дозволено підключення, рівень безпеки, який необхідно використовувати для підключення до мережі ).

Print and Document Services

Служби друку та документів дозволяють централізувати завдання сервера друку та мережевого принтера. Ця роль також дозволяє отримувати відскановані документи з мережевих сканерів і передавати документи в загальні мережеві ресурси - на сайт Windows SharePoint Services або електронній пошті.

Remote Access

Роль сервера віддаленого доступу є логічною групою наступних технологій мережного доступу.

DirectAccess
Маршрутизація та віддалений доступ
Проксі-сервер веб-програми

Ці технології є службами ролейролі сервера віддаленого доступу. Під час встановлення ролі сервера віддаленого доступу можна встановити одну або кілька служб ролей, запустивши майстер додавання ролей та компонентів.

У Windows Server роль сервера віддаленого доступу забезпечує можливість централізованого адміністрування, налаштування та спостереження за службами віддаленого доступу DirectAccess та VPN зі службою маршрутизації та віддаленого доступу (RRAS). DirectAccess і RRAS можна розвернути на одному прикордонному сервері та керувати ними за допомогою команд Windows PowerShell та консолі керування (MMC) віддаленого доступу.

Remote Desktop Services

Служби віддалених робочих столів прискорюють та розширюють розгортання робочих столів та додатків на будь-якому пристрої, підвищуючи ефективність віддаленого працівника, одночасно забезпечуючи безпеку критично важливої інтелектуальної власності та спрощуючи відповідність нормативним вимогам. Служби віддалених робочих столів включають інфраструктуру віртуальних робочих столів (VDI), робочі столи на основі сеансів та програми, надаючи користувачам можливість працювати будь-де.

Volume Activation Services

Служби активації корпоративних ліцензій - це роль сервера в Windows Server починаючи з Windows Server 2012, яка дозволяє автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення Microsoft, а також керування такими ліцензіями у різних сценаріях та середовищах. Поряд із службами активації корпоративних ліцензій можна встановити та настроїти службу керування ключами (KMS) та активацію за допомогою Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) у Windows Server забезпечує платформу для розміщення веб-вузлів, служб та програм. Використання веб-сервера забезпечує доступ до інформації користувачам в Інтернеті, інтрамережі та екстрамережі. Адміністратори можуть використовувати роль веб-сервера (IIS) для налаштування та керування кількома веб-сайтами, веб-застосунками та FTP-сайтами. До спеціальних можливостей входять такі.

Використання диспетчера IIS для налаштування компонентів IIS та адміністрування веб-сайтів.
Використання протоколу FTP для дозволу власникам веб-сайтів надсилати та завантажувати файли.
Використання ізоляції веб-сайтів для запобігання впливу одного веб-сайту на сервер на інші.
Налаштування веб-застосунків, розроблених з використанням різних технологій, таких як Classic ASP, ASP.NET і PHP.
Використання Windows PowerShell для автоматичного керування здебільшого завдань адміністрування веб-сервера.
Об'єднання кількох веб-серверів у ферму серверів, якою можна керувати за допомогою IIS.

Windows Deployment Services

Служби розгортання Windows дозволяють розгортати операційні системи Windows через мережу, що означає можливість не встановлювати кожну операційну систему безпосередньо з компакт- або DVD-диска.

Windows Server Essentials Experience

Ця роль дозволяє вирішувати такі завдання:

захищати дані сервера та клієнтів, створюючи резервні копії сервера та всіх клієнтських комп'ютерів у мережі;
керувати користувачами та групами користувачів через спрощену панель моніторингу сервера. Крім того, інтеграція з Windows Azure Active Directory забезпечує користувачам простий доступ до інтернет-служб Microsoft Online Services (наприклад, Office 365, Exchange Online і SharePoint Online) за допомогою їх облікових даних домену;
зберігати дані підприємства у централізованому місці;
інтегрувати сервер з інтернет-службами Microsoft Online Services (наприклад, Office 365, Exchange Online, SharePoint Online та Windows Intune):
використовувати на сервері функції повсюдного доступу (наприклад, віддалений веб-доступ та віртуальні приватні мережі) для доступу до сервера, комп'ютерів мережі та даних із віддалених розташування з високим ступенем безпеки;
отримувати доступ до даних з будь-якого місця та з будь-якого пристрою за допомогою власного веб-порталу організації (за допомогою віддаленого веб-доступу);
керувати мобільними пристроями, з яких здійснюється доступ до електронної пошти організації з за допомогою Office 365 через протокол Active Sync, з панелі моніторингу;
відстежувати працездатність мережі та отримувати звіти про працездатність, що настроюються; звіти можна створювати на вимогу, налаштовувати та надсилати електронною поштою певним одержувачам.

Windows Server Update Services

Сервер WSUS надає компоненти, які необхідні адміністраторам для керування оновленнями та їх розповсюдження через консоль керування. Крім того, сервер WSUS може бути джерелом оновлень інших серверів WSUS в організації. У разі реалізації служб WSUS хоча б один сервер служб WSUS у мережі має бути підключений до Центру оновлення Майкрософт для отримання інформації про доступні оновлення. Залежно від безпеки та конфігурації мережі, адміністратор може визначити, скільки інших серверів безпосередньо підключено до Центру оновлення Майкрософт.

Ролі

Вони визначають основну функцію, призначення або мету використання комп'ютера. Можна призначити комп'ютер до виконання однієї ролі, яка інтенсивно використовується на підприємстві, або для виконання кількох ролей, якщо кожна з них застосовується лише зрідка.
Ролі надають користувачам у всій організації доступ до ресурсів, які керуються іншими комп'ютерами, такими як веб-сайти, принтери або файли, що зберігаються на різних комп'ютерах.
Вони зазвичай мають власні бази даних, в яких створюються черги запитів користувача або комп'ютера або записуються відомості про мережевих користувачів та комп'ютерів, що стосуються ролі. Наприклад, служби домену Active Directory містять базу даних для зберігання імен та ієрархічних зв'язків усіх комп'ютерів у мережі.
Після правильного встановлення та налаштування ролі функціонують автоматично. Це дозволяє комп'ютерам, на яких вони встановлені, виконувати призначені завдання з обмеженою участю користувача.

Служби ролей

Компоненти

Коли Windows Server працює як основні серверні компоненти, підтримуються такі ролі сервера:

служби сертифікатів Active Directory;
доменні служби Active Directory;
DHCP-сервер;
DNS-сервер;
файлові служби (зокрема диспетчер ресурсів файлового сервера);
служби Active Directory полегшеного доступу до каталогів;
Hyper-V;
служби друку та документів;
служби потокового мультимедіа;
веб-сервер (зокрема підмножина ASP.NET);
сервер оновлень Windows Server;
сервер керування правами Active Directory;
сервер маршрутизації та віддаленого доступу та наступні підпорядковані ролі:
- посередник підключень служб віддалених робочих столів;
- ліцензування;
- віртуалізація.

Коли Windows Server працює в режимі основних серверних компонентів, підтримуються такі компоненти сервера:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
фонова інтелектуальна служба передачі (BITS);
шифрування диска BitLocker;
мережеве розблокування BitLocker;
BranchCache
міст для центру обробки даних;
Enhanced Storage;
відмовостійка кластеризація;
Multipath I/O;
балансування мережного навантаження;
протокол PNRP;
qWave;
віддалений різницевий стиск;
прості служби TCP/IP;
RPC через HTTP-проксі;
сервер SMTP;
служба SNMP;
клієнт Telnet;
сервер Telnet;
клієнт TFTP;
внутрішня база даних Windows;
Windows PowerShell Web Access;
служба активації Windows;
стандартизоване керування сховищами Windows;
розширення IIS WinRM;
WINS-сервер;
підтримка WoW64.

Встановлення ролей сервера за допомогою Server Manager

Для додавання відкриваємо Server Manager, і в меню Manage тиснемо Add Roles and features:

Відкриється майстер додавання ролей та компонентів. Тиснемо Next

Installation Type, вибираємо Role-based або feature-based installation. Next:

Встановлення ролей за допомогою PowerShell

Введіть Get-Help Install-WindowsFeature, щоб переглянути синтаксис та допустимі параметри командлета Install-WindowsFeature (MAN).

Install-WindowsFeature -Name -Restart

Опис ролей та служб ролей

Детальний опис IIS

Common HTTP Features - Основні HTTP компоненти
- Default Document – дозволяє встановлювати індексну сторінку у сайту.
- Directory Browsing – дозволяє користувачам бачити вміст каталогу на веб-сервері. Використовуйте Directory Browsing для того, щоб автоматично згенерувати список усіх каталогів та файлів, наявних у каталозі, коли користувачі не вказують файл в URL-адресі та індексна сторінка вимкнена або не налаштована
- HTTP Errors - дозволяє настроїти повідомлення про помилки, що повертаються клієнтам у браузері.
- Static Content - дозволяє розміщувати статичний контент, наприклад картинки або html-файли.
- HTTP Redirection – забезпечує підтримку перенаправлення запитів користувачів.
- WebDAV Publishing дозволяє публікувати файли із веб-сервера за допомогою протоколу HTTP.
Health and Diagnostics Features - Компоненти діагностики
- HTTP Logging забезпечує ведення журналу активності веб-сайту для цього сервера.
- Custom Logging забезпечує підтримку створення кастомних логів, які відрізняються від традиційних журналів.
- Logging Tools забезпечує інфраструктуру для керування журналами веб-сервера та автоматизації загальних завдань ведення журналу.
- ODBC Logging забезпечує інфраструктуру, яка підтримує ведення журналу активності веб-сервера в ODBC-сумісній базі даних.
- Request Monitor надає інфраструктуру для моніторингу стану веб-застосунків шляхом збору інформації про HTTP-запити в робочому процесі IIS.
- Tracing надає інфраструктуру для діагностики та усунення несправностей веб-застосунків. При використанні трасування невдалих запитів, ви можете відстежити події, що важко фіксуються, такі як погана продуктивність або збої аутентифікації.
Performance компоненти для збільшення продуктивності веб-сервера.
- Static Content Compression надає інфраструктуру для налаштування статистичного вмісту HTTP.
- Dynamic Content Compression надає інфраструктуру для налаштування HTTP-стиснення динамічного вмісту.
Security компоненти безпеки
- Request Filtering дозволяє фіксувати всі запити та фільтрувати їх на підставі правил, встановлених адміністратором.
- Basic Authentication дозволяє встановити додаткову авторизацію
- Centralized SSL Certificate Support – це функція, яка дозволяє зберігати сертифікати в централізованому місці як загальний файловий ресурс.
- Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів.
- Digest Authentication працює шляхом відправки хеша пароля до контролера домену Windows, для аутентифікації користувачів. Якщо вам необхідно більш високий рівень безпеки в порівнянні зі звичайною автентифікацією, розгляньте питання про використання автентичності Digest
- IIS Client Certificate Mapping Authentication використовує клієнтські сертифікати для автентифікації користувачів. Сертифікат клієнта є цифровий ID, отриманий з надійного джерела.
- IP and Domain Restrictions дозволяє дозволяти/забороняти доступ на основі запитуваної IP-адреси або доменного імені.
- URL Authorization дозволяє створювати правила, що обмежують доступ до веб-контенту.
- Windows Authentication Ця схема автентифікації дозволяє адміністраторам домену Windows користуватися перевагами доменної інфраструктури для автентифікації користувачів.
Application Development Features компоненти розробки програм
FTP Server
- FTP Service Включає публікації FTP на веб-сервері.
- FTP Extensibility Включає підтримку функцій FTP, що розширюють можливості
Management Tools інструменти керування
- IIS Management Console встановлює диспетчер IIS, який дозволяє керувати веб-сервером через графічний інтерфейс
- IIS 6.0 Management Compatibility забезпечує пряму сумісність для програм та сценаріїв, які використовують Admin Base Object (ABO) та інтерфейсу служби каталогів (ADSI) API Active Directory. Це дозволяє використовувати існуючі сценарії IIS 6.0 веб-сервером IIS 8.0
- IIS Management Scripts and Tools надають інфраструктуру для керування веб-сервером IIS програмно, за допомогою команд у вікні командного рядка або запуском сценаріїв.
- Management Service надає інфраструктуру для налаштування інтерфейсу користувача диспетчера IIS.

Детальний опис RDS

Remote Desktop Connection Broker - Забезпечує повторне підключення клієнтського пристрою до програм на основі сеансів настільних комп'ютерів та віртуальних робочих столів.
Remote Desktop Gateway - Дозволяє авторизованим користувачам підключатися до віртуальних робочих столів, програм RemoteApp та заснованих на сесіях робочих столів у корпоративній мережі або через Інтернет.
Remote Desktop Licensing - Засіб керування ліцензіями RDP
Remote Desktop Session Host - включає сервер для розміщення програм RemoteApp або сеансу на основі робочих столів.
Remote Desktop Virtualization Host – дозволяє налаштовувати RDP на віртуальних машинах
Remote Desktop WebAccess - Дозволяє користувачам підключатися до ресурсів робочого стола за допомогою меню Пуск або браузера.

Запустимо RD Licensing Diagnoser

"Конфігурація комп'ютера" (Computer Configuration)
"Адміністративні шаблони" (Administrative Templates)
Компоненти Windows (Windows Components)
"Служби віддалених робочих столів" (Remote Desktop Services)
"Вузол сеансів віддалених робочих столів" (Remote Desktop Session Host)
Ліцензування (Licensing)

Відкриємо параметри Use the specified Remote Desktop license servers

Active Directory Certificate Services

Служби AD CS надають послуги з видачі цифрових сертифікатів, що використовуються в системах безпеки ПЗ, що застосовують технології відкритих ключів, та з управління цими сертифікатами. Цифрові сертифікати, що надаються AD CS, можна використовувати для шифрування та цифрового підписування електронних документів та повідомлень. Ці цифрові сертифікати можна використовувати для перевірки в мережі справжності облікових записів комп'ютерів, користувачів та пристроїв.

конфіденційності за допомогою шифрування;
цілісності за допомогою цифрових підписів;
автентифікації за допомогою прив'язування ключів сертифіката до облікових записів комп'ютерів, користувачів та пристроїв у мережі.

AD CS можна використовувати для підвищення безпеки шляхом прив'язки посвідчення користувача, пристрою або служби до відповідного закритого ключа. До застосувань, підтримуваних AD CS, входять безпечні багатоцільові розширення стандарту пошти Інтернету (S/MIME), захищені бездротові мережі, віртуальні приватні мережі (VPN), протокол IPsec, шифрована файлова система (EFS), вхід за допомогою смарт-карток, протокол безпеки передачі даних та протокол безпеки транспортного рівня (SSL/TLS) та цифрові підписи.

Active Directory Domain Services

Використовуючи роль сервера доменних служб Active Directory (AD DS), можна створити масштабовану, безпечну та керовану інфраструктуру для керування користувачами та ресурсами; Крім того, можна забезпечити роботу програм, які підтримують каталоги, наприклад Microsoft Exchange Server. Доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережні ресурси та дані додатків з підтримкою каталогів, а також здійснюється керування цією інформацією. Сервер, на якому виконуються AD DS, називається контролером домену. Адміністратори можуть використовувати AD DS для впорядкування ієрархічної вкладеної структури таких елементів мережі, як користувачі, комп'ютери та інші пристрої. Ієрархічна вкладена структура включає ліс Active Directory, домени у лісі та організаційні підрозділи у кожному домені. Засоби безпеки інтегровані в AD DS у вигляді автентичності та контролю доступу до ресурсів у каталозі. За допомогою єдиного входу в мережу адміністратори можуть управляти мережею даними каталогу та організацією. Авторизовані користувачі мережі також можуть використовувати єдиний вхід до мережі для доступу до ресурсів, розташованих у будь-якому місці мережі. Доменні служби Active Directory надають такі додаткові можливості.

Набір правил - схема, що визначає класи об'єктів та атрибути, що містяться в каталозі, обмеження та межі для екземплярів цих об'єктів, а також формат їх імен.
Глобальний каталог, який містить відомості про кожен об'єкт у каталозі. Користувачі та адміністратори можуть використовувати глобальний каталог для пошуку даних каталогу незалежно від того, який домен у каталозі дійсно містить дані, що шукаються.
Механізм запитів та індексування, завдяки якому об'єкти та їх властивості можуть публікуватися та знаходитися мережними користувачами та додатками.
Служба реплікації, яка розподіляє дані каталогу через мережу. Всі контролери домену, доступні для запису в домені, беруть участь у реплікації та містять повну копію всіх даних каталогу для свого домену. Будь-які зміни даних каталогу реплікуються в домені на всі контролери домену.
Ролі господарів операцій (відомі також як гнучкі операції з єдиним господарем, або FSMO). Контролери доменів, що виконують ролі господарів операцій, призначені для виконання спеціальних завдань із забезпечення узгодженості даних та виключення конфліктуючих записів у каталозі.

Active Directory Federation Services

Active Directory Lightweight Directory Services

Active Directory Rights Management Services

Постійні політики використання, які залишаються з інформацією незалежно від її переміщення, надсилання або пересилання.
Додатковий рівень конфіденційності для захисту конфіденційних даних – наприклад, звітів, специфікацій продуктів, відомостей про клієнтів та повідомлень електронної пошти – від навмисного або випадкового влучення в чужі руки.
Запобігання несанкціонованому пересиланню, копіювання, зміни, друку, передачі факсом або вставки обмежуваного вмісту авторизованими одержувачами.
Запобігання копіюванню обмежуваного вмісту за допомогою функції PRINT SCREEN у Microsoft Windows.
Підтримка терміну дії файлу, що запобігає перегляду вмісту документів після закінчення заданого періоду часу.
Впровадження корпоративних політик, що управляють використанням та розповсюдженням вмісту в організації

Application Server

DHCP Server

DNS Server

FAX Server

File and Storage Services

Робочі папки. Використовувати, щоб дозволити користувачам зберігання робочих файлів та доступ до них на особистих комп'ютерах та пристроях, крім корпоративних ПК. Користувачі отримують зручне місце для зберігання робочих файлів та доступу до них із будь-якого місця. Організації контролюють корпоративні дані, зберігаючи файли на централізовано керованих файлових серверах і за потреби задаючи політики пристроїв користувачів (такі як шифрування та паролі блокування екрана).
Дедуплікація даних. Використовувати для зниження вимог до місця на диску для зберігання файлів, заощаджуючи кошти на сховищі.
Сервер мети iSCSI. Використовувати для створення централізованих, програмних та апаратно-незалежних дискових підсистем iSCSI у мережах зберігання даних (SAN).
Дисковий простір. Використовувати для розгортання сховища з високим рівнем доступності, відмовостійким та масштабованим за рахунок застосування економічних стандартизованих у галузі дисків.
Диспетчер серверів. Використовувати для віддаленого керування кількома файловими серверами одного вікна.
Windows PowerShell. Використовувати для автоматизації керування більшістю завдань адміністрування файлових серверів.

Hyper-V

Network Policy and Access Services

Служби мережі та доступу надають такі рішення для підключення до мережі:

Захист доступу до мережі – це технологія створення, примусового застосування та виправлення політик працездатності клієнта. За допомогою захисту доступу до мережі системні адміністратори можуть встановлювати та автоматично застосовувати політики працездатності, які включають вимоги до програмного забезпечення, оновлень для системи безпеки та інші параметри. Для клієнтських комп'ютерів, які не відповідають вимогам політики працездатності, можна обмежити доступ до мережі, доки їх конфігурація не буде оновлена відповідно до вимог політики.
Якщо розгорнуті точки бездротового доступу з підтримкою 802.1X, ви можете використовувати сервер політики мережі (NPS) для розгортання методів автентифікації на основі сертифікатів, які є більш безпечними, ніж автентифікація на основі паролів. Розгортання обладнання з підтримкою 802.1X із сервером NPS дозволяє забезпечити автентифікацію користувачів інтрамережі до того, як вони зможуть підключитися до мережі або отримати IP-адресу від DHCP-сервера.
Замість того, щоб налаштовувати політику доступу до мережі на кожному сервері доступу до мережі, можна централізовано створити всі політики, в яких будуть визначені всі аспекти запитів на підключення до мережі (хто може підключатися, коли дозволено підключення, рівень безпеки, який необхідно використовувати для підключення до мережі ).

Print and Document Services

Служби друку та документів дозволяють централізувати завдання сервера друку та мережевого принтера. Ця роль також дозволяє отримувати відскановані документи з мережевих сканерів і передавати документи в загальні мережеві ресурси - на веб-сайті Windows SharePoint Services або електронною поштою.

Remote Access

Роль сервера віддаленого доступу є логічною групою наступних технологій мережного доступу.

DirectAccess
Маршрутизація та віддалений доступ
Проксі-сервер веб-програми

Remote Desktop Services

Volume Activation Services

Web Server (IIS)

Використання диспетчера IIS для налаштування компонентів IIS та адміністрування веб-сайтів.
Використання протоколу FTP для дозволу власникам веб-сайтів надсилати та завантажувати файли.
Використання ізоляції веб-сайтів для запобігання впливу одного веб-сайту на сервер на інші.
Налаштування веб-застосунків, розроблених з використанням різних технологій, таких як Classic ASP, ASP.NET і PHP.
Використання Windows PowerShell для автоматичного керування здебільшого завдань адміністрування веб-сервера.
Об'єднання кількох веб-серверів у ферму серверів, якою можна керувати за допомогою IIS.

Windows Deployment Services

Windows Server Essentials Experience

Ця роль дозволяє вирішувати такі завдання:

захищати дані сервера та клієнтів, створюючи резервні копії сервера та всіх клієнтських комп'ютерів у мережі;
керувати користувачами та групами користувачів через спрощену панель моніторингу сервера. Крім того, інтеграція з Windows Azure Active Directory забезпечує користувачам простий доступ до інтернет-служб Microsoft Online Services (наприклад, Office 365, Exchange Online і SharePoint Online) за допомогою їх облікових даних домену;
зберігати дані підприємства у централізованому місці;
інтегрувати сервер з інтернет-службами Microsoft Online Services (наприклад, Office 365, Exchange Online, SharePoint Online та Windows Intune):
використовувати на сервері функції повсюдного доступу (наприклад, віддалений веб-доступ та віртуальні приватні мережі) для доступу до сервера, комп'ютерів мережі та даних із віддалених розташування з високим ступенем безпеки;
отримувати доступ до даних з будь-якого місця та з будь-якого пристрою за допомогою власного веб-порталу організації (за допомогою віддаленого веб-доступу);
керувати мобільними пристроями, з яких здійснюється доступ до електронної пошти організації за допомогою Office 365 через протокол Active Sync, з панелі моніторингу;
відстежувати працездатність мережі та отримувати звіти про працездатність, що настроюються; звіти можна створювати на вимогу, налаштовувати та надсилати електронною поштою певним одержувачам.

Windows Server Update Services

Вступ

Зі збільшенням парку комп'ютерів для підприємства дедалі гостріше постає питання вартості його управління та змісту. Ручне налаштуваннякомп'ютерів забирає чимало часу у персоналу і змушує, зі збільшенням кількості комп'ютерів, збільшувати штат персоналу, що їх обслуговує. До того ж, при великій кількості машин стежити за дотриманням прийнятих на підприємстві стандартів налаштування стає все важче. Групові політики (Group Policy) є комплексним інструментом централізованого керування комп'ютерами з Windows 2000 і вище в домені Active Directory. До комп'ютерів під керуванням ОС Windows NT4/9x групові політики не застосовуються: вони управляються системними політиками (System Policy), які у цій статті не розглядатимуться.

Об'єкти групових політик

Усі налаштування, які ви створите в рамках групових політик, зберігатимуться в об'єктах групової політики (Group Policy Object, GPO). Об'єкти групових політик бувають двох типів: локальний об'єкт групової політики та об'єкти групових політик Active Directory. Локальний об'єкт групової політики є на комп'ютерах під керуванням Windows 2000 та вище. Він може бути лише один, і це єдиний GPO, який може бути на комп'ютері, що не входить до домену.

Об'єкт групової політики - це загальна назва набору файлів, директорій та записів у базі Active Directory (якщо це не локальний об'єкт), які зберігають ваші налаштування та визначають, які параметри ви можете змінити за допомогою групових політик. Створюючи політику, ви фактично створюєте та змінюєте об'єкт групової політики. Локальний об'єкт групової політики зберігається в %SystemRoot%\System32\GroupPolicy. GPO Active Directory зберігаються на контролері домену та можуть бути пов'язані з сайтом, доменом або OU (Organizational Unit, підрозділ або організаційна одиниця). Прив'язка об'єкта визначає його дію. За замовчуванням у домені створюються два об'єкти групової політики: Default Domain Policy та Default Domain Controller Policy. У першому визначається політика за замовчуванням для паролів та облікових записів у домені. Другий зв'язується з OU Domain Controllers та підвищує налаштування безпеки для контролерів домену.

Створення об'єкта групової політики

Щоб створити політику (тобто фактично створити новий об'єкт групової політики), відкриваємо Active Directory Users & Computers і вибираємо, де створити новий об'єкт. Створювати та прив'язувати об'єкт групової політики можна лише до об'єкта сайту, домену або OU.

Рис. 1. Створення об'єкта групової політики.

Щоб створити GPO і зв'язати його, наприклад, з OU testers, клацаємо правою кнопкою миші на цьому OU і в контекстному менювибираємо properties. У вікні властивостей відкриваємо вкладку Group Policy і натискаємо New.

Рис. 2. Створення об'єкта групової політики.

Даємо назву об'єкту GP, після чого об'єкт створено, і можна приступати до конфігурування політики. Двічі клацаємо на створеному об'єкті або натискаємо кнопку Edit, відкриється вікно редактора GPO, де можна налаштувати конкретні параметри об'єкта.

Рис. 3. Опис установок у вкладці Extended.

Більшість основних налаштувань інтуїтивно зрозумілі (до того ж мають опис, якщо відкрити вкладку Extended), і ми не будемо детально зупинятися на кожній. Як видно із рис. 3, GPO складається з двох розділів: Computer Configuration та User Configuration. Налаштування першого розділу застосовуються під час завантаження Windows до комп'ютерів, що знаходяться в цьому контейнері та нижче (якщо не скасовано успадкування), і не залежать від того, який користувач увійшов до системи. Параметри другого розділу використовуються під час входу користувача до системи.

Порядок застосування об'єктів групової політики

Коли комп'ютер запускається, відбуваються такі дії:

1. Читається реєстр та визначається, до якого сайту належить комп'ютер. Робиться запит серверу DNSз метою отримання IP адрес контролерів домену, розміщених у цьому сайті.
2. Отримавши адресу, комп'ютер з'єднується з контролером домену.
3. Клієнт запитує список об'єктів GP у контролера домену та застосовує їх. Останній надсилає список об'єктів GP у порядку, в якому вони повинні застосовуватися.
4. Коли користувач входить до системи, комп'ютер знову запитує список об'єктів GP, які необхідно застосувати до користувача, виймає та застосовує їх.

Групові політики застосовуються при завантаженні OC та при вході користувача до системи. Потім вони застосовуються кожні 90 хвилин з варіацією в 30 хвилин для виключення перевантаження контролера домену у разі одночасного запиту великої кількості клієнтів. Для контролерів домену інтервал оновлення становить 5 хвилин. Змінити цю поведінку можна в розділі Computer Configuration\Administrative Templates\System\Group Policy. Об'єкт групової політики може діяти лише на об'єкти «комп'ютер» та «користувач». Політика діє лише на об'єкти, що знаходяться в об'єкті каталогу (сайт, домен, підрозділ), з яким пов'язаний GPO і нижче за «деревом» (якщо не заборонено успадкування). Наприклад: Об'єкт GPO створено в OU testers (як ми зробили вище).

Рис. 4. Спадкування налаштувань.

Усі налаштування, зроблені в цьому GPO, діятимуть лише на користувачів та комп'ютери, що знаходяться в OU testers та OU InTesters. Розглянемо порядок застосування політик на прикладі. Користувач test, розташований у OU testers, входить до комп'ютера comp, що у OU compOU (див. рис. 5).

Рис. 5. Порядок застосування політик.

У домені існують чотири GPO:

1. SitePolicy, пов'язаний із контейнером сайту;
2. Default Domain Policy, пов'язаний із контейнером домену;
3. Policy1, пов'язаний з OU testers;
4. Policy2, пов'язаний із OU compOU.

При завантаженні Windowsна робочій станції comp, параметри, визначені розділах Computer Configuration, застосовуються так:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;

4. Параметри GPO Policy2.

При вході користувача test на комп'ютер comp - параметри, визначені розділах User Configuration:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;
3. Параметри GPO Default Domain Policy;
4. Параметри GPO Policy1.

Тобто GPO застосовуються так: локальні політики, політики рівня сайту, політики рівня домену, політики рівня OU.

Групові політики застосовуються до клієнтів з ОС Windows XP асинхронно, а з ОС Windows 2000 - синхронно, тобто екран входу з'являється тільки після застосування всіх політик комп'ютера, а політики користувача застосовуються до того, як з'явився робочий стіл. Асинхронне застосування політик означає, що екран користувача входу з'являється раніше, ніж встигають застосувати всі політики комп'ютера, а робочий стіл - раніше, ніж застосовуються всі політики користувача, що призводить до прискорення завантаження і входу користувача.
Описана вище поведінка змінюється у двох випадках. Перший - комп'ютер клієнта виявив повільне підключення до мережі. За замовчуванням у цьому випадку застосовуються лише параметри захисту та адміністративні шаблони. Повільним вважається підключення з пропускною здатністю менше 500 Кб/с. Змінити це значення можна в Computer Configuration\Administrative Templates\System\Group Policy\Group Policy slow link detection. Також у розділі Computer Configuration\Administrative Templates\System\Group Policy можна налаштувати деякі інші параметри політик так, щоб вони оброблялися по повільному з'єднанню. Другий спосіб зміни порядку застосування політик – опція User Group policy loopback processing. Ця опція змінює порядок застосування політик за замовчуванням, при якому користувачі застосовуються після комп'ютерних і перезаписують останні. Ви можете встановити опцію loopback, щоб політики комп'ютера застосовувалися після користувачів політик і перезаписували всі політики, що суперечать політикам комп'ютера. У параметра loopback є 2 режими:

1. Merge (з'єднати) - спочатку застосовується комп'ютерна політика, потім користувальницька та знову комп'ютерна. При цьому комп'ютерна політика замінює параметри користувальницької політики, що суперечать їй, своїми.
2. Replace (замінити) - політика користувача не обробляється.

Проілюструвати застосування параметра User Group policy loopback processing можна, наприклад, на загальнодоступному комп'ютері, на якому необхідно мати ті самі обмежені настройки, незалежно від того, який користувач ним користується.

Пріоритетність, успадкування та вирішення конфліктів

Як ви вже помітили, на всіх рівнях об'єкти групової політики містять однакові параметри настройки, і той самий параметр може бути визначений на декількох рівнях по-різному. У такому разі чинним значенням буде застосоване останнім (про порядок застосування об'єктів групової політики говорилося вище). Це правило поширюється на всі параметри, крім визначених як configured. Для цих параметрів Windowsне робить жодних дій. Але є один виняток: всі параметри налаштування облікових записів та паролів можуть бути визначені лише на рівні домену, на інших рівнях ці настройки будуть проігноровані.

Рис. 6. Active Directory Users and Computers.

Якщо одному рівні розташовано кілька GPO, всі вони застосовуються «знизу нагору». Змінюючи положення об'єкта політик у списку (кнопками Up та Down) можна вибрати необхідний порядок застосування.

Рис. 7. Порядок застосування політик.

Іноді потрібно, щоб певна OU не отримувала параметрів політик від GPO, пов'язаних з контейнерами, що стоять вище. У цьому випадку слід заборонити успадкування політик, поставивши прапорець Block Policy inheritance (Блокувати успадкування політик). Блокуються всі успадковані параметри політик, немає способу блокувати окремі параметри. Параметри налаштування рівня домену, які визначають політику паролів та політику облікових записів, не можуть бути заблоковані.

Рис. 9. Блокування спадкування політик.

Якщо потрібно, щоб певні налаштування в даному GPO не перезаписувалися, слід вибрати потрібний GPO, натиснути кнопку Options і вибрати No Override. Ця опція наказує застосовувати параметри GPO там, де заблоковано спадкування політик. No Override встановлюється там, де GPO зв'язується з об'єктом каталогу, а чи не в самому GPO. Якщо GPO пов'язаний з кількома контейнерами в домені, то для інших зв'язків цей параметр не буде автоматично налаштований. Якщо параметр No Override налаштований для декількох зв'язків на одному рівні, пріоритетними (і діючими) будуть параметри GPO, що знаходиться вгорі списку. Якщо параметри No Override налаштовані для кількох GPO, що знаходяться на різних рівнях, діючими будуть параметри GPO, що знаходиться вище в ієрархії каталогу. Тобто, якщо параметри No override налаштовані для зв'язку GPO з об'єктом домену і для зв'язку з GPO об'єктом OU, діючи будуть параметри, визначені на рівні домену. Галочка Disabled скасовує дію цього GPO на цей контейнер.

Рис. 10. Опції No Override та Disabled.

Як було зазначено вище, політики діють лише користувачів і комп'ютери. Часто виникає питання: «як зробити так, щоб певна політика діяла на всіх користувачів, які входять до певної групи безпеки?». Для цього GPO прив'язується до об'єкта домену (або будь-якого контейнера, що знаходиться вище контейнерів або OU, де знаходяться всі об'єкти користувачів з потрібної групи) і налаштовуються параметри доступу. Натискаємо Properties, на вкладці Security видаляємо групу Authenticated Users та додаємо необхідну групу з правами Read та Apply Group Policy.

Визначення установок, що діють на комп'ютер користувача

Для визначення кінцевої конфігурації та виявлення проблем вам знадобиться, які налаштування політик діють на даного користувачаабо комп'ютер на даний момент. І тому існує інструмент Resultant Set of Policy (результуючий набір політик, RSoP). RSoP може працювати як у режимі реєстрації, так і в режимі планування. Щоб викликати RSoP, слід натиснути правою кнопкою на об'єкті «користувач» або «комп'ютер» та вибрати All Tasks.

Рис. 11. Виклик інструменту «Resultant Set of Policy».

Після запуску (у режимі реєстрації, logging) вас попросять вибрати, для якого комп'ютера та користувача визначити результуючий набір, і з'явиться вікно результуючих налаштувань із зазначенням, з якого GPO який параметр застосувався.

Рис. 12. Resultant Set of Policy.

Інші інструменти управління груповими політиками

GPResult – це інструмент командного рядка, що забезпечує частину функціоналу RSoP. GPResult є за промовчанням на всіх комп'ютерах з Windows XP та Windows Server 2003.

GPUpdate примусово запускає застосування групових політик як локальних, так і заснованих на Active Directory. У Windows XP/2003 прийшла зміну параметру /refreshpolicy в інструменті secedit для Windows 2000.

Опис синтаксису команд доступний при запуску їх з ключем /?.

Замість ув'язнення

Ця стаття не має на меті пояснити всі аспекти роботи з груповими політиками, вона не орієнтована на досвідчених системних адміністраторів. Все вищевикладене, на мою думку, лише має якось допомогти зрозуміти основні принципи роботи з політиками тим, хто ніколи не працював із ними, або лише починає освоювати.

Утиліта GPResult.exe– це консольна програма, призначена для аналізу настройок та діагностики групових політик, які застосовуються до комп'ютера та/або користувача в домені Active Directory. Зокрема, GPResult дозволяє отримати дані результуючого набору політик (Resultant Set of Policy, RSOP), список застосованих доменних політик (GPO), їх налаштування та детальну інформацію про помилки їх обробки. Утиліта входить до складу ОС Windows, починаючи з часів Windows XP. Утиліта GPResult дозволяє відповісти на такі питання: чи застосовується конкретна політика до комп'ютера, яка саме GPO змінила те чи інше налаштування Windows, розібратися з причинами.

Проте, консоль RSOP.msc у сучасних версіях Windows використовувати недоцільно, тому що. вона не відображає настройки, застосовані різними розширеннями групових політик (CSE), наприклад GPP (Group Policy Preferences), не дозволяє виконувати пошук, надає мало діагностичної інформації. Тому зараз команда GPResult є основним засобом діагностики застосування GPO в Windows (у Windows 10 навіть з'являється попередження, що RSOP не дає повний звіт на відміну від GPResult).

Використання утиліти GPResult.exe

GPRESULT ]] [(/X | /H) ]

Результати виконання команди розділені на 2 секції:

COMPUTER SETTINGS (Конфігурація комп'ютера) – розділ містить інформацію про об'єкти GPO, що діють на комп'ютер (як Active Directory);
USER SETTINGS – розділ користувача політик (політики, що діють на обліковий запис користувача в AD).

Коротко пробіжимося за основними параметрами/розділами, які можуть зацікавити виведення GPResult:

SiteName(Ім'я сайту:)– ім'я сайту AD, в якому знаходиться комп'ютер;
CN– повне канонічне користувача/комп'ютера, для якого було згенеровано дані RSoP;
LasttimeGroupPolicywasapplied(Останнє застосування групової політики) - час, коли останній раз застосовувалися групові політики;
GroupPolicywasappliedfrom(Групова політика була застосована з) - контролер домену, з якого була завантажена остання версія GPO;
DomainNameта DomainType(Ім'я домену, тип домену) – ім'я та версія схеми домену Active Directory;
AppliedGroupPolicyObjects(Застосовані об'єкти групової політики)- Списки діючих об'єктів групової політики;
ThefollowingGPOsбулиnotappliedbecauseвонибулиfilteredout(Наступні політики GPO не були застосовані, оскільки вони відфільтровані) - не застосовані (відфільтровані) GPO;
Theuser/computerisapartofthefollowingsecuritygroups(Користувач/комп'ютер є членом наступних груп безпеки) – доменні групи, в яких є користувач.

У прикладі видно, що у об'єкт користувача діють 4 групові політики.

Default Domain Policy;
Enable Windows Firewall;
DNS Suffix Search List;

gpresult /r /scope:user

або тільки застосовані політики комп'ютера:

gpresult /r /scope:computer

Т.к. утиліта Gpresult виводить свої дані безпосередньо в консоль командного рядка, що буває не завжди зручно для подальшого аналізу, її висновок можна перенаправити в буфер обміну:

Gpresult /r |clip

або текстовий файл:

Gpresult /r > c:\gpresult.txt

Щоб вивести над детальну інформацію RSOP, потрібно додати ключ /z.

HTML звіт RSOP за допомогою GPResult

GPResult /h c:\gp-report\report.html /f

Щоб згенерувати звіт та автоматично відкрити його у браузері, виконайте команду:

GPResult /h GPResult.html & GPResult.html

Отримання даних GPResult з віддаленого комп'ютера

GPResult /s server-ts1 /r

Користувач username не має даних RSOP

При включеному UAC запуск GPResult без підвищених привілеїв виводить параметри лише розділу користувача групових політик. Якщо потрібно одночасно відобразити обидва розділи (USER SETTINGS та COMPUTER SETTINGS), команду потрібно запускати. Якщо командний рядок із підвищеними привілеями відмінною від поточного користувача системи, утиліта видасть попередження INFO: Theuser“domain\user” doesnothaveRSOPdata (Користувач "domain\user" не має даних (RSOP). Це тому, що GPResult намагається зібрати інформацію користувача, її запустив, але т.к. цей користувач не виконав вхід (logon) у систему, інформація RSOP для нього відсутня. Щоб зібрати інформацію RSOP щодо користувача з активною сесією, потрібно вказати його обліковий запис:

gpresult /r /user:tn\edward

Якщо ви не знаєте ім'я облікового запису, залогіненого на віддаленому комп'ютері, обліковий запис можна отримати так:

qwinsta /SERVER:remotePC1

Також перевірте час (і) на клієнта. Час повинен відповідати часу PDC (Primary Domain Controller).

Наступні політики GPO не були застосовані, оскільки вони відфільтровані

Функціонал в операційній системі Windows Server розрахунок і покращується від версії до версії, ролей та компонентів стає все більше, тому в сьогоднішньому матеріалі я спробую коротко розповісти опис та призначення кожної ролі у Windows Server 2016.

Перш ніж переходити до опису серверних ролей Windows Server, давайте дізнаємося, що взагалі таке « Роль сервера» в операційній системі Windows Server.

Що таке "Роль сервера" у Windows Server?

Роль сервера (Server Role)- Це програмний комплекс, який забезпечує виконання сервером певної функції, і ця функція є основною. Іншими словами, " Роль сервера» - це сервер, тобто. навіщо він потрібний. Щоб сервер міг виконувати основну функцію, тобто. певну роль, в « Роль сервера» включено все необхідне для цього програмне забезпечення ( програми, служби).

Сервер може мати одну роль, якщо вона активно використовується, або кілька, якщо кожна з них не сильно навантажує сервер і використовується рідко.

У роль сервера може включатися кілька служб участі, які забезпечують функціональні можливості ролі. Наприклад, у роль сервера « Веб-сервер (IIS)» включено досить велику кількість служб, а роль « DNS-сервер» не входять служби ролі, оскільки ця роль виконує лише одну функцію.

Служби ролей можуть бути встановлені разом або окремо залежно від Ваших потреб. По суті установка ролі означає установку однієї чи кількох її служб.

У Windows Server також існують і « Компоненти» сервера.

Компоненти сервера (Feature)– це програмні засоби, які є роллю сервера, але розширюють можливості однієї чи кількох ролей, чи управляють однієї чи кількома ролями.

Деякі ролі не можуть бути встановлені, якщо на сервері не встановлені обов'язкові служби або компоненти, які потрібні для функціонування даних ролей. Тому в момент встановлення таких ролей. Майстер додавання ролей та компонентів» сам, автоматично запропонує Вам встановити потрібні додаткові служби ролей або компоненти.

Опис серверних ролей Windows Server 2016

З багатьма ролями, які є в Windows Server 2016, напевно, Ви вже знайомі, тому що вони існують досить довгий час, але як я вже сказав, з кожною новою версією Windows Server додаються нові ролі, з якими можливо Ви ще не працювали, але хотіли б дізнатися, навіщо вони потрібні, тому давайте розпочинати їх розгляду.

Примітка! Про нові можливості операційної системи Windows Server 2016 можна прочитати у матеріалі «Установка Windows Server 2016 та огляд нових можливостей».

Так як дуже часто установка та адміністрування ролей, служб та компонентів відбувається з використанням Windows PowerShell , я для кожної ролі та її служби буду вказувати назву, яку можна використовувати PowerShell, відповідно для її установки або для керування.

DHCP-сервер

Ця роль дозволяє централізовано настроювати динамічні IP-адреси та пов'язані з ними параметри комп'ютерів та пристроїв у мережі. У ролі DHCP-сервер немає служб участі.

Назва Windows PowerShell – DHCP.

DNS-сервер

Ця роль призначена для дозволу імен у мережах TCP/IP. Роль DNS-сервер забезпечує та підтримує роботу DNS. Для спрощення керування DNS-сервером його зазвичай встановлюють на тому ж сервері, що й доменні служби Active Directory. У ролі DNS-сервер немає служб участі.

Назва ролі для PowerShell – DNS.

Hyper-V

За допомогою ролі Hyper-V можна створювати віртуалізоване середовище та керувати нею. Іншими словами, це інструмент для створення та управління віртуальними машинами.

Назва ролі для Windows PowerShell – Hyper-V.

Атестація працездатності пристроїв

Роль « » дозволяє оцінювати працездатність пристрою на основі виміряних показників параметрів безпеки, наприклад, показники стану безпечного завантаження та засоби Bitlocker на клієнті.

Для функціонування цієї ролі необхідно чимало служб ролей і компонентів, наприклад: кілька служб із ролі « Веб-сервер (IIS)», компонент « », компонент « Функції .NET Framework 4.6».

Під час встановлення всі необхідні служби ролей та компоненти будуть вибрані автоматично. У ролі « Атестація працездатності пристроїв»Своїх служб ролі немає.

Назва PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Надає надійну, керовану та масштабовану інфраструктуру веб-додатків. Складається із досить великої кількості служб (43).

Назва для Windows PowerShell – Web-Server.

Включає такі ролі ( у дужках я вказуватиму назву для Windows PowerShell):

Веб-сервер (Web-WebServer)– група служб ролі, яка забезпечує підтримку веб-сайтів HTML, розширень ASP.NET, ASP та веб-сервера. Складається з наступних служб:

Безпека (Web-Security)- Набір служб для безпеки веб-сервера.
- Фільтрування запитів (Web-Filtering) – за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, та фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб-сервера;
- IP-адреса та обмеження домену (Web-IP-Security) – ці засоби дозволяють дозволяти або забороняти доступ до вмісту на веб-сервері з урахуванням IP-адреси або імені домену джерела в запиті;
- Авторизація URL-адреси (Web-Url-Auth) - засоби дозволяють розробляти правила для обмеження доступу до веб-вмісту та пов'язувати їх з користувачами, групами або командами заголовка HTTP;
- Дайджест-перевірка автентичності (Web-Digest-Auth) – дана автентифікація дозволяє забезпечити більш високий рівень безпеки в порівнянні зі звичайною автентичністю. Дайджест-перевірка для автентифікації користувачів діє за принципом передачі хеша пароля контролеру домену Windows;
- Звичайна автентифікація (Web-Basic-Auth) - цей метод автентифікації забезпечує надійну сумісність веб-браузера. Рекомендується використовувати у невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі, можна досить просто перехопити і розшифрувати, тому використовуйте цей метод у поєднанні з SSL;
- Перевірка автентичності Windows (Web-Windows-Auth) – це автентифікація в домені Windows. Іншими словами, Ви можете використовувати облікові записи Active Directory для автентифікації користувачів своїх Web сайтів;
- Перевірка автентичності зі зіставленням сертифіката клієнта (Web-Client-Auth) – цей спосіб автентичності передбачає використання сертифіката клієнта. Для порівняння сертифікатів цей тип використовує служби Active Directory;
- Перевірка автентичності зі зіставленням сертифіката клієнта IIS (Web-Cert-Auth) – в даному методіДля автентифікації також використовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують більш високу продуктивність;
- Централізована підтримка SSL-сертифіката (Web-CertProvider) – ці засоби дозволяє централізовано керувати сертифікатами сервера SSL, що спрощує процес управління цими сертифікатами;
Справність та діагностика (Web-Health)– набір служб для забезпечення контролю, управління та усунення порушень у роботі веб-серверів, сайтів та додатків:
- Ведення журналу http (Web-Http-Logging) - гроші забезпечують ведення журналу активності сайту цьому сервері, тобто. запис лога;
- Веде журнал ODBC (Web-ODBC-Logging) – ці засоби також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності в базі даних, сумісної з ODBC;
- Монітор запитів (Web-Request-Monitor) – це інструмент, який дозволяє спостерігати за справністю веб-програми, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
- Настроювання ведення журналу (Web-Custom-Logging) – за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера у форматі, що значно відрізняється від стандартного формату IIS. Іншими словами, Ви можете створити власний модуль ведення журналу;
- Засоби ведення журналу (Web-Log-Libraries) – це інструменти управління журналами веб-сервера і автоматизації завдань ведення журналу;
- Трасування (Web-Http-Tracing) – це засіб для діагностування та усунення порушень у роботі веб-додатків.
Загальні функції http (Web-Common-Http)- Набір служб, які надають основні функціональні можливості HTTP:
- Документ за промовчанням (Web-Default-Doc) – ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за замовчуванням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресі запиту, завдяки цьому користувачам стає зручніше звертатися до веб-сайту, наприклад, по домену, не вказуючи при цьому файл;
- Огляд каталогу (Web-Dir-Browsing) – за допомогою цього засобу можна налаштувати веб-сервер так, щоб користувачі могли переглядати список усіх каталогів та файлів на веб-сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресі запиту, документи за замовчуванням або заборонені, або не налаштовані;
- Помилки http (Web-Http-Errors) – ця можливість дозволяє налаштовувати повідомлення про помилки, які повертатимуться на веб-браузери користувачів у момент виявлення веб-сервером помилки. Цей засіб використовується для зручнішого подання користувачам повідомлень про помилки;
- Статичний вміст (Web-Static-Content) – цей засіб дозволяє використовувати на веб-сервері контент у вигляді статичних форматів файлів, наприклад, HTML файлиабо файли зображень;
- Перенаправлення http (Web-Http-Redirect) – за допомогою цієї можливості можна перенаправити запит користувача за конкретним призначенням, тобто. це Redirect;
- Публікація WebDAV (Web-DAV-Publishing) дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) – це технологія, що дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщувати) над файлами на віддалених веб-серверах, використовуючи при цьому протокол HTTP.
Продуктивність (Web-Performance)– набір служб для досягнення більш високої продуктивності веб-сервера, за рахунок кешування вихідних даних та загальних механізмів стиснення, таких як Gzip та Deflate:
- Стиснення статичного вмісту (Web-Stat-Compression) – це засіб для налаштування стиснення статичного вмісту http, воно дозволяє ефективніше використовувати пропускну здатність, причому без зайвого навантаження на ЦП;
- Стиснення динамічного вмісту (Web-Dyn-Compression) - це засіб налаштування стиснення динамічного вмісту HTTP. Цей засіб забезпечує більш ефективне використання пропускної спроможності, але в даному випадку навантаження на ЦП сервера, пов'язане з динамічним стисненням, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення високе.
Розробка програм (Web-App-Dev)– набір служб та засобів для розробки та розміщення веб-додатків, іншими словами технології розробки сайтів:
- ASP (Web-ASP) – середовище підтримки та розробки web сайтів та web додатків з використанням технології ASP. На даний момент існує більш нова та просунута технологія розробки сайтів – ASP.NET;
- ASP.NET 3.5 (Web-Asp-Net) - це об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням технології ASP.NET;
- ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням нової версії ASP.NET;
- CGI (Web-CGI) – це можливість використання CGI передачі веб-сервером інформації у зовнішню програму. CGI - це стандарт інтерфейсу для зв'язку зовнішньої програмиз веб-сервером. Є недолік, що застосування CGI впливає на продуктивність;
- Увімкнення на стороні сервера (SSI) (Web-Includes) – це підтримка мови сценаріїв SSI ( включення на стороні сервера), який використовується для динамічного формування сторінок HTML;
- Ініціалізація додатків (Web-AppInit) – цей засіб виконує завдання ініціалізації web-додатків перед пересиланням веб-сторінки;
- Протокол WebSocket (Web-WebSockets) - додавання можливості створення серверних програм, які взаємодіють за допомогою протоколу WebSocket. WebSocket - це протокол, який може передавати та приймати одночасно дані між браузером та web сервером поверх TCP-з'єднання, свого роду розширення протоколу HTTP;
- Розширення ISAPI (Web-ISAPI-Ext) – підтримка динамічної розробки веб-вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI – це API для веб-сервера IIS. Програми ISAPI працюють набагато швидше, ніж файли ASP або файли, що викликають компоненти COM+;
- Розширюваність.NET 3.5 (Web-Net-Ext) – це засіб розширюваності.NET 3.5, який дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації та в інтерфейсі користувача;
- Розширюваність.NET 4.6 (Web-Net-Ext45) – це засіб розширюваності.NET 4.6, який також дозволяє змінювати, додавати та розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, у конфігурації та в інтерфейсі користувача;
- Фільтри ISAPI (Web-ISAPI-Filter) – додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI являють собою програми, які викликаються при отриманні web сервером певного запиту HTTP, що підлягає обробці цим фільтром.

FTP – сервер (Web-Ftp-Server)– служби, які забезпечують підтримку FTP-протоколу. Докладніше про FTP сервер ми говорили в матеріалі – «Встановлення та налаштування FTP сервера на Windows Server 2016». Містить такі служби:

Служба FTP (Web-Ftp-Service) – додає підтримку протоколу FTP на веб-сервері;
Розширюваність FTP (Web-Ftp-Ext) – розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як постачальники, користувачі ASP.NET або користувачі диспетчера IIS.

Засоби керування (Web-Mgmt-Tools)- це засоби керування веб-сервером IIS 10. До них можна віднести: інтерфейс користувача IIS, засоби командного рядка і скрипти.

Консоль керування службами IIS (Web-Mgmt-Console) – це інтерфейс керування службами IIS;
Набори символів та засоби керування службами IIS (Web-Scripting-Tools) - це засоби та скрипти керування службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації керування;
Служба керування (Web-Mgmt-Service) – ця служба додає можливість керувати web-сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
Управління сумісністю з IIS 6 (Web-Mgmt-Compat) - забезпечує сумісність програм та сценаріїв, що використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для керування веб-сервером IIS 10:
- Метабаза сумісності з IIS 6 (Web-Metabase) - засіб сумісності, який дозволяє запускати додатки та набори символів, перенесені з попередніх версій IIS;
- Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) – ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для управління IIS 6, IIS 10;
- Консоль управління службами IIS 6 (Web-Lgcy-Mgmt-Console) - засіб адміністрування віддалених серверів IIS 6.0;
- Сумісність із WMI IIS 6 (Web-WMI) - це інтерфейси скриптів інструментарію управління Windows (WMI) для програмного контролюта автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного у постачальнику WMI.

Доменні служби Active Directory

Роль « Доменні служби Active Directory» (AD DS) забезпечує розподілену базу даних, яка зберігає та обробляє інформацію про мережеві ресурси. Цю роль використовують для організації елементів мережі, таких як користувачі, комп'ютери та інші пристрої в ієрархічну структуру захисної оболонки. Ієрархічна структура включає ліси, домени в лісі, а також організаційні одиниці (OU) в кожному домені. Сервер, який працює під керуванням AD DS, називається контролером домену.

Назва ролі для Windows PowerShell – AD-Domain-Services.

Режим Windows Server Essentials

Ця роль є комп'ютерною інфраструктурою і надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці та захист цих даних за рахунок резервного копіюваннясервера та клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримати доступ до даних практично з будь-якого пристрою. Для роботи цієї ролі необхідно кілька служб ролей та компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба участі « Простори імен DFS».

Назва PowerShell – ServerEssentialsRole.

Мережевий контролер

Ця роль з'явилася у Windows Server 2016, вона є єдиною точкою автоматизації для управління, моніторингу та діагностики, фізичної та віртуальної мережевої інфраструктури в центрі обробки даних. За допомогою цієї ролі можна з однієї точки налаштовувати IP-підмережі, VLAN, фізичні мережеві адаптери Hyper-V хостів, управляти віртуальними комутаторами, фізичними маршрутизаторами, налаштуваннями файрволу та VPN-шлюзами.

Назва Windows PowerShell – NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, які дозволяють захищеним вузлам запускати екрановані віртуальні машини. Для функціонування цієї ролі необхідно кілька додаткових ролей та компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « Відмовостійка кластеризація" та інші.

Назва PowerShell – HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

Роль « Служби Active Directory полегшеного доступу до каталогів» (AD LDS) – це полегшена версія AD DS, яка має меншу функціональність, але не вимагає розгортання доменів або контролерів доменів, а також не має залежностей і доменних обмежень, які потрібні для служб AD DS. AD LDS працює за протоколом LDAP ( Lightweight Directory Access Protocol). На одному сервері можна розгорнути кілька екземплярів AD LDS із незалежно керованими схемами.

Назва PowerShell – ADLDS.

Служби MultiPoint

Це також нова роль, яка з'явилася в Windows Server 2016. Служби MultiPoint (MPS) надають базову функціональність віддалених робочих столів, що дозволяє кільком користувачам одночасно незалежно одно від одного працювати на тому самому комп'ютері. Для встановлення та функціонування цієї ролі потрібно встановити кілька додаткових служб та компонентів, наприклад: Сервер друку, службу Windows Search, засіб перегляду XPS та інші, всі вони будуть вибрані автоматично в момент встановлення MPS.

Назва ролі PowerShell – MultiPointServerRole.

Служби Windows Server Update Services

За допомогою цієї ролі (WSUS) системні адміністратори можуть керувати оновленнями Microsoft. Наприклад, створювати окремі групи комп'ютерів для різних наборів оновлень, а також отримувати звіти про відповідність комп'ютерів вимогам та оновленням, які потрібно встановити. Для функціонування « Служби Windows Server Update Services» потрібні такі служби ролей та компоненти як: Веб-сервер (IIS), внутрішня база даних Windows, служба активації процесів Windows.

Назва Windows PowerShell – UpdateServices.

WID Connectivity (UpdateServices-WidDB) – встановлення в WID ( Windows Internal Database) бази даних, що використовується WSUS. Іншими словами, свої службові дані WSUS зберігатиметься в WID;
WSUS Services (UpdateServices-Services) – це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленої взаємодії з API, веб-служба клієнта, веб-служба простої автентифікації через Інтернет, служба синхронізація сервера та веб-служба автентифікації DSS;
SQL Server Connectivity (UpdateServices-DB) – це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних у базі даних Microsoft SQL Server. В даному випадку у Вас вже повинен бути встановлений принаймні один екземпляр SQL Server.

Служби активації корпоративних ліцензій

За допомогою цієї ролі сервера можна автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення від компанії Microsoft, а також дозволяє керувати цими ліцензіями.

Назва PowerShell – VolumeActivation.

Служби друку та документів

Ця роль сервера призначена для надання загального доступу до принтерів і сканерів в мережі, для централізованого налаштування та управління серверами друку та сканування, а також управління мережевими принтерамита сканерами. Служби друку та документів також дозволяє надсилати відскановані документи електронною поштою, в загальні мережеві папкиабо на веб-сайти Windows SharePoint Services.

Назва PowerShell – Print-Services.

Сервер друку (Print-Server) – дана служба ролі включає оснастку « Управління печаткою», яка використовується для керування принтерами або серверами друку, а також міграції принтерів та інших серверів друку;
Друк через Інтернет (Print-Internet) – для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть керувати завданнями друку на сервері. Для роботи цієї служби як Ви знаєте необхідно встановити « Веб-сервер (IIS)». Усі необхідні компоненти будуть обрані автоматично, коли Ви позначите цей пункт під час процесу встановлення служби ролі « Друк через Інтернет»;
Сервер розподіленого сканування (Print-Scan-Server) – це служба, яка дозволяє приймати відскановані документи з мережевих сканерів та надсилати їх за місцем призначення. Ця служба також містить оснастку « Управління скануванням», яка використовується для керування мережевими сканерами та для налаштування сканування;
Служба LPD (Print-LPD-Service) – служба LPD ( Line Printer Daemon) дозволяє комп'ютерам на базі UNIX та іншим комп'ютерам, що використовують службу Line Printer Remote (LPR), друкувати на спільних принтерахсервера.

Служби політики мережі та доступу

Роль « » (NPAS) дозволяє за допомогою сервера політики мережі (NPS) задавати та застосовувати політики доступу до мережі, автентифікації та авторизації, а також працездатності клієнта, іншими словами, забезпечувати безпеку мережі.

Назва Windows PowerShell – NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено встановлювати операційну систему Windows через мережу.

Назва ролі PowerShell – WDS.

Сервер розгортання (WDS-Deployment) – дана служба ролі призначена для віддаленого розгортання та налаштування операційних систем Windows. Вона також дозволяє створювати та налаштовувати образи для повторного використання;
Транспортний сервер (WDS-Transport) – це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом багатоадресного розсилання на автономному сервері.

Служби сертифікатів Active Directory

Ця роль призначена для створення центрів сертифікації та пов'язаних служб ролей, які дозволяють видавати сертифікати для різних програм та керувати такими сертифікатами.

Назва Windows PowerShell – AD-Certificate.

Включає такі ролі:

Центр сертифікації (ADCS-Cert-Authority) – за допомогою цієї служби ролі можна видавати сертифікати користувачам, комп'ютерам та службам, а також керувати дійсністю сертифіката;
Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) – ця служба дозволяє користувачам та комп'ютерам отримувати інформацію про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить до домену. Для її функціонування необхідний Веб-сервер (IIS)»;
Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) – дана служба дозволяє користувачам та комп'ютерам реєструвати та продовжувати сертифікати за допомогою веб-браузера за протоколом HTTPS, навіть якщо комп'ютер не входить до домену. Для її функціонування також необхідний Веб-сервер (IIS)»;
Мережевий відповідач (ADCS-Online-Cert) – служба призначена для перевірки відкликання сертифіката для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів і надсилає підписану відповідь, з інформацією про статус. Для функціонування служби необхідний Веб-сервер (IIS)»;
Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) – ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити та продовження сертифікатів, отримання списків відгуків сертифікатів та реєстрація сертифікатів смарт-карток. Для функціонування служби необхідний Веб-сервер (IIS)»;
Служба реєстрації на мережевих пристроях (ADCS-Device-Enrollment) – за допомогою цієї служби можна видавати сертифікати для маршрутизаторів та інших мережних пристроїв, що не мають облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованих на сеансах, та до віддаленим програмам RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

Веб-доступ до віддалених робочих столів (RDS-Web-Access) - дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів та програм RemoteApp через меню « Пуск» або за допомогою веб-браузера;
Ліцензування віддалених робочих столів (RDS-Licensing) - служба призначена для керування ліцензіями, які необхідні для підключення до сервера вузла сеансів віддалених робочих столів або віртуального робочого столу. Її можна використовувати для встановлення, видачі ліцензій та відстеження їхньої доступності. Для роботи цієї служби необхідний Веб-сервер (IIS)»;
Посередник підключень до віддаленого робочого стола (RDS-Connection-Broker) - служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, додатку RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів робочих столів чи між віртуальними робочими столами у складі пулу. Для роботи цієї служби необхідний компонент « »;
Вузол віртуалізації віддалених робочих столів (DS-Virtualization) - служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів та програм RemoteApp. Ця служба працює разом із Hyper-V, тобто. дана роль має бути встановлена;
Вузол сеансів віддалених робочих столів (RDS-RD-Server) – за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і на основі сеансів робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого стола або віддалених програм RemoteApp;
Шлюз віддалених робочих столів (RDS-Gateway) – служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддалених програм RemoteApp та робочих столів, заснованих на сеансах, в корпоративній мережі або через Інтернет. Для функціонування цієї служби необхідні такі додаткові служби та компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби керування правами Active Directory

Це роль сервера, яка дозволить захистити інформацію від несанкціонованого використання. Вона перевіряє посвідчення користувачів та надає авторизованим користувачам ліцензії на доступ до захищених даних. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Служба активації процесів Windows», « Функції .NET Framework 4.6».

Назва Windows PowerShell – ADRMS.

Сервер управління правами Active Directory (ADRMS-Server) - основна служба ролі, обов'язкова установки;
Підтримка федерації посвідчень (ADRMS-Identity) – це додаткова служба ролі, яка дозволяє федеративним посвідченням використовувати захищений вміст за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Ця роль забезпечує спрощені та безпечні можливості федерації посвідчень, а також функцію єдиного входу (SSO) на веб-сайти за допомогою браузера.

Назва PowerShell – ADFS-Federation.

Віддалений доступ

Ця роль забезпечує підключення через DirectAccess, VPN та проксі веб-програми. Також роль « Віддалений доступ» надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес(NAT) та інші параметри підключення. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

DirectAccess та VPN (RAS) (DirectAccess-VPN) - служба дозволяє користувачам підключатися до корпоративної мережі у будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключенняу поєднанні з технологіями тунелювання та шифрування даних;
Маршрутизація (Routing) - служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережі з протоколами BGP, RIP та маршрутизаторів з підтримкою багатоадресного розсилання (IGMP-проксі);
Проксі-сервер веб-додатків (Web-Application-Proxy) - служба дозволяє публікувати програми на основі протоколів HTTP та HTTPS із корпоративної мережі на клієнтських пристроях, що знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Це роль сервера, за допомогою якої можна надавати спільний доступ до файлів та папок, керувати спільними ресурсами та контролювати їх, здійснювати реплікацію файлів, забезпечувати швидкий пошук файлів, а також надавати доступ клієнтським комп'ютерам UNIX. Докладніше файлові служби і, зокрема, файловий сервер ми розглядали у матеріалі «Встановлення файлового сервера (File Server) на Windows Server 2016».

Назва Windows PowerShell – FileAndStorage-Services.

Служби зберігання (Storage-Services)– ця служба надає функціональність управління сховищем, яка встановлюється завжди і не може бути видалена.

Файлові служби та служби iSCSI (File-Services)– це технології, які спрощують керування файловими серверами та сховищами, дозволяють заощаджувати місце на диску, забезпечують реплікацію та кешування файлів у філіях, а також надають загальний доступ до файлів за протоколом NFS. Включає такі ролі:

Файловий сервер (FS-FileServer) – служба ролі, яка керує загальними папками та надає користувачам доступ до файлів на цьому комп'ютері через мережу;
Дедуплікація даних (FS-Data-Deduplication) – ця служба заощаджує місце на диску за рахунок зберігання на томі лише однієї копії ідентичних даних;
Диспетчер ресурсів файлового сервера (FS-Resource-Manager) – за допомогою цієї служби можна керувати файлами та папками на файловому сервері, створювати звіти сховища, класифікувати файли та папки, налаштовувати квоти папок та визначати політики блокування файлів;
Постачальник цільового сховища iSCSI (апаратні постачальники VDS та VSS) (iSCSITarget-VSS-VDS) – служба дозволяє програмам на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
Простори імен DFS (FS-DFS-Namespace) – за допомогою цієї служби можна групувати спільні папки, розміщені на різних серверах, в один або кілька логічно структурованих просторів імен;
Робочі папки (FS-SyncShareService) – служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робочі та особисті. У робочих папках можна зберігати файли, синхронізувати їх та отримувати доступ до них з локальної мережі або Інтернету. Для функціонування служби необхідний компонент Внутрішньопроцесне веб-ядро IIS»;
Реплікація DFS (FS-DFS-Replication) - це модуль реплікації даних між кількома серверами, що дозволяє синхронізувати папки через підключення до локальної або глобальної мережі. Ця технологія використовує протокол віддаленого стиснення (RDC) для оновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна використовувати як з просторами імен DFS, так і окремо;
Сервер для NFS (FS-NFS-Service) – служба дозволяє цьому комп'ютеру спільно використовувати файли з комп'ютерами на базі UNIX та іншим комп'ютерам, які використовують протокол мережевої файлової системи (NFS);
Сервер мети iSCSI (FS-iSCSITarget-Server) – надає служби та засоби керування для цілей iSCSI;
Служба BranchCache для мережних файлів (FS-BranchCache) – служба забезпечує підтримку BranchCache на цьому файловому сервері;
Служба агента VSS файлового сервера (FS-VSS-Agent) - служба дозволяє виконувати тіньове копіювання томів додатків, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Роль надсилає та приймає факси, а також дозволяє керувати ресурсами факсу, такими як завдання, параметри, звіти та факсимільні пристрої на цьому комп'ютері або в мережі. Для роботи необхідний Сервер друку».

Назва ролі Windows PowerShell – Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчено, сподіваюся, матеріал був Вам корисний, поки що!

Перед розробкою сокетного сервера необхідно створити сервер політики, який повідомляє Silverlight, яким клієнтам дозволено встановлювати з'єднання з сокетним сервером.

Як було показано вище, Silverlight не дозволяє завантажувати вміст або викликати веб-службу, якщо в домені немає файлу clientaccesspolicy .xml або crossdomain. xml, де ці операції явно дозволені. Аналогічне обмеження надане і на сокетний сервер. Якщо не надати клієнтському пристрою можливість завантажити файл clientaccesspolicy .xml, що дозволяє віддалений доступ, Silverlight відмовиться встановлювати з'єднання.

На жаль, надає файл клієнтськогообліку. cml сокетному додатку - більш складне завдання, ніж його надання через веб-сайт. При використанні веб-сайту програмне забезпечення веб-сервера може надати файл clientaccesspolicy .xml, потрібно лише не забути додати його. У той же час при використанні сокетної програми потрібно відкрити сокет, до якого клієнтські програми можуть звертатися із запитами політики. Крім того, потрібно створити вручну код, що обслуговує сокет. Для вирішення цих завдань потрібно створити сервер політики.

Далі буде показано, що сервер політики працює так само, як сервер повідомлень, він лише обслуговує трохи простіші взаємодії. Сервери повідомлень та політики можна створити окремо або об'єднати в одному додатку. У другому випадку вони мають прослуховувати запити у різних потоках. У цьому прикладі ми створимо сервер політики, а потім об'єднаємо його з сервером повідомлень.

Для створення сервера політики потрібно спочатку створити .NET. Як сервер політики може служити додаток .NET будь-якого типу. Найпростіше застосувати консольну програму. Відладнавши консольну програму, можна перемістити код у службу Windows, щоб він постійно виконувався у фоновому режимі.

Файл політики

Нижче наведено файл політики, який надається сервером політики.

Файл політики визначає три правила.

Дозволяє доступ до всіх портів від 4502 до 4532 (це повний діапазон портів, що підтримуються надбудовою Silverlight). Щоб змінити діапазон доступних портів, потрібно змінити значення атрибута port елемента.

Дозволяє доступ TCP (роздільна здатність визначена в атрибуті protocol елемента).

Дозволяє виклик із будь-якого домену. Отже, програма Silverlight, яка встановлює з'єднання, може хостуватися будь-яким веб-сайтом. Щоб змінити це правило, потрібно відредагувати атрибут uri елемента.

Для полегшення завдання правила політики розміщуються у файлі clientaccess-ploi.cy.xml, що додається до проекту. У Visual Studio параметру Copy to Output Directory (Копіювати у вихідну папку) файлу політики потрібно присвоїти значення Сору Always (Завжди копіювати). повинен лише знайти файл на жорсткому диску, відкрити його і повернути вміст клієнтського пристрою.

Клас PolicyServer

Функціональність сервера політики ґрунтується на двох ключових класах: PolicyServer та PolicyConnection. Клас PolicyServer забезпечує очікування з'єднань. Отримавши з'єднання, він передає керування новим екземпляром класу PoicyConnection, який передає файл політики клієнту. Така процедура, що складається із двох частин, часто зустрічається в мережевому програмуванні. Ви ще не раз побачите її під час роботи з серверами повідомлень.

Клас PolicyServer завантажує файл політики з жорсткого диска та зберігає його у полі як масив байтів.

public class PolicyServer

private byte policy;

public PolicyServer(string policyFile) (

Щоб розпочати прослуховування, серверний додаток має викликати метод PolicyServer. Start (). Він створює об'єкт TcpListener, який чекає на запити. Об'єкт TcpListener налаштований на прослуховування порту 943. У Silverlight цей порт зарезервований для серверів політики. При створенні запитів на файли політики програма Silverlight автоматично надсилає їх до порту 943.

private TcpListener listener;

public void Start ()

// Створення об'єкта, що прослуховує

listener = New TcpListener (IPAddress.Any, 943);

// Початок прослуховування; метод Start() повертається II негайно після виклику listener.Start();

// Очікування з'єднання; метод повертається негайно;

II очікування виконується в окремому потоці

Щоб прийняти запропоноване з'єднання, сервер політики викликає метод BeginAcceptTcpClient(). Як і всі методи Beginxxx () інфраструктури.NET, він повертається негайно після виклику, виконуючи необхідні операції в окремому потоці. Для мережних програм це дуже істотний фактор, тому що завдяки йому можлива одночасна обробка багатьох запитів на файли політики.

Примітка. Мережеві програмісти-початківці часто дивуються, як можна обробляти більше одного запиту одночасно, і думають, що для цього потрібно кілька серверів. Однак, це не так. При такому підході клієнтські програми швидко вичерпали доступні порти. На практиці серверні програми обробляють багато запитів через один порт. Цей процес невидимий для програм, тому що вбудована у Windows підсистема TCP автоматично ідентифікує повідомлення та направляє їх у відповідні об'єкти в коді програм. Кожне з'єднання унікально ідентифікується на основі чотирьох параметрів: ІР-адреса клієнта, номер порту клієнта, ІР-адреса сервера та номер порту сервера.

При кожному запиті запускається метод зворотного виклику OnAcceptTcpClient(). Він знову викликає метод BeginAcceptTcpClient, щоб почати очікування наступного запиту в іншому потоці, і після цього починає обробляти поточний запит.

public void OnAcceptTcpClient(IAsyncResult аг) (

if (isStopped) return;

Console.WriteLine("Отриманий запит політики."); // Очікування наступного з'єднання.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

/ / Обробка поточного з'єднання.

TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = New PolicyConnection(client, policy); policyConnection.HandleRequest() ;

catch (Exception err) (

Щоразу після отримання нового з'єднання створюється новий об'єкт PolicyConnection, щоб обробити його. Також об'єкт PolicyConnection обслуговує файл політики.

Останній компонент класу PolicyServer – метод Stop(), який зупиняє очікування запитів. Програма викликає його при завершенні.

private bool isStopped;

public void StopO (

isStopped = true;

Listener. Stop();

catch (Exception err) (

Console.WriteLine(err.Message);

Для запуску сервера політики у методі Main() сервера програми використовується наступний код.

static void Main(string args) (

PolicyServer policyServer = New PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Запущений сервер політики"); Console.WriteLine("Натисніть клавішу Enter для виходу.");

// Очікування натискання кнопки; за допомогою методу // Console.ReadKey() можна задати очікування певного // рядка (наприклад, quit) або натискання будь-якої клавіші Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Завершення сервера політики.");

Клас PolicyConnection

Клас PolicyConnection виконує більш просте завдання. Об'єкт PolicyConnection зберігає посилання на дані файлу політики. Потім, після виклику методу HandleRequest(), об'єкт PolicyConnection витягує з мережевого потоку нове з'єднання та намагається прочитати його. Клієнтський пристрій повинен передати рядок, що містить текст Після читання цього тексту, клієнтський пристрій записує дані політики в потік і закриває з'єднання. Нижче наведено код класу PolicyConnection.

public class PolicyConnection (

private TcpClient client; private byte policy;

public PolicyConnection(TcpClient client, byte policy) (

this.client = client; this.policy = policy;

// Створення запиту клієнта private static string policyRequestString = "

public void HandleRequest () (

Stream s = client.GetStream(); // Читання рядка запиту політики

byte buffer=new byte;

// Очікування виконується лише 5 секунд client.ReceiveTimeout = 5000;

s.Read(buffer, 0, buffer.Length);

// Передача політики (можна також перевірити, чи є //необхідний вміст у запиті політики) s.Write(policy, 0, policy.Length);

// Закриття з'єднання client.Close();

Console.WriteLine("Файл політики обслужений.");

Отже, ми маємо повністю працездатний сервер політики. На жаль, його поки що не можна протестувати, тому що надбудова Silverlight не дозволяє явно вимагати файли політики. Натомість вона автоматично запитує їх при спробі використати сокетну програму. Перед створенням клієнтської програми для цього програмного забезпечення необхідно створити сервер.

Продовження теми:

Нові статті

Файл політики

Нижче наведено файл політики, який надається сервером політики.

Файл політики визначає три правила.

Дозволяє доступ TCP (роздільна здатність визначена в атрибуті protocol елемента).

Клас PolicyServer

Клас PolicyServer завантажує файл політики з жорсткого диска та зберігає його у полі як масив байтів.

public class PolicyServer

private byte policy;

public PolicyServer(string policyFile) (

private TcpListener listener;

public void Start ()

// Створення об'єкта, що прослуховує

listener = New TcpListener (IPAddress.Any, 943);

// Початок прослуховування; метод Start() повертається II негайно після виклику listener.Start();

// Очікування з'єднання; метод повертається негайно;

II очікування виконується в окремому потоці

public void OnAcceptTcpClient(IAsyncResult аг) (

if (isStopped) return;

Console.WriteLine("Отриманий запит політики."); // Очікування наступного з'єднання.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

/ / Обробка поточного з'єднання.

TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = New PolicyConnection(client, policy); policyConnection.HandleRequest() ;

catch (Exception err) (

private bool isStopped;

public void StopO (

isStopped = true;

Listener. Stop();

catch (Exception err) (

Console.WriteLine(err.Message);

Для запуску сервера політики у методі Main() сервера програми використовується наступний код.

static void Main(string args) (

PolicyServer policyServer = New PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Запущений сервер політики"); Console.WriteLine("Натисніть клавішу Enter для виходу.");

policyServer.Stop();

Console.WriteLine("Завершення сервера політики.");

Клас PolicyConnection

public class PolicyConnection (

private TcpClient client; private byte policy;

public PolicyConnection(TcpClient client, byte policy) (

this.client = client; this.policy = policy;

// Створення запиту клієнта private static string policyRequestString = "

public void HandleRequest () (

Stream s = client.GetStream(); // Читання рядка запиту політики

byte buffer=new byte;

// Очікування виконується лише 5 секунд client.ReceiveTimeout = 5000;

s.Read(buffer, 0, buffer.Length);

// Передача політики (можна також перевірити, чи є //необхідний вміст у запиті політики) s.Write(policy, 0, policy.Length);

// Закриття з'єднання client.Close();

Console.WriteLine("Файл політики обслужений.");

У попередніх статтях даного циклу ви навчилися ефективно використовувати функціонал локальних безпекових політик, що дозволяє максимально захистити інфраструктуру вашої організації від атак недоброзичливців ззовні, а також від більшості дій некомпетентних співробітників. Ви вже знаєте, як можна ефективно налаштувати політики облікових записів, які дозволяють керувати складністю паролів ваших користувачів, настроювати політики аудиту для подальшого аналізу автентифікації ваших користувачів у журналі безпеки. Крім цього ви навчилися призначати права для ваших користувачів для запобігання заподіянню шкоди своїй системі і навіть комп'ютерам у вашій інтрамережі, а також знаєте як можна ефективно налаштувати журнали подій, групи з обмеженим доступом, системні служби, реєстр та файлову систему. У цій статті ми продовжимо вивчення локальних політик безпеки, і ви дізнаєтесь про налаштування безпеки провідних мереж для вашого підприємства.

У серверних операційні системикомпанії Microsoft, починаючи з Windows Server 2008, з'явився компонент політик провідної мережі (IEEE 802.3), який забезпечує автоматичну конфігурацію для розгортання послуг провідного доступу з автентичністю IEEE 802.1X для мережевих клієнтів Ethernet 802.3. Для реалізації параметрів безпеки провідних мереж засобами групових політик, в операційних системах використовується служба дротяного автоналаштування (Wired AutoConfig – DOT3SVC). Поточна служба відповідає за автентифікацію IEEE 802.1X при підключенні до мережам Ethernetза допомогою сумісних комутаторів 802.1X, а також керує профілем, який використовується з метою налаштування мережного клієнта для доступу з автентичністю. Також варто зазначити, що якщо ви використовуватимете дані політики, то бажано заборонити користувачам вашого домену змінювати режим запуску даної служби.

Налаштування політики провідної мережі

Задати налаштування політики провідних мереж ви можете безпосередньо з оснастки. Щоб налаштувати дані параметри, виконайте такі дії:

Відкрийте оснастку та в дереві консолі виберіть вузол, натисніть на ньому правою кнопкою миші та з контекстного меню виберіть команду «Створення нової політики провідних мереж для Windows Vista та пізніших версій», як показано на наступній ілюстрації:
Рис. 1. Створення політики провідної мережі
У діалоговому вікні, що відкрилося «Нова політика для провідних мереж Properties», на вкладці «Загальні», Ви можете встановити службу автоналаштування дротових мереж для налаштування адаптерів локальних мереж для підключення до дротової мережі. Крім параметрів політики, які поширюються на операційні системи Windows Vista та пізніші, існують деякі опції, які будуть застосовуватися лише до операційних систем Windows 7 та Windows Server 2008 R2. На цій вкладці можна виконувати такі дії:
- Ім'я політики. У цьому текстовому полі ви можете задавати найменування для вашої політики провідної мережі. Ім'я політики ви зможете побачити в області відомостей вузла «Політики провідної мережі (IEEE 802.3)»оснащення "Редактор управління груповими політиками";
- Опис. Це текстове поле призначене для заповнення детального опису призначення політики провідної мережі;
- Використовувати службу автоналаштування дротових мереж Windows для клієнтів. Ця опція виконує реальне налаштування та підключає клієнтів до дротової мережі 802.3. Якщо вимкнути цю опцію, то операційна система Windows не контролюватиме провідне мережеве підключення і параметри політики не діятимуть;
- Заборонити використання загальних даних користувача для автентифікації мережі. Цей параметр визначає, чи слід користувачеві забороняти зберігати загальні облікові дані користувача для автентифікації мережі. Локально ви можете змінювати цей параметр за допомогою команди netsh lan set allowexplicitcreds;
- Включити період блокування. Ця установка визначає, чи слід забороняти комп'ютеру автоматично підключатися до проводової мережі протягом зазначеної кількості хвилин. За промовчанням вказано 20 хвилин. Налаштовується період блокування від 1 до 60 хвилин.

«Загальні»політики провідної мережі:

Рис. 2. Вкладка «Загальні» діалогового вікна параметрів політики провідної мережі

На вкладці «Безпека»надано параметри конфігурації методу автентифікації та режиму проводового підключення. Ви можете налаштувати такі параметри безпеки:
- Включити автентифікацію IEEE 802.1X для доступу до мережі. Ця опція використовується безпосередньо для увімкнення або вимкнення автентифікації 802.1X мережного доступу. За замовчуванням ця опція увімкнена;
- Виберіть метод автентифікації мережі. За допомогою цього списку ви можете вказати один з методів перевірки справжності мережевих клієнтів, який буде застосований для вашої політики провідної мережі. Доступні для вибору наступні два параметри:
  - Microsoft: Захищені EAP (PEAP). Для цього методу автентифікації, вікно «Властивості»містить параметри конфігурації використовуваного методу автентифікації;
  - Microsoft: смарт-картки або інший сертифікат. Для цього методу автентифікації, у вікні «Властивості»надано параметри конфігурації, за допомогою яких можна вказати смарт-карту або сертифікат для підключення, а також список довірених кореневих центрів сертифікації.
За замовчуванням вибрано метод Microsoft: захищені EAP (PEAP);
Режим автентифікації. Цей список, що розкривається, застосовується для виконання мережевої перевірки автентичності. Для вибору доступні наступні чотири параметри:
- Перевірка автентифікації користувача або комп'ютера. Якщо цей параметр вибрано, облікові дані безпеки будуть використовуватися на основі поточного стану комп'ютера. Навіть якщо в систему не входив жоден користувач, автентифікація буде виконуватися за обліковими даними комп'ютера. При вході користувача будуть використовуватися облікові дані користувача. Компанія Microsoft рекомендує в більшості випадків використовувати саме цей параметр автентифікації.
- Тільки для комп'ютера. У цьому випадку автентифікація виконується лише для облікових даних комп'ютера;
- Перевірка автентичності користувача. При виборі цього параметра включається примусова автентифікація користувача лише при підключенні до нового пристрою 802.1X. У всіх інших випадках автентифікація виконується лише для комп'ютера;
- Перевірка справжності гостя. Цей параметр дозволяє підключатися до мережі на основі гостьового облікового запису.
Максимальна кількість помилок автентифікації. Цей параметр дозволяє вказати максимальну кількість помилок під час автентифікації. Значення за замовчуванням – 1;
Кешувати дані користувача для наступних підключень до цієї мережі. При включенні даного параметра облікові дані будуть зберігатися в системному реєстрі, при виході користувача з системи і при наступному вході облікові дані не будуть запитуватися.

На наступній ілюстрації відображено вкладку «Безпека»даного діалогового вікна:

Рис. 3. Вкладка «Безпека» діалогового вікна параметрів політики провідної мережі

Властивості режимів автентифікації

Як говорилося в попередньому розділі, для обох методів автентифікації є додаткові налаштування, які викликаються після натискання на кнопку «Властивості». У цьому розділі розглянемо всі можливі установки для методів автентифікації.

Налаштування методу автентифікації «Microsoft: Захищені EAP (PEAP)»

EAP (Extensible Authentication Protocol, Розширюваний Протокол Аутентифікації) – це інфраструктура аутентифікації, що розширюється, яка визначає формат посилки. Для налаштування цього методу автентифікації доступні такі параметри:

Включити швидке перепідключення. Ця опція дозволяє користувачам з бездротовими комп'ютерами швидко переміщатися між точками доступу без повторної автентифікації в новій мережі. Таке перемикання може працювати тільки для точок доступу, налаштованих як клієнти служби RADIUS. За замовчуванням ця опція увімкнена;

Увімкнути захист доступу до мережі. При виборі цієї опції, перед дозволом підключення до мережі претендентів EAP, для визначення перевірки вимог працездатності будуть виконуватись відповідні перевірки;

Вимкнутись, якщо сервер не підтримує прив'язку з шифруванням через механізм TLV. Ця опція відповідає за переривання підключаються клієнтами процесу автентифікації в тому випадку, якщо RADIUS-сервер не надає криптографічного значення прив'язки TLV, яка підвищує безпеку TLS-тунелю в PEAP, поєднуючи способи внутрішньої та зовнішньої автентифікації, щоб зловмисники не могли виконувати атак. третьої сторони;

Включити посвідчення конфіденційності. Цей параметр відповідає за те, щоб клієнти не могли надсилати своє посвідчення перед тим, як клієнт перевірив справжність сервера RADIUS, і за необхідності забезпечувати місце для введення значення анонімного посвідчення.

Діалогове вікно властивостей захищеного EAP відображається на наступній ілюстрації:

Рис. 5. Діалогове вікно властивостей захищеного EAP

Налаштування методу автентифікації «Смарт-карти або інший сертифікат – налаштування EAP-TLS»

Для налаштування цього методу автентифікації існують такі параметри:

При підключенні використовувати мою смарт-картку. Якщо ви встановите перемикач на цю позицію, клієнти, які виконують запити автентифікації, будуть представляти сертифікат смарт-карти для мережевої автентифікації;
При підключенні використовувати сертифікат на цьому комп'ютері. При виборі цієї опції, під час перевірки підключення клієнтів використовуватиметься сертифікат, розташований у сховищі поточного користувача або локального комп'ютера;
Використовувати вибір простого сертифіката. Ця опція дозволяє операційній системі Windows відфільтровувати сертифікати, які не відповідають вимогам автентифікації;
Перевіряти сертифікат сервера. Дана опція дозволяє задавати перевірку сертифіката сервера, який надається на клієнтські комп'ютери на наявність валідного підпису, а також наявність довіреного кореневого центру сертифікації, який видав сертифікат даному серверу
Підключатися до серверів. Ця опція ідентична однойменної опції, про яку розповідалося у попередньому розділі;
Довірені кореневі центри сертифікації. Також, як і в діалоговому вікні властивостей захищеного EAP, у цьому списку ви можете знайти всі довірені кореневі центри сертифікації, які встановлені у сховищах сертифіката користувача та комп'ютера;
Не вимагати користувача авторизувати нові сервери або довірені Центри Сертифікації. Установивши прапорець для цієї опції, за наявності неправильно настроєного сертифіката сервера або наявного у списку для користувача, не відображатиметься діалогове вікно з пропозицією авторизації такого сертифіката. За замовчуванням цю опцію вимкнено;
Використовувати для підключення інше ім'я користувача. Цей параметр визначає, чи потрібно використовувати для перевірки автентичності ім'я користувача, відмінне від імені користувача в сертифікаті. При включеній опції використання іншого імені користувача вам необхідно вибрати щонайменше один сертифікат зі списку довірених кореневих центрів сертифікації.

Діалогове вікно параметрів смарт-карт або інших сертифікатів відображається на наступній ілюстрації:

Рис. 6. Діалогове вікно налаштувань смарт-карт або інших сертифікатів

Якщо ви не впевнені в сертифікаті, який ви вибираєте, то натиснувши на кнопку «Переглянути сертифікат»Ви зможете переглянути всі докладні відомості про вибраний сертифікат, як показано нижче:

Рис. 7. Перегляд сертифіката зі списку довірених кореневих центрів сертифікації

Додаткові параметри безпеки політики провідних мереж

Ви, напевно, звернули увагу на те, що на вкладці «Безпека»діалогового вікна параметрів політики провідної мережі є ще додаткові параметри безпеки, призначені для зміни поведінки мережевих клієнтів, що подають запити на доступ з автентичністю 802.1X. Додаткові параметри політик провідних мереж можна розділити на дві групи – налаштування IEEE 802.1X та налаштування єдиного входу. Розглянемо кожну з цих груп:

У групі налаштувань IEEE 802.1X ви можете вказати характеристики запитів провідних мереж з автентичністю 802.1Х. Для зміни доступні такі параметри:

Застосувати додаткові параметри 802.1X. Ця опція дозволяє активувати наступні чотири налаштування;
Макс. EAPOL-повідомлень. EAPOL - це протокол EAP, який використовується до того, як комп'ютер встигає автентифікуватися, і тільки після успішного «логіна» весь решта трафік зможе проходити через той порт комутатора, до якого підключений даний комп'ютер. Цей параметр відповідає за максимальна кількістьповідомлень EAPOL-Start, що надсилаються;
Період затримки (сек). Цей параметр відповідає за затримку в секундах перед виконанням наступного запиту автентифікації 802.1X після отримання повідомлення про відмову при автентичності;
Start Period (період початку). Цей параметр відповідає за час очікування перед повторним надсиланням послідовних повідомлень EAPOL-Start;
Період перевірки (сек). Цей параметр визначає число секунд між повторною передачею початкових повідомлень EAPOL після ініціації наскрізної перевірки доступу 802.1X;
Повідомлення EAPOL-Start. За допомогою цього параметра можна вказати наступні характеристики передачі початкових повідомлень EAPOL:
- Не передавати. При виборі даного параметра, EAPOL повідомлення не надсилатимуться;
- Передано. При виборі цього параметра клієнту потрібно буде вручну відправляти початкові повідомлення EAPOL;
- Передача за протоколом IEEE 802.1X. при виборі даного параметра (він визначений за замовчуванням) повідомлення EAPOL надсилатимуться в автоматичному режиміочікуючи запуску автентифікації 802.1Х.

При використанні єдиного входу, автентифікація повинна виконуватись на підставі конфігурації безпеки мережі в процесі входу користувача в операційну систему. Для повного налаштуванняпрофілів єдиного входу до системи доступні такі параметри:

Включити єдину реєстрацію для мережі. При включенні даної опції активуються установки єдиного входу в систему;
Увімкнути безпосередньо перед входом користувача. Якщо ви встановите перемикач на цю опцію, то автентифікація 802.1Х буде виконуватися перед завершенням входу користувача в систему;
Увімкнути відразу після входу користувача. Якщо ви встановите перемикач на цю опцію, то автентифікація 802.1Х буде виконуватися після завершення входу користувача в систему;
Макс. затримка підключення. Цей параметр задає максимальний час, за який повинна бути завершена автентифікація і, відповідно, як довго чекатиме користувач перед появою вікна користувача входу в систему;
Дозволити відображення додаткових діалогових вікон під час єдиного входу. Цей параметр відповідає за відображення діалогового вікна входу користувача до системи;
Ця мережа використовує різні віртуальні локальні мережі для автентифікації за обліковими даними комп'ютерів та користувачів. При вказанні цієї настройки, при запуску, всі комп'ютери будуть розміщуватись в одну віртуальну мережу, а після успішного входу користувача в систему, залежно від дозволів, будуть перетворюватися на різні віртуальні мережі. Цю опцію має сенс активувати лише в тому випадку, якщо у вас на підприємстві використовується кілька віртуальних локальних мереж VLAN.

Діалогове вікно додаткових параметрів безпеки політики провідних мереж відображено на наступній ілюстрації:

Рис. 8. Діалогове вікно додаткових параметрів безпеки політики провідних мереж

Висновок

У цій статті ви познайомилися з усіма параметрами політики провідних мереж IEE 802.1X. Ви дізналися про те, як можна створити таку політику, а також дізнатися про методи автентифікації EAP та перевірки за допомогою смарт-карток або інших сертифікатів. У наступній статті ви дізнаєтесь про локальних політик безпеки диспетчера списку мереж.

Політики Exchange Server 2003 призначені для підвищення гнучкості адміністрування при одночасному зниженні навантаження на адміністраторів. Політика – це набір конфігураційних установок, які застосовуються до одного або кількох об'єктів одного класу в Exchange . Наприклад, можна створити політику, яка впливає на певні параметри деяких або всіх серверів Exchange. Якщо потрібно змінити ці параметри, достатньо модифікувати цю політику, і вона буде застосована до відповідної організації сервера.

Існує два види політик: системна політика (system policy) та політика одержувачів (recipient policy). Політики одержувачів застосовуються до об'єктів з доступом до пошти та вказують, як генеруються адреси електронної пошти. Йдеться про політиків одержувачів йде у "Створення та управління одержувачами". Системні політики застосовуються до серверів, сховищ поштових скриньокта сховищам спільних папок. Ці політики відображаються у контейнері Policies (Політики) усередині групи, відповідальної за адмініструванняцієї політики (рис. 12.10).

Рис. 12.10.Об'єкт "системна політика"

Примітка. Під час інсталяції Exchange Server 2003 не створюється стандартний контейнер для системних політик. Його необхідно створити перед побудовою системних політик. Клацніть правою кнопкою миші на групі адміністрування, в якій потрібно створити папку політики, наведіть вказівник миші на New (Створити) і виберіть System Policy Container (Контейнер системної політики).

Створення системної політики

Для створення системної політики потрібно перейти у відповідний контейнер System Policies (Системні політики), клацнути правою кнопкою миші на контейнері, після чого вибрати тип політики, що створюється: політика сервера, політика сховища поштових скриньок або політика сховища спільних папок.

При роботі з системними політиками не забудьте створити об'єкт політику в групі, яка відповідає за адміністрування цієї політики. Інакше може статися помилка у виборі людей, які здійснюють адміністративний контроль за критично важливими політиками. Розглянемо, як створюється кожен із трьох типів політик, починаючи з політик серверів.

Створення політики серверів

Політика серверів визначає параметри відстеження повідомлень та обслуговування файлів журналів. Вона не застосовується до параметрів безпеки або інших параметрів серверів цієї групи адміністрування. Щоб створити політику серверів, клацніть правою кнопкою миші на контейнері System Policies (Системні політики), вкажіть пункт New (Створити), а потім виберіть Server Policy (Політика серверів). З'явиться діалогове вікно New Policy (Створення політики), показане на мал. 12.11 , в якому вказуються вкладки, що відображаються на сторінці властивостей цієї політики. Для політики серверів є лише одна опція: вкладка General (Загальні). Позначте опцію для цієї вкладки та натисніть OK. Відобразиться вікно конфігурації, в якому буде створено цю політику.

Рис. 12.11.

Після цього необхідно ввести ім'я політики у вікні вкладки General сторінки властивостей цієї політики. Як показано на малюнку 12.12, насправді існує дві вкладки General. Перший вкладка використовується для введення імені політики. Виберіть ім'я для опису завдання, для якого призначена дана політика, наприклад Message Tracking Policy (Політика відстеження повідомлень) або Enable Subject Logging Policy (Політика "Активізувати реєстрацію тем повідомлень"). Відповідне ім'я, обране на цій стадії, заощадить час роботи, оскільки не буде необхідності відкривати сторінку властивостей цієї політики, щоб визначити її призначення.

Вкладка General (Policy) (Загальні [Політика]) показана на рис. 12.13 містить реальні параметри політики, що застосовуються до серверів Exchange розглянутої організації. Вкладка називається General (Policy), оскільки потенційно здійснюється конфігурація вкладки General сторінок властивостей всім наявних серверів. (Нижче в цій лекції ми розглянемо, як застосовувати цю політику до всіх серверів організації.) Якщо порівняти цю вкладку з вкладкою General на сторінці властивостей якогось сервера, то стане видно, що ці вкладки збігаються, за винятком ідентифікуючої інформації зверху вкладки.

На вкладці General (Policy) активізується реєстрація та відображення на екрані тем повідомлень (Enable subject logging and display) для всіх наявних серверів Exchange 2003. Ця установка діє у поєднанні з опцією Enable Message Tracking (Активізувати відстеження повідомлень), що дозволяє відслідковувати повідомлення, що передаються в організації. Ці опції корисні для пошуку та усунення джерела проблем, коли деякі користувачі не отримують повідомлень від інших користувачів. Існує можливість відстеження проходження повідомлення через організацію для визначення місця, де є проблеми з передачею даних. Докладніше про відстеження повідомлень та реєстрацію тем повідомлень розповідається в лекції 6 "Функціональність, безпека та підтримка Exchange Server 2003".

Рис. 12.12.

Рис. 12.13.

Після того як політика почала діяти, її не можна змінити лише на рівні локальних серверів. Політика відстеження повідомлень, яку ми використовували як приклад, була сформована на сервері EX-SRV1 у групі адміністрування Arizona. На

Що таке "Роль сервера" у Windows Server?

У Windows Server також існують і « Компоненти» сервера.

Опис серверних ролей Windows Server 2016

Так як дуже часто установка і адміністрування ролей, служб і компонентів відбувається з використанням Windows PowerShell , я для кожної ролі та її служби вказуватиму назву, яку можна використовувати в PowerShell, відповідно для її установки або для керування.

DHCP-сервер

Назва Windows PowerShell – DHCP.

DNS-сервер

Назва ролі для PowerShell – DNS.

Hyper-V

Назва ролі для Windows PowerShell – Hyper-V.

Атестація працездатності пристроїв

Назва PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Назва для Windows PowerShell – Web-Server.

Включає такі ролі ( у дужках я вказуватиму назву для Windows PowerShell):

Безпека (Web-Security)- Набір служб для безпеки веб-сервера.
- Фільтрування запитів (Web-Filtering) – за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, та фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб-сервера;
- IP-адреса та обмеження домену (Web-IP-Security) – ці засоби дозволяють дозволяти або забороняти доступ до вмісту на веб-сервері з урахуванням IP-адреси або імені домену джерела в запиті;
- Авторизація URL-адреси (Web-Url-Auth) - засоби дозволяють розробляти правила для обмеження доступу до веб-вмісту та пов'язувати їх з користувачами, групами або командами заголовка HTTP;
- Дайджест-перевірка автентичності (Web-Digest-Auth) – дана автентифікація дозволяє забезпечити більш високий рівень безпеки в порівнянні зі звичайною автентичністю. Дайджест-перевірка для автентифікації користувачів діє за принципом передачі хеша пароля контролеру домену Windows;
- Звичайна автентифікація (Web-Basic-Auth) - цей метод автентифікації забезпечує надійну сумісність веб-браузера. Рекомендується використовувати у невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі, можна досить просто перехопити і розшифрувати, тому використовуйте цей метод у поєднанні з SSL;
- Перевірка автентичності Windows (Web-Windows-Auth) – це автентифікація в домені Windows. Іншими словами, Ви можете використовувати облікові записи Active Directory для автентифікації користувачів своїх Web сайтів;
- Перевірка автентичності зі зіставленням сертифіката клієнта (Web-Client-Auth) – цей спосіб автентичності передбачає використання сертифіката клієнта. Для порівняння сертифікатів цей тип використовує служби Active Directory;
- Перевірка автентичності зі зіставленням сертифіката клієнта IIS (Web-Cert-Auth) – у цьому методі для автентифікації також використовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують більш високу продуктивність;
- Централізована підтримка SSL-сертифіката (Web-CertProvider) – ці засоби дозволяє централізовано керувати сертифікатами сервера SSL, що спрощує процес управління цими сертифікатами;
Справність та діагностика (Web-Health)– набір служб для забезпечення контролю, управління та усунення порушень у роботі веб-серверів, сайтів та додатків:
- Ведення журналу http (Web-Http-Logging) - гроші забезпечують ведення журналу активності сайту цьому сервері, тобто. запис лога;
- Веде журнал ODBC (Web-ODBC-Logging) – ці засоби також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності в базі даних, сумісної з ODBC;
- Монітор запитів (Web-Request-Monitor) – це інструмент, який дозволяє спостерігати за справністю веб-програми, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
- Настроювання ведення журналу (Web-Custom-Logging) – за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера у форматі, що значно відрізняється від стандартного формату IIS. Іншими словами, Ви можете створити власний модуль ведення журналу;
- Засоби ведення журналу (Web-Log-Libraries) – це інструменти управління журналами веб-сервера і автоматизації завдань ведення журналу;
- Трасування (Web-Http-Tracing) – це засіб для діагностування та усунення порушень у роботі веб-додатків.
Загальні функції http (Web-Common-Http)- Набір служб, які надають основні функціональні можливості HTTP:
- Документ за промовчанням (Web-Default-Doc) – ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за замовчуванням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресі запиту, завдяки цьому користувачам стає зручніше звертатися до веб-сайту, наприклад, по домену, не вказуючи при цьому файл;
- Огляд каталогу (Web-Dir-Browsing) – за допомогою цього засобу можна налаштувати веб-сервер так, щоб користувачі могли переглядати список усіх каталогів та файлів на веб-сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресі запиту, документи за замовчуванням або заборонені, або не налаштовані;
- Помилки http (Web-Http-Errors) – ця можливість дозволяє налаштовувати повідомлення про помилки, які повертатимуться на веб-браузери користувачів у момент виявлення веб-сервером помилки. Цей засіб використовується для зручнішого подання користувачам повідомлень про помилки;
- Статичний вміст (Web-Static-Content) – цей засіб дозволяє використовувати на веб-сервері контент у вигляді статичних форматів файлів, наприклад HTML файли або файли зображень;
- Перенаправлення http (Web-Http-Redirect) – за допомогою цієї можливості можна перенаправити запит користувача за конкретним призначенням, тобто. це Redirect;
- Публікація WebDAV (Web-DAV-Publishing) дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) – це технологія, що дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщувати) над файлами на віддалених веб-серверах, використовуючи при цьому протокол HTTP.
Продуктивність (Web-Performance)– набір служб для досягнення більш високої продуктивності веб-сервера, за рахунок кешування вихідних даних та загальних механізмів стиснення, таких як Gzip та Deflate:
- Стиснення статичного вмісту (Web-Stat-Compression) – це засіб для налаштування стиснення статичного вмісту http, воно дозволяє ефективніше використовувати пропускну здатність, причому без зайвого навантаження на ЦП;
- Стиснення динамічного вмісту (Web-Dyn-Compression) - це засіб налаштування стиснення динамічного вмісту HTTP. Цей засіб забезпечує більш ефективне використання пропускної спроможності, але в даному випадку навантаження на ЦП сервера, пов'язане з динамічним стисненням, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення високе.
Розробка програм (Web-App-Dev)– набір служб та засобів для розробки та розміщення веб-додатків, іншими словами технології розробки сайтів:
- ASP (Web-ASP) – середовище підтримки та розробки web сайтів та web додатків з використанням технології ASP. На даний момент існує більш нова та просунута технологія розробки сайтів – ASP.NET;
- ASP.NET 3.5 (Web-Asp-Net) - це об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням технології ASP.NET;
- ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням нової версії ASP.NET;
- CGI (Web-CGI) – це можливість використання CGI передачі веб-сервером інформації у зовнішню програму. CGI - це стандарт інтерфейсу для зв'язку зовнішньої програми з web-сервером. Є недолік, що застосування CGI впливає на продуктивність;
- Увімкнення на стороні сервера (SSI) (Web-Includes) – це підтримка мови сценаріїв SSI ( включення на стороні сервера), який використовується для динамічного формування сторінок HTML;
- Ініціалізація додатків (Web-AppInit) – цей засіб виконує завдання ініціалізації web-додатків перед пересиланням веб-сторінки;
- Протокол WebSocket (Web-WebSockets) - додавання можливості створення серверних програм, які взаємодіють за допомогою протоколу WebSocket. WebSocket - це протокол, який може передавати та приймати одночасно дані між браузером та web сервером поверх TCP-з'єднання, свого роду розширення протоколу HTTP;
- Розширення ISAPI (Web-ISAPI-Ext) – підтримка динамічної розробки веб-вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI – це API для веб-сервера IIS. Програми ISAPI працюють набагато швидше, ніж файли ASP або файли, що викликають компоненти COM+;
- Розширюваність.NET 3.5 (Web-Net-Ext) – це засіб розширюваності.NET 3.5, який дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації та в інтерфейсі користувача;
- Розширюваність.NET 4.6 (Web-Net-Ext45) – це засіб розширюваності.NET 4.6, який також дозволяє змінювати, додавати та розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, у конфігурації та в інтерфейсі користувача;
- Фільтри ISAPI (Web-ISAPI-Filter) – додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI являють собою програми, які викликаються при отриманні web сервером певного запиту HTTP, що підлягає обробці цим фільтром.

Служба FTP (Web-Ftp-Service) – додає підтримку протоколу FTP на веб-сервері;
Розширюваність FTP (Web-Ftp-Ext) – розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як постачальники, користувачі ASP.NET або користувачі диспетчера IIS.

Консоль керування службами IIS (Web-Mgmt-Console) – це інтерфейс керування службами IIS;
Набори символів та засоби керування службами IIS (Web-Scripting-Tools) - це засоби та скрипти керування службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації керування;
Служба керування (Web-Mgmt-Service) – ця служба додає можливість керувати web-сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
Управління сумісністю з IIS 6 (Web-Mgmt-Compat) - забезпечує сумісність програм та сценаріїв, що використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для керування веб-сервером IIS 10:
- Метабаза сумісності з IIS 6 (Web-Metabase) - засіб сумісності, який дозволяє запускати додатки та набори символів, перенесені з попередніх версій IIS;
- Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) – ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для управління IIS 6, IIS 10;
- Консоль управління службами IIS 6 (Web-Lgcy-Mgmt-Console) - засіб адміністрування віддалених серверів IIS 6.0;
- Сумісність із WMI IIS 6 (Web-WMI) - це інтерфейси скриптів інструментарію керування Windows (WMI) для програмного контролю та автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного в постачальнику WMI.

Доменні служби Active Directory

Назва ролі для Windows PowerShell – AD-Domain-Services.

Режим Windows Server Essentials

Ця роль являє собою комп'ютерну інфраструктуру та надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці та захист цих даних за рахунок резервного копіювання сервера та клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримувати доступ до даних практично з будь-якого пристрою. Для роботи цієї ролі необхідно кілька служб ролей та компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба ролі « Простори імен DFS».

Назва PowerShell – ServerEssentialsRole.

Мережевий контролер

Назва Windows PowerShell – NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, що дозволяють захищеним вузлам запускати екрановані віртуальні машини. Для функціонування цієї ролі необхідно кілька додаткових ролей та компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « Відмовостійка кластеризація" та інші.

Назва PowerShell – HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

Назва PowerShell – ADLDS.

Служби MultiPoint

Назва ролі PowerShell – MultiPointServerRole.

Служби Windows Server Update Services

Назва Windows PowerShell – UpdateServices.

WID Connectivity (UpdateServices-WidDB) – встановлення в WID ( Windows Internal Database) бази даних, що використовується WSUS. Іншими словами, свої службові дані WSUS зберігатиметься в WID;
WSUS Services (UpdateServices-Services) – це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленої взаємодії з API, веб-служба клієнта, веб-служба простої автентифікації через Інтернет, служба синхронізація сервера та веб-служба автентифікації DSS;
SQL Server Connectivity (UpdateServices-DB) – це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних у базі даних Microsoft SQL Server. В даному випадку у Вас вже повинен бути встановлений принаймні один екземпляр SQL Server.

Служби активації корпоративних ліцензій

Назва PowerShell – VolumeActivation.

Служби друку та документів

Ця роль сервера призначена для надання спільного доступу до принтерів та сканерів у мережі, для централізованого налаштування та управління серверами друку та сканування, а також управління мережевими принтерами та сканерами. Служби друку та документів також дають змогу надсилати відскановані документи електронною поштою, у спільні папки мережі або на веб-сайти Windows SharePoint Services.

Назва PowerShell – Print-Services.

Сервер друку (Print-Server) – дана служба ролі включає оснастку « Управління печаткою», яка використовується для керування принтерами або серверами друку, а також міграції принтерів та інших серверів друку;
Друк через Інтернет (Print-Internet) – для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть керувати завданнями друку на сервері. Для роботи цієї служби як Ви знаєте необхідно встановити « Веб-сервер (IIS)». Усі необхідні компоненти будуть обрані автоматично, коли Ви позначите цей пункт під час процесу встановлення служби ролі « Друк через Інтернет»;
Сервер розподіленого сканування (Print-Scan-Server) – це служба, яка дозволяє приймати відскановані документи з мережевих сканерів та надсилати їх за місцем призначення. Ця служба також містить оснастку « Управління скануванням», яка використовується для керування мережевими сканерами та для налаштування сканування;
Служба LPD (Print-LPD-Service) – служба LPD ( Line Printer Daemon) дозволяє комп'ютерам на базі UNIX та іншим комп'ютерам, що використовують службу Line Printer Remote (LPR), друкувати на спільних принтерах сервера.

Служби політики мережі та доступу

Назва Windows PowerShell – NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено встановлювати операційну систему Windows через мережу.

Назва ролі PowerShell – WDS.

Сервер розгортання (WDS-Deployment) – дана служба ролі призначена для віддаленого розгортання та налаштування операційних систем Windows. Вона також дозволяє створювати та налаштовувати образи для повторного використання;
Транспортний сервер (WDS-Transport) – це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом багатоадресного розсилання на автономному сервері.

Служби сертифікатів Active Directory

Назва Windows PowerShell – AD-Certificate.

Включає такі ролі:

Центр сертифікації (ADCS-Cert-Authority) – за допомогою цієї служби ролі можна видавати сертифікати користувачам, комп'ютерам та службам, а також керувати дійсністю сертифіката;
Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) – ця служба дозволяє користувачам та комп'ютерам отримувати інформацію про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить до домену. Для її функціонування необхідний Веб-сервер (IIS)»;
Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) – дана служба дозволяє користувачам та комп'ютерам реєструвати та продовжувати сертифікати за допомогою веб-браузера за протоколом HTTPS, навіть якщо комп'ютер не входить до домену. Для її функціонування також необхідний Веб-сервер (IIS)»;
Мережевий відповідач (ADCS-Online-Cert) – служба призначена для перевірки відкликання сертифіката для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів і надсилає підписану відповідь, з інформацією про статус. Для функціонування служби необхідний Веб-сервер (IIS)»;
Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) – ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити та продовження сертифікатів, отримання списків відгуків сертифікатів та реєстрація сертифікатів смарт-карток. Для функціонування служби необхідний Веб-сервер (IIS)»;
Служба реєстрації на мережевих пристроях (ADCS-Device-Enrollment) – за допомогою цієї служби можна видавати сертифікати для маршрутизаторів та інших мережних пристроїв, що не мають облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованих на сеансах, та до віддалених програм RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

Веб-доступ до віддалених робочих столів (RDS-Web-Access) - дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів та програм RemoteApp через меню « Пуск» або за допомогою веб-браузера;
Ліцензування віддалених робочих столів (RDS-Licensing) - служба призначена для керування ліцензіями, які необхідні для підключення до сервера вузла сеансів віддалених робочих столів або віртуального робочого столу. Її можна використовувати для встановлення, видачі ліцензій та відстеження їхньої доступності. Для роботи цієї служби необхідний Веб-сервер (IIS)»;
Посередник підключень до віддаленого робочого стола (RDS-Connection-Broker) - служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, додатку RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів робочих столів чи між віртуальними робочими столами у складі пулу. Для роботи цієї служби необхідний компонент « »;
Вузол віртуалізації віддалених робочих столів (DS-Virtualization) - служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів та програм RemoteApp. Ця служба працює разом із Hyper-V, тобто. дана роль має бути встановлена;
Вузол сеансів віддалених робочих столів (RDS-RD-Server) – за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і на основі сеансів робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого стола або віддалених програм RemoteApp;
Шлюз віддалених робочих столів (RDS-Gateway) – служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддалених програм RemoteApp та робочих столів, заснованих на сеансах, в корпоративній мережі або через Інтернет. Для функціонування цієї служби необхідні такі додаткові служби та компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби керування правами Active Directory

Назва Windows PowerShell – ADRMS.

Сервер управління правами Active Directory (ADRMS-Server) - основна служба ролі, обов'язкова установки;
Підтримка федерації посвідчень (ADRMS-Identity) – це додаткова служба ролі, яка дозволяє федеративним посвідченням використовувати захищений вміст за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Назва PowerShell – ADFS-Federation.

Віддалений доступ

Ця роль забезпечує підключення через DirectAccess, VPN та проксі веб-програми. Також роль « Віддалений доступ» надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес (NAT) та інші параметри підключень. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

DirectAccess та VPN (RAS) (DirectAccess-VPN) - служба дозволяє користувачам підключатися до корпоративної мережі у будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключення у поєднанні з технологіями тунелювання та шифрування даних;
Маршрутизація (Routing) - служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережі з протоколами BGP, RIP та маршрутизаторів з підтримкою багатоадресного розсилання (IGMP-проксі);
Проксі-сервер веб-додатків (Web-Application-Proxy) - служба дозволяє публікувати програми на основі протоколів HTTP та HTTPS із корпоративної мережі на клієнтських пристроях, що знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Назва Windows PowerShell – FileAndStorage-Services.

Файловий сервер (FS-FileServer) – служба ролі, яка керує загальними папками та надає користувачам доступ до файлів на цьому комп'ютері через мережу;
Дедуплікація даних (FS-Data-Deduplication) – ця служба заощаджує місце на диску за рахунок зберігання на томі лише однієї копії ідентичних даних;
Диспетчер ресурсів файлового сервера (FS-Resource-Manager) – за допомогою цієї служби можна керувати файлами та папками на файловому сервері, створювати звіти сховища, класифікувати файли та папки, налаштовувати квоти папок та визначати політики блокування файлів;
Постачальник цільового сховища iSCSI (апаратні постачальники VDS та VSS) (iSCSITarget-VSS-VDS) – служба дозволяє програмам на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
Простір імен DFS (FS-DFS-Namespace) – за допомогою цієї служби можна групувати спільні папки, розміщені на різних серверах, в один або кілька логічно структурованих просторів імен;
Робочі папки (FS-SyncShareService) – служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робочі та особисті. У робочих папках можна зберігати файли, синхронізувати їх та отримувати доступ до них з локальної мережі або Інтернету. Для функціонування служби необхідний компонент Внутрішньопроцесне веб-ядро IIS»;
Реплікація DFS (FS-DFS-Replication) – це модуль реплікації даних між кількома серверами, що дозволяє синхронізувати папки через підключення до локальної чи глобальної мережі. Ця технологія використовує протокол віддаленого стиснення (RDC) для оновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна використовувати як з просторами імен DFS, так і окремо;
Сервер для NFS (FS-NFS-Service) – служба дозволяє цьому комп'ютеру спільно використовувати файли з комп'ютерами на базі UNIX та іншим комп'ютерам, які використовують протокол мережевої файлової системи (NFS);
Сервер мети iSCSI (FS-iSCSITarget-Server) – надає служби та засоби керування для цілей iSCSI;
Служба BranchCache для мережних файлів (FS-BranchCache) – служба забезпечує підтримку BranchCache на цьому файловому сервері;
Служба агента VSS файлового сервера (FS-VSS-Agent) - служба дозволяє виконувати тіньове копіювання томів додатків, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Назва ролі Windows PowerShell – Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчено, сподіваюся, матеріал був Вам корисний, поки що!

Застосування групових політик (частина 3)

Зазвичай об'єкти групової політики призначаються на контейнер (домен, сайт або OU) та застосовуються до всіх об'єктів у цьому контейнері. При грамотно організованій структурі домену цього цілком достатньо, проте іноді потрібно додатково обмежити застосування політик певною групою об'єктів. Для цього можна використовувати два типи фільтрів.

Фільтри безпеки

Фільтри безпеки дозволяють обмежити застосування політик певною групою безпеки. Наприклад візьмемо GPO2, з допомогою якого виконується централізоване налаштування меню Пуск на робочих станціях з Windows 8.1\Windows 10. GPO2 призначено OU Employees і застосовується всім без винятку користувачам.

Тепер перейдемо на вкладку Scope, де в розділі Security Filtering вказані групи, до яких може бути застосований даний GPO. За замовчуванням вказується група Authenticated Users. Це означає, що політика може бути застосована до будь-комукористувачеві або комп'ютеру, який успішно пройшов аутентифікацію в домені.

Насправді, кожен GPO має свій список доступу, який можна побачити на вкладці «Delegation».

Для застосування політики об'єкт повинен мати права на її читання (Read) та застосування (Apply group policy), які є у групи Authenticated Users. Відповідно, щоб політика застосовувалася не до всіх, а лише до певної групи, необхідно видалити зі списку Authenticated Users, потім додати потрібну групу і видати їй відповідні права.

Так, у нашому прикладі політика може застосовуватися тільки до групи Accounting.

WMI фільтри

Windows Management Instrumentation (WMI) - один з найпотужніших інструментів для керування операційною системою Windows. WMI містить безліч класів, за допомогою яких можна описати практично будь-які параметри користувача і комп'ютера. Переглянути всі наявні класи WMI у вигляді списку можна за допомогою PowerShell, виконавши команду:

Get-WmiObject -List

Наприклад візьмемо клас Win32_OperatingSystemщо відповідає за властивості операційної системи. Припустимо, що потрібно відфільтрувати всі операційні системи, крім Windows 10. Заходимо на комп'ютер із встановленою Window 10, відкриваємо консоль PowerShell і виводимо ім'я, версію та тип операційної системи за допомогою команди:

Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType

Для фільтра використовуємо версію та тип ОС. Версія однакова для клієнтських та серверних ОС і визначається так:

Windows Server 2016\Windows 10 - 10.0
Window Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Тип продукту відповідає за призначення комп'ютера і може мати 3 значення:

1 – робоча станція;
2 – контролер домену;
3 – сервер.

Тепер переходимо безпосередньо до створення фільтра. Для цього відкриваємо оснастку Group Policy Management і переходимо до розділу WMI Filters. Клікаємо на ньому правою клавішеюмиші та у контекстному меню вибираємо пункт «New».

У вікні даємо фільтру ім'я та опис. Потім тиснемо кнопку "Add" і поле "Query" вводимо WQL запит, який є основою WMI фільтра. Нам необхідно відібрати ОС версії 10.0 з типом 1 відповідно запит буде виглядати так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.0%″ AND ProductType = ″1″

Примітка. Windows Query Language (WQL) – мова запитів WMI. Докладніше про нього можна дізнатися на MSDN.

Зберігаємо фільтр, що вийшов.

Тепер залишилося тільки призначити фільтр WMI на об'єкт групової політики, наприклад на GPO3. Переходимо до властивостей GPO, відкриваємо вкладку Scope і в полі WMI Filtering вибираємо зі списку потрібний фільтр.

Аналіз застосування групових політик

При такій кількості способів фільтрації GPO необхідно мати можливість діагностики та аналізу їх застосування. Найпростіше перевірити дію групових політик на комп'ютері можна за допомогою утиліти командного рядка gpresult.

Наприклад зайдемо на комп'ютер wks2, на якому встановлена ОС Windows 7, і перевіримо, чи спрацював WMI фільтр. Для цього відкриваємо консоль cmd з правами адміністратора та виконуємо команду gpresult /r, яка виводить сумарну інформацію про групові політики, застосовані до користувача та комп'ютера.

Примітка.Утиліта gpresult має безліч налаштувань, які можна подивитися командою gpresult/?.

Як видно з отриманих даних, до комп'ютера не застосовано політику GPO3, оскільки вона була фільтрована за допомогою фільтра WMI.

Також перевірити дію GPO можна з оснастки Group Policy Management, за допомогою спеціального майстра. Для запуску майстра клацаємо правою клавішею миші на розділі «Group Policy Results» і в меню вибираємо пункт «Group Policy Results Wizard».

Вказуємо ім'я комп'ютера, для якого буде складено звіт. Якщо потрібно переглянути лише власні налаштування групової політики, настройки для комп'ютера можна не збирати. Для цього потрібно поставити галочку знизу (display user policy settings only).

Потім вибираємо ім'я користувача, для якого будуть збиратися дані, або можна вказати не включати до звіту настроювання групової політики для користувача (display computer policy settings only).

Перевіряємо вибрані налаштування, тиснемо «Next» і чекаємо, доки збираються дані та генерується звіт.

Звіт містить вичерпні дані про об'єкти групових політик, застосовані (або не застосовані) до користувача та комп'ютера, а також про використовувані фільтри.

Для прикладу складемо звіти для двох різних користувачів та порівняємо їх. Першим відкриємо звіт користувача Kirill і перейдемо в розділ налаштувань користувача. Як бачите, до цього користувача не застосовувалася політика GPO2, оскільки він не має прав на її застосування (Reason Denied - Inaсcessible).

А тепер відкриємо звіт користувача Oleg. Цей користувач є членом групи Accounting, тому політика була успішно застосована. Це означає, що фільтр безпеки успішно відпрацював.

На цьому, мабуть, я закінчу захоплюючу розповідь про застосування групових політик. Сподіваюся ця інформація буде корисною і допоможе вам у нелегкій справі системного адміністрування 🙂

Лекція 4 Сервер політики мережі: RADIUS-сервер, RADIUS-проксі та сервер політик захисту

Лекція 4

Тема: Сервер політики мережі: RADIUS-сервер, RADIUS-проксі та сервер політик захисту доступу до мережі

Вступ

Windows Server 2008 і Windows Server 2008 R2 - високотехнологічні операційні системи Windows Server, розроблені, щоб дати початок новому поколінню мереж, програм та веб-служб. За допомогою цих операційних систем можна розробляти, доставляти та управляти гнучкою та всеосяжною взаємодією з користувачами та додатками, створювати мережеві інфраструктури з високим рівнем безпеки та збільшувати технологічну ефективність та організованість у своїй організації.

Сервер мережевих політик

Сервер політики мережі дозволяє створювати та застосовувати політики доступу до мережі на рівні організації для забезпечення працездатності клієнтів, а також виконання автентифікації та авторизації запитів на підключення. Крім того, сервер політики мережі можна використовувати як RADIUS-проксі для перенаправлення запитів на підключення на сервер політики мережі або інші сервери RADIUS, налаштовані в групах віддалених RADIUS-серверів.

Сервер політики мережі дозволяє централізовано налаштовувати політики автентичності, авторизації та працездатності клієнта при наданні доступу до мережі та керувати цими політиками за допомогою наступних трьох можливостей:

RADIUS Server. Сервер політики мережі централізовано виконує перевірку автентичності, авторизацію та облік для бездротових підключень, підключень по комутаторах з автентичністю, підключень віддаленого доступу та підключень по віртуальній приватній мережі (VPN). При використанні сервера політики мережі як RADIUS-сервера, сервери доступу до мережі, такі як точки бездротового доступу та VPN-сервери, налаштовуються як RADIUS-клієнти на сервері політики мережі. Також налаштовуються політики мережі, які використовуються сервером політики мережі для авторизації запитів на підключення. На додаток до цього можна налаштувати облік RADIUS, щоб дані заносилися сервером політики мережі у файли журналу, що зберігаються на локальному жорсткому диску або в базі даних Microsoft SQL Server.

RADIUS proxy. Якщо сервер політики мережі використовується як RADIUS-проксі, необхідно налаштувати політики запитів на підключення, які визначають, які запити на підключення сервер політики мережі перенаправлятиме на інші RADIUS-сервери, а також на які конкретно RADIUS-сервери будуть перенаправлятися ці запити. На сервері політики мережі можна також настроїти перенаправлення облікових даних для їх зберігання на одному або кількох комп'ютерах у групі віддалених серверів RADIUS.

Network Access Protection (NAP) policy server. Якщо сервер політики мережі налаштований як сервер політик захисту доступу до мережі, сервер політики мережі оцінює стан працездатності, що направляються клієнтськими комп'ютерами з підтримкою захисту доступу до мережі, які намагаються підключитися до мережі. Сервер мережевих політик, на якому налаштований захист доступу до мережі, виступає як RADIUS-сервер, виконуючи автентифікацію та авторизацію запитів на підключення. На сервері політики мережі можна налаштувати політики та параметри захисту доступу до мережі, у тому числі пристрої перевірки працездатності системи, політику працездатності та групи серверів оновлень, які забезпечують оновлення конфігурації клієнтських комп'ютерів відповідно до політики мережі організації.

На сервері політики мережі можна налаштувати будь-яке поєднання наведених вище можливостей. Наприклад, сервер політики мережі може виступати як сервер політик захисту доступу до мережі з використанням одного або декількох методів застосування, одночасно виконуючи функції RADIUS-сервера для підключень віддаленого доступу та функції RADIUS-проксі для перенаправлення деяких запитів на підключення групі віддалених RADIUS-серверів, що дозволяє виконувати автентифікацію та авторизацію в іншому домені.

RADIUS-сервер та RADIUS-проксі

Сервер політики мережі може використовуватися як RADIUS-сервер, RADIUS-проксі або обох цих пристроїв одночасно.

RADIUS-сервер

Сервер політики мережі Майкрософт реалізований відповідно до стандарту RADIUS, описаного в документах IETF RFC 2865 і RFC 2866. Як RADIUS-сервер сервер політики мережі централізовано виконує перевірку автентичності, авторизацію та облік підключень для різних типів доступу до мережі, включаючи бездротовий доступ, комутування з автентичністю, віддалений доступ і доступ до VPN, а також підключення між маршрутизаторами.

Сервер політики мережі дозволяє використовувати різноманітний набір обладнання для бездротового доступу, віддаленого доступу, мереж VPN та комутування. Сервер політики мережі можна використовувати зі службою маршрутизації та віддаленого доступу, які доступні в операційних системах Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition та Windows Server 2003, Datacenter Edition.

Якщо комп'ютер із сервером політики мережі є членом домену Active Directory®, сервер політики мережі використовує цю службу каталогів як базу даних облікових записів користувачів та є частиною рішення для єдиного входу. Той самий набір облікових даних використовується для керування доступом до мережі (перевірка автентифікації та авторизація доступу до мережі) та для входу до домену Active Directory.

Постачальники Інтернету та організації, які забезпечують доступ до мережі, стикаються з більш складними завданнями, пов'язаними з необхідністю здійснювати управління будь-якими типами мереж з єдиної точки адміністрування незалежно від обладнання доступу до мережі, що використовується. Стандарт RADIUS підтримує таку функціональність як у однорідних, так і різнорідних середовищах. Протокол RADIUS є клієнт-серверним протоколом, який дозволяє обладнанню доступу до мережі (виступає як RADIUS-клієнти) надсилати RADIUS-серверу запити на автентифікацію та обліку.

RADIUS-сервер має доступ до відомостей облікового запису користувача і може перевіряти облікові дані під час автентифікації для надання доступу до мережі. Якщо облікові дані користувача є справжніми та спроба підключення пройшла авторизацію, RADIUS-сервер авторизує доступ даного користувача з урахуванням зазначених умов та заносить відомості про підключення до журналу обліку. Використання протоколу RADIUS дозволяє збирати та обслуговувати дані про автентифікацію, авторизацію та облік в єдиному розташуванні замість виконання цієї операції на кожному сервері доступу.

RADIUS-проксі

Як RADIUS-проксі сервер політики мережі перенаправляє повідомлення автентифікації та обліку на інші RADIUS-сервери.

За допомогою сервера політики мережі організації можуть передати інфраструктуру віддаленого доступу на зовнішнє управління постачальнику послуг, водночас зберігаючи контроль за автентифікацією, авторизацією та обліком користувачів.

Конфігурації сервера політики мережі можуть створюватися для таких сценаріїв:

Бездротовий доступ

Підключення віддаленого доступу або приватної віртуальної мережі в організації.

Віддалений доступ або бездротовий доступ, що забезпечується зовнішньою організацією

Доступ до Інтернету

Доступ із автентичністю до ресурсів зовнішньої мережі для ділових партнерів

Приклади конфігурацій RADIUS-сервера та RADIUS-проксі

У наступних прикладах конфігурації демонструється налаштування сервера політики мережі як RADIUS-сервер та RADIUS-проксі.

NPS як RADIUS server. У цьому прикладі сервер політики мережі налаштований як RADIUS-сервер, єдиною налаштованою політикою є встановлена за замовчуванням політика запитів на підключення, всі запити на підключення обробляються локальним сервером політики мережі. Сервер політики мережі може виконувати автентифікацію та авторизацію користувачів, облікові записи яких знаходяться в домені даного сервера або в довірених доменах.

NPS as a RADIUS proxy. У цьому прикладі сервер політики мережі налаштований як RADIUS-проксі, який перенаправляє запити на підключення до груп віддалених RADIUS-серверів у двох різних доменах без довіри. Установлена за замовчуванням політика запитів на підключення видаляється, а замість неї створюються дві нові політики запитів на підключення, що передбачають перенаправлення запитів на кожен із двох доменів без довіри. У цьому прикладі сервер мережі не обробляє запити на підключення на локальному сервері.

NPS як both RADIUS server and RADIUS proxy. На додаток до встановленої за замовчуванням політики запитів на підключення, яка передбачає локальну обробку запитів, створюється нова політика запитів на підключення, яка передбачає їх перенаправлення на сервер політики мережі або інший сервер RADIUS, що знаходиться в домені без довіри. Друга політика має ім'я Проксі. У цьому прикладі політика "Проксі" відображається першою у списку упорядкованому політик. Якщо запит на підключення відповідає політиці "Проксі", даний запитна підключення перенаправляється на RADIUS-сервер у групі віддалених RADIUS-серверів. Якщо запит на підключення не відповідає політиці "Проксі", але відповідає встановленій за промовчанням політиці запитів на підключення, сервер політики мережі обробляє цей запит на підключення на локальному сервері. Якщо запит на підключення не відповідає жодній із цих політик, він відхиляється.

NPS as a RADIUS server з remote accounting servers. У цьому прикладі локальний сервер політики мережі не налаштований на ведення обліку, а встановлена за замовчуванням політика запитів на підключення змінена таким чином, щоб RADIUS-повідомлення обліку перенаправлялися на сервер політики мережі або інший сервер RADIUS в групі віддалених RADIUS-серверів. Незважаючи на те, що повідомлення обліку перенаправляються, повідомлення автентифікації та авторизації не перенаправляються, а відповідні функції для локального домену і всіх довірених доменів здійснюються локальним сервером політики мережі.

NPS with remote RADIUS to Windows user mapping. У цьому прикладі сервер політики мережі виступає як як RADIUS-сервер, так і як RADIUS-проксі для кожного окремого запиту на підключення, перенаправляючи запит на автентифікацію на віддалений RADIUS-сервер і одночасно виконуючи авторизацію з використанням локального облікового запису користувача Windows. Така конфігурація реалізується шляхом встановлення атрибуту зіставлення віддаленого сервера RADIUS користувачу Windows як умову політики запитів на підключення. (Крім того, на RADIUS-сервері необхідно створити локальний обліковий запис користувача з тим же ім'ям, що й віддалений обліковий запис, за яким буде виконуватися автентифікація віддаленим RADIUS-сервером.)

Сервер політики захисту доступу до мережі

Компонент захисту доступу до мережі включений у Windows Vista®, Windows® 7, Windows Server® 2008 та Windows Server® 2008 R2. Він забезпечує захист доступу до приватних мереж, гарантуючи відповідність параметрів клієнтських комп'ютерів діючим у мережі організації політикам працездатності при дозволі цим клієнтам доступу до мережевих ресурсів. Крім того, відповідність клієнтського комп'ютера політиці працездатності, що визначається адміністратором, відстежується компонентом захисту доступу до мережі в період, коли комп'ютер підключений до мережі. Завдяки можливості автоматичного оновлення захисту доступу до мережі може виконуватися автоматичне оновлення невідповідних комп'ютерів у відповідності до політики працездатності, що дозволяє згодом надати їм доступ до мережі.

Системні адміністратори визначають політики працездатності мережі та створюють ці політики з використанням компонентів захисту доступу до мережі, які доступні на сервері політики мережі або постачаються іншими компаніями (залежно від реалізації захисту доступу до мережі).

Політики працездатності можуть мати такі характеристики, як вимоги до програмного забезпечення, вимоги до оновлень системи безпеки та вимоги до параметрів конфігурації. Захист доступу до мережі застосовує політики працездатності, перевіряючи та оцінюючи працездатність клієнтських комп'ютерів, обмежуючи мережевий доступ для комп'ютерів, що не відповідають цим вимогам та виправляючи цю невідповідність з метою надання необмеженого доступу до мережі.

Жорсткі диски