Server siyosatining hisobot tavsifini bering. Ma'muriyat va marshrutlash guruhlari bilan ishlash. Korxona litsenziyasini faollashtirish xizmatlari GPResult buyrug‘i: Natijadagi guruh siyosatlarining diagnostikasi

GPresult yordam dasturi.exe- konsol qo'shimchasi, tahlil, sozlash va diagnostika uchun uchrashuvlar guruh siyosati, yaky zastosovuetsya kompyuterga va / yoki Active Directory domenidagi koristuvacha. Zocrema, GPResult sizga natijaviy siyosatlar to'plami (Siyosat natijalari to'plami, RSOP), domen siyosatini blokirovka qilish ro'yxati (GPO) haqida ma'lumot olishga imkon beradi, batafsil ma'lumot kechirim va talablar haqida. Windows XP ish vaqtidan boshlab Windows OS omboriga kirish uchun yordamchi dastur. GPresult yordam dasturi sizga quyidagi savollarga javob berishga imkon beradi: nima uchun kompyuterga ma'lum bir siyosat o'rnatilgan, chunki GPO o'zi sabablarga ko'ra boshqa Windows sozlamalarini o'zgartirgan.

Ushbu maqolada biz Active Directory domeni uchun ishni diagnostika qilish va guruh siyosatini o'rnatish uchun GPresult buyrug'ining o'ziga xos xususiyatlarini ko'rishimiz mumkin.

Windows-da guruh siyosatini blokirovka qilish diagnostikasi uchun RSOP.msc grafik konsoli o'zgartirildi, chunki u olingan siyosatlarni (domen + mahalliy) tahrirlash, kompyuterni to'xtatish va konsolga o'xshash grafik ko'rinishni qisqartirish imkonini berdi. GPO muharriri (quyida RSOP.msc konsolining taqdimoti misolida) sozlamalar yangilanganligini ko'rishingiz mumkin).

Prote, Windows-ning zamonaviy versiyalarida RSOP.msc konsoli zaif kaltaklangan, shuning uchun. u xususiylashtirishga ruxsat bermaydi, turli guruh siyosati kengaytmalarini (CSE) zastozovanie, masalan, GPP (Group Policy Preferences), xatolarga yo'l qo'ymaydi, ozgina diagnostika ma'lumotlarini beradi. Shuning uchun, GPresult buyrug'i Windows-da GPO blokirovkasini diagnostika qilish uchun asosiy vositadir (Windows 10-da, bu biroz erta, chunki RSOP GPResult loginiga yangi qo'ng'iroq qilmaydi).

Wicker yordam dasturi GPresult.exe

GPresult buyrug'i kompyuterda tekshiriladi, bu erda guruh siyosatini blokirovka qilishni tekshirish kerak. GPresult buyrug'i quyidagi sintaksisga ega bo'lishi mumkin:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Guruh siyosati, ushbu AD ob'ektiga qanday o'tish (kompyuter tekshiruvi) va GPO infratuzilmasi uchun o'rnatilgan boshqa parametrlar (natijada GPO siyosatini o'rnatish uchun - RsoP) haqida batafsil ma'lumot olish uchun quyidagi buyruqni kiriting:

Buyruqning 2 bo'limga bo'linishi natijalari:

  • KOMPYUTER SOZLAMALAR (Kompyuter konfiguratsiyasi) - kompyuterda o'rnatilgan GPO ob'ektlari haqida tarqatilgan ma'lumotlar (masalan, Active Directory);
  • USER SOZLAMALAR - koristuvach siyosatchisi (siyosatchilar jismoniy rekord eramizda koristuvach).

GPresult displeyiga ta'sir qilishi mumkin bo'lgan asosiy parametrlar / bo'limlarni qisqacha ko'rib chiqamiz:

  • saytIsm(Im'ya sayti:) – Kompyuter joylashgan Im'ya AD sayti;
  • CN– RSoP ma’lumotlari yaratilgan kanonik koristuvach/kompyuterdan tashqarida;
  • OxirgivaqtguruhSiyosatediqo'llaniladi(Guruh siyosatining turg'unligini to'xtatish) - agar guruh siyosati oxirgi marta yoqilgan bo'lsa, soat;
  • guruhSiyosatediqo'llaniladidan(Guruh siyosati o'chirilgan) - GPO-ning qolgan qismini o'chirib qo'ygan domen boshqaruvchisi;
  • DomenIsmva Domenturi(Domen nomi, domen turi) – Active Directory domeni uchun sxema versiyasi nomi;
  • Qo'llaniladiguruhSiyosatOb'ektlar(Guruh siyosatining ob'ektlari)- guruh siyosatining faol ob'ektlari ro'yxati;
  • ThequyidagiGPOlarboulesemasqo'llaniladichunkihidlashboulesfiltrlangantashqariga(Kengaytirilgan GPO siyosatlari bloklanmagan, badbo'y hidlar filtrlangan) - GPOlar bloklanmagan;
  • Thefoydalanuvchi/kompyuterhisoblanadiaqisminingthequyidagixavfsizlikguruhlar(Koristuvach / kompyuter tajovuzkor xavfsizlik guruhlari a'zosi) - domen guruhlari, ba'zi hollarda koristuvach.

Ko'rinib turibdiki, koristuvach ob'ekti 4 ta guruh siyosatiga ega.

  • Standart domen siyosati;
  • Windows xavfsizlik devorini yoqing;
  • DNS qo'shimchasini qidirish ro'yxati

Agar xohlamasangiz, konsol bir vaqtning o'zida koristuvach siyosatchilari va kompyuter siyosatchilari to'g'risidagi ma'lumotlarni ko'rsatishi uchun qo'shimcha / qamrov opsiyasi uchun faqat bir nechta bo'linishlarni kiritishingiz mumkin, shunda siz bosishingiz mumkin. . Faqat koristuvachning natijaviy siyosati:

gpresult /r /scope:user

yoki faqat turg'un kompyuter siyosatlari:

gpresult /r /scope:kompyuter

Chunki Gpresult yordam dasturi ma'lumotlaringizni to'g'ridan-to'g'ri konsolda ko'rsatadi buyruq qatori Agar qo'shimcha tahlil qilish uchun uni qo'lda kiritmasangiz, vaqtinchalik buferni almashish buferiga yo'naltirishingiz mumkin:

gpresult /r |klip

yoki matn fayli:

gpresult /r > c:\gpresult.txt

Batafsil RSOP ma'lumotlarini ko'rsatish uchun siz /z tugmachasini qo'shishingiz kerak.

HTML GPresult yordami uchun RSOP ga qo'ng'iroq qiling

Bundan tashqari, GPresult yordam dasturi har qanday natijaviy siyosat natijalari uchun HTML chiqishini yaratishi mumkin (Windows 7 va undan keyingi versiyalarda mavjud). Guruh siyosatlari bo'yicha o'rnatiladigan barcha tizim parametrlari va o'rnatiladigan ma'lum GPO nomlari haqida ma'lumotni kimga olasiz (tuzilma bo'yicha nom, domen guruhi siyosatini boshqarish konsolidagi Sozlamalar yorlig'ini taxmin qiling - GPMC). Qo'shimcha buyruq yordamida GPresult HTML qo'ng'irog'ini yaratishingiz mumkin:

GPresult /h c:\gp-report\report.html /f

Qo'ng'iroqni yaratish va uni brauzerda avtomatik ravishda ochish uchun buyruqni kiriting:

GPresult /h GPresult.html & GPresult.html

HTML-da gpresult juda ko'p asosiy ma'lumotlarni olishi mumkin: siz GPO hisobini, ishlov berish soatini (ms da) va maxsus siyosatlar va CSE to'xtatilishini (Kompyuter tafsilotlari -> Komponent holatini taqsimlashda) ko'rishingiz mumkin. Misol uchun, skrinshotda siz 24 ta parolni eslab qolish siyosati standart domen siyosati (Winning GPO) tomonidan o'rnatilganligini ko'rishingiz mumkin. Ko'rib turganingizdek, bunday HTML rsop.msc konsoli ostidagi bloklangan siyosatlarni tahlil qilish uchun juda foydali.

GPresult ma'lumotlarini masofaviy kompyuterdan olish

GPresult masofaviy kompyuterdan ma'lumotlarni to'plashi mumkin, bu esa ma'murga mahalliy yoki RDP kompyuter tomonidan kerak bo'lsa, masofaviy kompyuterga kirish imkonini beradi. Masofaviy kompyuterdan RSOP ma'lumotlarini yig'ish uchun buyruq formati quyidagicha:

GPresult /s server-ts1 /r

Xuddi shunday darajaga ko'ra, siz koristuvach siyosatchilari uchun ham, kompyuter siyosatchilari uchun ham ma'lumotlarni olib tashlashingiz mumkin.

Koristuvach foydalanuvchi nomi RSOP ma'lumotlariga ega emas

UAC yoqilganda, GPresult-ni imtiyozlarsiz ishga tushirish guruh siyosatlarini bo'lish o'rniga parametrlarni ko'rsatadi. Bir vaqtning o'zida haqoratlarni ko'rsatish kerak (FOYDALANUVCHI SETTINGS va KOMPYUTER SOZLAMALARI), buyruq bajarilishi kerak. Boshqaruv tizimining imtiyozlariga ega bo'lgan buyruq qatori sifatida yordamchi dastur oldinda ko'rinadi MA'LUMOT: Thefoydalanuvchi"domen\user” qiladiemasborRSOPma'lumotlar ( Koristuvach "domen\user" ruxsat berilmagan (RSOP). GPresult koristuvacha ma'lumotni olishga harakat qilmoqda, bu ishlayotgan, ale. Bu koristuvach tizimga kirmadi (kirish), yangi kun uchun RSOP ma'lumotlari. Faol seansga kirganingizda RSOP ma'lumotlarini to'plash uchun jismoniy yozuvingizni kiritishingiz kerak:

gpresult /r /user:tn\edward

Agar siz sug'urtalangan yozuvning nomini bilmasangiz, garovga qo'ying masofaviy kompyuter, oblikovy rekordni quyidagicha ko'rish mumkin:

qwinsta / SERVER: remotePC1

Shuningdek, mijozga soatni (i) aylantiring. Soat PDC (Primary Domain Controller) soati uchun javobgardir.

Hujum qiluvchi GPO siyosatlari turg'un emas edi, hidning hidlari filtrlangan

Guruh siyosatlari bilan bog'liq muammolarni bartaraf qilishda, varto bo'limiga ham e'tibor bering: GPO ilgari suruvchi siyosatlar bloklanmagan, shuning uchun hid filtrlangan. Ushbu bo'limda ob'ektga etib bormaslikning boshqa sabablari bo'lsa, GPO ro'yxati ko'rsatiladi. Siyosat to'xtata olmaydigan variantlar:


Muayyan AD ob'ektini "Effektiv ruxsatlar" ilovasida (Kengaytirilgan -> Samarali kirish) o'rnatish nima uchun siyosatning xatosi ekanligini ham tushunishingiz mumkin.

Shuningdek, ushbu maqolada biz GPresult qo'shimcha yordam dasturi uchun guruh siyosatini tashxislashning o'ziga xos xususiyatlarini ko'rib chiqdik va odatiy stsenariylarni va vikoristannyalarni ko'rib chiqdik.

Windows-ni o'rnatishda boshqa qator quyi tizimlarning aksariyati faollashtirilmaydi yoki tiklanmaydi. Tse zrobleno z xavfsizlik sabablari. Tizim qulf ortida qulflanganligi sababli, tizim ma'murlari tizimning dizayniga e'tibor berishlari mumkin, go'yo barcha funktsiyalar unga qo'yilgan va hech narsa qilinmagan. Zarur funksiyalarni yoqishda yordam berish uchun Windows server rolini tanlashni taklif qiladi.

Rollar

server roli - tse nabryr dasturlari, yak to'g'ri o'rnatilgan va sozlangan bo'lsa, kompyuter merezhí koristuvachív yoki boshqa kompyuterlar bir qator uchun yagona vazifani bajarish imkonini beradi. Yovvoyi vipadkalarda barcha rollar bir xil xususiyatlarga ega bo'lishi mumkin.

  • Ular kompyuterni almashtirish usuli sifatida tan olingan asosiy funktsiyani bildiradi. Kompyuterni bitta rolni yutish uchun tan olish mumkin, chunki u majburiyatlarda intensiv ravishda g'alaba qozonadi, lekin bir nechta rollarni yutish uchun, chunki ularning terisi yulduzdan kamroq zastosovuetsya.
  • Rollar butun tashkilot xodimlariga boshqa kompyuterlarda, masalan, veb-saytlarda, printerlarda yoki boshqa kompyuterlarda saqlangan fayllarda saqlanadigan resurslardan foydalanish imkonini beradi.
  • badbo'y hidi vlasny ma'lumotlar bazalariga o'xshaydi, unda cherglar koristuvacha yoki kompyuter ichish uchun yaratilgan yoki mash koristuvachív va rol o'ynaydigan kompyuterlar haqida yozuvlar yozilgan. Masalan, Active Directory Domain Services merezhídagi kompyuterlarning nomlari va ota-ona havolalarini to'plash uchun ma'lumotlar bazasini tozalaydi.
  • To'g'ri o'rnatilgandan so'ng, ushbu rol sozlamalari avtomatik ravishda ishlaydi. Tse, badbo'y hid o'rnatilgan kompyuterlarga koristuvachning chekka taqdiri egasining tan olinishiga imkon beradi.

Rol xizmatlari

Rol xizmatlari - bu ishtirok etish uchun funksionallikni ta'minlovchi dasturlar. O'rnatish soati ostida rolni tanlash mumkin, go'yo xizmatlar korxonada boshqa xodimlarga va kompyuterlarga berilgan. DNS serveri kabi rollar faqat bitta funktsiyaga xizmat qiladi, shuning uchun ular uchun rollar yo'q. Masofaviy ish stollari xizmatlari kabi boshqa rollarda xizmatlar ko'p bo'lishi mumkin, chunki ular uzoqdan kirishda biznes ehtiyojlari uchun o'rnatilishi mumkin. Rol bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami bo'lishi mumkin. Ko'pincha rolni belgilash bir yoki bir nechta xizmatlarni o'rnatishni anglatadi.

Komponentlar

Komponentlar - tse dasturlari, rollarning vositachi qismisiz yaki ê, balki butun serverning chilkoh rollaridan birining funktsiyalarini mustaqil ravishda kengaytiradi, yaki rollari o'rnatiladi. Masalan, "Zasib vídmovi klusterív" komponenti fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksiyalarini kengaytirib, ularga server klasterlariga kirish imkonini beradi, bu esa mahsuldorlik va mahsuldorlikning oshishini ta'minlaydi. Oxirgi komponent - "Telnet Client" - ulanish tarmog'i orqali Telnet serveridan masofaviy ulanishlarni himoya qiladi. Bu funksiya server ulanishini kengaytiradi.

Agar Windows Server asosiy server komponentlari sifatida ishlatilsa, quyidagi server rollari qo'llab-quvvatlanadi:

  • Active Directory sertifikat xizmatlari;
  • Active Directory domen xizmatlari;
  • DHCP serveri
  • DNS server;
  • fayl xizmatlari (zocrema fayl serveri resurs menejeri);
  • Kataloglarga oson kirish uchun Active Directory xizmatlari;
  • Hyper-V
  • boshqa hujjatlar bo'yicha xizmatlar;
  • oqimli media xizmatlari;
  • veb-server (ASP.NET ning Zokrema to'plami);
  • Windows Server yangilash serveri;
  • Active Directory huquqlariga ega keruvannya serveri;
  • marshrutlash serveri masofaviy kirish va bunday rollarni o'ynagan:
    • xizmatlarni masofaviy ish stollariga ulash uchun vositachi;
    • litsenziyalash;
    • virtualizatsiya.

Windows Server Server asosiy rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • Fon Intelligent Transfer Service (BITS);
  • BitLocker diskini shifrlash;
  • BitLocker qulfini ochishni birlashtirish;
  • BranchCache
  • ma'lumotlarni qayta ishlash markazi uchun joy;
  • Kengaytirilgan saqlash;
  • vizual klasterlash;
  • Ko'p yo'nalishli kiritish-chiqarish;
  • yugurish yo'lakchasini muvozanatlash;
  • PNRP protokoli;
  • qWave;
  • chakana bosimni olib tashlash;
  • oddiy TCP/IP xizmatlari;
  • HTTP proksi orqali RPC;
  • SMTP serveri;
  • SNMP xizmati;
  • Telnet mijozi;
  • telnet serveri;
  • TFTP mijozi;
  • Windows ichki ma'lumotlar bazasi;
  • Windows PowerShell Internetga kirish;
  • Windows faollashtirish xizmati;
  • keruvannyani Windows xazinalari bilan standartlashtirish;
  • IIS WinRM kengaytmasi;
  • WINS serveri;
  • subtrim WoW64.

Server menejeri yordami uchun server rollarini o'rnatish

Server menejerini qo'shish va Boshqaruv menyusida Rol va xususiyatlarni qo'shish-ni tanlang:

Magistr rollar va komponentlarni qo'shish uchun javobgardir. Tisnemo Keyingi

O'rnatish turi, rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingi:

Serverni tanlash - bizning serverimiz tanlangan. Tisnemo Keyingi Server rollari - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun "Keyingi" tugmasini bosing. Jarayon oxirida rollar va komponentlarni qo'shish Meister sizga oxirgi serverdagi nizolar haqida avtomatik ravishda xabar beradi, shunda siz tanlangan rollar yoki komponentlarning o'rnatilgan yoki oddiy robotini sozlashingiz mumkin. Tanlangan rollar yoki komponentlar uchun zarur bo'lgan qo'shimcha rollar, rol xizmatlari va komponentlar uchun so'rov ham mavjud.

PowerShell orqasidagi rollarni o'rnatish yordami

Windows PowerShell-ni oching Mahalliy serverda o'rnatilgan mavjud rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va komponentlar uchun buyruq nomlarini qidiradi.

Install-WindowsFeature (MAN) cmdletining sintaksisi va haqiqiy parametrlarini ko'rib chiqish uchun Get-Help Install-WindowsFeature buyrug'ini kiriting.

Keyingi buyruqni kiriting (-Serverni qayta ishga tushirish uchun qayta ishga tushiring, ya'ni rolni o'rnatish soati qayta ishga tushirilishi kerak).

O'rnatish-WindowsFeature -Ism -Qayta ishga tushirish

Rol va rol xizmatlarining tavsifi

Barcha rollar va rol xizmatlari quyida tavsiflanadi. Amaliyotimizda eng keng tarqalgan veb-roli va masofaviy ish stoli xizmatlari uchun yaxshilanishlarning kengayishi bizni hayratda qoldirdi.

IISning batafsil tavsifi

  • Umumiy HTTP xususiyatlari - Asosiy HTTP komponentlari
    • Standart hujjat - sayt uchun indeks sahifasini o'rnatish imkonini beradi.
    • Kataloglarni ko'rib chiqish - xatolarga veb-serverdagi katalogni ko'rib chiqish imkonini beradi. Katalogda paydo bo'ladigan barcha kataloglar va fayllar ro'yxatini avtomatik ravishda yaratish uchun katalogni ko'rib chiqish, agar URL manziliga fayl qo'shmasangiz, o'sha indeks sahifasi o'chirilgan yoki o'rnatilmagan
    • HTTP xatolari - brauzerda mijozlarga yuboriladigan kechirimlar haqida ogohlantirishlarni sozlash imkonini beradi.
    • Statik tarkib - rasmlar yoki html fayllari kabi statik tarkibni joylashtirish imkonini beradi.
    • HTTP qayta yo'naltirish - so'rov so'rovlarini qayta yo'naltirishni ta'minlaydi.
    • WebDAV Publishing HTTP protokoli orqali veb-serverdan fayllarni nashr qilish imkonini beradi.
  • Salomatlik va diagnostika xususiyatlari - diagnostika komponentlari
    • HTTP jurnali ushbu server uchun veb-sayt faoliyati jurnalini taqdim etadi.
    • Maxsus jurnallar an'anaviy jurnallarda paydo bo'lganidek, maxsus jurnallarni yaratishni ta'minlaydi.
    • Logging Tools veb-serverni ro'yxatga olish va qo'shimcha ro'yxatga olish vazifalarini avtomatlashtirish uchun infratuzilmani taqdim etadi.
    • ODBC jurnali ODBC ma'lumotlar bazasida veb-server faoliyati jurnalini yuritish orqali infratuzilmani himoya qiladi.
    • Request Monitor IIS ish jarayonida HTTP so'rovlari haqida ma'lumot to'plash uchun veb-to'xtash joyiga aylanishi uchun monitoring infratuzilmasini taqdim etadi.
    • Tracing veb-xatolarni tashxislash va tuzatish uchun infratuzilmani taqdim etadi. Agar siz so'nggi qo'ng'iroqlarni kuzatishga harakat qilsangiz, uni tuzatish muhimligini tekshirishingiz mumkin, shuning uchun unumdorlik yomon yoki autentifikatsiya muvaffaqiyatsiz tugadi.
  • Veb-serverning unumdorligini oshirish uchun ishlash komponentlari.
    • Statik tarkibni siqish HTTP o'rniga statik tarkibni o'rnatish uchun infratuzilmani taqdim etadi.
    • Dinamik tarkibni siqish dinamik kontent uchun HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi.
  • Xavfsizlik komponentlari
    • So'rovlarni filtrlash barcha so'rovlarni tuzatish va ularni administrator tomonidan o'rnatilgan qoidalar asosida filtrlash imkonini beradi.
    • Asosiy autentifikatsiya qo'shimcha avtorizatsiyani o'rnatish imkonini beradi
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash - bu sertifikatni global fayl resursi sifatida markazlashtirilgan joyda saqlash imkonini beruvchi funksiya.
    • Mijoz sertifikatini xaritalash autentifikatsiyasi
    • Digest Authentication ildizni autentifikatsiya qilish uchun parol xeshini Windows domeni tekshiruvchisiga o'zgartirish yo'lidan foydalanadi. Agar sizga yuqori darajadagi autentifikatsiya mintaqasida yuqori darajadagi xavfsizlik kerak bo'lsa, Power of Authenticity Digest-ni ko'rib chiqing.
    • IIS mijoz sertifikati xaritalash autentifikatsiyasi Mijozning sertifikati raqamli identifikator bo'lib, asl dzhereldan olinadi.
    • IP va domen cheklovlari so'ralgan IP manzil yoki domen nomi asosida kirishga ruxsat berish/cheklash imkonini beradi.
    • URL avtorizatsiyasi veb-kontentga kirishni cheklovchi qoidalar yaratish imkonini beradi.
    • Windows autentifikatsiyasi Ushbu autentifikatsiya sxemasi Windows domen ma'murlariga autentifikatsiya qilish uchun domen infratuzilmasi bilan autentifikatsiya qilish imkonini beradi.
  • Ilovalarni ishlab chiqish xususiyatlari
  • FTP serveri
    • FTP xizmati Veb-serverda FTP nashrini yoqish.
    • FTP kengaytirilishi
  • Boshqaruv vositalari
    • IIS Management Console veb-serverda grafik interfeys orqali harakatlanish imkonini beruvchi IIS menejerini o'rnatadi
    • IIS 6.0 boshqaruv muvofiqligi dastur skriptlarining Admin Base Object (ABO) va Directory Service Interface (ADSI) Active Directory API ga qarshi toʻgʻridan-toʻgʻri muvofiqligini taʼminlaydi. IIS 8.0 veb-server tomonidan asosiy IIS 6.0 skriptlarini buzishga ruxsat berasizmi?
    • IIS boshqaruv skriptlari va asboblari buyruq satri oynasidagi buyruqlar yordamida yoki skriptlarni ishga tushirish orqali IIS veb-serveri tomonidan dasturiy ta'minot uchun infratuzilmani ta'minlaydi.
    • Boshqaruv xizmati IIS menejerining asosiy interfeysini sozlash uchun infratuzilmani taqdim etadi.

RDS ning batafsil tavsifi

  • Masofaviy ish stoliga ulanish brokeri - ish stoli kompyuterlari va virtual ish stollari seanslari asosidagi dasturlarga mijozning xavfsiz qayta ulanishi.
  • Masofaviy ish stoli shlyuzi - vakolatli obunachilarga virtual ish stollariga, RemoteApp dasturlariga ulanish va ish stoli seanslarini o'rnatish imkonini beradi korporativ yoki Internet orqali.
  • Masofaviy ish stolini litsenziyalash
  • Masofaviy ish stoli sessiyasi xosti - RemoteApp dasturlarini yoki ish stollariga asoslangan sessiyani joylashtirish uchun serverni yoqadi.
  • Masofaviy ish stolini virtualizatsiya qilish xosti - virtual mashinalarda RDP ni sozlash imkonini beradi
  • Masofaviy ish stoli veb-kirish - foydalanuvchilarga Ishga tushirish menyusi yoki brauzerning yordam menyusi yordamida ish stoli resurslariga ulanish imkonini beradi.

Keling, terminal litsenziyalari serverini o'rnatish va sozlashni ko'rib chiqaylik. Aniqrog'i, rollarni qanday o'rnatish kerak, RDSni o'rnatish boshqa rollarni o'rnatish bilan ishlamaydi, biz Rol xizmatlaridan Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng Terminal xizmatlari elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita nuqtaga ega bo'lishi mumkin: robotlarni tashxislash va masofaviy ish stollarini litsenziyalash uchun RD litsenziyalash diagnostikasi va litsenziyalarni boshqarish uchun masofaviy ish stoli litsenziyalash menejeri.

RD Litsenziyalash Diagnoserni ishga tushiring

Bu erda biz hozircha mavjud litsenziyalar yo'qligidan xavotirdamiz, chunki masofaviy ish stollarida sessiya tugunining serveri uchun litsenziyalash rejimi o'rnatilmagan. Server mahalliy guruh siyosatlarida litsenziyalangan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'idan foydalanishimiz mumkin. Mahalliy guruh siyosati muharriri tan olingan. Zlyva rozkriyomo daraxtida yorliqlar mavjud:

  • "Kompyuter konfiguratsiyasi"
  • "Ma'muriy shablonlar"
  • Windows komponentlari
  • Masofaviy ish stoli xizmatlari
  • Masofaviy ish stoli sessiyasi xosti
  • Litsenziyalash

Vídcriêmo parametri Belgilangan masofaviy ish stoli litsenziyasi serverlaridan foydalaning

Siyosatdagi parametrlarni tahrirlashda litsenziyalash serveri yoqiladi (yoqilgan). Keyin masofaviy ish stoli xizmati uchun server litsenziyasini belgilashimiz kerak bo'ladi. Mening ko't serverim bir xil jismoniy serverda litsenziyalangan. Iltimos, litsenziya serverining nomi yoki IP manzilini ko'rsating va OK tugmasini bosing. Server nomini, server litsenziyalarini qanday o'zgartirish mumkin, siz bir xil tarqatishni o'zgartirishingiz kerak.

Shu nuqtai nazardan, RD Litsenziyalash Diagnoser-da siz terminal litsenziyalari serveri eslatilmaganligini aytishingiz mumkin. Malumot uchun, Masofaviy ish stoli litsenziyalash menejerini ishga tushiring

Biz faollashtirilmagan maqomi bilan litsenziyalash serverini tanlaymiz. Faollashtirish uchun sichqonchaning yangi o'ng tugmachasini bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Bizga tashkilot haqida ma'lumot berdi, shundan so'ng litsenziya serveri faollashtiriladi.

Active Directory sertifikat xizmatlari

AD CS dasturiy ta'minot xavfsizligi tizimlarida g'olib bo'lgan raqamli sertifikat provayderlari xizmatlarini taqdim etadi, ya'ni qattiq kalit texnologiyalarini o'rnatish va sertifikatlarni boshqarish. AD CS raqamli sertifikatlari elektron hujjatlar va xotiralarni shifrlash va raqamli imzolash uchun imzolanishi mumkin. raqamli sertifikatlar kompyuterlar, koristing qurilmalari va qo'shimcha binolarning bulutli yozuvlari to'g'riligini tekshirish uchun g'olib bo'lishi mumkin.

  • qo'shimcha shifrlash uchun maxfiylik;
  • qo'shimcha raqamli imzolar uchun kuch;
  • sertifikat kalitlarini merezhídagi kompyuterlar, koristuvachív va yordamchi binolarning bulutli yozuvlariga qo'shimcha ravishda ulash uchun autentifikatsiya.

AD CS ulanishning xavfsizligini ta'minlash uchun buzib kirishi mumkin, bu esa har qanday xizmatni haqiqiy shaxsiy kalitga qo'shishi mumkin. Zastosuvannya, pídtrimuvanih AD CS oldin, Internet pochta standarti (S / MIME), xavfsizlik uchun xavfsiz boy kengaytmalar kiriting dartsiz mereji, virtual xususiy xavfsizlik (VPN), IPsec protokoli, shifrlangan fayl tizimi (EFS), smart-kartani qo'llab-quvvatlash, xavfsiz ma'lumotlarni uzatish protokoli va transport qatlami xavfsizligi protokoli (SSL/TLS) va raqamli imzo.

Active Directory domen xizmatlari

Active Directory Domain Services (AD DS) server roli zaxira nusxalari va resurslar uchun kengaytiriladigan, xavfsiz keshlangan infratuzilmani yaratishi mumkin; Bundan tashqari, siz robotni, masalan, kataloglarni yangilash kabi qo'shimchalar bilan ta'minlashingiz mumkin Microsoft Exchange server. Active Directory Domain Services ma'lumotlar bazasining bo'linmasini tarqatadi, unda kataloglar bo'linmasidagi resurslar va ma'lumotlar qo'shimchalari to'g'risidagi ma'lumotlarni saqlaydi, shuningdek, ma'lumotlarni yuritadi. AD DS ulangan server domen boshqaruvchisi deb ataladi. Administratorlar korist, kompyuter va boshqa qo'shimchalar kabi darajadagi elementlar kabi ichki o'rnatilgan tuzilmalar ierarxiyasini tartibga solish uchun AD DS ni sozlashi mumkin. Ierarxik tuzilmada Active Directory, ro'yxatdagi domenlar va tashkiliy tuzilma teri domeniga qo'shilgan. Haqiqiylik va katalogdagi resurslarga kirishni boshqarish nuqtai nazaridan AD DS ga integratsiyaning xavfsizlik xususiyatlari. Merejga bitta kirish yordami uchun ma'murlar ushbu tashkilotning katalogidagi merezh ma'lumotlarini boshqarishi mumkin. Vakolatli kreditorlar, shuningdek, kredit har qanday shaharda roztoshovanih, resurslarga kirish uchun kreditga bitta kirish yutib olishlari mumkin. Active Directory domen xizmatlari sizga bu imkoniyatni beradi.

  • Qoidalar to'plami - katalogda saqlanadigan ob'ektlar va atributlar sinfini va ushbu ob'ektlarning namunalari chegaralarini, shuningdek ularning nomlari formatini belgilaydigan sxema.
  • Katalogning charm ob'ekti haqida ma'lumot topish usuli bo'lgan global katalog. Koristuvachí va ma'murlar katalogning domeni odamlar hazil qilayotgan ma'lumotlarni samarali qidirishidan qat'i nazar, katalogga ma'lumotlarni qidirish uchun global katalogni vikoristovuvat qilishlari mumkin.
  • zapitív índexuvannya mexanizmi, zavdjaki yakyu ob'êkti í̈h vlastivostí nashr va znahoditsya merezhnymi koristuvachami va dodatkami mumkin.
  • Replikatsiya xizmati, to'r orqali katalogga yak rozpodílyaê ma'lumotlar. Domenda yozilishi mumkin bo'lgan barcha domen kontrollerlari replikatsiyada ishtirok etadilar va o'z domenlari uchun barcha katalog ma'lumotlarining to'liq nusxasini saqlaydilar. Be-yakí zmíni danih katalogi domenning barcha kontrollerlarida domenda takrorlanadi.
  • Operatsiya ustasining rollari (shuningdek, bitta usta yoki FSMO bilan gnuchka operatsiyasi kabi). Operatsiya ustalarining rollarini boshqaruvchi domenlar boshqaruvchilari ma'lumotlarning muvofiqligi xavfsizligi va kataloglardan qarama-qarshi yozuvlarni chiqarib tashlash uchun maxsus vazifalarni bajarish uchun mo'ljallangan.

Active Directory federatsiyasi xizmatlari

AD FS bilan himoyalangan korxonalar, federatsiyaning hamkor tashkilotlari yoki bulutli, ishlatish uchun qulay va xavfsiz federatsiya dasturlariga kirishga muhtoj bo'lgan oxirgi foydalanuvchilarga AD FSni bering va Windows Server AD xizmatini yagona imzoni yoqish uchun yoqing. -on (SSO) xizmatlari. Fedilia Services, Scho Díê Yak Qo'shimcha xizmat ko'rsatuvchi provayder (Vikonuêvkíkatsíyu Korhikuvachív uchun Nanthana Markeriv Bezpeki Da Datkiv uchun, Shahov Dovíkut AD FS) Abo Yak Fedssenning qo'shimcha xodimi (Zasovuê Podída Ivívga xush kelibsiz). Marcii Da Datni tekshiradi).

Active Directory engil katalog xizmatlari

Active Directory Easy Access Directory Services (AD LDS) - xuddi shu LDAP protokoli bo'lib, u kataloglar bilan ishlaydigan kichik dasturni Active Directory domen xizmatlarining bog'liqligi va domeniga bog'liq chegaralarisiz himoya qiladi. AD LDS oddiy yoki izolyatsiya qilingan serverlarda ishlashi mumkin. Bitta serverda siz AD LDS ning bir nechta nusxalarini mustaqil xaritalangan sxemalar bilan ishga tushirishingiz mumkin. AD LDS roliga qo'shimcha ravishda siz qo'shimcha katalog bo'linmalari, simsiz domen va mahalliy ma'lumotlar xizmatlari uchun katalog xizmatlarini taqdim etishingiz mumkin va butun hudud uchun bitta sxemaga tayanmasdan.

Active Directory huquqlarini boshqarish xizmatlari

AD RMS qo'shimcha ma'lumotlar huquqlarini boshqarish (IRM) uchun hujjat himoyasini ta'minlash orqali tashkilot xavfsizligini oshirish uchun o'zgartirilishi mumkin. AD RMS kotiblar va ma'murlarga qo'shimcha IRM siyosatlari uchun hujjatlar, ish kitoblari va taqdimotlarga kirish huquqini beradi. Maxfiy ma'lumotlarning boshqalardan himoyalanishiga, koristuvachlar tomonidan bosib olinishiga yoki nusxalanishiga ruxsat berasizmi, go'yo siz o'zingizni haq deb hisoblamayapsiz. Shundan so'ng, IRM yordami uchun IRM faylini almashishga ruxsat berilganligi sababli, ushbu resursga kirish huquqini almashish axborotni tarqatishda mustaqil bo'ladi, faylning hujjat faylida saqlanishi uchun parchalarga ruxsat berildi. AD RMS va IRM yordami uchun okremí koristuvachí zastosovuvat svoí̈ osobistí nalashtuvannya schodo maxsus va maxfiy ma'lumotlarni uzatish mumkin. Shuningdek, ular tashkilotga maxfiylik va maxfiylikni va maxsus bildirishnomalarni boshqarish bo'yicha korporativ siyosatni o'rnatishda yordam beradi. AD RMSni qo'llab-quvvatlash kabi IRM yechimlari hujumkor imkoniyatlarni ta'minlashda g'alaba qozonadi.

  • Postiyni siyosatchilar g'alaba qozonishadi, yakí zalyshayutsya s ínformatsi'yu mustaqil ravishda harakatlanuvchi, o'ta kuchli yoki kuchayib ketish shaklida.
  • Maxfiy ma'lumotlarni himoya qilish uchun qo'shimcha maxfiylik himoyasi - masalan, ma'lumotlar, mahsulot spetsifikatsiyalari, mijozlar haqidagi ma'lumotlar va elektron pochta xabarnomalari - noto'g'ri qo'llarga bevosita yoki bilvosita ta'sir qilganda.
  • Vakolatli egalar o'rtasida ruxsatsiz uzatish, nusxa ko'chirish, tahrirlash, druku, faks yoki kiritishning oldini olish.
  • Zapobígannya kopiyuvannya obzhuvannya Microsoft Windows-da qo'shimcha PRINT SCREEN funksiyasi bilan birga.
  • Belgilangan muddat tugagandan so'ng hujjatlarni ko'rib chiqishga yordam beradigan faylga atamani qo'llab-quvvatlash.
  • Korporativ siyosatni amalga oshirish, g'alabalarni qanday boshqarish va tashkilotda birgalikda rozpovsudzhennyam

Ilovalar serveri

Dasturiy ta'minot serveri server bazasida biznes-ilovalarni ishlab chiqish va rivojlantirish uchun integratsiyalashgan muhitni ta'minlaydi.

DHCP serveri

DHCP - bu "mijoz-server" texnologiyasi bo'lib, uning yordamida DHCP serverlarini tanib olish yoki DHCP mijozlari bo'lgan kompyuterlar va boshqa qo'shimchalarga IP manzillarini ijaraga berish mumkin. IPv4 va IPv6 joriy IP manzillari va ushbu mijozlar va qo'shimchalar tomonidan talab qilinadigan qo'shimcha konfiguratsiya parametrlari asosida. Windows Serverdagi DHCP Server xizmati siyosatga asoslangan ishlov berishni DHCP protokoliga tayinlash imkonini beradi.

DNS serveri

DNS xizmati alohida ma'lumotlar bazasi bo'lib, u IP-manzil kabi turli xil ma'lumotlarga ega DNS domen nomlarini o'rnatish uchun ishlatiladi. DNS xizmati TCP/IP protokoliga asoslangan kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi joker belgilar nomlariga imkon beradi. Windows Serverning DNS xizmati DNS xavfsizlik modullarini (DNSSEC) takomillashtirilgan takomillashtirishni ta'minlaydi, jumladan, eng kam va avtomatlashtirilgan navbat parametrlarida ro'yxatdan o'tish.

FAKS serveri

Faks serveri fakslarni qabul qiladi va ularni qabul qiladi, shuningdek, faks serverida sozlash, sozlash, qo'ng'iroq qilish va faks qo'shimchalari kabi faks resurslaridan foydalanish imkoniyatini beradi.

Fayl va saqlash xizmatlari

Administratorlar ushbu do'konlar uchun fayl serverlari katalogini o'rnatish, shuningdek, server menejeri yoki Windows PowerShell yordami uchun ushbu serverlarni boshqarish uchun "Fayl xizmatlari va galereya xizmatlari" rolini yutib olishlari mumkin. Ba'zi maxsus dasturlarda bunday funktsiyalar mavjud.

  • Ishlaydigan papkalar. Vykoristovuvat, koristuvachlarga ishchi fayllarni saqlash va ularga maxsus kompyuterlar va qo'shimchalar, korporativ shaxsiy kompyuterlarda kirish imkonini berish. Koristuvachí otrimuyut yaxshiroq joy ishlaydigan fayllarni saqlash va ularga istalgan joydan kirish uchun. Tashkilotlar korporativ ma'lumotlarni nazorat qiladi, fayllarni markaziy keshlangan fayl serverlarida saqlaydi va talab bo'yicha kengaytmalar uchun siyosatlarni o'rnatadi (masalan, shifrlash va ekranni blokirovka qiluvchi parollar).
  • Ma'lumotlarni takrorlash. Kamaytirish uchun g'alaba fayllarni saqlash, to'plamlar uchun pulni tejash uchun disk maydoni bo'lishi mumkin.
  • iSCSI serveri. Ma'lumotlarni saqlash tarmoqlarida (SAN) markazlashtirilgan, dasturiy va apparatdan mustaqil iSCSI disk quyi tizimlarini yaratish uchun Vykoristovuvaty.
  • Disk maydoni. Rahunok zastosuvannya ekonomychnyh standartlashtirilgan disklar uchun yuqori darajada mavjudligi, vydmovostíykim va masshtablash bilan razgortannya shovischa uchun Vykoristovuvaty.
  • Server menejeri. uchun g'alaba masofaviy parvarishlash Dekilkoma fayl serverlari bir haftadan.
  • Windows PowerShell. Vykoristovuvaty fayl serverlarini boshqarishning ko'proq ma'murlariga texnik xizmat ko'rsatishni avtomatlashtirish uchun.

Hyper-V

Hyper-V ning roli Windows Serverda joriy qilingan qo'shimcha virtualizatsiya texnologiyasi uchun virtualizatsiya muhitini yaratish va unga g'amxo'rlik qilish imkonini beradi. Hyper-V rolini o'rnatish soati ostida kerakli komponentlarni o'rnatish, shuningdek, neobov'yazhkovyh zabov_v keruvannya. Zarur komponentlar qatoriga Windows-ning past darajadagi qobig'i, Hyper-V virtual mashinasining zahiraviy xizmati, WMI virtualizatsiya postmani va VMbus avtobusi, virtualizatsiya xizmati pochtachisi (VSP) va virtual infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari kiradi.

Tarmoq siyosati va kirish xizmatlari

Chegara va kirish xizmatlari chegaraga ulanish uchun quyidagi echimlarni taqdim etadi:

  • Chegaraga kirishni ta'minlash - mijozning maxfiylik siyosatini o'rnatish, primus stoking va tuzatish texnologiyasi. Tizimga kirishni qo'shimcha himoya qilish uchun tizim ma'murlari maxfiylik siyosatini o'rnatishi va avtomatik ravishda to'xtatishi mumkin, bu esa dasturiy ta'minot, xavfsizlik tizimi va boshqa parametrlar uchun yangilanish. Maxfiylik siyosatiga mos kelmaydigan mijoz kompyuterlari uchun siz ularning konfiguratsiya docklari maxfiylik siyosatiga yangilanmaydigan darajada kirishni cheklashingiz mumkin.
  • Issiq nuqta kabi jetsiz kirish 802.1X qo'llab-quvvatlashi bilan siz xavfsizroq, pastroq parolga asoslangan autentifikatsiyaga ega sertifikatga asoslangan autentifikatsiya usullarini tarqatish uchun Tarmoq siyosati serverini (NPS) yutib olishingiz mumkin. NPS-serverdan 802.1X qo'llab-quvvatlashi, hid tarmoqqa ulanishi yoki DHCP serveridan IP-manzilni olishdan oldin ichki tarmoqning autentifikatsiyasini himoya qilish imkonini beradi.
  • Chegaraga kirish uchun teri serverida chegaraga kirish siyosatini o'rnatish o'rniga, siz chegaraga ulanish uchun dasturning barcha jihatlari tayinlanadigan barcha siyosatlarni markaziy ravishda yaratishingiz mumkin (kim ulanishi mumkin, agar ruxsat berilsa, ulanish xavfsiz, bu zarur).

Chop etish va hujjat xizmatlari

Bir-biriga va hujjatlarga xizmat ko'rsatish serverni bir-biriga va ulangan printerga ma'muriyatini markazlashtirishga imkon beradi. Bu rol sizga transchegaraviy skanerlardan hujjatlarni skanerlash va hujjatlarni global resurslarga – Windows SharePoint Services saytiga yoki o‘tkazish imkonini beradi. elektron pochta.

masofaviy kirish

Masofaviy kirishda serverning roli masofaviy kirish uchun ilg'or texnologiyalarning mantiqiy guruhidir.

  • To'g'ridan-to'g'ri kirish
  • Marshrutlash va masofadan kirish
  • Veb proksi-server

Qi texnologiyasi rol xizmatlari masofaviy kirish uchun server rollari. Masofaviy kirishda server rolini o'rnatish soati ostida siz ushbu komponentga rollar qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin.

Windows Serverda masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN, marshrutlash va masofaviy kirish xizmatlarini (RRAS) sozlash va himoya qilish uchun markazlashtirilgan boshqaruv qobiliyatini ta'minlaydi. DirectAccess va RRAS bitta kordon serverida joylashtirilishi mumkin va ular tomonidan qo'shimcha Windows PowerShell buyruqlari va masofaviy kirish uchun joylashtirilgan konsol (MMC) uchun boshqariladi.

Masofaviy ish stoli xizmatlari

Masofaviy ish stollarining xizmatlari ish stollarining tomog'ining kengayishini va har qanday qo'shimcha binoga qo'shimchalarni tezlashtiradi, uzoqdan amaliyotchining samaradorligini oshiradi, shu bilan birga muhim intellektual namlikning xavfsizligini ta'minlaydi va standartni soddalashtiradi. Masofaviy ish stoli xizmatlariga Virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ishlash uchun moslashuvchanlikni beruvchi dasturlar kiradi.

Ovozni faollashtirish xizmatlari

Korxona litsenziyasini faollashtirish xizmatlari - Windows Server 2012-dan boshlab Windows Serverdagi serverning roli, chunki u Microsoft xavfsizlik dasturlarida korporativ litsenziyalarni avtomatlashtirish va chiqarish, shuningdek, turli stsenariylar va muhitlarda bunday litsenziyalarni himoya qilish imkonini beradi. Siz xizmatni kalitlar (KMS) bilan sozlash va Active Directory yordami uchun faollashtirish kabi korporativ litsenziyani faollashtirish xizmatlari qatorini o'rnatishingiz mumkin.

Veb-server (IIS)

Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va dasturiy ta'minotni joylashtirish uchun platformani ta'minlaydi. Veb-serverning bevasi Internetdagi muxbirlar uchun ma'lumotlarga kirishni ta'minlaydi, ichki va qo'shimcha o'lchamlar. Administratorlar bir qator veb-saytlar, veb-xostlar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolini yutib olishlari mumkin. Bu yo'lga kirish uchun maxsus imkoniyatlarga.

  • IIS komponentlarini sozlash va veb-saytlarni boshqarish uchun IIS menejeri ustasi.
  • Veb-sayt egalariga fayllarni bekor qilish va yozib olishga ruxsat berish uchun FTP protokolidan foydalanish.
  • Zabígannya vpliv uchun Vykoristannya _isolating veb-saytlari ínshí bo'yicha serverda bir veb-sayt.
  • Web zastosunkiv, razroblenyh z vikoristannym turli texnologiyalarni amalga oshirish, masalan, Classic ASP, ASP.NET í PHP.
  • Mahalliy veb-server ma'murini avtomatik o'g'irlash uchun Windows PowerShell hack.
  • IISga yordam berish uchun ishlatilishi mumkin bo'lgan bir qator veb-serverlarni server fermasiga birlashtirish.

Windows tarqatish xizmatlari

Windows Deployment Services sizga Windows operatsion tizimini chegara bo'ylab ochish imkonini beradi, ya'ni siz to'g'ridan-to'g'ri CD-ROM DVD diskidan teri operatsion tizimini o'rnatolmaysiz.

Windows Server Essentials tajribasi

Ushbu rol sizga quyidagi vazifalarni bajarishga imkon beradi:

  • server va korxonadagi barcha mijoz kompyuterlarining zaxira nusxalarini yaratish orqali server va mijoz ma'lumotlarini himoya qilish;
  • oddiy server monitoring paneli orqali keruvati koristuvachami va guruhlar koristuvachív. Bundan tashqari, Windows Azure Active Directory bilan integratsiya domenga qo'shimcha bulut ma'lumotlari uchun Microsoft Onlayn xizmatlariga (masalan, Office 365, Exchange Online va SharePoint Online) oson kirishni ta'minlaydi;
  • markazlashtirilgan munitsipalitetdan olingan ma'lumotlarni saqlash;
  • Serverni Microsoft Online xizmatlari bilan integratsiyalash (masalan, Office 365, Exchange Online, SharePoint Online va Windows Intune):
  • serverda yuqori darajadagi xavfsizlik bilan serverga, kompyuterlarga va masofaviy tarqatish ma'lumotlariga kirish uchun universal kirish funktsiyalarini (masalan, masofaviy veb-kirish va virtual xususiy tarmoqlar) yutib olish;
  • istalgan vaqtda va istalgan vaqtda ma'lumotlarga kirishni cheklash uchun men tashkilotning o'z veb-portaliga yordam so'rab qo'yaman (uzoqdan veb-kirish yordami uchun);
  • mobil qo'shimchalar bilan, buning uchun tashkilotning elektron pochtasiga kirish imkoniyati mavjud Yordam idorasi Monitoring panelidan Active Sync protokoli orqali 365;
  • o'lchovning amaliyligini tekshirib ko'ring va kayfiyatingizdagi amaliylik haqida eslatma oling; Siz yordamga qo'ng'iroq qilishingiz mumkin, uni qo'shiq obsesyonlariga elektron vositalar yordamida kuchaytirishingiz mumkin.

Windows Server yangilash xizmatlari

WSUS serveri ma'murlar konsol konsoli orqali yangilanishlar va yangilanishlarni boshqarishi uchun zarur bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlarini yangilashi kerak bo'lishi mumkin. Bitta WSUS serverini xohlaydigan bir nechta WSUS ilovalari mavjud yangilanishlar haqida ma'lumot olish uchun Microsoft yangilash markaziga ulanishi mumkin. Tarmoqning xavfsizligi va konfiguratsiyasiga qarab, administrator Microsoft yangilash markaziga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin.

Windows-ni o'rnatishda boshqa qator quyi tizimlarning aksariyati faollashtirilmaydi yoki tiklanmaydi. Tse zrobleno z xavfsizlik sabablari. Tizim qulf ortida qulflanganligi sababli, tizim ma'murlari tizimning dizayniga e'tibor berishlari mumkin, go'yo barcha funktsiyalar unga qo'yilgan va hech narsa qilinmagan. Zarur funksiyalarni yoqishda yordam berish uchun Windows server rolini tanlashni taklif qiladi.

Rollar

server roli - tse nabryr dasturlari, yak to'g'ri o'rnatilgan va sozlangan bo'lsa, kompyuter merezhí koristuvachív yoki boshqa kompyuterlar bir qator uchun yagona vazifani bajarish imkonini beradi. Yovvoyi vipadkalarda barcha rollar bir xil xususiyatlarga ega bo'lishi mumkin.

  • Ular kompyuterni almashtirish usuli sifatida tan olingan asosiy funktsiyani bildiradi. Kompyuterni bitta rolni yutish uchun tan olish mumkin, chunki u majburiyatlarda intensiv ravishda g'alaba qozonadi, lekin bir nechta rollarni yutish uchun, chunki ularning terisi yulduzdan kamroq zastosovuetsya.
  • Rollar butun tashkilot xodimlariga boshqa kompyuterlarda, masalan, veb-saytlarda, printerlarda yoki boshqa kompyuterlarda saqlangan fayllarda saqlanadigan resurslardan foydalanish imkonini beradi.
  • badbo'y hidi vlasny ma'lumotlar bazalariga o'xshaydi, unda cherglar koristuvacha yoki kompyuter ichish uchun yaratilgan yoki mash koristuvachív va rol o'ynaydigan kompyuterlar haqida yozuvlar yozilgan. Masalan, Active Directory Domain Services merezhídagi kompyuterlarning nomlari va ota-ona havolalarini to'plash uchun ma'lumotlar bazasini tozalaydi.
  • To'g'ri o'rnatilgandan so'ng, ushbu rol sozlamalari avtomatik ravishda ishlaydi. Tse, badbo'y hid o'rnatilgan kompyuterlarga koristuvachning chekka taqdiri egasining tan olinishiga imkon beradi.

Rol xizmatlari

Rol xizmatlari - bu ishtirok etish uchun funksionallikni ta'minlovchi dasturlar. O'rnatish soati ostida rolni tanlash mumkin, go'yo xizmatlar korxonada boshqa xodimlarga va kompyuterlarga berilgan. DNS serveri kabi rollar faqat bitta funktsiyaga xizmat qiladi, shuning uchun ular uchun rollar yo'q. Masofaviy ish stollari xizmatlari kabi boshqa rollarda xizmatlar ko'p bo'lishi mumkin, chunki ular uzoqdan kirishda biznes ehtiyojlari uchun o'rnatilishi mumkin. Rol bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami bo'lishi mumkin. Ko'pincha rolni belgilash bir yoki bir nechta xizmatlarni o'rnatishni anglatadi.

Komponentlar

Komponentlar - tse dasturlari, rollarning vositachi qismisiz yaki ê, balki butun serverning chilkoh rollaridan birining funktsiyalarini mustaqil ravishda kengaytiradi, yaki rollari o'rnatiladi. Masalan, "Zasib vídmovi klusterív" komponenti fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksiyalarini kengaytirib, ularga server klasterlariga kirish imkonini beradi, bu esa mahsuldorlik va mahsuldorlikning oshishini ta'minlaydi. Oxirgi komponent - "Telnet Client" - ulanish tarmog'i orqali Telnet serveridan masofaviy ulanishlarni himoya qiladi. Bu funksiya server ulanishini kengaytiradi.

Agar Windows Server asosiy server komponentlari sifatida ishlatilsa, quyidagi server rollari qo'llab-quvvatlanadi:

  • Active Directory sertifikat xizmatlari;
  • Active Directory domen xizmatlari;
  • DHCP serveri
  • DNS server;
  • fayl xizmatlari (zocrema fayl serveri resurs menejeri);
  • Kataloglarga oson kirish uchun Active Directory xizmatlari;
  • Hyper-V
  • boshqa hujjatlar bo'yicha xizmatlar;
  • oqimli media xizmatlari;
  • veb-server (ASP.NET ning Zokrema to'plami);
  • Windows Server yangilash serveri;
  • Active Directory huquqlariga ega keruvannya serveri;
  • marshrutlash serveri va masofaviy kirish va keyingi tartiblash rollari:
    • xizmatlarni masofaviy ish stollariga ulash uchun vositachi;
    • litsenziyalash;
    • virtualizatsiya.

Windows Server Server asosiy rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • Fon Intelligent Transfer Service (BITS);
  • BitLocker diskini shifrlash;
  • BitLocker qulfini ochishni birlashtirish;
  • BranchCache
  • ma'lumotlarni qayta ishlash markazi uchun joy;
  • Kengaytirilgan saqlash;
  • vizual klasterlash;
  • Ko'p yo'nalishli kiritish-chiqarish;
  • yugurish yo'lakchasini muvozanatlash;
  • PNRP protokoli;
  • qWave;
  • chakana bosimni olib tashlash;
  • oddiy TCP/IP xizmatlari;
  • HTTP proksi orqali RPC;
  • SMTP serveri;
  • SNMP xizmati;
  • Telnet mijozi;
  • telnet serveri;
  • TFTP mijozi;
  • Windows ichki ma'lumotlar bazasi;
  • Windows PowerShell Internetga kirish;
  • Windows faollashtirish xizmati;
  • keruvannyani Windows xazinalari bilan standartlashtirish;
  • IIS WinRM kengaytmasi;
  • WINS serveri;
  • subtrim WoW64.

Server menejeri yordami uchun server rollarini o'rnatish

Server menejerini qo'shish va Boshqaruv menyusida Rol va xususiyatlarni qo'shish-ni tanlang:

Magistr rollar va komponentlarni qo'shish uchun javobgardir. Tisnemo Keyingi

O'rnatish turi, rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingi:

Serverni tanlash - bizning serverimiz tanlangan. Tisnemo Keyingi Server rollari - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun "Keyingi" tugmasini bosing. Jarayon oxirida rollar va komponentlarni qo'shish Meister sizga oxirgi serverdagi nizolar haqida avtomatik ravishda xabar beradi, shunda siz tanlangan rollar yoki komponentlarning o'rnatilgan yoki oddiy robotini sozlashingiz mumkin. Tanlangan rollar yoki komponentlar uchun zarur bo'lgan qo'shimcha rollar, rol xizmatlari va komponentlar uchun so'rov ham mavjud.

PowerShell orqasidagi rollarni o'rnatish yordami

Windows PowerShell-ni oching Mahalliy serverda o'rnatilgan mavjud rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va komponentlar uchun buyruq nomlarini qidiradi.

Install-WindowsFeature (MAN) cmdletining sintaksisi va haqiqiy parametrlarini ko'rib chiqish uchun Get-Help Install-WindowsFeature buyrug'ini kiriting.

Keyingi buyruqni kiriting (-Serverni qayta ishga tushirish uchun qayta ishga tushiring, ya'ni rolni o'rnatish soati qayta ishga tushirilishi kerak).

O'rnatish-WindowsFeature -Ism -Qayta ishga tushirish

Rol va rol xizmatlarining tavsifi

Barcha rollar va rol xizmatlari quyida tavsiflanadi. Amaliyotimizda eng keng tarqalgan veb-roli va masofaviy ish stoli xizmatlari uchun yaxshilanishlarning kengayishi bizni hayratda qoldirdi.

IISning batafsil tavsifi

  • Umumiy HTTP xususiyatlari - Asosiy HTTP komponentlari
    • Standart hujjat - sayt uchun indeks sahifasini o'rnatish imkonini beradi.
    • Kataloglarni ko'rib chiqish - xatolarga veb-serverdagi katalogni ko'rib chiqish imkonini beradi. Katalogda paydo bo'ladigan barcha kataloglar va fayllar ro'yxatini avtomatik ravishda yaratish uchun katalogni ko'rib chiqish, agar URL manziliga fayl qo'shmasangiz, o'sha indeks sahifasi o'chirilgan yoki o'rnatilmagan
    • HTTP xatolari - brauzerda mijozlarga yuboriladigan kechirimlar haqida ogohlantirishlarni sozlash imkonini beradi.
    • Statik tarkib - rasmlar yoki html fayllari kabi statik tarkibni joylashtirish imkonini beradi.
    • HTTP qayta yo'naltirish - so'rov so'rovlarini qayta yo'naltirishni ta'minlaydi.
    • WebDAV Publishing HTTP protokoli orqali veb-serverdan fayllarni nashr qilish imkonini beradi.
  • Salomatlik va diagnostika xususiyatlari - diagnostika komponentlari
    • HTTP jurnali ushbu server uchun veb-sayt faoliyati jurnalini taqdim etadi.
    • Maxsus jurnallar an'anaviy jurnallarda paydo bo'lganidek, maxsus jurnallarni yaratishni ta'minlaydi.
    • Logging Tools veb-serverni ro'yxatga olish va qo'shimcha ro'yxatga olish vazifalarini avtomatlashtirish uchun infratuzilmani taqdim etadi.
    • ODBC jurnali ODBC ma'lumotlar bazasida veb-server faoliyati jurnalini yuritish orqali infratuzilmani himoya qiladi.
    • Request Monitor IIS ish jarayonida HTTP so'rovlari haqida ma'lumot to'plash uchun veb-to'xtash joyiga aylanishi uchun monitoring infratuzilmasini taqdim etadi.
    • Tracing veb-xatolarni tashxislash va tuzatish uchun infratuzilmani taqdim etadi. Agar siz so'nggi qo'ng'iroqlarni kuzatishga harakat qilsangiz, uni tuzatish muhimligini tekshirishingiz mumkin, shuning uchun unumdorlik yomon yoki autentifikatsiya muvaffaqiyatsiz tugadi.
  • Veb-serverning unumdorligini oshirish uchun ishlash komponentlari.
    • Statik tarkibni siqish HTTP o'rniga statik tarkibni o'rnatish uchun infratuzilmani taqdim etadi.
    • Dinamik tarkibni siqish dinamik kontent uchun HTTP siqishni o'rnatish uchun infratuzilmani taqdim etadi.
  • Xavfsizlik komponentlari
    • So'rovlarni filtrlash barcha so'rovlarni tuzatish va ularni administrator tomonidan o'rnatilgan qoidalar asosida filtrlash imkonini beradi.
    • Asosiy autentifikatsiya qo'shimcha avtorizatsiyani o'rnatish imkonini beradi
    • Markazlashtirilgan SSL sertifikatlarini qo'llab-quvvatlash - bu sertifikatni global fayl resursi sifatida markazlashtirilgan joyda saqlash imkonini beruvchi funksiya.
    • Mijoz sertifikatini xaritalash autentifikatsiyasi
    • Digest Authentication ildizni autentifikatsiya qilish uchun parol xeshini Windows domeni tekshiruvchisiga o'zgartirish yo'lidan foydalanadi. Agar sizga yuqori darajadagi autentifikatsiya mintaqasida yuqori darajadagi xavfsizlik kerak bo'lsa, Power of Authenticity Digest-ni ko'rib chiqing.
    • IIS mijoz sertifikati xaritalash autentifikatsiyasi Mijozning sertifikati raqamli identifikator bo'lib, asl dzhereldan olinadi.
    • IP va domen cheklovlari so'ralgan IP manzil yoki domen nomi asosida kirishga ruxsat berish/cheklash imkonini beradi.
    • URL avtorizatsiyasi veb-kontentga kirishni cheklovchi qoidalar yaratish imkonini beradi.
    • Windows autentifikatsiyasi Ushbu autentifikatsiya sxemasi Windows domen ma'murlariga autentifikatsiya qilish uchun domen infratuzilmasi bilan autentifikatsiya qilish imkonini beradi.
  • Ilovalarni ishlab chiqish xususiyatlari
  • FTP serveri
    • FTP xizmati Veb-serverda FTP nashrini yoqish.
    • FTP kengaytirilishi
  • Boshqaruv vositalari
    • IIS Management Console veb-serverda grafik interfeys orqali harakatlanish imkonini beruvchi IIS menejerini o'rnatadi
    • IIS 6.0 boshqaruv muvofiqligi dastur skriptlarining Admin Base Object (ABO) va Directory Service Interface (ADSI) Active Directory API ga qarshi toʻgʻridan-toʻgʻri muvofiqligini taʼminlaydi. IIS 8.0 veb-server tomonidan asosiy IIS 6.0 skriptlarini buzishga ruxsat berasizmi?
    • IIS boshqaruv skriptlari va asboblari buyruq satri oynasidagi buyruqlar yordamida yoki skriptlarni ishga tushirish orqali IIS veb-serveri tomonidan dasturiy ta'minot uchun infratuzilmani ta'minlaydi.
    • Boshqaruv xizmati IIS menejerining asosiy interfeysini sozlash uchun infratuzilmani taqdim etadi.

RDS ning batafsil tavsifi

  • Masofaviy ish stoliga ulanish brokeri - ish stoli kompyuterlari va virtual ish stollari seanslari asosidagi dasturlarga mijozning xavfsiz qayta ulanishi.
  • Masofaviy ish stoli shlyuzi - avtorizatsiya qilingan abonentlarga virtual ish stollariga, RemoteApp dasturlariga ulanish va korporativ tarmoqlarda yoki Internet orqali ish stoli seanslarini o'rnatish imkonini beradi.
  • Masofaviy ish stolini litsenziyalash
  • Masofaviy ish stoli sessiyasi xosti - RemoteApp dasturlarini yoki ish stollariga asoslangan sessiyani joylashtirish uchun serverni yoqadi.
  • Masofaviy ish stolini virtualizatsiya qilish xosti - virtual mashinalarda RDP ni sozlash imkonini beradi
  • Masofaviy ish stoli veb-kirish - foydalanuvchilarga Ishga tushirish menyusi yoki brauzerning yordam menyusi yordamida ish stoli resurslariga ulanish imkonini beradi.

Keling, terminal litsenziyalari serverini o'rnatish va sozlashni ko'rib chiqaylik. Aniqrog'i, rollarni qanday o'rnatish kerak, RDSni o'rnatish boshqa rollarni o'rnatish bilan ishlamaydi, biz Rol xizmatlaridan Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng Terminal xizmatlari elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita nuqtaga ega bo'lishi mumkin: robotlarni tashxislash va masofaviy ish stollarini litsenziyalash uchun RD litsenziyalash diagnostikasi va litsenziyalarni boshqarish uchun masofaviy ish stoli litsenziyalash menejeri.

RD Litsenziyalash Diagnoserni ishga tushiring

Bu erda biz hozircha mavjud litsenziyalar yo'qligidan xavotirdamiz, chunki masofaviy ish stollarida sessiya tugunining serveri uchun litsenziyalash rejimi o'rnatilmagan. Server mahalliy guruh siyosatlarida litsenziyalangan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'idan foydalanishimiz mumkin. Mahalliy guruh siyosati muharriri tan olingan. Zlyva rozkriyomo daraxtida yorliqlar mavjud:

  • "Kompyuter konfiguratsiyasi"
  • "Ma'muriy shablonlar"
  • Windows komponentlari
  • Masofaviy ish stoli xizmatlari
  • Masofaviy ish stoli sessiyasi xosti
  • Litsenziyalash

Vídcriêmo parametri Belgilangan masofaviy ish stoli litsenziyasi serverlaridan foydalaning

Siyosatdagi parametrlarni tahrirlashda litsenziyalash serveri yoqiladi (yoqilgan). Keyin masofaviy ish stoli xizmati uchun server litsenziyasini belgilashimiz kerak bo'ladi. Mening ko't serverim bir xil jismoniy serverda litsenziyalangan. Iltimos, litsenziya serverining nomi yoki IP manzilini ko'rsating va OK tugmasini bosing. Server nomini, server litsenziyalarini qanday o'zgartirish mumkin, siz bir xil tarqatishni o'zgartirishingiz kerak.

Shu nuqtai nazardan, RD Litsenziyalash Diagnoser-da siz terminal litsenziyalari serveri eslatilmaganligini aytishingiz mumkin. Malumot uchun, Masofaviy ish stoli litsenziyalash menejerini ishga tushiring

Biz faollashtirilmagan maqomi bilan litsenziyalash serverini tanlaymiz. Faollashtirish uchun sichqonchaning yangi o'ng tugmachasini bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Bizga tashkilot haqida ma'lumot berdi, shundan so'ng litsenziya serveri faollashtiriladi.

Active Directory sertifikat xizmatlari

AD CS dasturiy ta'minot xavfsizligi tizimlarida g'olib bo'lgan raqamli sertifikat provayderlari xizmatlarini taqdim etadi, ya'ni qattiq kalit texnologiyalarini o'rnatish va sertifikatlarni boshqarish. AD CS ishonchli raqamli sertifikatlar elektron hujjatlar va xotiralarni shifrlash va raqamli imzolash uchun shifrlanishi mumkin. Qi raqamli sertifikatlari kompyuterlar, korystuvachiv va yordamchi binolarning jismoniy yozuvlarining eng kam to'g'riligida qayta tekshirish uchun tasdiqlanishi mumkin.

  • qo'shimcha shifrlash uchun maxfiylik;
  • qo'shimcha raqamli imzolar uchun kuch;
  • sertifikat kalitlarini merezhídagi kompyuterlar, koristuvachív va yordamchi binolarning bulutli yozuvlariga qo'shimcha ravishda ulash uchun autentifikatsiya.

AD CS ulanishning xavfsizligini ta'minlash uchun buzib kirishi mumkin, bu esa har qanday xizmatni haqiqiy shaxsiy kalitga qo'shishi mumkin. O'chirishdan oldin AD CS-ni qo'llab-quvvatlash, Internet standarti (S/MIME) uchun xavfsizlik xavfsizlik kengaytmalari, simsiz xavfsizlik, virtual xususiy tarmoqlar (VPN), IPsec protokoli, shifrlangan fayl tizimi (EFS), smart-kartani qo'llab-quvvatlash, xavfsizlik protokoli ma'lumotlarini uzatish va transport xavfsizligi protokoli (SSL/TLS) va raqamli imzo.

Active Directory domen xizmatlari

Active Directory Domain Services (AD DS) server roli zaxira nusxalari va resurslar uchun kengaytiriladigan, xavfsiz keshlangan infratuzilmani yaratishi mumkin; Bundan tashqari, robotni kataloglarni qo'llab-quvvatlaydigan dasturlar bilan ta'minlash mumkin, masalan, Microsoft Exchange Server. Active Directory Domain Services ma'lumotlar bazasining bo'linmasini tarqatadi, unda kataloglar bo'linmasidagi resurslar va ma'lumotlar qo'shimchalari to'g'risidagi ma'lumotlarni saqlaydi, shuningdek, ma'lumotlarni yuritadi. AD DS ulangan server domen boshqaruvchisi deb ataladi. Administratorlar korist, kompyuter va boshqa qo'shimchalar kabi darajadagi elementlar kabi ichki o'rnatilgan tuzilmalar ierarxiyasini tartibga solish uchun AD DS ni sozlashi mumkin. Ierarxik tuzilmada Active Directory, ro'yxatdagi domenlar va tashkiliy tuzilma teri domeniga qo'shilgan. Haqiqiylik va katalogdagi resurslarga kirishni boshqarish nuqtai nazaridan AD DS ga integratsiyaning xavfsizlik xususiyatlari. Merejga bitta kirish yordami uchun ma'murlar ushbu tashkilotning katalogidagi merezh ma'lumotlarini boshqarishi mumkin. Vakolatli kreditorlar, shuningdek, kredit har qanday shaharda roztoshovanih, resurslarga kirish uchun kreditga bitta kirish yutib olishlari mumkin. Active Directory domen xizmatlari sizga bu imkoniyatni beradi.

  • Qoidalar to'plami - katalogda saqlanadigan ob'ektlar va atributlar sinfini va ushbu ob'ektlarning namunalari chegaralarini, shuningdek ularning nomlari formatini belgilaydigan sxema.
  • Katalogning charm ob'ekti haqida ma'lumot topish usuli bo'lgan global katalog. Koristuvachí va ma'murlar katalogning domeni odamlar hazil qilayotgan ma'lumotlarni samarali qidirishidan qat'i nazar, katalogga ma'lumotlarni qidirish uchun global katalogni vikoristovuvat qilishlari mumkin.
  • zapitív índexuvannya mexanizmi, zavdjaki yakyu ob'êkti í̈h vlastivostí nashr va znahoditsya merezhnymi koristuvachami va dodatkami mumkin.
  • Replikatsiya xizmati, to'r orqali katalogga yak rozpodílyaê ma'lumotlar. Domenda yozilishi mumkin bo'lgan barcha domen kontrollerlari replikatsiyada ishtirok etadilar va o'z domenlari uchun barcha katalog ma'lumotlarining to'liq nusxasini saqlaydilar. Be-yakí zmíni danih katalogi domenning barcha kontrollerlarida domenda takrorlanadi.
  • Operatsiya ustasining rollari (shuningdek, bitta usta yoki FSMO bilan gnuchka operatsiyasi kabi). Operatsiya ustalarining rollarini boshqaruvchi domenlar boshqaruvchilari ma'lumotlarning muvofiqligi xavfsizligi va kataloglardan qarama-qarshi yozuvlarni chiqarib tashlash uchun maxsus vazifalarni bajarish uchun mo'ljallangan.

Active Directory federatsiyasi xizmatlari

AD FS bilan himoyalangan korxonalar, federatsiyaning hamkor tashkilotlari yoki bulutli, ishlatish uchun qulay va xavfsiz federatsiya dasturlariga kirishga muhtoj bo'lgan oxirgi foydalanuvchilarga AD FSni bering va Windows Server AD xizmatini yagona imzoni yoqish uchun yoqing. -on (SSO) xizmatlari. Fedilia Services, Scho Díê Yak Qo'shimcha xizmat ko'rsatuvchi provayder (Vikonuêvkíkatsíyu Korhikuvachív uchun Nanthana Markeriv Bezpeki Da Datkiv uchun, Shahov Dovíkut AD FS) Abo Yak Fedssenning qo'shimcha xodimi (Zasovuê Podída Ivívga xush kelibsiz). Marcii Da Datni tekshiradi).

Active Directory engil katalog xizmatlari

Active Directory Easy Access Directory Services (AD LDS) - xuddi shu LDAP protokoli bo'lib, u kataloglar bilan ishlaydigan kichik dasturni Active Directory domen xizmatlarining bog'liqligi va domeniga bog'liq chegaralarisiz himoya qiladi. AD LDS oddiy yoki izolyatsiya qilingan serverlarda ishlashi mumkin. Bitta serverda siz AD LDS ning bir nechta nusxalarini mustaqil xaritalangan sxemalar bilan ishga tushirishingiz mumkin. AD LDS roliga qo'shimcha ravishda siz qo'shimcha katalog bo'linmalari, simsiz domen va mahalliy ma'lumotlar xizmatlari uchun katalog xizmatlarini taqdim etishingiz mumkin va butun hudud uchun bitta sxemaga tayanmasdan.

Active Directory huquqlarini boshqarish xizmatlari

AD RMS qo'shimcha ma'lumotlar huquqlarini boshqarish (IRM) uchun hujjat himoyasini ta'minlash orqali tashkilot xavfsizligini oshirish uchun o'zgartirilishi mumkin. AD RMS kotiblar va ma'murlarga qo'shimcha IRM siyosatlari uchun hujjatlar, ish kitoblari va taqdimotlarga kirish huquqini beradi. Maxfiy ma'lumotlarning boshqalardan himoyalanishiga, koristuvachlar tomonidan bosib olinishiga yoki nusxalanishiga ruxsat berasizmi, go'yo siz o'zingizni haq deb hisoblamayapsiz. Shundan so'ng, IRM yordami uchun IRM faylini almashishga ruxsat berilganligi sababli, ushbu resursga kirish huquqini almashish axborotni tarqatishda mustaqil bo'ladi, faylning hujjat faylida saqlanishi uchun parchalarga ruxsat berildi. AD RMS va IRM yordami uchun okremí koristuvachí zastosovuvat svoí̈ osobistí nalashtuvannya schodo maxsus va maxfiy ma'lumotlarni uzatish mumkin. Shuningdek, ular tashkilotga maxfiylik va maxfiylikni va maxsus bildirishnomalarni boshqarish bo'yicha korporativ siyosatni o'rnatishda yordam beradi. AD RMSni qo'llab-quvvatlash kabi IRM yechimlari hujumkor imkoniyatlarni ta'minlashda g'alaba qozonadi.

  • Postiyni siyosatchilar g'alaba qozonishadi, yakí zalyshayutsya s ínformatsi'yu mustaqil ravishda harakatlanuvchi, o'ta kuchli yoki kuchayib ketish shaklida.
  • Maxfiy ma'lumotlarni himoya qilish uchun qo'shimcha maxfiylik himoyasi - masalan, ma'lumotlar, mahsulot spetsifikatsiyalari, mijozlar haqidagi ma'lumotlar va elektron pochta xabarnomalari - noto'g'ri qo'llarga bevosita yoki bilvosita ta'sir qilganda.
  • Vakolatli egalar o'rtasida ruxsatsiz uzatish, nusxa ko'chirish, tahrirlash, druku, faks yoki kiritishning oldini olish.
  • Zapobígannya kopiyuvannya obzhuvannya Microsoft Windows-da qo'shimcha PRINT SCREEN funksiyasi bilan birga.
  • Belgilangan muddat tugagandan so'ng hujjatlarni ko'rib chiqishga yordam beradigan faylga atamani qo'llab-quvvatlash.
  • Korporativ siyosatni amalga oshirish, g'alabalarni qanday boshqarish va tashkilotda birgalikda rozpovsudzhennyam

Ilovalar serveri

Dasturiy ta'minot serveri server bazasida biznes-ilovalarni ishlab chiqish va rivojlantirish uchun integratsiyalashgan muhitni ta'minlaydi.

DHCP serveri

DHCP - bu "mijoz-server" texnologiyasi bo'lib, uning yordamida DHCP serverlarini tanib olish yoki DHCP mijozlari bo'lgan kompyuterlar va boshqa qo'shimchalarga IP manzillarini ijaraga berish mumkin. IPv4 va IPv6 joriy IP manzillari va ushbu mijozlar va qo'shimchalar tomonidan talab qilinadigan qo'shimcha konfiguratsiya parametrlari asosida. Windows Serverdagi DHCP Server xizmati siyosatga asoslangan ishlov berishni DHCP protokoliga tayinlash imkonini beradi.

DNS serveri

DNS xizmati alohida ma'lumotlar bazasi bo'lib, u IP-manzil kabi turli xil ma'lumotlarga ega DNS domen nomlarini o'rnatish uchun ishlatiladi. DNS xizmati TCP/IP protokoliga asoslangan kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi joker belgilar nomlariga imkon beradi. Windows Serverning DNS xizmati DNS xavfsizlik modullarini (DNSSEC) takomillashtirilgan takomillashtirishni ta'minlaydi, jumladan, eng kam va avtomatlashtirilgan navbat parametrlarida ro'yxatdan o'tish.

FAKS serveri

Faks serveri fakslarni qabul qiladi va ularni qabul qiladi, shuningdek, faks serverida sozlash, sozlash, qo'ng'iroq qilish va faks qo'shimchalari kabi faks resurslaridan foydalanish imkoniyatini beradi.

Fayl va saqlash xizmatlari

Administratorlar ushbu do'konlar uchun fayl serverlari katalogini o'rnatish, shuningdek, server menejeri yoki Windows PowerShell yordami uchun ushbu serverlarni boshqarish uchun "Fayl xizmatlari va galereya xizmatlari" rolini yutib olishlari mumkin. Ba'zi maxsus dasturlarda bunday funktsiyalar mavjud.

  • Ishlaydigan papkalar. Vykoristovuvat, koristuvachlarga ishchi fayllarni saqlash va ularga maxsus kompyuterlar va qo'shimchalar, korporativ shaxsiy kompyuterlarda kirish imkonini berish. Koristuvachí otrimuyut sruchne ish fayllarni saqlash va istalgan joydan ularga kirish uchun joy. Tashkilotlar korporativ ma'lumotlarni nazorat qiladi, fayllarni markaziy keshlangan fayl serverlarida saqlaydi va talab bo'yicha kengaytmalar uchun siyosatlarni o'rnatadi (masalan, shifrlash va ekranni blokirovka qiluvchi parollar).
  • Ma'lumotlarni takrorlash. Kamaytirish uchun g'alaba fayllarni saqlash, to'plamlar uchun pulni tejash uchun disk maydoni bo'lishi mumkin.
  • iSCSI serveri. Ma'lumotlarni saqlash tarmoqlarida (SAN) markazlashtirilgan, dasturiy va apparatdan mustaqil iSCSI disk quyi tizimlarini yaratish uchun Vykoristovuvaty.
  • Disk maydoni. Rahunok zastosuvannya ekonomychnyh standartlashtirilgan disklar uchun yuqori darajada mavjudligi, vydmovostíykim va masshtablash bilan razgortannya shovischa uchun Vykoristovuvaty.
  • Server menejeri. Bir viknaning uzoq keruvannya kilkom fayl serverlari uchun Vykoristovuvaty.
  • Windows PowerShell. Vykoristovuvaty fayl serverlarini boshqarishning ko'proq ma'murlariga texnik xizmat ko'rsatishni avtomatlashtirish uchun.

Hyper-V

Hyper-V ning roli Windows Serverda joriy qilingan qo'shimcha virtualizatsiya texnologiyasi uchun virtualizatsiya muhitini yaratish va unga g'amxo'rlik qilish imkonini beradi. Hyper-V rolini o'rnatish soati ostida kerakli komponentlarni o'rnatish, shuningdek, neobov'yazhkovyh zabov_v keruvannya. Zarur komponentlar qatoriga Windows-ning past darajadagi qobig'i, Hyper-V virtual mashinasining zahiraviy xizmati, WMI virtualizatsiya postmani va VMbus avtobusi, virtualizatsiya xizmati pochtachisi (VSP) va virtual infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari kiradi.

Tarmoq siyosati va kirish xizmatlari

Chegara va kirish xizmatlari chegaraga ulanish uchun quyidagi echimlarni taqdim etadi:

  • Chegaraga kirishni ta'minlash - mijozning maxfiylik siyosatini o'rnatish, primus stoking va tuzatish texnologiyasi. Xavfsizlik tizimiga kirishni qo'shimcha himoya qilish uchun tizim ma'murlari maxfiylik siyosatini o'rnatishi va avtomatik ravishda to'xtatishi mumkin, masalan, dasturiy ta'minot xavfsizligini yoqish, xavfsizlik tizimini yangilash va boshqa parametrlar. Maxfiylik siyosatiga mos kelmaydigan mijoz kompyuterlari uchun siz ularning konfiguratsiya docklari maxfiylik siyosatiga yangilanmaydigan darajada kirishni cheklashingiz mumkin.
  • 802.1X qo'llab-quvvatlanadigan rouming APlar bilan bir qatorda, siz sertifikatga asoslangan autentifikatsiya usullarini rouming qilish uchun tarmoq siyosati serverini (NPS) yutib olishingiz mumkin, shuningdek, yanada xavfsizroq, pastroq parolga asoslangan autentifikatsiya. NPS-serverdan 802.1X qo'llab-quvvatlashi, hid tarmoqqa ulanishi yoki DHCP serveridan IP-manzilni olishdan oldin ichki tarmoqning autentifikatsiyasini himoya qilish imkonini beradi.
  • Chegaraga kirish uchun teri serverida chegaraga kirish siyosatini o'rnatish o'rniga, siz chegaraga ulanish uchun dasturning barcha jihatlari tayinlanadigan barcha siyosatlarni markaziy ravishda yaratishingiz mumkin (kim ulanishi mumkin, agar ruxsat berilsa, ulanish xavfsiz, bu zarur).

Chop etish va hujjat xizmatlari

Bir-biriga va hujjatlarga xizmat ko'rsatish serverni bir-biriga va ulangan printerga ma'muriyatini markazlashtirishga imkon beradi. Bu rol, shuningdek, transchegaraviy skanerlardan hujjatlarni skanerlash va hujjatlarni global resurslarga - Windows SharePoint Services veb-saytida yoki elektron pochta orqali o'tkazish imkonini beradi.

masofaviy kirish

Masofaviy kirishda serverning roli masofaviy kirish uchun ilg'or texnologiyalarning mantiqiy guruhidir.

  • To'g'ridan-to'g'ri kirish
  • Marshrutlash va masofadan kirish
  • Veb proksi-server

Qi texnologiyasi rol xizmatlari masofaviy kirish uchun server rollari. Masofaviy kirishda server rolini o'rnatish soati ostida siz ushbu komponentga rollar qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin.

Windows Serverda masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN, marshrutlash va masofaviy kirish xizmatlarini (RRAS) sozlash va himoya qilish uchun markazlashtirilgan boshqaruv qobiliyatini ta'minlaydi. DirectAccess va RRAS bitta kordon serverida joylashtirilishi mumkin va ular tomonidan qo'shimcha Windows PowerShell buyruqlari va masofaviy kirish uchun joylashtirilgan konsol (MMC) uchun boshqariladi.

Masofaviy ish stoli xizmatlari

Masofaviy ish stollarining xizmatlari ish stollarining tomog'ining kengayishini va har qanday qo'shimcha binoga qo'shimchalarni tezlashtiradi, uzoqdan amaliyotchining samaradorligini oshiradi, shu bilan birga muhim intellektual namlikning xavfsizligini ta'minlaydi va standartni soddalashtiradi. Masofaviy ish stoli xizmatlariga Virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ishlash uchun moslashuvchanlikni beruvchi dasturlar kiradi.

Ovozni faollashtirish xizmatlari

Korxona litsenziyasini faollashtirish xizmatlari - Windows Server 2012-dan boshlab Windows Serverdagi serverning roli, chunki u Microsoft xavfsizlik dasturlarida korporativ litsenziyalarni avtomatlashtirish va chiqarish, shuningdek, turli stsenariylar va muhitlarda bunday litsenziyalarni himoya qilish imkonini beradi. Siz xizmatni kalitlar (KMS) bilan sozlash va Active Directory yordami uchun faollashtirish kabi korporativ litsenziyani faollashtirish xizmatlari qatorini o'rnatishingiz mumkin.

Veb-server (IIS)

Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va dasturiy ta'minotni joylashtirish uchun platformani ta'minlaydi. Veb-serverning bevasi Internetdagi muxbirlar uchun ma'lumotlarga kirishni ta'minlaydi, ichki va qo'shimcha o'lchamlar. Administratorlar bir qator veb-saytlar, veb-xostlar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolini yutib olishlari mumkin. Bu yo'lga kirish uchun maxsus imkoniyatlarga.

  • IIS komponentlarini sozlash va veb-saytlarni boshqarish uchun IIS menejeri ustasi.
  • Veb-sayt egalariga fayllarni bekor qilish va yozib olishga ruxsat berish uchun FTP protokolidan foydalanish.
  • Zabígannya vpliv uchun Vykoristannya _isolating veb-saytlari ínshí bo'yicha serverda bir veb-sayt.
  • Web zastosunkiv, razroblenyh z vikoristannym turli texnologiyalarni amalga oshirish, masalan, Classic ASP, ASP.NET í PHP.
  • Mahalliy veb-server ma'murini avtomatik o'g'irlash uchun Windows PowerShell hack.
  • IISga yordam berish uchun ishlatilishi mumkin bo'lgan bir qator veb-serverlarni server fermasiga birlashtirish.

Windows tarqatish xizmatlari

Windows Deployment Services sizga Windows operatsion tizimini chegara bo'ylab ochish imkonini beradi, ya'ni siz to'g'ridan-to'g'ri CD-ROM DVD diskidan teri operatsion tizimini o'rnatolmaysiz.

Windows Server Essentials tajribasi

Ushbu rol sizga quyidagi vazifalarni bajarishga imkon beradi:

  • server va korxonadagi barcha mijoz kompyuterlarining zaxira nusxalarini yaratish orqali server va mijoz ma'lumotlarini himoya qilish;
  • oddiy server monitoring paneli orqali keruvati koristuvachami va guruhlar koristuvachív. Bundan tashqari, Windows Azure Active Directory bilan integratsiya domenga qo'shimcha bulut ma'lumotlari uchun Microsoft Onlayn xizmatlariga (masalan, Office 365, Exchange Online va SharePoint Online) oson kirishni ta'minlaydi;
  • markazlashtirilgan munitsipalitetdan olingan ma'lumotlarni saqlash;
  • Serverni Microsoft Online xizmatlari bilan integratsiyalash (masalan, Office 365, Exchange Online, SharePoint Online va Windows Intune):
  • serverda yuqori darajadagi xavfsizlik bilan serverga, kompyuterlarga va masofaviy tarqatish ma'lumotlariga kirish uchun universal kirish funktsiyalarini (masalan, masofaviy veb-kirish va virtual xususiy tarmoqlar) yutib olish;
  • istalgan vaqtda va istalgan vaqtda ma'lumotlarga kirishni cheklash uchun men tashkilotning o'z veb-portaliga yordam so'rab qo'yaman (uzoqdan veb-kirish yordami uchun);
  • monitoring panelidan Active Sync protokoli orqali Office 365 yordami uchun elektron pochta tashkilotiga kirish imkonini beruvchi mobil qurilmalardan foydalanish;
  • o'lchovning amaliyligini tekshirib ko'ring va kayfiyatingizdagi amaliylik haqida eslatma oling; Siz yordamga qo'ng'iroq qilishingiz mumkin, uni qo'shiq obsesyonlariga elektron vositalar yordamida kuchaytirishingiz mumkin.

Windows Server yangilash xizmatlari

WSUS serveri ma'murlar konsol konsoli orqali yangilanishlar va yangilanishlarni boshqarishi uchun zarur bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlarini yangilashi kerak bo'lishi mumkin. Bitta WSUS serverini xohlaydigan bir nechta WSUS ilovalari mavjud yangilanishlar haqida ma'lumot olish uchun Microsoft yangilash markaziga ulanishi mumkin. Tarmoqning xavfsizligi va konfiguratsiyasiga qarab, administrator Microsoft yangilash markaziga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin.

Kirish

Daedal boshqaruvi uchun kompyuterlarning katta parkiga mehmondo'stlik vartost va yogo ma'muriyati va buning uchun ovqat bilan ta'minlaydi. Qo'lda bog'lash kompyuterlar xodimlari va zamushu, zbílshennyam kílkostí kom'yuterív, zbílshuvati xodimlari xodimlari, í̈x xizmati bir oz vaqt oladi. O'sha vaqtgacha avtomobillar sonining ko'pligi bilan standartlarni qabul qilish uchun standartlarni qabul qilish bosqichlari tobora muhim ahamiyat kasb etmoqda. Guruh siyosati - bu Active Directory domenida Windows 2000 va undan ko'p ishlaydigan kompyuterlar tomonidan markazlashtirilgan monitoring uchun keng qamrovli vositadir. Windows NT4/9x OS nazorati ostidagi kompyuterlardan oldin guruh siyosatlari to'xtamaydi: yomon hid tizim siyosati (Tizim siyosati) tomonidan boshqariladi, bu statistikada ko'rinmaydi.

Guruh siyosati ob'ektlari

Guruh siyosatining bir qismi sifatida qilgan sozlamalar Guruh siyosati obyektida (GPO) saqlanadi. Guruh siyosati obyektlarining ikki turi mavjud: mahalliy guruh siyosati obyekti va Active Directory guruh siyosati obyekti. Guruh siyosatining mahalliy ob'ekti Windows 2000 himoyasi ostidagi kompyuterlarda va undan ham ko'proq. Bir nechta sharob va bir xil GPO bo'lishi mumkin, ular kompyuterda bo'lishi mumkin, lekin domenga kirmaydi.

Guruh siyosati ob'ekti - Active Directory ma'lumotlar bazasidagi fayllar, kataloglar va yozuvlar to'plamini (bu mahalliy ob'ekt emas) maqsadli nomlash, shunda siz sozlamalarni o'rnatishingiz va ularni belgilashingiz va qo'shimcha guruh siyosatlari parametrlarini o'zgartirishingiz mumkin. . Siyosat yaratganingizda, siz aslida guruh siyosati ob'ektini yaratasiz va o'zgartirasiz. Mahalliy guruh siyosati obyekti %SystemRoot%\System32\GroupPolicy-da saqlanadi. Active Directory GPO'lari domen boshqaruvchisida saqlanadi va ular sayt, domen yoki OU (tashkiliy birlik) bilan bog'lanishi mumkin. Ob'ektning bog'lanishi yoga diyuni belgilaydi. Domenni blokirovka qilish ortida ikkita guruh siyosati ob'ektlari yaratiladi: Standart domen siyosati va standart domen tekshiruvi siyosati. Birinchisi parollar va domen yozuvlari uchun qulflash siyosatiga ega. Ikkinchisi OU Domain Controllers deb ataladi va domen kontrollerlari uchun xavfsizlik shu tarzda o'rnatiladi.

Guruh siyosati ob'ektini yaratish

Siyosatni yaratish uchun (aslida yangi guruh siyosati ob'ektini yaratadi) Active Directory Users & Computers-ni oching va yangi ob'ektni o'chirishni tanlang. Siz faqat guruh siyosati ob'ektini sayt, domen yoki OU bilan bog'lashingiz mumkin.

Guruch. 1. Guruh siyosati obyektini yaratish.

GPO yaratish va uni, masalan, OU testerlari bilan bog'lash uchun, o'sha OU-ni o'ng tugmasini bosing va kontekst menyusi xususiyatlarni tanlang. Rasmiylarning yuqori qismida Guruh siyosati yorlig'ini oching va Yangi tugmasini bosing.

Guruch. 2. Guruh siyosati obyektini yaratish.

Ob'ektni GP deb nomlaymiz, shundan so'ng ob'ekt yaratiladi va siz siyosatning konfiguratsiyasiga o'tishingiz mumkin. Siz yaratilgan ob'ektni bosishingiz yoki Tahrirlash tugmasini bosishingiz mumkin, GPO muharriri oynasi ochiladi va siz ob'ektning o'ziga xos parametrlarini sozlashingiz mumkin bo'ladi.

Guruch. 3. Kengaytirilgan yorlig'idagi sozlamalar tavsifi.

Asosiy yaxshilanishlarning aksariyati intuitiv ravishda tushuniladi (bundan oldin siz uni tasvirlab berishingiz mumkin, shunchaki Kengaytirilgan yorlig'ini oching) va biz teri haqida batafsil ma'lumot bermaymiz. Shakldan ko'rinib turibdiki. 3, GPO ikkita bo'limdan iborat: Kompyuter konfiguratsiyasi va foydalanuvchi konfiguratsiyasi. Birinchi marta tarqatish tugallanganda, Windows ni quyida bir xil konteynerda joylashgan kompyuterlarga etkazish uchun biroz vaqt kerak bo'ladi (chunki u pasayishdan ta'sir qilmaydi) va qanchalik qisqa bo'lmasin yotmaydi. tizimga tegishli. tizimiga vikoristovuyutsya píd soat kiritish koristuvach boshqa bo'linish parametrlari.

Guruh siyosatining stosuvannya ob'ektlari tartibi

Kompyuter ishga tushganda, quyidagilar sodir bo'ladi:

1. Ro'yxatga olish kitobi o'qiladi va kompyuter qaysi saytga yotishi kerakligi aniqlanadi. Robe zapit DNS server ushbu sayt tomonidan joylashtirilgan domen nazoratchilarining IP manzilini olish usulidan foydalanish.
2. Otrimavshi manzili, kompyuter domen boshqaruvchisiga ulanadi.
3. Mijoz domen nazoratchisi va zastosovuê x dan GP ob'ektlari ro'yxatini so'raydi. GP ob'ektlar ro'yxati qolgan tartibda, zastosovuvatisya aybi bilan hidi tufayli.
4. Agar siz tizimga kirsangiz, kompyuter GP ob'ektlari ro'yxatini qayta oladi, agar simdan oldin o'chirish kerak bo'lsa, u to'xtaydi.

Guruh siyosatlari OC kiritilganda va tizimga kirganda to'xtatiladi. So'ngra hidi sobit bo'ladi teri 90 daqiqa o'zgarishi bilan 30 daqiqa mijozlar ko'p sonli bir soatlik so'rov vaqtida domen kontroller o'tkazish o'chirish uchun. Domen kontrollerlari uchun yangilanish oralig'ini 5 marta o'rnating. Ushbu xatti-harakatni Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Grup siyosati bo'limida o'zgartirishingiz mumkin. Guruh siyosati obyekti faqat “kompyuter” va “koristuvach” obyektlarida ishlashi mumkin. Katalog ob'ektidagi (veb-sayt, domen, yangilangan), ba'zi GPO bog'lashlari bilan va "daraxt" orqasida pastroqda joylashgan ob'ektlarga nisbatan siyosat kamroq (bu rad etish bilan qamrab olinmaydi). Masalan: GPO obyekti OU testerlarida yaratilgan (biz uni yaratganimizdek).

Guruch. 4. Spadkuvannya nalashtuvan.

Agar siz ushbu GPO-ni yaxshilagan bo'lsangiz, kengaytirgan bo'lsangiz, u faqat OU testerlari va OU InTesters tarkibidagi kompyuterlarda ishlaydi. Keling, siyosatlarni dumba ustiga joylashtirish tartibini ko'rib chiqaylik. Koristuvach testi, OU testerlarida roztashovaniya, kompyuter komputeriga kiring, OU compOU da scho (bo'lim. 5-rasm).

Guruch. 5. Rejalashtirish siyosati tartibi.

Domenda bir nechta GPO mavjud:

1. SitePolicy, konteynerdan saytga bog'lash;
2. Konteynerdan domenga bog'lovchi standart domen siyosati;
3. Siyosat1, OU testerlari bilan ishlash;
4. Siyosat2, OU compOU dan majburiy.

Da zavantazhenny Windows kompyuter konfiguratsiyasi bo'limlariga tayinlangan kompilyatsiya ish stantsiyasida parametrlar quyidagi tarzda o'rnatiladi:

1. Mahalliy GPO parametrlari;
2. GPO SitePolicy parametrlari;

4. GPO siyosatining parametrlari2.

Kompyuterda test maydoniga kirishda - Foydalanuvchi konfiguratsiyasi bo'limlariga tayinlangan parametrlar:

1. Mahalliy GPO parametrlari;
2. GPO SitePolicy parametrlari;
3. GPO standart domen siyosati sozlamalari;
4. GPO siyosatining parametrlari1.

GPO'larni shunday o'rnatish uchun: mahalliy siyosatlar, saytga teng siyosatlar, domenga teng siyosatlar, OUga teng siyosatlar.

Guruh siyosatlari mijozlarga Windows XP da asinxron, Windows 2000 da esa sinxron tarzda yuklanadi, shuning uchun kirish ekrani faqat kompyuterning barcha siyosatlari toʻxtatilgandan keyin paydo boʻladi va standart siyosatlar ish uslubi paydo boʻlishidan oldin toʻxtatiladi. Asinxron zastosuvannya siyosati shuni anglatadiki, koristuvachning ekrani kirish joyidan oldinroq bo'ladi, keyin u kompyuterning barcha siyosatlarini tiqilib qoladi va ish uslubi - avvalroq, keyin ekran koristuvachning barcha siyosatlari bilan bloklanadi, bu esa. koristuvachning kirishini zudlik bilan to'sib qo'yishga sabab bo'ladi.
Ikki kayfiyatda o'zgarib turadigan ko'proq xatti-harakatlar tasvirlangan. Birinchisi, o'lchov bilan to'liq aloqani ko'rsatgan mijozning kompyuteri. tsomu vpadku da zamovchuvannyam uchun faqat himoya va ma'muriy andozalari parametrlarini zastosovuyutsya. Eng muhimi, o'tkazish qobiliyati 500 Kb / s dan kam bo'lgan ulanishlar talab qilinadi. Siz qiymatni Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Group Policy\Group Policy sekin havolani aniqlashda o'zgartirishingiz mumkin. Bundan tashqari, Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Grup siyosati bo'limida siz boshqa siyosat parametrlarini sozlashingiz mumkin, shunda hid to'g'ri tartibda qayta ishlanadi. Rejalashtirish siyosati tartibini o'zgartirishning yana bir usuli - bu foydalanuvchi guruhi siyosatini qayta ishlash variantidir. Ushbu parametr qulflash siyosatini joylashtirish tartibini o'zgartiradi, bu holda kompyuterdan keyin zastosovuvaetsya va qolgan qismini qayta yozish. Siyosatlarni qayta oʻrnatgandan soʻng kompyuter siyosatlarini oʻrnatish va kompyuter siyosatlarini oʻzgartirish uchun barcha siyosatlarni qayta yozish uchun orqaga qaytish opsiyasini oʻrnatishingiz mumkin. Loopback parametri ikkita rejimga ega:

1. Birlashtirish (z'ednati) - kompyuter siyosati asta-sekin turg'unlashadi, keyin kompyuter siyosati tiklanadi. Bu bilan, kompyuter siyosati uni superechat bo'lgan kor-stuvalnitskoy siyosati parametrlarini o'ziga o'zgartiradi.
2. O'zgartirish (almashtirish) - koristuvach siyosati qayta ishlanmagan.

Siz foydalanuvchi guruhi siyosatining qayta ishlash parametrini sozlashni tasvirlashingiz mumkin, masalan, qaysi biri ildiz otganligidan qat'i nazar, o'z sozlamalaringizni o'rnatishingiz kerak bo'lgan kirish mumkin bo'lgan kompyuterda.

Nizolarning ustuvorligi, pasayishi va hal qilinishi

Yuqorida aytib o'tganingizdek, guruh siyosati ob'ektining barcha darajalarida bir xil sozlash parametrlari tekshirilishi kerak va bir xil parametr dekal darajalarida turli darajalarga boshqacha tarzda tayinlanishi mumkin. Bu vaqtda qolgan qiymatlar bloklanadi (guruh siyosati ob'ektlarini to'xtatish tartibi ko'proq muhokama qilindi). Ushbu qoida konfiguratsiya qilinganlardan tashqari barcha parametrlarda kengaytiriladi. Cich uchun Windows sozlamalari kundalik diyomni o'g'irlamang. Va yana bir xato: bulutli yozuvlar va parollarni o'rnatish uchun barcha sozlamalar faqat domen bilan bir xil darajada o'rnatilishi mumkin, boshqa darajalarda sozlamalar e'tiborga olinmaydi.

Guruch. 6. Active Directory foydalanuvchilari va kompyuterlari.

Bir teng kabi, bir GPO sprat stashed edi, barcha badbo'y zastosovuetsya "tepalik ostidan." Ro'yxatdagi siyosat ob'ektining o'rnini o'zgartirib (yuqoriga va pastga tugmalari yordamida) siz kiritishning kerakli tartibini tanlashingiz mumkin.

Guruch. 7. Siyosatlarni rejalashtirish tartibi.

Ba'zan OU nomi yuqoriroq bo'lishi kerak bo'lgan konteynerlar bilan bog'liq GPO siyosatlarining parametrlarini bekor qilmasligi kerak. Shunday qilib, keyingi qadam, ensign Block Policy merosini o'rnatish orqali siyosatning pasayishini oldini olishdir (Siyosatlarning pasayishini bloklash). Siyosatning barcha parametrlari bloklangan, boshqa parametrlarni blokirovka qilishning imkoni yo'q. Parol siyosati va umumiy yozuvlar siyosatini belgilaydigan domenga teng oʻrnatilgan parametrlarni bloklab boʻlmaydi.

Guruch. 9. Siyosatchilarning tanazzulga uchrashini bloklash.

Albatta, ushbu GPO-dagi yamalgan qo'shiqlar qayta yozilmasligini ta'minlash uchun kerakli GPO-ni tanlang, Options tugmasini bosing va No Override-ni tanlang. Ushbu parametr sizga siyosatning qulashini blokirovka qilib, u erda GPO parametrlarini to'xtatishni buyuradi. U erda hech qanday Override o'rnatilmagan, bu erda GPO GPO-ning o'zida emas, balki katalog ob'ekti bilan bog'langan. Agar GPO domendagi bir qator konteynerlarga bog'langan bo'lsa, boshqa havolalar uchun bu parametr avtomatik ravishda sozlanmaydi. Xuddi shu qatordagi dekal havolalari uchun No Override sozlamasi bilan bir qatorda ro'yxatda paydo bo'ladigan GPO sozlamalariga ustunlik beriladi. Har xil darajadagi GPOlar soni uchun “No Override” sozlamalari oʻrnatilgan boʻlsa-da, katalog ierarxiyasida yuqoriroq joylashgan GPO sozlamalari standart sozlamalar boʻladi. Ya'ni, GPO ni domen ob'ekti bilan bog'lash va GPO ob'ekti OU bilan bog'lash uchun No override parametrlari o'rnatilgan bo'lsa-da, teng domenga tayinlangan parametrlar bo'ladi. O'chirilgan belgilash katakchasi ushbu GPO ni butun konteyner uchun tekshiradi.

Guruch. 10. Options No Override and Disabled.

Ko'proq tayinlanganidek, siyosatchilarning korruptsiyaga moyilligi va kompyuterlari kamroq. Ko'pincha ayb oziq-ovqatda: "Qanday qilib o'sish kerak, shunday qilib qo'shiq siyosati barcha koristuvachi ustida ishlagan, xavfsizlikning qo'shiq guruhiga qanday kirish kerak?". Ushbu GPO uchun ob'ektni domenga bog'lang (u konteynerdan yuqori bo'lgan konteyner yoki kerakli guruhdagi barcha ob'ektlar joylashgan OU bo'ladimi) va kirish parametrlari sozlanadi. "Xavfsizlik" yorlig'ida "Xususiyatlar" ni bosing, "Autentifikatsiya qilingan foydalanuvchilar" guruhini ko'ring va Guruh siyosatini o'qish va qo'llash huquqlari bilan kerakli guruhni qo'shing.

Koristuvach kompyuterida ishlaydigan o'rnatishlarni belgilash

Yakuniy konfiguratsiya va muammolarning namoyon bo'lishi uchun siz siyosatni qanday o'rnatishni bilishingiz kerak. bu koristuvach yoki hozircha kompyuter. Bu asosiy vosita Natijalar to'plamidir (natijalar to'plami, RSoP). RSoP ham ro'yxatga olish rejimida, ham rejalashtirish rejimida ishlashi mumkin. RSoPga qo'ng'iroq qilish uchun "koristuvach" yoki "kompyuter" ob'ektini o'ng tugmasini bosing va "Barcha vazifalar" ni tanlang.

Guruch. 11. "Siyosat natijalari to'plami" vositasiga Wiklik.

Ishga tushgandan so'ng (ro'yxatdan o'tish, ro'yxatga olish rejimida) sizdan qaysi kompyuter uchun o'sha yadro natijaviy to'plamni o'rnatishini tanlash so'raladi va u topshiriqlardan olingan sozlamalarda paydo bo'ladi, qaysi GPO dan qaysi parametr o'rnatiladi.

Guruch. 12. Siyosatning natijasi to'plami.

Guruh siyosatlarini boshqarish uchun boshqa vositalar

GPresult - bu RSoP funksiyasining bir qismini ta'minlovchi buyruq qatori vositasi. GPresult Windows XP va Windows Server 2003 o'rnatilgan barcha kompyuterlarda reklama uchun mo'ljallangan.

GPUpdate primus mahalliy va Active Directory asosidagi guruh siyosatlarini ishga tushiradi. Windows XP/2003 uchun Windows 2000 uchun secedit vositasidagi /refreshpolicy parametri o'zgartirildi.

í̈x ni /? tugmasi bilan boshlashda mavjud bo'lgan buyruqlar sintaksisining tavsifi.

o'rinbosari

Ushbu maqola guruh siyosati bilan ishlashning barcha jihatlarini tushuntirib bera olmaydi, u tizim ma'murlari ma'lumotlariga qaratilmagan. Menimcha, barcha mahsulotlar ishlab chiqariladi, men faqat siyosatchilar bilan ishlashning asosiy tamoyillarini tushunishga yordam bera olaman, ular hech qanday tarzda ularni amalda qo'llamagan yoki to'g'rirog'i ularni o'zlashtira boshlagan.

GPresult yordam dasturi.exe- bu Active Directory domenida kompyuterga va/yoki koristuvachaga kirish uchun guruh siyosatlarini sozlash va diagnostika qilish uchun tan olingan konsol dasturi. Zocrema, GPResult sizga natijaviy siyosatlar to'plami (Natijalar to'plami, RSOP), bloklangan domen siyosatlari ro'yxati (GPO) haqida ma'lumot olish va kechirim va qayta ishlash haqida batafsil ma'lumotni o'rnatish imkonini beradi. Windows XP ish vaqtidan boshlab Windows OS omboriga kirish uchun yordamchi dastur. GPresult yordam dasturi sizga quyidagi savollarga javob berishga imkon beradi: nima uchun kompyuterga ma'lum bir siyosat o'rnatilgan, chunki GPO o'zi sabablarga ko'ra boshqa Windows sozlamalarini o'zgartirgan.

Ushbu maqolada biz Active Directory domeni uchun ishni diagnostika qilish va guruh siyosatini o'rnatish uchun GPresult buyrug'ining o'ziga xos xususiyatlarini ko'rishimiz mumkin.

Windows-da guruh siyosatini blokirovka qilish diagnostikasi uchun RSOP.msc grafik konsoli o'zgartirildi, chunki u olingan siyosatlarni (domen + mahalliy) tahrirlash, kompyuterni to'xtatish va konsolga o'xshash grafik ko'rinishni qisqartirish imkonini berdi. GPO muharririning (quyida RSOP.msc konsolining taqdimoti misolida) sozlamalar yangilanganligini ko'rishingiz mumkin).

Prote, Windows-ning zamonaviy versiyalarida RSOP.msc konsoli zaif kaltaklangan, shuning uchun. U sozlamalarni ko'rsatmaydi, turli xil guruh siyosati kengaytmalari (CSE) tomonidan bloklangan, masalan, GPP (Guruh siyosati afzalliklari), ko'rsatmalarni olishga ruxsat bermaydi, diagnostika uchun kam ma'lumot beradi. Shuning uchun, GPresult buyrug'i Windows-da GPO blokirovkasini diagnostika qilish uchun asosiy vositadir (Windows 10-da, bu biroz erta, chunki RSOP GPResult loginiga yangi qo'ng'iroq qilmaydi).

Wicker yordam dasturi GPresult.exe

GPresult buyrug'i kompyuterda tekshiriladi, bu erda guruh siyosatini blokirovka qilishni tekshirish kerak. GPresult buyrug'i quyidagi sintaksisga ega bo'lishi mumkin:

GPRESULT ]] [(/X | /H) ]

Guruh siyosati, ushbu AD ob'ektiga qanday o'tish (kompyuter tekshiruvi) va GPO infratuzilmasi uchun o'rnatilgan boshqa parametrlar (natijada GPO siyosatini o'rnatish uchun - RsoP) haqida batafsil ma'lumot olish uchun quyidagi buyruqni kiriting:

Buyruqning 2 bo'limga bo'linishi natijalari:

  • KOMPYUTER SOZLAMALAR (Kompyuter konfiguratsiyasi) - kompyuterda o'rnatilgan GPO ob'ektlari haqida tarqatilgan ma'lumotlar (masalan, Active Directory);
  • USER SOZLAMALAR – koristuvach siyosatini (milodiy koristuvachning rasmiy qaydnomasiga kiritilishi lozim boʻlgan siyosat) tarqatdi.

GPresult displeyiga ta'sir qilishi mumkin bo'lgan asosiy parametrlar / bo'limlarni qisqacha ko'rib chiqamiz:

  • saytIsm(Im'ya sayti:) – Kompyuter joylashgan Im'ya AD sayti;
  • CN– RSoP ma’lumotlari yaratilgan kanonik koristuvach/kompyuterdan tashqarida;
  • OxirgivaqtguruhSiyosatediqo'llaniladi(Guruh siyosatining turg'unligini to'xtatish) - agar guruh siyosati oxirgi marta yoqilgan bo'lsa, soat;
  • guruhSiyosatediqo'llaniladidan(Guruh siyosati o'chirilgan) - GPO-ning qolgan qismini o'chirib qo'ygan domen boshqaruvchisi;
  • DomenIsmva Domenturi(Domen nomi, domen turi) – Active Directory domeni uchun sxema versiyasi nomi;
  • Qo'llaniladiguruhSiyosatOb'ektlar(Guruh siyosatining ob'ektlari)- guruh siyosatining faol ob'ektlari ro'yxati;
  • ThequyidagiGPOlarboulesemasqo'llaniladichunkihidlashboulesfiltrlangantashqariga(Kengaytirilgan GPO siyosatlari bloklanmagan, badbo'y hidlar filtrlangan) - GPOlar bloklanmagan;
  • Thefoydalanuvchi/kompyuterhisoblanadiaqisminingthequyidagixavfsizlikguruhlar(Koristuvach / kompyuter tajovuzkor xavfsizlik guruhlari a'zosi) - domen guruhlari, ba'zi hollarda koristuvach.

Ko'rinib turibdiki, koristuvach ob'ekti 4 ta guruh siyosatiga ega.

  • Standart domen siyosati;
  • Windows xavfsizlik devorini yoqing;
  • DNS qo'shimchasini qidirish ro'yxati

Agar xohlamasangiz, konsol bir vaqtning o'zida koristuvach siyosatchilari va kompyuter siyosatchilari to'g'risidagi ma'lumotlarni ko'rsatishi uchun qo'shimcha / qamrov opsiyasi uchun faqat bir nechta bo'linishlarni kiritishingiz mumkin, shunda siz bosishingiz mumkin. . Faqat koristuvachning natijaviy siyosati:

gpresult /r /scope:user

yoki faqat turg'un kompyuter siyosatlari:

gpresult /r /scope:kompyuter

Chunki Gpresult yordam dasturi o'z ma'lumotlarini to'g'ridan-to'g'ri buyruq qatori konsolida ko'rsatadi, uni keyingi tahlil qilish uchun qo'lda kiritmaysiz, ma'lumotlaringizni vaqtinchalik xotiraga yo'naltirishingiz mumkin:

gpresult /r |klip

yoki matn fayli:

gpresult /r > c:\gpresult.txt

Batafsil RSOP ma'lumotlarini ko'rsatish uchun siz /z tugmachasini qo'shishingiz kerak.

HTML GPresult yordami uchun RSOP ga qo'ng'iroq qiling

Bundan tashqari, GPresult yordam dasturi har qanday natijaviy siyosat natijalari uchun HTML chiqishini yaratishi mumkin (Windows 7 va undan keyingi versiyalarda mavjud). Guruh siyosatlari bo'yicha o'rnatiladigan barcha tizim parametrlari va o'rnatiladigan ma'lum GPO nomlari haqida ma'lumotni kimga olasiz (tuzilma bo'yicha nom, domen guruhi siyosatini boshqarish konsolidagi Sozlamalar yorlig'ini taxmin qiling - GPMC). Qo'shimcha buyruq yordamida GPresult HTML qo'ng'irog'ini yaratishingiz mumkin:

GPresult /h c:\gp-report\report.html /f

Qo'ng'iroqni yaratish va uni brauzerda avtomatik ravishda ochish uchun buyruqni kiriting:

GPresult /h GPresult.html & GPresult.html

HTML-da gpresult juda ko'p asosiy ma'lumotlarni olishi mumkin: siz GPO hisobini, ishlov berish soatini (ms da) va maxsus siyosatlar va CSE to'xtatilishini (Kompyuter tafsilotlari -> Komponent holatini taqsimlashda) ko'rishingiz mumkin. Misol uchun, skrinshotda siz 24 ta parolni eslab qolish siyosati standart domen siyosati (Winning GPO) tomonidan o'rnatilganligini ko'rishingiz mumkin. Ko'rib turganingizdek, bunday HTML rsop.msc konsoli ostidagi bloklangan siyosatlarni tahlil qilish uchun juda foydali.

GPresult ma'lumotlarini masofaviy kompyuterdan olish

GPresult masofaviy kompyuterdan ma'lumotlarni to'plashi mumkin, bu esa ma'murga mahalliy yoki RDP kompyuter tomonidan kerak bo'lsa, masofaviy kompyuterga kirish imkonini beradi. Masofaviy kompyuterdan RSOP ma'lumotlarini yig'ish uchun buyruq formati quyidagicha:

GPresult /s server-ts1 /r

Xuddi shunday darajaga ko'ra, siz koristuvach siyosatchilari uchun ham, kompyuter siyosatchilari uchun ham ma'lumotlarni olib tashlashingiz mumkin.

Koristuvach foydalanuvchi nomi RSOP ma'lumotlariga ega emas

UAC yoqilganda, GPresult-ni imtiyozlarsiz ishga tushirish guruh siyosatlarini bo'lish o'rniga parametrlarni ko'rsatadi. Bir vaqtning o'zida haqoratlarni ko'rsatish kerak (FOYDALANUVCHI SETTINGS va KOMPYUTER SOZLAMALARI), buyruq bajarilishi kerak. Boshqaruv tizimining imtiyozlariga ega bo'lgan buyruq qatori sifatida yordamchi dastur oldinda ko'rinadi MA'LUMOT: Thefoydalanuvchi"domen\user” qiladiemasborRSOPma'lumotlar ( Koristuvach "domen\user" ruxsat berilmagan (RSOP). GPresult koristuvacha ma'lumotni olishga harakat qilmoqda, bu ishlayotgan, ale. Bu koristuvach tizimga kirmadi (kirish), yangi kun uchun RSOP ma'lumotlari. Faol seansga kirganingizda RSOP ma'lumotlarini to'plash uchun jismoniy yozuvingizni kiritishingiz kerak:

gpresult /r /user:tn\edward

Agar siz masofaviy kompyuterda ro'yxatdan o'tgan qiyshiq yozuvning nomini bilmasangiz, qiyshiq yozuvni quyidagicha ko'rishingiz mumkin:

qwinsta / SERVER: remotePC1

Shuningdek, mijozga soatni (i) aylantiring. Soat PDC (Primary Domain Controller) soati uchun javobgardir.

Hujum qiluvchi GPO siyosatlari turg'un emas edi, hidning hidlari filtrlangan

Guruh siyosatlari bilan bog'liq muammolarni bartaraf qilishda, varto bo'limiga ham e'tibor bering: GPO ilgari suruvchi siyosatlar bloklanmagan, shuning uchun hid filtrlangan. Ushbu bo'limda ob'ektga etib bormaslikning boshqa sabablari bo'lsa, GPO ro'yxati ko'rsatiladi. Siyosat to'xtata olmaydigan variantlar:



Muayyan AD ob'ektini "Effektiv ruxsatlar" ilovasida (Kengaytirilgan -> Samarali kirish) o'rnatish nima uchun siyosatning xatosi ekanligini ham tushunishingiz mumkin.

Shuningdek, ushbu maqolada biz GPresult qo'shimcha yordam dasturi uchun guruh siyosatini tashxislashning o'ziga xos xususiyatlarini ko'rib chiqdik va odatiy stsenariylarni va vikoristannyalarni ko'rib chiqdik.

Windows Server operatsion tizimining funksionalligi versiyadan versiyaga kengaytirildi va takomillashtirildi, ushbu komponentning rollari tobora ko'payib bormoqda, shuning uchun bugungi materialda men qisqacha kengaytirishga harakat qilaman. Windows Server 2016 da teri rolini aniqlash tavsifi.

Birinchidan, Windows Server server rollarining tavsifiga o'ting, keling, nima muhimligini bilib olaylik. Server roli» Windows Server operatsion tizimida.

Windows Serverda "Server roli" nima?

Server roli- Ushbu dastur majmuasi asosiy funktsiyaning serverini ta'minlaydi va bu funktsiya asosiy hisoblanadi. Boshqa so'zlar bilan aytganda, " Server roli"- tse server, tobto. navíscho vin kerak. Shunday qilib, server bir zumda asosiy funktsiyani mag'lub qilishi mumkin, tobto. Men rolni kuylayman, " Server roli» ushbu dasturiy ta'minot xavfsizligi uchun kerak bo'lgan hamma narsani o'z ichiga oladi ( dasturlar, xizmatlar).

Server faqat bitta rolga ega bo'lishi mumkin, shuning uchun u faol ravishda yutib bo'lmaydi yoki bu sprat, chunki ularning terisi server bilan juda band emas va tez-tez yutib bo'lmaydi.

Serverning roli ba'zi ishtirokchi xizmatlarni yoqishi mumkin, bu esa rolning funksionalligini ta'minlaydi. Masalan, server roli " Veb-server (IIS)» ko'p sonli xizmatlarni bajarish uchun kiritilgan va « roli DNS server»Rol xizmatlarini qo'shmang, lekin rol faqat bitta funktsiyaga ega.

Rol xizmatlari bir vaqtning o'zida o'rnatilishi mumkin yoki ular sizning ehtiyojlaringizga ko'ra alohida o'rnatilishi mumkin. Aslida, rolni o'rnatish bir yoki bir nechta xizmatlarni o'rnatishni anglatadi.

Windows Server ham mavjud Komponentlar» server.

Server komponentlari (xususiyat)- barcha dasturiy ta'minot dasturlari, masalan, server rulosi, lekin bir yoki bir nechta rollarni boshqarishi mumkin bo'lgan bir yoki bir nechta rollarning qobiliyatini kengaytiradi.

Haqiqiy rollarni o'rnatib bo'lmaydi, chunki serverda ushbu rollarning ishlashi uchun zarur bo'lgan til xizmatlari yoki komponentlar o'rnatilmagan. Bunga bunday rollarni o'rnatish vaqtida. Rol va komponentlarni qo'shish ustasi» o'zi avtomatik ravishda sizga kerakli qo'shimcha rol xizmatlari yoki komponentlarini o'rnatishingizni taklif qiladi.

Windows Server 2016 server rollarining tavsifi

Windows Server 2016-da bo'lgani kabi juda ko'p rollar bilan, qo'shiq kuylash, Siz buni uzoq vaqt davomida qilish yoqimsiz ekanligini bilasiz, lekin men aytganimdek, Windows Serverning yangi versiyasi terisiga yangi rollar qo'shilmoqda, Agar biz bilmoqchi bo'lsak, bu mumkin, endi bizga badbo'y hid kerak, keling, buni ko'rib chiqaylik.

Eslatma! Windows Server 2016 operatsion tizimining yangi funksiyalari haqida “Windows Server 2016 ni oʻrnatish va yangi funksiyalarni koʻrib chiqish” maqolasida oʻqishingiz mumkin..

Shunday qilib, ko'pincha rollar, xizmatlar va komponentlar boshqaruvini o'rnatish talab qilinadi Windows g'alabalari PowerShell , o'sha vv xizmatining teri roli uchun, men uni nomlayman, PowerShell'dan qanday foydalanishim mumkin, bu o'rnatish yoki keruvannya uchun ko'rinadi.

DHCP serveri

Ushbu rol dinamik IP-manzillarni markazlashtirilgan tarzda sozlash va ularni chekkadagi kompyuterlar va qo'shimchalar parametrlari bilan bog'lash imkonini beradi. DHCP server rolida ishtirok etuvchi xizmatlar yo'q.

Windows PowerShell nomi DHCP.

DNS server

Bu rol TCP/IP tarmoqlarida nomlarni aniqlash uchun tayinlangan. DNS serverining roli DNS ishini ta'minlaydi va qo'llab-quvvatlaydi. DNS server bilan tekshirishni osonlashtirish uchun uni Active Directory domen xizmatlari bilan bir xil serverda chaqirish kifoya. DNS server rolida ishtirok etuvchi xizmatlar yo'q.

PowerShell uchun rol nomi DNS.

Hyper-V

Hyper-V-ning qo'shimcha roli uchun siz virtuallashtirilgan vositani yaratishingiz va uni cheruba qilishingiz mumkin. Boshqacha qilib aytganda, bu virtual mashinalarni yaratish va boshqarish uchun vositadir.

Windows PowerShell uchun rol nomi Hyper-V.

Qo'shimcha binolarning amaliyligini tasdiqlash

Rol " » qo'shimchaning qo'llanilishini xavfsizlik parametrlarida vaqtinchalik ko'rsatkichlar asosida baholash imkonini beradi, masalan, ko'rsatkichlar mijoz uchun xavfsiz qiziqish va Bitlockerga aylanadi.

Rol rolining ishlashi uchun rol xizmatlari va tarkibiy qismlarini hisobga olish kerak, masalan: roldan xizmatlarning nusxasi « Veb-server (IIS)", komponent" ", komponent" .NET Framework 4.6 xususiyatlari».

O'rnatish boshlanishida barcha kerakli rol xizmatlari va komponentlari avtomatik ravishda tanlanadi. Rolda Qo'shimcha binolarning amaliyligini tasdiqlash“O'z xizmatlari uchun hech qanday rol yo'q.

PowerShell nomi - DeviceHealthAttestationService.

Veb-server (IIS)

Nadaê nadíynu, kerovanu va veb-ilovalarning kengaytiriladigan infratuzilmasi. U juda ko'p xizmatlardan iborat (43).

Windows PowerShell-ning nomi - Web-server.

Bunday rollarni qo'shing ( kishanlarda men uni Windows PowerShell uchun nomlayman):

Veb-server (Web-WebServer)- HTML veb-saytlari, ASP.NET kengaytmalari, ASP va veb-serverlarni qo'llab-quvvatlaydigan rol xizmatlari guruhi. Kelgusi xizmatlardan iborat:

  • Bezpeka (Veb-Xavfsizlik)- veb-server xavfsizligi bo'yicha xizmatlar to'plami.
    • So'rovlarni filtrlash (Web-Filtering) - qo'shimcha yordam olish uchun siz serverga kiradigan barcha so'rovlarni qayta ishlashingiz va veb-server ma'muri tomonidan o'rnatilgan maxsus qoidalar asosida barcha so'rovlarni filtrlashingiz mumkin;
    • IP-manzillar va domen almashinuvi (Web-IP-Security) - so'rovda IP-manzillar yoki dzherel domen nomini himoya qilish uchun veb-serverga kirishga ruxsat bermang yoki blokirovka qiling;
    • Avtorizatsiya URL-manzili (Web-Url-Auth) - veb-saytga kirishni almashish qoidalarini kengaytirish va ularni koristuvachami, guruhlar yoki HTTP sarlavhasi buyruqlari bilan bog'lash imkonini beradi;
    • Authenticity Digest-Reversal (Web-Digest-Auth) – berilgan autentifikatsiya sizga haqiqiylik mintaqasida yuqori darajadagi xavfsizlikni taʼminlash imkonini beradi. Parol xeshini Windows domen boshqaruvchisiga o'tkazish tamoyiliga amal qilgan holda, korystuvachiv díê autentifikatsiyasi uchun qayta tekshirishni Digest;
    • Birlamchi autentifikatsiya (Web-Basic-Auth) - autentifikatsiyaning bu usuli veb-brauzer xavfsizligini ta'minlaydi. Kichkina ichki hovlilarda ko'z qisib qo'yish tavsiya etiladi. Ushbu usulning asosiy kamchiligi shundaki, vaqt o'tishi bilan uzatiladigan parollarni oddiygina qayta ishlash va parolini ochish mumkin, shuning uchun SSL-dan foydalanish uchun ushbu usuldan foydalaning;
    • Windows autentifikatsiya tekshiruvi (Web-Windows-Auth) – Windows domenida autentifikatsiya. Boshqacha qilib aytganda, veb-saytlaringiz variantini autentifikatsiya qilish uchun Active Directory yozuvining ko'rinishini oqlashingiz mumkin;
    • Mijoz sertifikati bayonotlarining haqiqiyligini tekshirish (Web-Client-Auth) – mijoz sertifikatining haqiqiyligini uzatishning ushbu usuli bekor qilindi. Active Directory xizmatining har bir turi uchun sertifikatlarni moslashtirish;
    • IIS mijoz sertifikati bayonotlariga nisbatan haqiqiylikni tekshirish (Web-Cert-Auth) – ichida bu usul Autentifikatsiya qilish uchun mijoz sertifikatlari ham imzolanadi va sertifikatlarni himoya qilish uchun IIS xizmatlari bu yerda imzolanadi. Tsey turi yuqori mahsuldorlikni ta'minlaydi;
    • SSL sertifikatini markazlashtirilgan qo'llab-quvvatlash (Web-CertProvider) - bu SSL server sertifikatlarini markazlashtirilgan qayta ishlash imkonini beradi, bu sertifikatlarni boshqarish jarayonini soddalashtiradi;
  • Taqqoslash va diagnostika (Web-Salomatlik)- robotlashtirilgan veb-serverlar, saytlar va qo'shimchalar xavfsizligini nazorat qilish, boshqarish va yo'q qilish bo'yicha xizmatlar to'plami:
    • http logging (Web-Http-Logging) - bu serverning saytida ro'yxatga olish faoliyatini davom ettirish uchun bir tiyin, ya'ni. jurnalga kirish;
    • Logging ODBC (Web-ODBC-Logging) - siz shuningdek veb-sayt faoliyati jurnalini yuritishingiz mumkin, lekin ular shuningdek, ma'lumotlar bazasida faoliyatni ro'yxatdan o'tkazishni, ODBC summasini qo'shadilar;
    • Request Monitor (Web-Request-Monitor) - HTTP so'rovlari haqidagi ma'lumotlarni IIS ish jarayoniga o'tkazish orqali veb-dasturlarning to'g'riligini nazorat qilish imkonini beruvchi vosita;
    • Jurnal sozlamalari (Web-Custom-Logging) – qo‘shimcha yordam olish uchun veb-server faoliyati jurnalini formatda o‘rnatishingiz mumkin, ya’ni u standart IIS formatida. Boshqacha qilib aytganda, siz o'zingizning loglarni boshqarish modulingizni yaratishingiz mumkin;
    • Jurnallarni boshqarish (Web-Log-Libraries) – veb-server jurnallarini boshqarish va jurnallarni boshqarishni avtomatlashtirish vositalari;
    • Trasuvannya (Web-Http-Tracing) - robot veb-qo'shimchalarida usunennya zararlanishini tashxislash uchun tse zasyb.
  • Eng yaxshi funksiyalar http (Web-Common-Http)- HTTP uchun asosiy funksionallikni ta'minlovchi xizmatlar to'plami:
    • Taqdim etilgan hujjat (Web-Default-Doc) - ovozsiz reklama uchun reklama hujjatini aylantirish uchun veb-serverni sozlash imkonini beradi, agar siz so'rovning URL manzilida ma'lum bir hujjatni ko'rsatmasangiz, u holda ushbu reklama hujjatini so'raydi. veb-saytga, masalan, domen bo'yicha, qaysi faylni ko'rsatmasdan muvaffaqiyatli yo'naltirilishi;
    • Kataloglarni ko'rib chiqish (Web-Dir-Browsing) - buning uchun siz brauzerlar veb-saytdagi mavjud kataloglar va fayllar ro'yxatini ko'rib chiqishlari uchun veb-serverni o'rnatishingiz mumkin. Misol uchun, variantlar uchun, agar so'rovning URL manzilida fayllar ko'rsatilmagan bo'lsa, qulflash uchun hujjatlar o'ralgan yoki o'rnatilmagan;
    • Afv qilish http (Web-Http-Errors) – bu imkoniyat afv haqidagi eslatmalarni yaratish imkonini beradi, ular veb-server tomonidan afv ko'rsatilgan vaqtda veb-brauzerlarda yoqiladi. avf haqida koristuvachas uchun qulay o'lpon uchun Tsey zasíb vykoristovuêtsya;
    • Static vmíst (Web-Static-Content) - bu zasib veb-serverda statik fayl formatlariga o'xshash tarkibni tweet qilish imkonini beradi, masalan, HTML fayllar yoki rasm fayllari;
    • http qayta yo'naltirish (Web-Http-Redirect) - qo'shimcha yordam olish uchun siz so'rovni ko'rsatuvlar bo'yicha koristuvachga yo'naltirishingiz mumkin, tobto. ce qayta yo'naltirish;
    • WebDAV Publishing (Web-DAV-Publishing) sizga WebDAV texnologiyasini IIS WEB serveriga tvit qilish imkonini beradi. WebDAV ( Internetda tarqatilgan mualliflik va versiyalarni yaratish) - koristuvachilarning birgalikda ishlashiga imkon beruvchi bir xil texnologiya ( o'qish, tahrirlash, o'qish vakolati, nusxa ko'chirish, ko'chirish) HTTP protokoli yordamida masofaviy veb-serverlardagi fayllar orqali.
  • Hosildorlik (veb-ishlash)- Gzip va Deflate kabi ma'lumotlarni keshda saqlash va boshqa siqish mexanizmlari uchun veb-serverning yuqori mahsuldorligiga erishish uchun xizmatlar to'plami:
    • http o'rniga statikni siqish (Web-Stat-Compression) - http o'rniga statik siqishni o'rnatish uchun zasib, bu sizga protsessorga yozmasdan, binoning o'tkazish qobiliyatini samarali ravishda yengish imkonini beradi;
    • Dinamik siqish (Web-Dyn-Compression) - HTTP da dinamik siqishni tuzatish uchun. Bu zasíb zabezpechuê tarmoqli kengligidan yanada samarali foydalanish, lekin bu holda, dinamik cheklovlar tufayli server protsessoriga hujum robot saytining samaradorligini oshirishi mumkin, shuningdek, protsessorga va kompyuterga bosimsiz hujum qiladi. ma'bad.
  • Dasturiy ta'minotni ishlab chiqish (Web-App-Dev)- veb-qo'shimchalarni ishlab chiqish va joylashtirish uchun xizmatlar va vositalar to'plami, boshqacha aytganda, saytlarni rivojlantirish texnologiyalari:
    • ASP (Web-ASP) - bu ASP texnologiyalariga asoslangan veb-saytlar va veb-qo'shimchalarni qo'llab-quvvatlash va rivojlantirish uchun vosita. Ayni paytda saytni ishlab chiqishning yanada yangi va ilg'or texnologiyasi mavjud - ASP.NET;
    • ASP.NET 3.5 (Web-Asp-Net) - ASP.NET texnologiyasidan foydalangan holda veb-saytlar va veb-qo'shimchalarni ishlab chiqish uchun ob'ektga yo'naltirilgan muhit;
    • ASP.NET 4.6 (Web-Asp-Net45) - shuningdek, ASP.NET ning boshqa versiyasi bilan veb-saytlar va veb-qo'shimchalarni ishlab chiqish uchun ob'ektga yo'naltirilgan muhit;
    • CGI (Web-CGI) - veb-serverdan tashqi dasturga ma'lumot uzatish uchun CGI-dan foydalanish qiymati. CGI - aloqa interfeysi uchun standart joriy dasturlar veb-server bilan. Ê nedolík, unumdorligi bo'yicha scho zastosuvannya CGI vplivaê;
    • Server tomonidagi bildirishnomalar (SSI) (veb-o'z ichiga oladi) - quyida SSI kino skriptining kichik to'plami ( server tomonida yoqilgan), bu HTML tomonlarini dinamik shakllantirish uchun hiyla;
    • Qo'shimchalarni ishga tushirish (Web-AppInit) - bu veb-sahifani qayta imzolashdan oldin veb-qo'shimchalarni ishga tushirishni amalga oshirish vazifasi;
    • WebSocket protokoli (Web-WebSockets) - server dasturlarini yaratish, ya'ni qo'shimcha WebSocket protokoli bilan ishlash qobiliyatini qo'shish. WebSocket - TCP-ma'lumotlari orqali brauzer va veb-server o'rtasida bir vaqtning o'zida ma'lumotlarni uzatishi va qabul qilishi mumkin bo'lgan protokol, HTTP protokolining kengaytmasi turi;
    • ISAPI kengaytmasi (Web-ISAPI-Ext) - ilovalarni qo'llab-quvvatlash o'rniga dinamik veb-ishlab chiqishni qo'llab-quvvatlash dasturiy interfeys ISAPI. ISAPI - bu IIS veb-server uchun API. ISAPI dasturlari yanada oqilona ishlaydi, ASP fayllari yoki COM+ komponentlarini chaqiruvchi fayllarni pasaytiradi;
    • Expansion.NET 3.5 (Web-Net-Ext) - .NET 3.5 ni kengaytirish maqsadi, bu sizga veb-serverning barcha so'rovlarni qayta ishlash liniyasida, konfiguratsiyada va interfeysida o'zgartirish, qo'shish va kengaytirish imkonini beradi. server;
    • Expansion.NET 4.6 (Web-Net-Ext45) - .NET 4.6 ni kengaytirish maqsadi, bu sizga veb-serverning barcha so'rovlarni qayta ishlash liniyasida, konfiguratsiya va interfeysda funksionalligini o'zgartirish, qo'shish va kengaytirish imkonini beradi. uy egasining;
    • ISAPI filtrlari (Web-ISAPI-Filtr) - ISAPI filtri kengaytmasini qo'shish. ISAPI interfeys filtrlari filtrni qayta ishlashda HTTP veb-server tomonidan so'raladigan dasturlardir.

FTP - server (Web-Ftp-Server)- FTP protokolini qo'llab-quvvatlaydigan xizmatlar. FTP serveri haqidagi hisobot "Windows Server 2016 da FTP serverini o'rnatish va sozlash" materialida muhokama qilindi. Ushbu xizmatlardan foydalaning:

  • FTP xizmati (Web-Ftp-Service) – veb-serverdagi FTP protokoliga qo'llab-quvvatlashni qo'shish;
  • FTP kengaytirilishi (Web-Ftp-Ext) - standart FTP imkoniyatlarini kengaytiradi, masalan, Post Manager, ASP.NET Core yoki IIS Manager Core kabi funktsiyalarni qo'llab-quvvatlash.

Zasobi keruvannya (Web-Mgmt-Tools)- tse keruvannya veb-server IIS 10. Ulardan oldin siz ko'rishingiz mumkin: IIS koristuvach interfeysi, buyruq qatori vositalari va skriptlar.

  • IIS ro'yxatga olish konsoli (Web-Mgmt-Console) - IIS xizmatlari tomonidan ro'yxatdan o'tish uchun interfeys;
  • Belgilarni o'rnating va IIS xizmatlaridan la'nat oling (veb-skriptlash vositalari) - qo'shimcha buyruq qatori yoki skript uchun IIS tomonidan tanlangan skriptlarni oling. Їx, masalan, keruvannyani avtomatlashtirish uchun vikoristovuvat qilish mumkin;
  • Xizmat keruvannya (Web-Mgmt-Service) - tsya xizmati boshqa kompyuterdan IIS menejerining vikilaridan masofadan turib veb-serverni keruvat qilish imkonini beradi;
  • IIS 6 Xulosa nazorati (Web-Mgmt-Compat) - ikkita IIS API-ni bekor qiladigan dasturiy skriptlarni boshqaradi. IIS 6 skriptlarini bilish IIS 10 veb-serverida kurasiya qilish uchun o'zgartirilishi mumkin:
    • IIS 6 ob'ektining metabazasi (Web-Metabase) - IIS ning oldingi versiyalaridan ko'chirilgan qo'shimchalar va belgilar to'plamini ishga tushirish imkonini beruvchi ob'ekt xususiyati;
    • IIS 6 skript vositalari (Web-Lgcy-Scripting) – bu vositalar IIS 6, IIS 10 ni boshqarish uchun yaratilgani kabi bir xil IIS 6 skript xizmatlarini ishga tushirishga imkon beradi;
    • IIS 6 Service Management Console (Web-Lgcy-Mgmt-Console) - masofaviy IIS 6.0 serverlarini boshqarish;
    • WMI IIS 6 (Web-WMI) dan xulosa - Windows boshqaruv asboblari (WMI) uchun skript interfeyslari dasturiy ta'minot nazorati Ushbu avtomatlashtirish IIS 10.0 veb-serverini WMI postmaster tomonidan yaratilgan skriptlar to'plami yordamida boshqaradi.

Active Directory domen xizmatlari

Rol " Active Directory domen xizmatlari» (AD DS) ma'lumotlar bazasini taqsimlashni ta'minlaydi, shuning uchun u resurslar haqida ma'lumot to'playdi. Zahisnoy qobig'ining ierarxik tuzilishidagi koristuvachi, kompyuterlar va boshqa qo'shimchalar kabi merezhy elementlarini tashkil qilish uchun Tsyu roli vikoristovuyut. Ierarxik tuzilishga follikullar, follikullardagi domenlar, shuningdek, teri domenidagi tashkiliy birliklar (OU) kiradi. AD DS tekshiruvlarini amalga oshiradigan server domen boshqaruvchisi deb ataladi.

Windows PowerShell uchun rol nomi - AD-Domain-Services.

Windows Server Essentials Mode

Kompyuter infratuzilmasining roli va samarali va samarali funktsiyalarni ta'minlash, masalan: markazlashtirilgan hududda mijoz ma'lumotlarini to'plash va hisob uchun ushbu ma'lumotlarni himoya qilish. zaxira serverlar va mijoz kompyuterlari, ma'lumotlardan amaliy foydalanish imkonini beruvchi masofaviy veb-kirish. Rol ishlashi uchun bir qator rol xizmatlari va komponentlari bo'lishi kerak, masalan: BranchCache komponentlari, tizim Windows arxivlash Server, Guruh siyosatini boshqarish, Ishtirok etish xizmati DFS nom maydoni».

PowerShell nomi ServerEssentialsRole.

Merezhevy boshqaruvchisi

Ushbu rol Windows Server 2016 da paydo bo'ldi, bu ma'lumotlarni qayta ishlash markazida boshqaruv, monitoring va diagnostika, jismoniy va virtual kadrlar infratuzilmasini avtomatlashtirishning yagona nuqtasidir. Qo'shimcha rol uchun, bir nuqtadan IP-media, VLAN, jismoniy sozlash mumkin mesh adapterlari Hyper-V xostlari, virtual kalitlarni, jismoniy routerlarni, xavfsizlik devorlarini va VPN shlyuzlarini boshqaring.

Windows PowerShell nomi NetworkController.

Tugunni qo'riqlash xizmati

Joylashtirilgan Guardian Service (HGS) serverining roli attestatsiya xizmatlarini taqdim etish va xostlarga skriningni amalga oshirish imkonini beruvchi kalitlarni himoya qilishdan iborat. virtual mashinalar. Ushbu rolning ishlashi uchun bir qator qo'shimcha rollar va komponentlar talab qilinadi, masalan: Active Directory Domain Services, Web Server (IIS), komponent " Vídmovostíyka klasterlash"va boshqalar.

PowerShell nomi - HostGuardianServiceRole.

Katalogga oson kirish uchun Active Directory xizmatlari

Rol " Katalogga oson kirish uchun Active Directory xizmatlari» (AD LDS) - AD DS ning ushbu versiyasi funksionallikni kamaytirishi uchun engillashtirildi, lekin domenlar yoki domen kontrollerlari kengayishiga ta'sir qilmaydi, shuningdek, depozitlar va domen almashinuvlari mavjud emas. AD DS xizmatlari. AD LDS LDAP protokoliga amal qiladi ( Yengil vaznli katalogga kirish protokoli). Bitta serverda AD LDS ning bir nechta nusxalarini mustaqil xaritalangan sxemalardan yoqish mumkin.

PowerShell nomi ADLDS.

Ko'p nuqtali xizmatlar

Windows Server 2016 da paydo bo'lganidek, bu ham yangi roldir. MultiPoint Services (MPS) masofaviy ish jadvallari uchun asosiy funksionallikni ta'minlaydi, bu esa oz sonli xodimlarga bir soatda bir kompyuterda mustaqil ishlash imkonini beradi. Ushbu funksiyani o'rnatish uchun siz bir qator qo'shimcha xizmatlar va komponentlarni o'rnatishingiz kerak, masalan: Server, Windows Search xizmati, XPS tekshiruvi va boshqalar, ularning barchasi MPS o'rnatilishi vaqtida avtomatik ravishda tanlanadi.

PowerShell rolini MultiPointServerRole deb nomlang.

Windows Server yangilash xizmatlari

Qo'shimcha rollar (WSUS) uchun tizim ma'murlari Microsoft yangilanishlarini boshqarishi mumkin. Masalan, turli xil yangilanishlar to'plami uchun kompyuterlarning turli guruhlarini yaratish, shuningdek, yangilash uchun kompyuterlarning ishlashini hisobga olish, chunki o'rnatish kerak. Ishlash uchun" Windows Server yangilash xizmatlari» Sizga quyidagi rol xizmatlari va komponentlari kerak bo'ladi: Veb-server (IIS), Windows ichki ma'lumotlar bazasi, faollashtirish xizmati Windows jarayonlari.

Windows PowerShell nomi - UpdateServices.

  • WID ulanishi (UpdateServices-WidDB) - WID da o'rnatilgan ( Windows ichki ma'lumotlar bazasi) WSUSni yutgan asosiy ma'lumotlar. Boshqacha qilib aytganda, WSUS xizmati ma'lumotlarini WID-da saqlang;
  • WSUS xizmatlari (UpdateServices-Services) - yangilash xizmati, qo'ng'iroqlar veb-xizmati, API o'zaro ta'siri uchun masofaviy veb-xizmati, mijoz veb-xizmati, oddiy autentifikatsiya uchun veb-xizmati kabi WSUS rol xizmatining narxi va ê Internet, server sinxronizatsiya xizmati va boshqalar. DSS autentifikatsiya veb-xizmati;
  • SQL Server Ulanish (UpdateServices-DB) - WSUS xizmatlariga Microsoft SQL Server ma'lumotlar bazasiga ulanish imkonini beruvchi komponentni o'rnatadi. Ushbu parametr Microsoft SQL Server ma'lumotlar bazasidan xizmat ma'lumotlarini saqlashni o'tkazadi. Bunday holda, siz SQL Serverning bitta nusxasini o'rnatishda allaqachon aybdorsiz.

Korporativ litsenziyalarni faollashtirish xizmatlari

Serverning qo'shimcha roli uchun siz Microsoft kompaniyasidan dasturiy ta'minot xavfsizligi uchun korporativ litsenziyalar berishni avtomatlashtirishingiz, shuningdek ularni litsenziyalar bilan sotib olishingiz mumkin.

PowerShell nomi - VolumeActivation.

Do'stingizga va hujjatlarga xizmat qiling

Serverning roli tarmoqdagi printerlar va skanerlarga umumiy kirish, boshqa serverlarni markazlashtirilgan sozlash va boshqarish hamda skanerlash, shuningdek boshqaruv uchun tan olingan. dantelli printerlar va skanerlar. Do'st va hujjatlar xizmati, shuningdek, xorijiy mamlakatlarda elektron pochta orqali hujjatlarni qayta skanerlash imkonini beradi birlashtirilgan papkalar yoki Windows SharePoint xizmatlari veb-saytida.

PowerShell nomi Chop etish xizmatlari.

  • Do'stning serveri (Print-Server) - rol xizmati, shu jumladan qo'shimcha qurilma taqdim etiladi. Chop etish boshqaruvi”, printerlar yoki boshqa serverlar tomonidan migratsiya, shuningdek, printerlar va boshqa serverlarni bir-biriga ko‘chirish uchun qanday yutib olish mumkin;
  • Internet orqali Druk (Print-Internet) - Internet orqali do'stni amalga oshirish uchun veb-sayt yaratilmoqda, qandaydir koristuvachi yordami uchun ular serverdagi do'stning vazifalari bilan ishlashlari mumkin. Xizmatning ishlashi uchun, siz bilganingizdek, o'rnatish kerak " Veb-server (IIS)". Rol xizmatini o'rnatish jarayoni uchun ushbu elementni tanlasangiz, barcha kerakli komponentlar avtomatik ravishda olinadi. Internet orqali Druk»;
  • Tarqalgan skanerlash serveri (Print-Scan-Server) bir nechta skanerlardan skanerlangan hujjatlarni qabul qilish va ularni tanib olish maqsadida boshqarish imkonini beruvchi xizmatdir. Tsya xizmati ham qasos olishdir " Skanerlashni boshqarish", chetli skanerlar bilan keruvannya uchun vikoristovuetsya sifatida va skanuvannya aniqlash uchun;
  • LPD xizmati (Print-LPD-Service) - LPD xizmati ( Line Printer Daemon) UNIX-ga asoslangan kompyuterlar va Line Printer Remote (LPR) xizmatini yoqadigan boshqa kompyuterlarga ruxsat beradi. uxlab yotgan printerlar server.

Siyosat xizmatlariga kirish

Rol " » (NPAS) Merriage-ga kirish, autentifikatsiya va avtorizatsiya, shuningdek, mijozning maxfiyligi, boshqacha qilib aytganda, Merriage xavfsizligini ta'minlash uchun siyosatlarni o'rnatish va himoyalash uchun Merezia Policy Server (NPS) yordamiga imkon beradi.

Windows PowerShell-ning nomi NPAS.

Windows nutq xizmatlari

Qo'shimcha rol uchun siz Windows operatsion tizimini masofadan tarmoq orqali o'rnatishingiz mumkin.

PowerShell rolini nomlash - WDS.

  • Joylashtirish serveri (WDS-Deployment) - bu rol xizmati Windows operatsion tizimlarini masofadan joylashtirish va joylashtirish uchun tan olingan. Vaughn shuningdek, qayta yozish uchun tasvirlarni yaratish va yaratish imkonini beradi;
  • Transport serveri (WDS-Transport) bu asosiy tarmoq komponentlarini qamrab oluvchi xizmat bo'lib, uning yordamida siz ko'p manzilli marshrut orqali ma'lumotlarni alohida serverga o'tkazishingiz mumkin.

Active Directory sertifikat xizmatlari

Bu rol sizga boshqa dasturlar uchun sertifikatlarni ko'rish va bunday sertifikatlarni sertifikatlash imkonini beruvchi sertifikatlashtirish markazlari va tegishli rollar xizmatlarini yaratish uchun tan olingan.

Windows PowerShell nomi AD-sertifikatdir.

Quyidagi rollarni o'z ichiga oladi:

  • Sertifikatlashtirish markazi (ADCS-Cert-Authority) - xizmatning qo'shimcha roli uchun siz muxbirlarga, kompyuterlarga va xizmatlarga sertifikatlar berishingiz, shuningdek sertifikatning amal qilish muddatini tasdiqlashingiz mumkin;
  • Sertifikatlarni ro'yxatdan o'tkazish siyosati veb-xizmati (ADCS-Enroll-Web-Pol) - Bu xizmat foydalanuvchilar va kompyuterlarga sertifikatni ro'yxatdan o'tkazish siyosati haqida ma'lumotni qo'shimcha veb-brauzer orqasida olish imkonini beradi, bunda kompyuter domenga kirmaydi. vv ishlashi uchun zarur Veb-server (IIS)»;
  • Sertifikatlarni ro'yxatga olish veb-xizmati (ADCS-Enroll-Web-Svc) - bu xizmat ro'yxatdan o'tganlar va kompyuterlarga HTTPS protokoli orqali veb-brauzer yordami uchun sertifikatlarni ro'yxatdan o'tkazish va davom ettirish imkonini beradi, kompyuter domenga kirmaydi. Đning ishlashi uchun ham zarur Veb-server (IIS)»;
  • Merezhevy Validation (ADCS-Online-Cert) - xizmat mijozlar uchun sertifikatni qayta tekshirish uchun tan olingan. Boshqacha qilib aytadigan bo'lsak, siz aniq sertifikatlar uchun tasdiqlash xati so'rovini olasiz, sertifikatlarni baholaysiz va maqomi to'g'risidagi ma'lumotlar bilan sertifikatning imzosini qo'llaysiz. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)»;
  • Internet orqali sertifikatlashtirish markazida ro‘yxatga olish xizmati (ADCS-Web-Enrollment) – bu xizmat sertifikatlarni so‘rash va yuritish, sertifikatlar ro‘yxatini o‘chirish va smart-kartalarni ro‘yxatdan o‘tkazish kabi vazifalarni ro‘yxatdan o‘tkazish uchun veb-interfeysni taqdim etadi. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)»;
  • Devor bilan o'ralgan binolarni ro'yxatga olish xizmati (ADCS-Device-Enrollment) - qo'shimcha xizmatlar uchun siz marshrutizatorlar va bulutli yozuvlarga ega bo'lmagan boshqa yordamchi binolar uchun sertifikatlarni ko'rishingiz, shuningdek sertifikatlar bilan tasdiqlashingiz mumkin. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)».

Masofaviy ish stoli xizmatlari

Serverning roli, uning yordamida virtual ish jadvallariga, seanslarda tashkil etilgan ishchi jadvallarga kirishni tashkil qilish mumkin. uzoq dasturlarga masofaviy dastur.

Windows PowerShell uchun rol nomi - Remote-Desktop-Services.

Kelgusi xizmatlardan iborat:

  • Masofaviy ish stollariga Internetga kirish (RDS-Web-Access) - rol xizmati koronerlarga menyu orqali masofaviy ish stollari va RemoteApp dasturlariga kirishga ruxsat berish uchun beriladi. Boshlash» yoki veb-brauzer yordami uchun;
  • Masofaviy ish stolini litsenziyalash (RDS-litsenziyalash) - xizmat masofaviy ish stolidagi yoki virtual ish stolidagi sessiya tugunining serveriga ulanish uchun zarur bo'lgan litsenziyalar bo'yicha litsenziyalash uchun tan olinadi. Їí̈ ̧ o‘rnatish uchun yutib olishingiz, litsenziyalarni ko‘rishingiz va ularning mavjudligini oshirishingiz mumkin. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)»;
  • Masofaviy ish stoliga vositachi ulanish (RDS-Connection-Broker) - foydalanish imkoniyatini ta'minlashning bir usuli sifatida rolli xizmat: koristuvachani asosiy virtual ish stoliga, RemoteApp ilovasiga va sessiyalar asosida ish stoliga qayta ulash va o'rtasidagi jadvallar hovuz omborida virtual ish stollari. Xizmatning ishlashi uchun zarur komponent " »;
  • Masofaviy ish jadvallarida Vuzol virtualizatsiya (DS-Virtualizatsiya) - xizmat koronerlarga masofaviy ish jadvallari va RemoteApp dasturlariga qo'shimcha ulanish uchun virtual ish jadvallariga ulanish imkonini beradi. Bu xizmat Hyper-V dan bir vaqtning o'zida ishlaydi, shuning uchun. rol beriladi, lekin u o'rnatiladi;
  • Masofaviy ish jadvallarida (RDS-RD-Server) seanslar vuzoli - qo'shimcha xizmatlar uchun uni masofaviy Ilova dasturlarida serverda va ishchi jadvaldagi seanslar asosida joylashtirish mumkin. Kirish uchun mijoz masofaviy ish stoli yoki RemoteApp dasturlariga ulangan bo'lishi kerak;
  • Masofaviy ish stoli shlyuzi (RDS-Gateway) – xizmat vakolatli masofaviy ish stollariga virtual ish stollari, RemoteApp dasturlari va seanslarda, korporativ muhitda yoki Internet orqali tashkil etilgan ish stollariga ulanish imkonini beradi. Ushbu xizmatning ishlashi uchun quyidagi qo'shimcha xizmatlar va komponentlar zarur: Veb-server (IIS)», « Siyosat xizmatlariga kirish», « HTTP proksi-server orqali RPC».

Active Directory huquqlari bilan foydalaniladigan xizmatlar

Serverning vazifasi ruxsatsiz qidiruvdan ma'lumot olish imkonini berishdir. Siz muxbirlarning yozishmalarini qayta ko'rib chiqasiz va vakolatli muxbirlarga ma'lumotlar o'g'irlanishiga kirish uchun litsenziyalar berasiz. Kerakli qo'shimcha xizmat va komponentlarning roli uchun: " Veb-server (IIS)», « Windows jarayonini faollashtirish xizmati», « .NET Framework 4.6 xususiyatlari».

Windows PowerShell nomi - ADRMS.

  • Active Directory huquqlarini boshqarish serveri (ADRMS-Server) - asosiy rol xizmati, obov'yazkova o'rnatish;
  • Federatsiya xabardorligiga yordam berish (ADRMS-Identity) - Bu Active Directory federatsiya xizmatlarining yordamiga qo'shimcha ravishda federatsiya identifikatorlarini o'g'irlash imkonini beruvchi ma'lumotlar xizmati rolidir.

Active Directory federatsiyasi xizmatlari

Ushbu rol federatsiya xavfsizligini va federatsiya xavfsizligini, shuningdek, brauzer yordamida veb-saytdagi yagona kirish (SSO) funksiyasini ta'minlaydi.

PowerShell nomi - ADFS-Federatsiya.

Masofaviy kirish

Bu rol DirectAccess, VPN va proksi veb-dasturlari orqali ulanishni ta'minlaydi. Shunday qilib, rol Masofaviy kirish» biz an'anaviy marshrutlash imkoniyatlarini, shu jumladan re-injiniringni beramiz merezhevyh manzili(NAT) va boshqa ulanish parametrlari. Kerakli qo'shimcha xizmat va komponentlarning roli uchun: " Veb-server (IIS)», « Windows ichki ma'lumotlar bazasi».

Windows PowerShell uchun rol nomi - RemoteAccess.

  • DirectAccess va VPN (RAS) (DirectAccess-VPN) - xizmat koronerlarga DirectAccess orqali Internetga oson kirish uchun istalgan vaqtda korporativ tarmoqqa ulanish, shuningdek, tashkil etish imkonini beradi. VPN ulanishi tunnel texnologiyalari va ma'lumotlarni shifrlashdan foydalanish;
  • Marshrutlash (Marshrutlash) - NAT marshrutizatorlarini, BGP protokollari bilan mahalliy tarmoqlardagi marshrutizatorlarni, RIP va boy manzillarni taqsimlashni qo'llab-quvvatlaydigan marshrutizatorlarni (IGMP-proksi) qo'llab-quvvatlash xizmati;
  • Veb-ilova proksi-serveri (Web-Application-Proxy) - bu xizmat korporativ darajadan tashqarida bo'lgan mijoz qo'shimchalarida korporativ darajadagi HTTP va HTTPS protokollariga asoslangan dasturlarni nashr qilish imkonini beradi.

Fayl xizmatlari va galereya xizmatlari

Serverning roli, uning yordamida siz fayl va papkalarga to'liq kirish huquqini berishingiz, umumiy resurslarni boshqarishingiz va ularni boshqarishingiz, fayllarni replikatsiya qilishni o'chirib qo'yishingiz, shved fayllarini xavfsiz qidirishingiz, shuningdek, UNIX mijoz kompyuterlariga kirish huquqini berishingiz mumkin. Fayl xizmatlarining taqdimoti va fayl serveri, biz "Windows Server 2016 da fayl serverini (Fayl serveri) o'rnatish" materialini ko'rib chiqdik.

Windows PowerShell nomi FileAndStorage-Services.

Saqlash xizmatlari- Ushbu xizmat to'plamni boshqarish funktsiyalari uchun javobgardir, shuning uchun uni qayta tiklash va olib tashlash mumkin emas.

iSCSI fayl xizmatlari (fayl xizmatlari)- fayl serverlari va papkalari bilan fayllarni keshlashni osonlashtiradigan ushbu texnologiyalar diskdagi joyni tejash, fayllardagi fayllarni xavfsiz replikatsiya qilish va keshlash imkonini beradi, shuningdek, NFS protokoli orqali fayllarga to'liq kirish imkonini beradi. Quyidagi rollarni o'z ichiga oladi:

  • Fayl serveri (FS-FileServer) – katta papkalarni boshqaradigan va tarmoq orqali kompyuteringizdagi fayllarga kirish imkonini beruvchi rol xizmati;
  • Ma'lumotlarni nusxalash (FS-Data-Deduplication) - bu xizmat bir xil ma'lumotlarning faqat bitta nusxasini saqlash uchun diskda bo'sh joyni saqlab qoladi;
  • Fayl serveri resurslari menejeri (FS-Resource-Manager) - qo'shimcha xizmatlar uchun siz fayl serveridagi fayl va papkalarni boshqarishingiz, papkalar yaratishingiz, fayllar va papkalarni tasniflashingiz, papkalar kvotalari o'rnatishingiz va fayllarni blokirovka qilish siyosatini o'rnatishingiz mumkin;
  • iSCSI maqsadli maqsad (apparat VDS va VSS maqsad) (iSCSItarget-VSS-VDS) – xizmat iSCSI ga ulangan serverdagi dasturlarga iSCSI virtual disklaridagi hajmlarni nusxalash imkonini beradi;
  • DFS nom maydoni (FS-DFS-Namespace) - qo'shimcha xizmatlar uchun siz guruhlashingiz mumkin papkalar, turli serverlarda, nomlarning bir yoki bir nechta mantiqiy tuzilgan bo'shliqlarida joylashtirilgan;
  • Ish papkalari (FS-SyncShareService) - xizmat turli xil kompyuterlarda, shu jumladan ishchi fayllarda ish fayllarini yaratishga imkon beradi. Ishchi papkalarda siz fayllarni saqlashingiz, ularni sinxronlashtirishingiz va mahalliy tarmoq yoki Internetdan ularga kirishni olib tashlashingiz mumkin. Xizmat ishlashi uchun zarur komponent IIS veb-yadrosi ichki jarayoni»;
  • DFS replikatsiyasi (FS-DFS-Replikatsiya) - bu bir nechta serverlar o'rtasidagi ma'lumotlarni replikatsiya qilish moduli bo'lib, u sizga mahalliy yoki papkalarga ulanish orqali papkalarni sinxronlashtirish imkonini beradi. global tarmoq. Ushbu texnologiya replikatsiya tugagandan so'ng o'zgartirilgan bir nechta fayllarni yangilash uchun masofaviy siqish protokoliga (RDC) asoslangan. DFS replikatsiyasini ham DFS nom maydonlari, ham okremo bilan burish mumkin;
  • NFS uchun server (FS-NFS-Service) – kompyuterga fayllarni UNIX-ga asoslangan kompyuterlar va boshqa kompyuterlar, masalan, tarmoqqa ulangan fayl tizimi (NFS) protokoli bilan ajratish imkonini beruvchi xizmat;
  • iSCSI maqsadli serveri (FS-iSCSITarget-Server) - iSCSI maqsadlari uchun xizmatlar va xizmatlarni taqdim etadi;
  • Tarmoqlangan fayllar uchun BranchCache xizmati (FS-BranchCache) - tanlangan fayl serverida BranchCache qo'llab-quvvatlashini ta'minlaydigan xizmat;
  • File Server VSS Agent Service (FS-VSS-Agent) - xizmat bir xil fayl serverida ma'lumotlar fayllarini saqlash uchun qo'shimcha hajmlarni nusxalash imkonini beradi.

faks serveri

Fakslarni qabul qiluvchi, shuningdek, kompyuteringizda yoki bir xilda sozlash, parametrlar, qo'ng'iroq qilish va faksimile qo'shimchalari kabi faks resurslaridan foydalanishga imkon beruvchi super kuchning roli. Ish uchun zarur Druku server».

Windows PowerShell-ning rolini nomlash - Faks.

Windows Server 2016 ning server rollarini ko'rib chiqish uchun ish tugadi, aminmanki, material hozircha sizga tanish bo'ladi!

Soket serverini o'rnatishdan oldin siz Silverlight-ni sozlash imkonini beruvchi siyosat serverini yaratishingiz kerak, bu mijozlarga rozetka serveri bilan ulanishga ruxsat beriladi.

Yuqorida ko'rsatilganidek, Silverlight sizga veb-xizmatni o'g'irlash yoki taklif qilishga ruxsat bermaydi, chunki domenda yoki krossdomenda clientaccesspolicy .xml fayli yo'q. xml, de tsi operatsiyalariga aniq ruxsat berilgan. Soket serveridagi ma'lumotlar almashinuviga o'xshash. Agar mijoz plaginiga masofadan kirish imkonini beruvchi clientaccesspolicy .xml faylini majburlash imkoniyatini bermasangiz, Silverlight parolni oʻrnatishi mumkin boʻladi.

Afsuski, biz mijozga rasm faylini beramiz. cml rozetkaga qo'shimcha - veb-sayt orqali ko'proq katlanadigan, kamroq sozlanishi. Agar veb-sayt uchun veb-server xavfsizlik dasturidan foydalansangiz, clientaccesspolicy .xml faylini berishingiz mumkin, lekin uni qo'shishni unutmang. Shu bilan birga, har qanday rozetka dasturi bilan siz rozetkani ochishingiz kerak, bunda mijoz dasturlari siyosat so'rovlari bilan shug'ullanishi mumkin. Bundan tashqari, rozetkaga xizmat qiluvchi kodni qo'lda yaratish kerak. Ushbu vazifalarni amalga oshirish uchun siyosat serverini yaratish kerak.

Bundan tashqari, siyosat serveri xuddi shu tarzda ishlashi ko'rsatiladi, chunki server eslatiladi, bu faqat xizmatning oddiy o'zaro ta'siri haqida. Ushbu siyosatning serverlari va yangilanishlari butunlay yaratilishi yoki bitta ilovaga birlashtirilishi mumkin. Boshqa turdagi hid uchun siz turli xil oqimlardan ichishni tinglashingiz mumkin. Biz har bir dastur uchun siyosat serverini yaratamiz va keyin uni yangilash serveri bilan birlashtiramiz.

Siyosat serverini yaratish uchun siz .NET startini yaratishingiz kerak. Siyosat serveri sifatida u har qanday turdagi .NET plaginlari sifatida xizmat qilishi mumkin. Konsol dasturini to'xtatish osonroq. Konsol dasturini ishga tushirayotganda siz kodni Windows xizmatiga ko'chirishingiz mumkin, shunda sharob doimo fonda kutish rejimida bo'ladi.

Siyosat fayli

Quyida siyosat serveri kutayotgan siyosat fayli.

Siyosat fayli uchta qoidani belgilaydi.

4502 dan 4532 gacha bo'lgan barcha portlarga kirish imkonini beradi (Silverlight tomonidan qo'llab-quvvatlanadigan portlarning keng doirasi). Mavjud portlar diapazonini o'zgartirish uchun siz port elementi atributining qiymatini o'zgartirishingiz kerak.

TCP-ga kirishga ruxsat beradi (protokol elementi atributida boshqa sozlama ko'rsatilgan).

Har qanday domendan wicklik imkonini beradi. Bundan tashqari, Silverlight dasturi, shuning uchun siz ulanishni o'rnatishingiz mumkin, siz veb-saytni joylashtirishingiz mumkin. Qoidani o'zgartirish uchun elementning uri atributini tahrirlashingiz kerak.

Siyosat qoidalarini o'rnatishni osonlashtirish uchun ular loyihaga qo'shilgan clientaccess-ploi.cy.xml faylida joylashgan. Visual Studio uchun siyosat faylining Chiqish katalogiga nusxalash parametri Doim nusxalar qilib o'rnatilishi kerak. qattiq diskdagi faylni bilish, uni ochish va mijozning kengaytmasi o'rniga uni aylantirish uchun faqat sizning aybingiz.

PolicyServer klassi

Siyosat serverining funksionalligi ikkita asosiy sinfga asoslanadi: PolicyServer va PolicyConnection. PolicyServer klassi hisob-kitoblarni boshqaradi. So'rovni bekor qilgandan so'ng, vin siyosat faylini mijozga uzatuvchi PoicyConnection sinfining yangi namunasi bilan sertifikatga o'tkaziladi. Ikki qismdan iborat bo'lgan bunday tartib ko'pincha dantelli dasturlashda qo'llaniladi. Bir necha marta, podomlen serverlar bilan ishlash soat vv píd kuylash.

PolicyServer klassi siyosat faylini qattiq diskdan oladi va uni baytlar massivi sifatida maydondan saqlaydi.

ommaviy sinf PolicyServer

shaxsiy bayt siyosati;

public PolicyServer (string policyfile) (

Rozpochat tinglash uchun server qo'shimchasi PolicyServer usulini chaqirishi mumkin. Start(). Men so'rovlarni tekshiradigan TcpListener ob'ektini yarataman. TcpListener obyekti 943-portda tinglaydi. Silverlight siyosat serverlari uchun boshqa portga ega. Siyosat fayllariga so'rovlar yuborilganda, Silverlight ularni avtomatik ravishda 943-portga suradi.

shaxsiy TcpListener tinglovchisi;

public void Start()

// Eshitiladigan ob'ektni yaratish

tinglovchi = Yangi TcpListener(IPAddress.Any, 943);

// Eshitish qulog'i; Start() usuli chaqiruv tinglovchisidan keyin II ni noto'g'ri aylantiradi.Start();

// Kunni tozalash; usul negainnoga aylanadi;

II ochíkuvannya okremu pototsi yilda vykonuêtsya

So'rovni qabul qilish uchun siyosat serveri BeginAcceptTcpClient() usulini chaqiradi. Beginxxx () ínfrastruktury.NET ning barcha usullari kabi, vín qo'ng'iroqdan so'ng negativno atrofida aylanadi, okremu pototsí yilda zarur operatsiyalarni vykonuyuchi. Kichikroq dasturlar uchun bu yana bir omil bo'lib, siz ko'plab so'rovlarni bir soat davomida siyosat fayllariga osongina o'tkazishingiz mumkin.

Eslatma. Merezhev dasturlari-pochatkivtsi ko'pincha bir vaqtning o'zida bir nechta zaryadni qanday qilish mumkinligidan hayratda qoladi va bir nechta serverlar uchun nima kerakligini o'ylaydi. Biroq, bunday emas. Ushbu yondashuv bilan mijoz dasturlari tezda mavjud portlarni tugatdi. Amalda, server dasturlari bir port orqali juda ko'p so'rovlarni qayta ishlaydi. Bu jarayon dasturlarga ko'rinmaydi, shuning uchun TCP quyi tizimi ularni dastur kodidagi ob'ektlarga yo'naltiruvchi bildirishnomalarni avtomatik aniqlash uchun Windowsda joriy qilingan. Teri to'rtta parametr asosida noyob tarzda aniqlanadi: mijoz IP manzili, mijoz port raqami, server IP manzili va server port raqami.

Teri qo'llanilishi bilan usul ishga tushiriladi wickliku OnAcceptTcpClient(). Joriy so‘rovni boshqa oqimda qayta ishlashni boshlash uchun BeginAcceptTcpClient usulini qayta bosamiz va keyin joriy so‘rovni qayta ishlashni boshlaymiz.

public void OnAcceptTcpClient(IAsyncResult ar) (

agar (stopped) qaytsa;

Console.WriteLine("Siyosat so'rovini rad etish."); // Hujumga ishora.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Oqimli seansga ishlov berish.

TcpClient mijozi = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = Yangi PolicyConnection(mijoz, siyosat); PolicyConnection.HandleRequest() ;

catch (istisno xatosi) (

Yangi ulanish o'rnatilishi bilanoq uning ishlashi uchun yangi PolicyConnection ob'ekti yaratiladi. PolicyConnection obyekti siyosat fayliga ham xizmat qiladi.

PolicyServer sinfining qolgan komponenti so'rovlarni kuzatib boradigan Stop() usuli hisoblanadi. Dastur tugallangach, yoga chaqiradi.

shaxsiy bool to'xtatildi;

umumiy bekor StopO(

isStopped = rost;

tinglovchi. STOP();

catch (istisno xatosi) (

Console.WriteLine(err.Message);

Siyosat serverini ishga tushirish uchun serverning Main() usuli keyingi kod bilan dasturlashtirilgan.

statik bekor Asosiy (string args) (

PolicyServer policyServer = Yangi PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine("Siyosat serverini ishga tushirish"); Console.WriteLine("Chiqish uchun Enter tugmasini bosing.");

// Tugmani bosishni tozalash; qo'shimcha usulning orqasida // Console.ReadKey(), siz birinchi // qator raqamini belgilashingiz mumkin (masalan, chiqish) yoki istalgan tugmani bosish orqali Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("Siyosat serverini tugatish.");

PolicyConnection klassi

PolicyConnection sinfini aniqlash osonroq. PolicyConnection ob'ekti siyosat fayliga berilgan ma'lumotlarga g'amxo'rlik qiladi. Keyin, HandleRequest() usuli chaqirilgandan so'ng, PolicyConnection ob'ekti yangi ipdan chiqariladi va o'qilishi kerak. Mijozning ilovasi matnni qasos olish uchun qatorni o'tkazish uchun mas'uldir Ushbu matnni o'qib chiqqandan so'ng, mijozning ilovasi kelajakda siyosatning ma'lumotlarini yozadi va kunni yopadi. Quyida PolicyConnection klassi uchun kod keltirilgan.

ommaviy sinf PolicyConnection(

xususiy TcpClient mijozi; shaxsiy bayt siyosati;

public PolicyConnection (TcpClient mijozi, bayt siyosati) (

this.client = mijoz; this.policy = siyosat;

// Mijoz so'rovini shaxsiy statik qatorni yaratish policyRequestString = "

ommaviy bekor HandleRequest()(

Stream s = client.GetStream(); // Siyosat qatorini o'qish

bayt buferi=yangi bayt;

// 5 soniyadan kamroq vaqt davomida ball to'plangan mijoz.ReceiveTimeout = 5000;

s.Read(bufer, 0, bufer.Length);

// Yuborish siyosati (shuningdek, teskari oʻzgartirilishi mumkin, bu // siyosat soʻrovi uchun zarur) s.Write(politika, 0, siyosat.Length);

// Chaqiruv mijozini yoping.Close();

Console.WriteLine("Xizmat siyosati fayli.");

Otzhe, biz siyosatning amaliy serverini takrorlashimiz mumkin. Afsuski, siz hali norozilik bildira olmaysiz, chunki Silverlight siyosat fayllarini aniq tahrirlashga ruxsat bermaydi. Vikoristat soket dasturini sinab ko'rganingizda, Natomist avtomatik ravishda zatuê í̈x yutdi. Ushbu dastur uchun mijoz dasturini yaratishdan oldin server yaratish kerak.

Prodovzhennya mavzulari:

Yangi statistika

/

Soket serverini o'rnatishdan oldin siz Silverlight-ni sozlash imkonini beruvchi siyosat serverini yaratishingiz kerak, bu mijozlarga rozetka serveri bilan ulanishga ruxsat beriladi.

Yuqorida ko'rsatilganidek, Silverlight sizga veb-xizmatni o'g'irlash yoki taklif qilishga ruxsat bermaydi, chunki domenda yoki krossdomenda clientaccesspolicy .xml fayli yo'q. xml, de tsi operatsiyalariga aniq ruxsat berilgan. Soket serveridagi ma'lumotlar almashinuviga o'xshash. Agar mijoz plaginiga masofadan kirish imkonini beruvchi clientaccesspolicy .xml faylini majburlash imkoniyatini bermasangiz, Silverlight parolni oʻrnatishi mumkin boʻladi.

Afsuski, biz mijozga rasm faylini beramiz. cml rozetkaga qo'shimcha - veb-sayt orqali ko'proq katlanadigan, kamroq sozlanishi. Agar veb-sayt uchun veb-server xavfsizlik dasturidan foydalansangiz, clientaccesspolicy .xml faylini berishingiz mumkin, lekin uni qo'shishni unutmang. Shu bilan birga, har qanday rozetka dasturi bilan siz rozetkani ochishingiz kerak, bunda mijoz dasturlari siyosat so'rovlari bilan shug'ullanishi mumkin. Bundan tashqari, rozetkaga xizmat qiluvchi kodni qo'lda yaratish kerak. Ushbu vazifalarni amalga oshirish uchun siyosat serverini yaratish kerak.

Bundan tashqari, siyosat serveri xuddi shu tarzda ishlashi ko'rsatiladi, chunki server eslatiladi, bu faqat xizmatning oddiy o'zaro ta'siri haqida. Ushbu siyosatning serverlari va yangilanishlari butunlay yaratilishi yoki bitta ilovaga birlashtirilishi mumkin. Boshqa turdagi hid uchun siz turli xil oqimlardan ichishni tinglashingiz mumkin. Biz har bir dastur uchun siyosat serverini yaratamiz va keyin uni yangilash serveri bilan birlashtiramiz.

Siyosat serverini yaratish uchun siz .NET startini yaratishingiz kerak. Siyosat serveri sifatida u har qanday turdagi .NET plaginlari sifatida xizmat qilishi mumkin. Konsol dasturini to'xtatish osonroq. Konsol dasturini ishga tushirayotganda siz kodni Windows xizmatiga ko'chirishingiz mumkin, shunda sharob doimo fonda kutish rejimida bo'ladi.

Siyosat fayli

Quyida siyosat serveri kutayotgan siyosat fayli.

Siyosat fayli uchta qoidani belgilaydi.

4502 dan 4532 gacha bo'lgan barcha portlarga kirish imkonini beradi (Silverlight tomonidan qo'llab-quvvatlanadigan portlarning keng doirasi). Mavjud portlar diapazonini o'zgartirish uchun siz port elementi atributining qiymatini o'zgartirishingiz kerak.

TCP-ga kirishga ruxsat beradi (protokol elementi atributida boshqa sozlama ko'rsatilgan).

Har qanday domendan wicklik imkonini beradi. Bundan tashqari, Silverlight dasturi, shuning uchun siz ulanishni o'rnatishingiz mumkin, siz veb-saytni joylashtirishingiz mumkin. Qoidani o'zgartirish uchun elementning uri atributini tahrirlashingiz kerak.

Siyosat qoidalarini o'rnatishni osonlashtirish uchun ular loyihaga qo'shilgan clientaccess-ploi.cy.xml faylida joylashgan. Visual Studio uchun siyosat faylining Chiqish katalogiga nusxalash parametri Doim nusxalar qilib o'rnatilishi kerak. qattiq diskdagi faylni bilish, uni ochish va mijozning kengaytmasi o'rniga uni aylantirish uchun faqat sizning aybingiz.

PolicyServer klassi

Siyosat serverining funksionalligi ikkita asosiy sinfga asoslanadi: PolicyServer va PolicyConnection. PolicyServer klassi hisob-kitoblarni boshqaradi. So'rovni bekor qilgandan so'ng, vin siyosat faylini mijozga uzatuvchi PoicyConnection sinfining yangi namunasi bilan sertifikatga o'tkaziladi. Ikki qismdan iborat bo'lgan bunday tartib ko'pincha dantelli dasturlashda qo'llaniladi. Bir necha marta, podomlen serverlar bilan ishlash soat vv píd kuylash.

PolicyServer klassi siyosat faylini qattiq diskdan oladi va uni baytlar massivi sifatida maydondan saqlaydi.

ommaviy sinf PolicyServer

shaxsiy bayt siyosati;

public PolicyServer (string policyfile) (

Rozpochat tinglash uchun server qo'shimchasi PolicyServer usulini chaqirishi mumkin. Start(). Men so'rovlarni tekshiradigan TcpListener ob'ektini yarataman. TcpListener obyekti 943-portda tinglaydi. Silverlight siyosat serverlari uchun boshqa portga ega. Siyosat fayllariga so'rovlar yuborilganda, Silverlight ularni avtomatik ravishda 943-portga suradi.

shaxsiy TcpListener tinglovchisi;

public void Start()

// Eshitiladigan ob'ektni yaratish

tinglovchi = Yangi TcpListener(IPAddress.Any, 943);

// Eshitish qulog'i; Start() usuli chaqiruv tinglovchisidan keyin II ni noto'g'ri aylantiradi.Start();

// Kunni tozalash; usul negainnoga aylanadi;

II ochíkuvannya okremu pototsi yilda vykonuêtsya

So'rovni qabul qilish uchun siyosat serveri BeginAcceptTcpClient() usulini chaqiradi. Beginxxx () ínfrastruktury.NET ning barcha usullari kabi, vín qo'ng'iroqdan so'ng negativno atrofida aylanadi, okremu pototsí yilda zarur operatsiyalarni vykonuyuchi. Kichikroq dasturlar uchun bu yana bir omil bo'lib, siz ko'plab so'rovlarni bir soat davomida siyosat fayllariga osongina o'tkazishingiz mumkin.

Eslatma. Merezhev dasturlari-pochatkivtsi ko'pincha bir vaqtning o'zida bir nechta zaryadni qanday qilish mumkinligidan hayratda qoladi va bir nechta serverlar uchun nima kerakligini o'ylaydi. Biroq, bunday emas. Ushbu yondashuv bilan mijoz dasturlari tezda mavjud portlarni tugatdi. Amalda, server dasturlari bir port orqali juda ko'p so'rovlarni qayta ishlaydi. Bu jarayon dasturlarga ko'rinmaydi, shuning uchun TCP quyi tizimi ularni dastur kodidagi ob'ektlarga yo'naltiruvchi bildirishnomalarni avtomatik aniqlash uchun Windowsda joriy qilingan. Teri to'rtta parametr asosida noyob tarzda aniqlanadi: mijoz IP manzili, mijoz port raqami, server IP manzili va server port raqami.

Teri bilan aloqa qilishda OnAcceptTcpClient() qayta qo'ng'iroq qilish usuli ishga tushiriladi. Joriy so‘rovni boshqa oqimda qayta ishlashni boshlash uchun BeginAcceptTcpClient usulini qayta bosamiz va keyin joriy so‘rovni qayta ishlashni boshlaymiz.

public void OnAcceptTcpClient(IAsyncResult ar) (

agar (stopped) qaytsa;

Console.WriteLine("Siyosat so'rovini rad etish."); // Hujumga ishora.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Oqimli seansga ishlov berish.

TcpClient mijozi = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = Yangi PolicyConnection(mijoz, siyosat); PolicyConnection.HandleRequest() ;

catch (istisno xatosi) (

Yangi ulanish o'rnatilishi bilanoq uning ishlashi uchun yangi PolicyConnection ob'ekti yaratiladi. PolicyConnection obyekti siyosat fayliga ham xizmat qiladi.

PolicyServer sinfining qolgan komponenti so'rovlarni kuzatib boradigan Stop() usuli hisoblanadi. Dastur tugallangach, yoga chaqiradi.

shaxsiy bool to'xtatildi;

umumiy bekor StopO(

isStopped = rost;

tinglovchi. STOP();

catch (istisno xatosi) (

Console.WriteLine(err.Message);

Siyosat serverini ishga tushirish uchun serverning Main() usuli keyingi kod bilan dasturlashtirilgan.

statik bekor Asosiy (string args) (

PolicyServer policyServer = Yangi PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine("Siyosat serverini ishga tushirish"); Console.WriteLine("Chiqish uchun Enter tugmasini bosing.");

// Tugmani bosishni tozalash; qo'shimcha usulning orqasida // Console.ReadKey(), siz birinchi // qator raqamini belgilashingiz mumkin (masalan, chiqish) yoki istalgan tugmani bosish orqali Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("Siyosat serverini tugatish.");

PolicyConnection klassi

PolicyConnection sinfini aniqlash osonroq. PolicyConnection ob'ekti siyosat fayliga berilgan ma'lumotlarga g'amxo'rlik qiladi. Keyin, HandleRequest() usuli chaqirilgandan so'ng, PolicyConnection ob'ekti yangi ipdan chiqariladi va o'qilishi kerak. Mijozning ilovasi matnni qasos olish uchun qatorni o'tkazish uchun mas'uldir Ushbu matnni o'qib chiqqandan so'ng, mijozning ilovasi kelajakda siyosatning ma'lumotlarini yozadi va kunni yopadi. Quyida PolicyConnection klassi uchun kod keltirilgan.

ommaviy sinf PolicyConnection(

xususiy TcpClient mijozi; shaxsiy bayt siyosati;

public PolicyConnection (TcpClient mijozi, bayt siyosati) (

this.client = mijoz; this.policy = siyosat;

// Mijoz so'rovini shaxsiy statik qatorni yaratish policyRequestString = "

ommaviy bekor HandleRequest()(

Stream s = client.GetStream(); // Siyosat qatorini o'qish

bayt buferi=yangi bayt;

// 5 soniyadan kamroq vaqt davomida ball to'plangan mijoz.ReceiveTimeout = 5000;

s.Read(bufer, 0, bufer.Length);

// Yuborish siyosati (shuningdek, teskari oʻzgartirilishi mumkin, bu // siyosat soʻrovi uchun zarur) s.Write(politika, 0, siyosat.Length);

// Chaqiruv mijozini yoping.Close();

Console.WriteLine("Xizmat siyosati fayli.");

Otzhe, biz siyosatning amaliy serverini takrorlashimiz mumkin. Afsuski, siz hali norozilik bildira olmaysiz, chunki Silverlight siyosat fayllarini aniq tahrirlashga ruxsat bermaydi. Vikoristat soket dasturini sinab ko'rganingizda, Natomist avtomatik ravishda zatuê í̈x yutdi. Ushbu dastur uchun mijoz dasturini yaratishdan oldin server yaratish kerak.

Ushbu tsiklning oldingi maqolalarida siz tashkilotingiz infratuzilmasini nomaqbul qo'ng'iroqlar hujumlaridan, shuningdek, ko'plab noqobil ayg'oqchilardan maksimal darajada himoya qilish imkonini beruvchi mahalliy xavfsizlik siyosatining funksionalligini samarali yengib chiqishni o'rgandingiz. Bulutli yozuvlar siyosatini qanday qilib samarali tarzda o'rnatishingiz mumkinligini, parollaringizni qanday buzishni, xavfsizlik jurnallari yordamida yozuvlaringiz autentifikatsiyasini keyingi tahlil qilish uchun audit siyosatini o'rnatishni allaqachon bilasiz. Siz o'zingizning tizimingizni zapodíyannu shkody zapobígann zapodíyannu shkody sizning koristuvachiv huquqi belgilarini o'rgandingiz va intramural yaqinidagi kompyuterlarni navigatsiya qilish, shuningdek, siz podíy, guruhlar z jurnallarini qanday samarali yaratishingiz mumkinligini bilasiz. ruxsatni almashish, tizim xizmatlari, ro'yxatga olish kitobi va fayl tizimi. Ushbu maqolada biz mahalliy xavfsizlik siyosatini o'rnatishda davom etamiz va siz biznesingiz uchun xavfsizlik choralarini o'rnatish haqida bilasiz.

Server operatsion tizimlar Microsoft, Windows Server 2008-dan boshlab, Ethernet 802.3 mesh mijozlari uchun IEEE 802.1X autentifikatsiyasi bilan simli ulanish xizmatlari uchun avtomatik konfiguratsiyani ta'minlovchi Simli birlashtirish siyosati (IEEE 802.3) komponentini taqdim etdi. Guruh siyosatlari yordamida simli xavfsizlik choralarining xavfsizlik parametrlarini amalga oshirish uchun operatsion tizimlarda simli avtokonfiguratsiya xizmati (Wired AutoConfig - DOT3SVC) o'rnatilgan. Stream xizmati IEEE 802.1X autentifikatsiyasiga ulanganda kafolat beradi Ethernet tarmoqlari boshqa 802.1X kalitlari yordami uchun, shuningdek, haqiqiylikka kirish uchun tarmoq mijozini o'rnatish usuliga asoslangan profil bilan. Bundan tashqari, siz berilgan siyosatlarni vikoristovuvatimete deb belgilang, keyin ushbu xizmatni ishga tushirish rejimini o'zgartirish uchun domeningizning koristuvachiamini blokirovka qilish kerak.

Tel-to'r siyosatini amalga oshirish

Siz sim to'rlar siyosatini sozlashni to'g'ridan-to'g'ri qo'shimcha qurilmadan o'rnatishingiz mumkin. Ushbu parametrlarni sozlash uchun quyidagilarni kiriting:

  1. Qo'shimcha elementni va konsol daraxtida oching, tugunni tanlang, sichqonchaning o'ng tugmasi bilan yangisini bosing va kontekst menyusidan buyruqni tanlang. "Windows Vista va undan keyingi versiyalar uchun yangi migratsiya siyosatini yaratish", quyidagi rasmda ko'rsatilganidek:

    Guruch. 1. Sim to'r siyosatini o'rnatish

  2. Dialogda vykny, scho vydkrylos "Mulklarni yuritish bo'yicha yangi siyosat", yorliqlarda "Zahalni", Hovli bogʻlovchiga ulanish uchun mahalliy bogʻlovchi adapterlarni sozlash uchun siz qutb bogʻlovchi avtokonfiguratsiya xizmatini oʻrnatishingiz mumkin. Windows Vista operatsion tizimida kengaytiriladigan jinoyat siyosati variantlari va Windows 7 va Windows Server 2008 R2 operatsion tizimlarida to'xtab qoladigan eng yangi, ammo hali ham mavjud variantlar. Ushbu depozitga siz quyidagilarni qo'shishingiz mumkin:
    • Siyosat nomi. Ushbu matn maydoniga simli tarmoq siyosati uchun nom berishingiz mumkin. Im'ya siyosati siz universitet ma'lumotlari sohasida ishlashingiz mumkin "To'r to'rlari siyosati (IEEE 802.3)" uskunalar "Guruh siyosati muharriri";
    • Tavsif. Ushbu matn maydoni sim to'r siyosatini tan olishning batafsil tavsifini to'ldirish uchun mo'ljallangan;
    • Wicoristowate mijozlar uchun Windows chuqurligini avtomatik sozlash xizmati. Tsya variant vikonu, albatta, mijozlarni drotovoy 802.3 bilan bog'laydigan nashtuvannya. Agar siz ushbu parametrni o'chirsangiz, Windows operatsion tizimi simli ulanishni nazorat qilmaydi va siyosat sozlamalari ishlamaydi;
    • autentifikatsiya merezhi uchun Zaboronitnya vikoristannya zagalnyh ma'lumotlar koristuvach. Ushbu parametr to'siqni autentifikatsiya qilish uchun koristuvachaning yuqori ma'lumotlarini saqlash uchun koristuvachev tirmalari sonini aniqlaydi. Mahalliy ravishda siz ushbu parametrni qo'shimcha buyruq bilan o'zgartirishingiz mumkin netsh lan to'plami allowexplicitcreds;
    • Bloklash davrini yoqish. Ushbu sozlama kompyuterning belgilangan miqdordagi simlar bilan simli tarmoqqa avtomatik ravishda ulanishini aniqlaydi. Aktsiyalar uchun 20 kredit olinadi. 1 dan 60 hvilingacha blokirovka qilish davri mavjud.
  3. "Zahalni" simni o'lchash qoidalari:

    Guruch. 2. Simli chiziq siyosatidagi parametrlar dialog oynasining "Zahalni" yorlig'i

  4. Depozitda "Xavfsizlik" autentifikatsiya usuli va simli ulanish rejimi uchun konfiguratsiya parametrlari o'rnatildi. Siz quyidagi xavfsizlik sozlamalarini sozlashingiz mumkin:
    • O'lchovga kirish uchun IEEE 802.1X autentifikatsiyasini yoqing. Ushbu parametr vositachi kirish uchun 802.1X autentifikatsiyasini bekor qilish yoki bekor qilish uchun bekor qilinishi mumkin. Qulflash uchun ushbu parametr ko'rsatilgan;
    • Autentifikatsiya usulini tanlang. Ushbu ro'yxatga qo'shimcha ravishda siz sotuvchi mijozlarning to'g'riligini qayta tekshirish usullaridan birini belgilashingiz mumkin, bu sizning simni boshqarish siyosatingiz uchun to'xtab qoladi. Tanlash uchun ikkita variant mavjud:
      • Microsoft: EAPni himoya qilish (PEAP). Qaysi autentifikatsiya usuli uchun, vikno "Kuch" Autentifikatsiya usulining konfiguratsiya parametrlarini olish;
      • Microsoft: smart-kartalar yoki boshqa sertifikatlar. Qaysi autentifikatsiya usuli uchun, "Kuch" berilgan konfiguratsiya parametrlari, ularning yordami uchun ulanish uchun smart-karta yoki sertifikat, shuningdek sertifikatlash uchun ishonchli ildiz markazlari ro'yxatini belgilashingiz mumkin.

    Qulflash uchun tanlangan usul Microsoft: EAP himoyasi (PEAP);

  5. Autentifikatsiya rejimi. Ishlab chiqilayotgan ushbu ro'yxat, haqiqiyligini birlashtirish qayta tekshirish uchun zastosovuêtsya hisoblanadi. Keyingi mavjud variantlarni tanlash uchun:
    • Koristuvach yoki kompyuterning autentifikatsiyasini qayta tekshirish. Agar ushbu parametr tanlansa, xavfsizlik ma'lumotlari kompyuterning oqim tezligiga qarab tekshiriladi. Agar siz tizimga kirmasdan tizimga kirsangiz, autentifikatsiya kompyuter ma'lumotlariga amal qiladi. Koristuvachning kiraverishida koristuvachning yuzlari g'olib bo'ladi. Microsoft ushbu autentifikatsiya parametridan iloji boricha foydalanishingizni tavsiya qiladi.
    • Kompyuter uchun planshetlar. Shu tarzda, autentifikatsiya kompyuter ma'lumotlari uchun kamroq;
    • Koristuvachning haqiqiyligini tekshirish. Ushbu parametrni tanlaganingizda, Primus Authentication faqat yangi 802.1X kengaytmasiga ulanganda yoqiladi. Boshqa barcha rejimlarda autentifikatsiya faqat kompyuter uchun mumkin;
    • Mehmonni tekshirish. Ushbu parametr mehmon postiga asoslangan havolaga ulanish imkonini beradi.
  6. Autentifikatsiyani kechirishning maksimal soni. Ushbu parametr autentifikatsiya soati uchun kechirimlarning maksimal sonini belgilash imkonini beradi. Qulflash qiymati - 1;
  7. Keshuvati dani koristuvacha tsíêí̈ merezhi bilan bo'lajak ulanishlar uchun. Agar ushbu parametr yoqilgan bo'lsa, ma'lumotlar bulutlari tizim registrida saqlanadi, tizimdan chiqqanda va tizimga kirganida ma'lumotlar bulutlari so'rovi o'tkazilmaydi.

Keyingi rasmda yorliq ko'rsatiladi "Xavfsizlik" ushbu dialog oynasi:

Guruch. 3. Simli xavfsizlik siyosatidagi parametrlar dialog oynasining "Xavfsizlik" yorlig'i

Autentifikatsiyaning vakolatli usullari

Oldingi bo'limda aytib o'tilganidek, autentifikatsiyaning ikkala usuli uchun ham tugmani bosgandan so'ng chaqiriladigan qo'shimcha sozlashlar mavjud. "Kuch". Biz autentifikatsiya usullari uchun barcha mumkin bo'lgan sozlamalarni ko'rib chiqdik.

"Microsoft: Protected EAP (PEAP)" autentifikatsiya usulini sozlash

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) - kengaytiriladigan autentifikatsiya infratuzilmasi, chunki u so'rov formatini belgilaydi. Autentifikatsiya usulini sozlash uchun quyidagi parametrlar mavjud:

  • Ortiqcha kalitni yoqing. Ushbu parametr droto-kam kompyuterlarga ega roumerlarga yangi bosqichda qayta autentifikatsiya qilmasdan kirish nuqtalari o'rtasida osongina harakat qilish imkonini beradi. Bunday kommutator faqat RADIUS xizmat mijozlari sifatida tashkil etilgan kirish nuqtalari uchun ishlatilishi mumkin. Qulflash uchun ushbu parametr ko'rsatilgan;
  • Chegaraga kirish uchun himoyani o'chiring. Ushbu variantlarni tanlashda, EAP uchun ariza beruvchilar ro'yxatiga ulanishga ruxsat berishdan oldin, qayta ko'rib chiqish maqsadida, agar kerak bo'lsa, solishtirishlar ko'rib chiqiladi;
  • Shuni yodda tutingki, server TLV mexanizmi orqali shifrlashni qo'llab-quvvatlamaydi. Rozvivaêtsya optsіya vіdpovіdaє uchun pererivannya pіdklyuchayutsya klієntami Kiritilgan vipadku yilda jarayoni avtentifіkatsії, Yakscho RADIUS-server nadaє kriptografіchnogo priv'yazki TLV qadriyatlar, kuydir pіdvischuє BEZPEKA TLS-tunnel PEAP yilda poєdnuyuchi yo'l uchun vnutrіshnoї deb zovnіshnoї avtentifіkatsії, zlovmisniki egalari qo'lidan emas vikonuvati hujumlar . uchinchi shaxslar;
  • Maxfiylik siyosatini yoqing. Ushbu parametrga ruxsat berilgan, chunki mijozlar undan oldin o'z ulanishlarini bekor qila olmadilar, chunki mijoz RADIUS serverining vakolatlarini tekshirgan va anonim ulanish qiymatini kiritish joyini himoya qilish zarurati.
  • O'g'irlangan EAP rasmiylarining dialog oynasi keyingi rasmda ko'rsatilgan:

    Guruch. 5. O'g'irlangan EAP organlarining dialog oynasi

    Autentifikatsiya usulini sozlash "Smart kartalar yoki boshqa sertifikat - EAP-TLSni sozlash"

    Autentifikatsiya usulini sozlash uchun quyidagi parametrlardan foydalaning:

    • Ulanganda smart kartamni yoqing. Agar siz jumperni ushbu holatga o'rnatsangiz, autentifikatsiya so'rovini tanlagan mijozlarga bog'langan autentifikatsiya uchun smart-karta sertifikati taqdim etiladi;
    • Wink-ga ulanganda, ushbu kompyuterda sertifikat yarating. Agar siz ushbu variantlarni va mijozning ulanishini qayta tekshirish soatini tanlasangiz, siz oqim kartasi yoki mahalliy kompyuterning ulanishidan o'tkazuvchi sertifikat olasiz;
    • Oddiy sertifikat yutib oling. Ushbu parametr Windows operatsion tizimiga autentifikatsiya qilishga ruxsat bermaydigan sertifikatlarni filtrlash imkonini beradi;
    • Server sertifikatini tasdiqlang. Ushbu parametr mijoz kompyuterlarida haqiqiy imzo mavjudligiga, shuningdek, ushbu server uchun sertifikatni ko'rgan ishonchli ildiz sertifikat organining mavjudligiga umid qiladigan server sertifikatini qayta tekshirishni o'rnatishga imkon beradi.
    • Serverlarga ulanish. Ushbu parametr bitta menyu varianti bilan bir xil bo'lib, u oldingi qismda ochilgan;
    • Ildiz sertifikatlash markazlarini ishonib topshiring. Shunday qilib, o'g'irlangan EAP vakolatlari dialogida bo'lgani kabi, ushbu ro'yxatda kompyuterning sertifikat papkalarida o'rnatilgan barcha ishonchli ildiz sertifikatlash markazlarini topishingiz mumkin;
    • Koristuvachadan yangi serverlarga ruxsat berishni talab qilmang yoki Sertifikatlashtirish markaziga ishonmang. Ushbu parametr uchun bayroqni o'rnatganingizdan so'ng, noto'g'ri sozlangan server sertifikati yoki koristuvachlar ro'yxatida aniq ko'rsatilgan bo'lsa, bunday sertifikatni avtorizatsiya qilish taklifi bilan dialog oynasi ko'rsatilmaydi. Qulflash uchun ushbu parametr chiqarib tashlanadi;
    • Ulanish uchun Vykoristuvati aks holda im'ya koristuvach. Ushbu parametr tanlanadi, koristuvach nomining haqiqiyligini tekshirish, guvohnomadagi koristuvach nomini tekshirish uchun nima oqlanishi kerak. Agar siz ildiz vakolatining boshqa nomini tanlash opsiyasini yoqsangiz, sertifikatlashda ishonchli ildiz organlari roʻyxatidan kamida bitta sertifikat tanlashingiz kerak.

    Smart kartalar yoki boshqa sertifikatlar parametrlarining dialog oynasi keyingi rasmda ko'rsatilgan:

    Guruch. 6. Smart kartalar yoki boshqa sertifikatlarni sozlash uchun dialog oynasi

    Agar siz sertifikatda ro'yxatdan o'tmagan bo'lsangiz, qaysi birini tanlasangiz, tugmani bosing "Ko'rib chiqish sertifikati" Quyida ko'rsatilganidek, sertifikat tanlash haqidagi barcha hisobotlarni ko'rib chiqishingiz mumkin:

    Guruch. 7. Sertifikatlashtirishning ishonchli ildiz markazlari ro'yxatidan sertifikatni qayta ko'rib chiqish

    Tadbirlarni o'tkazish siyosatining qo'shimcha xavfsizlik parametrlari

    Siz, ashula, omonatdagilarni hurmat qildingiz "Xavfsizlik" Simli xavfsizlik siyosatidagi dialog oynasi parametrlari, shuningdek, 802.1X autentifikatsiyasi bilan kirish uchun murojaat qilgan simli mijozlar xatti-harakatlarini o'zgartirish uchun foydalaniladigan qo'shimcha xavfsizlik sozlamalari hisoblanadi. Birlashtirish siyosatining qo'shilgan parametrlarini ikki guruhga bo'lish mumkin - IEEE 802.1X ni o'rnatish va yagona tizimga kirishni sozlash. Keling, qih guruhining terisini ko'rib chiqaylik:

    IEEE 802.1X guruhi uchun siz 802.1X autentifikatsiyasi uchun simli tarmoq xususiyatlarini belgilashingiz mumkin. O'zgartirish uchun quyidagi parametrlar mavjud:

    • Qo'shimcha 802.1X sozlamalarini to'xtating. Ushbu parametr qadamlarni faollashtirishga imkon beradi;
    • Maks. EAPOL-ogohlantirish. EAPOL - kompyuter autentifikatsiya qilishdan oldin mag'lub bo'lgan bir xil EAP protokoli va faqat muvaffaqiyatli "kirish" dan so'ng barcha trafik ushbu ulanish porti orqali o'tishi mumkin. Daniya kompyuter. Tsey parametri vídpovídaê uchun maksimal raqam kuchliroq bo'lgan EAPOL-Startni kuchaytirish;
    • Kesish davri (sek.). Ushbu parametr autentifikatsiya haqidagi bildirishnoma olib tashlanganidan keyin 802.1X autentifikatsiya so'rovi oldidan soniyalardagi kechikish uchun berilgan;
    • Boshlanish davri. Ushbu parametr EAPOL-Start oxirgi yangilanishini qayta mustahkamlashdan bir soat oldin yangilanadi;
    • Qayta tekshirish davri (sek.). Bu parametr 802.1X ulanishi boshlanganidan keyin EAPOL xabarlarini qayta uzatish orasidagi soniyalar sonini belgilaydi;
    • EAPOL-Start xabarlari. Ushbu parametrning yordami uchun siz EAPOL ko'taruvchisini uzatishning keyingi xususiyatlarini belgilashingiz mumkin:
      • O'tmang. Ushbu parametr tanlansa, EAPOL ogohlantirishlari kuchsizlanmaydi;
      • Oʻtkazilgan. Ushbu parametrni tanlashda mijoz EAPOL bildirishnomalarini qo'lda tahrirlashi kerak bo'ladi;
      • IEEE 802.1X protokoli orqali uzatish. bu parametr tanlanganda (qulflash uchun tayinlanganda), EAPOL o'sishi majbur bo'ladi avtomatik rejim 802.1X autentifikatsiyasini boshlang.

    Agar bitta tizimga kirish rad etilsa, autentifikatsiya operatsion tizimga kirish jarayonida xavfsizlik konfiguratsiyasi asosida amalga oshirilishi kerak. Uchun qayta ishlash tizimga bitta kirish uchun profillar, quyidagi parametrlar mavjud:

    • Merazh uchun yagona ro'yxatdan o'tishni yoqing. Yoqilganda, ushbu parametr bir martalik kirish sozlamalarini faollashtiradi;
    • Uvymknut darhol koristuvach kirishidan oldin. Agar siz ushbu parametrga o'tish moslamasini o'rnatgan bo'lsangiz, server tizimga kirishidan oldin 802.1X autentifikatsiyasi bekor qilinadi;
    • Koristuvachning kirish joyiga qarang. Agar siz ushbu parametrga o'tish moslamasini o'rnatgan bo'lsangiz, tizimga kirish tugallangandan so'ng 802.1X autentifikatsiyasi o'chiriladi;
    • Maks. ulanish. Ushbu parametr autentifikatsiya tugallanadigan maksimal soatni belgilaydi va aniqki, tizimga kirish oynasi paydo bo'lgunga qadar ro'yxatdan o'tish vaqti;
    • Bitta kirish uchun qo'shimcha dialog oynalarini kiritishga ruxsat bering. Ushbu parametr tizimga koristuvachning kirishiga dialog oynasini ko'rsatish uchun ruxsat etiladi;
    • Tsya vykoristovu razní vírtualní localí íní íní í autentifíkatsíí oblíkovíkatsí í í oblíkoví dannym kom'yuterív í koristuvachív uchun. Belgilangan sozlamalar bilan, ishga tushirilganda, barcha kompyuterlar bitta virtual o'lchamga joylashtiriladi va tizimga muvaffaqiyatli kiritilgandan so'ng, agar ruxsat berilsa, ular turli virtual o'lchamlarga aylantiriladi. Ushbu parametr faqat shu holatda faollashtirilishi mumkin, chunki sizning uyingizda bir nechta virtual mahalliy VLAN tarmoqlari mavjud.

    Keyingi rasmda chora-tadbirlarni o'tkazish siyosatining xavfsizligi bo'yicha qo'shimcha parametrlarning dialog oynasi ko'rsatilgan:

    Guruch. 8. Tadbirlarni o'tkazish siyosatining xavfsizligini ta'minlashda qo'shimcha parametrlarning dialog oynasi

    Visnovok

    Ushbu maqolada siz IEE 802.1X ni o'tkazish siyosati parametrlari bilan tanishdingiz. Siz bunday siyosatni qanday yaratishingiz, shuningdek, EAP autentifikatsiya usullari va qo'shimcha smart-kartalar yoki boshqa sertifikatlar uchun tekshirish haqida bilib oldingiz. Keyingi maqolada siz chora-tadbirlar ro'yxatida dispetcherning mahalliy xavfsizlik siyosati haqida bilasiz.

    Exchange Server 2003 siyosatlari ma'muriy chaqqonlikni yaxshilash va bir soat davomida administrator trafigini kamaytirish uchun baholangan. Siyosat - Exchange-da bir xil sinfning bir yoki bir nechta ob'ektlariga o'rnatilishi mumkin bo'lgan konfiguratsiya sozlamalari to'plami. Masalan, har qanday yoki barcha Exchange serverlarining parametrlariga kiritilgandek siyosat yaratish mumkin. Siyosatni o'zgartirish uchun etarli bo'lgan ba'zi parametrlarni o'zgartirish kerak bo'ladi va u serverning tegishli tashkilotiga o'rnatiladi.

    Ikki xil siyosat mavjud: tizim siyosati va qabul qiluvchi siyosati. Siyosatchilarga ega bo'lganlar pochtaga kirish huquqiga ega bo'lgan ob'ektlarga zastosovuyutsya va elektron pochta manzillari qanday yaratilganligini aniqlaydilar. "Obsessiyalarni yaratish va boshqarish" da obsesyon siyosatchilari haqida boring. Tizim siyosati serverlarga zastosovuyutsya, shovishch pochta skrinshotlari deb shovisham spilnyh papkalar. Qi siyosatlari o'rta guruhdagi "Siyosatlar" konteynerida ko'rsatiladi boshqaruv tsíêí siyosat (12.10-rasm).

    Guruch. 12.10. Ob'ekt "tizim siyosati"

    Eslatma. Exchange Server 2003-ni o'rnatish vaqtida tizim siyosatlari uchun standart konteyner yaratilmaydi. O'limdan keyingi tizimli siyosatchilar oldida yoga qilish kerak. Ma'muriy guruhda sichqonchani o'ng tugmasini bosing, bu holda siz siyosat papkasini yaratishingiz kerak, sichqonchani Yangi (Yaratish) ga yo'naltiring va Tizim siyosati konteynerini (Tizim siyosati konteyneri) tanlang.

    Tizim siyosatini yaratish

    Tizim siyosatini yaratish uchun siz Tizim siyosati konteyneriga o'tishingiz kerak, konteynerni o'ng tugmasini bosing, so'ngra yaratiladigan siyosat turini tanlang: server siyosati, pochta qutisi papkasi siyosati yoki jild papka siyosati.

    Tizim siyosatlari bilan ishlaganda, siyosat boshqaruviga kafolat berganingizdek, guruhda siyosat ob'ektini yaratishni unutmang. Aks holda, tanqidiy muhim siyosatchilar ustidan ma'muriy nazorat o'rnatadigan tanlab olingan odamlar afv etilishi mumkin. Keling, server siyosatlaridan boshlab uchta turdagi siyosatlardan qanday qilib terilar yaratilganini ko'rib chiqaylik.

    Server siyosatini yaratish

    Server siyosati jurnal fayllarini saqlash va jurnal fayllarini saqlash parametrlarini belgilaydi. Bu xavfsizlik parametrlariga yoki boshqaruv guruhidagi serverlarning boshqa parametrlariga zastosovuetsya bo'lmaydi. Server siyosatini yaratish uchun tizim siyosati konteyneriga sichqonchaning o'ng tugmachasini bosing, Yangi-ni va keyin Server siyosatini tanlang. Kichik ekranda ko'rsatilgan "Yangi siyosat" dialog oynasi paydo bo'ladi. 12.11, unda siyosat organlari tomonida ko'rsatilgan yorliqlar ko'rsatilgan. Server siyosati uchun faqat bitta variant mavjud: Umumiy yorlig'i. Variantni tsíêí yorlig'iga belgilang va OK ni bosing. Ushbu siyosat yaratiladigan konfiguratsiyani tasavvur qilish uchun.


    Guruch. 12.11.

    Shuning uchun, siyosat organlarining oynasidagi Umumiy yorlig'ida siyosat nomini kiritish kerak. Kichik 12.12 da ko'rsatilganidek, aslida ikkita Umumiy yorliq mavjud. Birinchi yorliq siyosat nomini kiritish uchun chaqiriladi. Siyosat berilgan menejer tavsifi uchun nom tanlang, masalan, Xabarlarni kuzatish siyosati yoki Mavzuni qayd etish siyosatini yoqish. Vídpovídne im'ya, bu bosqichda obrane, ish soatini zaxira qilish uchun, shards e'tirofini bildirish uchun, siyosat organlari tomonidan chetga chiqish kerak bo'lmaydi.

    Umumiy (Siyosat) yorlig'i rasmda ko'rsatilgan. 12.13 Ko'rib chiqilayotgan tashkilotning Exchange serverlariga yuboriladigan haqiqiy siyosat sozlamalarini oling. Yorliq Umumiy (Siyosat) deb nomlanadi, ammo Umumiy yorlig'i konfiguratsiyasi barcha ma'lum serverlar tomonidan o'zgartirilishi mumkin. (Quyida, ushbu ma'ruzada biz ushbu siyosatni tashkilotdagi barcha serverlarga qanday o'rnatishni ko'rib chiqamiz.) Agar siz ushbu serverning vakolatli tomonidagi "Umumiy" yorlig'idan yorliqni ko'chirsangiz, ushbu yorliqlarni ko'rasiz. hayvon shaklini ayblash ortida, zbígayutsya bor.

    Umumiy (Siyosat) yorlig'ida barcha ma'lum Exchange 2003 serverlari uchun mavzu jurnalini va ko'rsatishni yoqing. tashkilotga o'tkaziladi. deyakí koristuvachí emas otrimuyut podomlen víd ínshih koristuvachív bo'lsa Tsí optíí korisní hazil uchun, deb usunennya muammolarni keltirib chiqardi. Ísnuê mozhlivist vídstezhennya prozhennja povydomlennya vyznachennya místsya uchun organízatsíyu orqali, de ê ma'lumotlar uzatish bilan bog'liq muammolar. Axborotni kiritish va muhokama qilinadigan mavzularni ro'yxatga olish to'g'risidagi hisobot "Exchange Server 2003 funksionalligi, xavfsizligi va texnik xizmat ko'rsatishi" 6-ma'ruzada keltirilgan.


    Guruch. 12.12.


    Guruch. 12.13.

    Siyosat ishlay boshlaganligi sababli uni faqat teng mahalliy serverlarda o'zgartirish mumkin emas. Biz g'alaba qozonganimizni tan olish siyosati Arizona ma'muriyati guruhi tomonidan EX-SRV1 serverida shakllantirilgan. Ustida

    Windows Server operatsion tizimining funksionalligi versiyadan versiyaga kengaytirildi va takomillashtirildi, ushbu komponentning rollari tobora ko'payib bormoqda, shuning uchun bugungi materialda men qisqacha kengaytirishga harakat qilaman. Windows Server 2016 da teri rolini aniqlash tavsifi.

    Birinchidan, Windows Server server rollarining tavsifiga o'ting, keling, nima muhimligini bilib olaylik. Server roli» Windows Server operatsion tizimida.

    Windows Serverda "Server roli" nima?

    Server roli- Ushbu dastur majmuasi asosiy funktsiyaning serverini ta'minlaydi va bu funktsiya asosiy hisoblanadi. Boshqa so'zlar bilan aytganda, " Server roli"- tse server, tobto. navíscho vin kerak. Shunday qilib, server bir zumda asosiy funktsiyani mag'lub qilishi mumkin, tobto. Men rolni kuylayman, " Server roli» ushbu dasturiy ta'minot xavfsizligi uchun kerak bo'lgan hamma narsani o'z ichiga oladi ( dasturlar, xizmatlar).

    Server faqat bitta rolga ega bo'lishi mumkin, shuning uchun u faol ravishda yutib bo'lmaydi yoki bu sprat, chunki ularning terisi server bilan juda band emas va tez-tez yutib bo'lmaydi.

    Serverning roli ba'zi ishtirokchi xizmatlarni yoqishi mumkin, bu esa rolning funksionalligini ta'minlaydi. Masalan, server roli " Veb-server (IIS)» ko'p sonli xizmatlarni bajarish uchun kiritilgan va « roli DNS server»Rol xizmatlarini qo'shmang, lekin rol faqat bitta funktsiyaga ega.

    Rol xizmatlari bir vaqtning o'zida o'rnatilishi mumkin yoki ular sizning ehtiyojlaringizga ko'ra alohida o'rnatilishi mumkin. Aslida, rolni o'rnatish bir yoki bir nechta xizmatlarni o'rnatishni anglatadi.

    Windows Server ham mavjud Komponentlar» server.

    Server komponentlari (xususiyat)- barcha dasturiy ta'minot dasturlari, masalan, server rulosi, lekin bir yoki bir nechta rollarni boshqarishi mumkin bo'lgan bir yoki bir nechta rollarning qobiliyatini kengaytiradi.

    Haqiqiy rollarni o'rnatib bo'lmaydi, chunki serverda ushbu rollarning ishlashi uchun zarur bo'lgan til xizmatlari yoki komponentlar o'rnatilmagan. Bunga bunday rollarni o'rnatish vaqtida. Rol va komponentlarni qo'shish ustasi» o'zi avtomatik ravishda sizga kerakli qo'shimcha rol xizmatlari yoki komponentlarini o'rnatishingizni taklif qiladi.

    Windows Server 2016 server rollarining tavsifi

    Windows Server 2016-da bo'lgani kabi juda ko'p rollar bilan, qo'shiq kuylash, Siz buni uzoq vaqt davomida qilish yoqimsiz ekanligini bilasiz, lekin men aytganimdek, Windows Serverning yangi versiyasi terisiga yangi rollar qo'shilmoqda, Agar biz bilmoqchi bo'lsak, bu mumkin, endi bizga badbo'y hid kerak, keling, buni ko'rib chiqaylik.

    Eslatma! Windows Server 2016 operatsion tizimining yangi funksiyalari haqida “Windows Server 2016 ni oʻrnatish va yangi funksiyalarni koʻrib chiqish” maqolasida oʻqishingiz mumkin..

    Rollarni, xizmatlarni va komponentlarni o'rnatish va boshqarish ko'pincha Windows PowerShell-da qo'llanilganligi sababli, men teri roli va xizmatlari uchun nom ishlataman, chunki PowerShell-da g'alaba qozonish mumkin, u o'rnatish yoki keruvannya uchun mos keladi.

    DHCP serveri

    Ushbu rol dinamik IP-manzillarni markazlashtirilgan tarzda sozlash va ularni chekkadagi kompyuterlar va qo'shimchalar parametrlari bilan bog'lash imkonini beradi. DHCP server rolida ishtirok etuvchi xizmatlar yo'q.

    Windows PowerShell nomi DHCP.

    DNS server

    Bu rol TCP/IP tarmoqlarida nomlarni aniqlash uchun tayinlangan. DNS serverining roli DNS ishini ta'minlaydi va qo'llab-quvvatlaydi. DNS server bilan tekshirishni osonlashtirish uchun uni Active Directory domen xizmatlari bilan bir xil serverda chaqirish kifoya. DNS server rolida ishtirok etuvchi xizmatlar yo'q.

    PowerShell uchun rol nomi DNS.

    Hyper-V

    Hyper-V-ning qo'shimcha roli uchun siz virtuallashtirilgan vositani yaratishingiz va uni cheruba qilishingiz mumkin. Boshqacha qilib aytganda, bu virtual mashinalarni yaratish va boshqarish uchun vositadir.

    Windows PowerShell uchun rol nomi Hyper-V.

    Qo'shimcha binolarning amaliyligini tasdiqlash

    Rol " » qo'shimchaning qo'llanilishini xavfsizlik parametrlarida vaqtinchalik ko'rsatkichlar asosida baholash imkonini beradi, masalan, ko'rsatkichlar mijoz uchun xavfsiz qiziqish va Bitlockerga aylanadi.

    Rol rolining ishlashi uchun rol xizmatlari va tarkibiy qismlarini hisobga olish kerak, masalan: roldan xizmatlarning nusxasi « Veb-server (IIS)", komponent" ", komponent" .NET Framework 4.6 xususiyatlari».

    O'rnatish boshlanishida barcha kerakli rol xizmatlari va komponentlari avtomatik ravishda tanlanadi. Rolda Qo'shimcha binolarning amaliyligini tasdiqlash“O'z xizmatlari uchun hech qanday rol yo'q.

    PowerShell nomi - DeviceHealthAttestationService.

    Veb-server (IIS)

    Nadaê nadíynu, kerovanu va veb-ilovalarning kengaytiriladigan infratuzilmasi. U juda ko'p xizmatlardan iborat (43).

    Windows PowerShell-ning nomi - Web-server.

    Bunday rollarni qo'shing ( kishanlarda men uni Windows PowerShell uchun nomlayman):

    Veb-server (Web-WebServer)- HTML veb-saytlari, ASP.NET kengaytmalari, ASP va veb-serverlarni qo'llab-quvvatlaydigan rol xizmatlari guruhi. Kelgusi xizmatlardan iborat:

    • Bezpeka (Veb-Xavfsizlik)- veb-server xavfsizligi bo'yicha xizmatlar to'plami.
      • So'rovlarni filtrlash (Web-Filtering) - qo'shimcha yordam olish uchun siz serverga kiradigan barcha so'rovlarni qayta ishlashingiz va veb-server ma'muri tomonidan o'rnatilgan maxsus qoidalar asosida barcha so'rovlarni filtrlashingiz mumkin;
      • IP-manzillar va domen almashinuvi (Web-IP-Security) - so'rovda IP-manzillar yoki dzherel domen nomini himoya qilish uchun veb-serverga kirishga ruxsat bermang yoki blokirovka qiling;
      • Avtorizatsiya URL-manzili (Web-Url-Auth) - veb-saytga kirishni almashish qoidalarini kengaytirish va ularni koristuvachami, guruhlar yoki HTTP sarlavhasi buyruqlari bilan bog'lash imkonini beradi;
      • Authenticity Digest-Reversal (Web-Digest-Auth) – berilgan autentifikatsiya sizga haqiqiylik mintaqasida yuqori darajadagi xavfsizlikni taʼminlash imkonini beradi. Parol xeshini Windows domen boshqaruvchisiga o'tkazish tamoyiliga amal qilgan holda, korystuvachiv díê autentifikatsiyasi uchun qayta tekshirishni Digest;
      • Birlamchi autentifikatsiya (Web-Basic-Auth) - autentifikatsiyaning bu usuli veb-brauzer xavfsizligini ta'minlaydi. Kichkina ichki hovlilarda ko'z qisib qo'yish tavsiya etiladi. Ushbu usulning asosiy kamchiligi shundaki, vaqt o'tishi bilan uzatiladigan parollarni oddiygina qayta ishlash va parolini ochish mumkin, shuning uchun SSL-dan foydalanish uchun ushbu usuldan foydalaning;
      • Windows autentifikatsiya tekshiruvi (Web-Windows-Auth) – Windows domenida autentifikatsiya. Boshqacha qilib aytganda, veb-saytlaringiz variantini autentifikatsiya qilish uchun Active Directory yozuvining ko'rinishini oqlashingiz mumkin;
      • Mijoz sertifikati bayonotlarining haqiqiyligini tekshirish (Web-Client-Auth) – mijoz sertifikatining haqiqiyligini uzatishning ushbu usuli bekor qilindi. Active Directory xizmatining har bir turi uchun sertifikatlarni moslashtirish;
      • IIS mijoz sertifikati autentifikatsiyasini tekshirish (Web-Cert-Auth) - Autentifikatsiya qilishning qaysi usuli mijoz sertifikatlarini ham yutadi yoki sertifikatlarni xavfsiz himoyalash uchun bu yerda IIS yutadi. Tsey turi yuqori mahsuldorlikni ta'minlaydi;
      • SSL sertifikatini markazlashtirilgan qo'llab-quvvatlash (Web-CertProvider) - bu SSL server sertifikatlarini markazlashtirilgan qayta ishlash imkonini beradi, bu sertifikatlarni boshqarish jarayonini soddalashtiradi;
    • Taqqoslash va diagnostika (Web-Salomatlik)- robotlashtirilgan veb-serverlar, saytlar va qo'shimchalar xavfsizligini nazorat qilish, boshqarish va yo'q qilish bo'yicha xizmatlar to'plami:
      • http logging (Web-Http-Logging) - bu serverning saytida ro'yxatga olish faoliyatini davom ettirish uchun bir tiyin, ya'ni. jurnalga kirish;
      • Logging ODBC (Web-ODBC-Logging) - siz shuningdek veb-sayt faoliyati jurnalini yuritishingiz mumkin, lekin ular shuningdek, ma'lumotlar bazasida faoliyatni ro'yxatdan o'tkazishni, ODBC summasini qo'shadilar;
      • Request Monitor (Web-Request-Monitor) - HTTP so'rovlari haqidagi ma'lumotlarni IIS ish jarayoniga o'tkazish orqali veb-dasturlarning to'g'riligini nazorat qilish imkonini beruvchi vosita;
      • Jurnal sozlamalari (Web-Custom-Logging) – qo‘shimcha yordam olish uchun veb-server faoliyati jurnalini formatda o‘rnatishingiz mumkin, ya’ni u standart IIS formatida. Boshqacha qilib aytganda, siz o'zingizning loglarni boshqarish modulingizni yaratishingiz mumkin;
      • Jurnallarni boshqarish (Web-Log-Libraries) – veb-server jurnallarini boshqarish va jurnallarni boshqarishni avtomatlashtirish vositalari;
      • Trasuvannya (Web-Http-Tracing) - robot veb-qo'shimchalarida usunennya zararlanishini tashxislash uchun tse zasyb.
    • Eng yaxshi funksiyalar http (Web-Common-Http)- HTTP uchun asosiy funksionallikni ta'minlovchi xizmatlar to'plami:
      • Taqdim etilgan hujjat (Web-Default-Doc) - ovozsiz reklama uchun reklama hujjatini aylantirish uchun veb-serverni sozlash imkonini beradi, agar siz so'rovning URL manzilida ma'lum bir hujjatni ko'rsatmasangiz, u holda ushbu reklama hujjatini so'raydi. veb-saytga, masalan, domen bo'yicha, qaysi faylni ko'rsatmasdan muvaffaqiyatli yo'naltirilishi;
      • Kataloglarni ko'rib chiqish (Web-Dir-Browsing) - buning uchun siz brauzerlar veb-saytdagi mavjud kataloglar va fayllar ro'yxatini ko'rib chiqishlari uchun veb-serverni o'rnatishingiz mumkin. Misol uchun, variantlar uchun, agar so'rovning URL manzilida fayllar ko'rsatilmagan bo'lsa, qulflash uchun hujjatlar o'ralgan yoki o'rnatilmagan;
      • Afv qilish http (Web-Http-Errors) – bu imkoniyat afv haqidagi eslatmalarni yaratish imkonini beradi, ular veb-server tomonidan afv ko'rsatilgan vaqtda veb-brauzerlarda yoqiladi. avf haqida koristuvachas uchun qulay o'lpon uchun Tsey zasíb vykoristovuêtsya;
      • Statik vmíst (Web-Static-Content) - tsey zasyb veb-serverda statik fayl formatlari, masalan, HTML fayllari yoki rasm fayllari ko'rinishidagi tarkibni tweet qilish imkonini beradi;
      • http qayta yo'naltirish (Web-Http-Redirect) - qo'shimcha yordam olish uchun siz so'rovni ko'rsatuvlar bo'yicha koristuvachga yo'naltirishingiz mumkin, tobto. ce qayta yo'naltirish;
      • WebDAV Publishing (Web-DAV-Publishing) sizga WebDAV texnologiyasini IIS WEB serveriga tvit qilish imkonini beradi. WebDAV ( Internetda tarqatilgan mualliflik va versiyalarni yaratish) - koristuvachilarning birgalikda ishlashiga imkon beruvchi bir xil texnologiya ( o'qish, tahrirlash, o'qish vakolati, nusxa ko'chirish, ko'chirish) HTTP protokoli yordamida masofaviy veb-serverlardagi fayllar orqali.
    • Hosildorlik (veb-ishlash)- Gzip va Deflate kabi ma'lumotlarni keshda saqlash va boshqa siqish mexanizmlari uchun veb-serverning yuqori mahsuldorligiga erishish uchun xizmatlar to'plami:
      • http o'rniga statikni siqish (Web-Stat-Compression) - http o'rniga statik siqishni o'rnatish uchun zasib, bu sizga protsessorga yozmasdan, binoning o'tkazish qobiliyatini samarali ravishda yengish imkonini beradi;
      • Dinamik siqish (Web-Dyn-Compression) - HTTP da dinamik siqishni tuzatish uchun. Bu zasíb zabezpechuê tarmoqli kengligidan yanada samarali foydalanish, lekin bu holda, dinamik cheklovlar tufayli server protsessoriga hujum robot saytining samaradorligini oshirishi mumkin, shuningdek, protsessorga va kompyuterga bosimsiz hujum qiladi. ma'bad.
    • Dasturiy ta'minotni ishlab chiqish (Web-App-Dev)- veb-qo'shimchalarni ishlab chiqish va joylashtirish uchun xizmatlar va vositalar to'plami, boshqacha aytganda, saytlarni rivojlantirish texnologiyalari:
      • ASP (Web-ASP) - bu ASP texnologiyalariga asoslangan veb-saytlar va veb-qo'shimchalarni qo'llab-quvvatlash va rivojlantirish uchun vosita. Ayni paytda saytni ishlab chiqishning yanada yangi va ilg'or texnologiyasi mavjud - ASP.NET;
      • ASP.NET 3.5 (Web-Asp-Net) - ASP.NET texnologiyasidan foydalangan holda veb-saytlar va veb-qo'shimchalarni ishlab chiqish uchun ob'ektga yo'naltirilgan muhit;
      • ASP.NET 4.6 (Web-Asp-Net45) - shuningdek, ASP.NET ning boshqa versiyasi bilan veb-saytlar va veb-qo'shimchalarni ishlab chiqish uchun ob'ektga yo'naltirilgan muhit;
      • CGI (Web-CGI) - veb-serverdan tashqi dasturga ma'lumot uzatish uchun CGI-dan foydalanish qiymati. CGI - bu xorijiy dasturlarni veb-server bilan bog'lash uchun standart interfeys. Ê nedolík, unumdorligi bo'yicha scho zastosuvannya CGI vplivaê;
      • Server tomonidagi bildirishnomalar (SSI) (veb-o'z ichiga oladi) - quyida SSI kino skriptining kichik to'plami ( server tomonida yoqilgan), bu HTML tomonlarini dinamik shakllantirish uchun hiyla;
      • Qo'shimchalarni ishga tushirish (Web-AppInit) - bu veb-sahifani qayta imzolashdan oldin veb-qo'shimchalarni ishga tushirishni amalga oshirish vazifasi;
      • WebSocket protokoli (Web-WebSockets) - server dasturlarini yaratish, ya'ni qo'shimcha WebSocket protokoli bilan ishlash qobiliyatini qo'shish. WebSocket - TCP-ma'lumotlari orqali brauzer va veb-server o'rtasida bir vaqtning o'zida ma'lumotlarni uzatishi va qabul qilishi mumkin bo'lgan protokol, HTTP protokolining kengaytmasi turi;
      • ISAPI kengaytmasi (Web-ISAPI-Ext) - ISAPI dasturlash interfeysi bilan bir qatorda dinamik veb-ishlab chiqishning kichik to'plami. ISAPI - bu IIS veb-server uchun API. ISAPI dasturlari yanada oqilona ishlaydi, ASP fayllari yoki COM+ komponentlarini chaqiruvchi fayllarni pasaytiradi;
      • Expansion.NET 3.5 (Web-Net-Ext) - .NET 3.5 ni kengaytirish maqsadi, bu sizga veb-serverning barcha so'rovlarni qayta ishlash liniyasida, konfiguratsiyada va interfeysida o'zgartirish, qo'shish va kengaytirish imkonini beradi. server;
      • Expansion.NET 4.6 (Web-Net-Ext45) - .NET 4.6 ni kengaytirish maqsadi, bu sizga veb-serverning barcha so'rovlarni qayta ishlash liniyasida, konfiguratsiya va interfeysda funksionalligini o'zgartirish, qo'shish va kengaytirish imkonini beradi. uy egasining;
      • ISAPI filtrlari (Web-ISAPI-Filtr) - ISAPI filtri kengaytmasini qo'shish. ISAPI interfeys filtrlari filtrni qayta ishlashda HTTP veb-server tomonidan so'raladigan dasturlardir.

    FTP - server (Web-Ftp-Server)- FTP protokolini qo'llab-quvvatlaydigan xizmatlar. FTP serveri haqidagi hisobot "Windows Server 2016 da FTP serverini o'rnatish va sozlash" materialida muhokama qilindi. Ushbu xizmatlardan foydalaning:

    • FTP xizmati (Web-Ftp-Service) – veb-serverdagi FTP protokoliga qo'llab-quvvatlashni qo'shish;
    • FTP kengaytirilishi (Web-Ftp-Ext) - standart FTP imkoniyatlarini kengaytiradi, masalan, Post Manager, ASP.NET Core yoki IIS Manager Core kabi funktsiyalarni qo'llab-quvvatlash.

    Zasobi keruvannya (Web-Mgmt-Tools)- tse keruvannya veb-server IIS 10. Ulardan oldin siz ko'rishingiz mumkin: IIS koristuvach interfeysi, buyruq qatori vositalari va skriptlar.

    • IIS ro'yxatga olish konsoli (Web-Mgmt-Console) - IIS xizmatlari tomonidan ro'yxatdan o'tish uchun interfeys;
    • Belgilarni o'rnating va IIS xizmatlaridan la'nat oling (veb-skriptlash vositalari) - qo'shimcha buyruq qatori yoki skript uchun IIS tomonidan tanlangan skriptlarni oling. Їx, masalan, keruvannyani avtomatlashtirish uchun vikoristovuvat qilish mumkin;
    • Xizmat keruvannya (Web-Mgmt-Service) - tsya xizmati boshqa kompyuterdan IIS menejerining vikilaridan masofadan turib veb-serverni keruvat qilish imkonini beradi;
    • IIS 6 Xulosa nazorati (Web-Mgmt-Compat) - ikkita IIS API-ni bekor qiladigan dasturiy skriptlarni boshqaradi. IIS 6 skriptlarini bilish IIS 10 veb-serverida kurasiya qilish uchun o'zgartirilishi mumkin:
      • IIS 6 ob'ektining metabazasi (Web-Metabase) - IIS ning oldingi versiyalaridan ko'chirilgan qo'shimchalar va belgilar to'plamini ishga tushirish imkonini beruvchi ob'ekt xususiyati;
      • IIS 6 skript vositalari (Web-Lgcy-Scripting) – bu vositalar IIS 6, IIS 10 ni boshqarish uchun yaratilgani kabi bir xil IIS 6 skript xizmatlarini ishga tushirishga imkon beradi;
      • IIS 6 Service Management Console (Web-Lgcy-Mgmt-Console) - masofaviy IIS 6.0 serverlarini boshqarish;
      • WMI donoligi IIS 6 (Web-WMI) - WMI pochta menejerida yaratilgan qo'shimcha skriptlar to'plami uchun IIS 10.0 veb-serverini dasturlarni boshqarish va avtomatlashtirish uchun Windows yadro vositasida (WMI) skript interfeyslari.

    Active Directory domen xizmatlari

    Rol " Active Directory domen xizmatlari» (AD DS) ma'lumotlar bazasini taqsimlashni ta'minlaydi, shuning uchun u resurslar haqida ma'lumot to'playdi. Zahisnoy qobig'ining ierarxik tuzilishidagi koristuvachi, kompyuterlar va boshqa qo'shimchalar kabi merezhy elementlarini tashkil qilish uchun Tsyu roli vikoristovuyut. Ierarxik tuzilishga follikullar, follikullardagi domenlar, shuningdek, teri domenidagi tashkiliy birliklar (OU) kiradi. AD DS tekshiruvlarini amalga oshiradigan server domen boshqaruvchisi deb ataladi.

    Windows PowerShell uchun rol nomi - AD-Domain-Services.

    Windows Server Essentials Mode

    Bu rol kompyuter infratuzilmasi va o'zining samarali va samarali funktsiyalaridir, masalan: mijoz ma'lumotlarini markazlashtirilgan joyda saqlash va ushbu mijoz kompyuterlarining server zahira nusxasi uchun ma'lumotlarni himoya qilish, menga biror narsa qurish orqali veb-saytga kirishga ruxsat berish. Rol sifatida ishlash uchun sizga bir qator rol xizmatlari va komponentlari kerak bo'ladi, masalan: BranchCache komponentlari, Windows Server arxivlash tizimi, Guruh siyosatini boshqarish, rol xizmati " DFS nom maydoni».

    PowerShell nomi ServerEssentialsRole.

    Merezhevy boshqaruvchisi

    Ushbu rol Windows Server 2016 da paydo bo'ldi, bu ma'lumotlarni qayta ishlash markazida boshqaruv, monitoring va diagnostika, jismoniy va virtual kadrlar infratuzilmasini avtomatlashtirishning yagona nuqtasidir. Qo'shimcha rol uchun siz IP bo'linmalarini, VLAN-larni, Hyper-V xostlarining jismoniy tarmoq adapterlarini o'rnatishingiz, virtual kalitlarni, jismoniy routerlarni boshqarishingiz, xavfsizlik devorlari va VPN shlyuzlarini bir nuqtadan sozlashingiz mumkin.

    Windows PowerShell nomi NetworkController.

    Tugunni qo'riqlash xizmati

    Guardian Hosted Service (HGS) serverining roli attestatsiya xizmatlarini taqdim etish va tajovuzkorlarga ekranlangan virtual mashinalarni ishga tushirish imkonini beruvchi kalitlarni himoya qilishdan iborat. Ushbu rolning ishlashi uchun bir qator qo'shimcha rollar va komponentlar talab qilinadi, masalan: Active Directory Domain Services, Web Server (IIS), komponent " Vídmovostíyka klasterlash"va boshqalar.

    PowerShell nomi - HostGuardianServiceRole.

    Katalogga oson kirish uchun Active Directory xizmatlari

    Rol " Katalogga oson kirish uchun Active Directory xizmatlari» (AD LDS) - AD DS ning ushbu versiyasi funksionallikni kamaytirishi uchun engillashtirildi, lekin domenlar yoki domen kontrollerlari kengayishiga ta'sir qilmaydi, shuningdek, depozitlar va domen almashinuvlari mavjud emas. AD DS xizmatlari. AD LDS LDAP protokoliga amal qiladi ( Yengil vaznli katalogga kirish protokoli). Bitta serverda AD LDS ning bir nechta nusxalarini mustaqil xaritalangan sxemalardan yoqish mumkin.

    PowerShell nomi ADLDS.

    Ko'p nuqtali xizmatlar

    Windows Server 2016 da paydo bo'lganidek, bu ham yangi roldir. MultiPoint Services (MPS) masofaviy ish jadvallari uchun asosiy funksionallikni ta'minlaydi, bu esa oz sonli xodimlarga bir soatda bir kompyuterda mustaqil ishlash imkonini beradi. Ushbu funksiyani o'rnatish uchun siz bir qator qo'shimcha xizmatlar va komponentlarni o'rnatishingiz kerak, masalan: Server, Windows Search xizmati, XPS tekshiruvi va boshqalar, ularning barchasi MPS o'rnatilishi vaqtida avtomatik ravishda tanlanadi.

    PowerShell rolini MultiPointServerRole deb nomlang.

    Windows Server yangilash xizmatlari

    Qo'shimcha rollar (WSUS) uchun tizim ma'murlari Microsoft yangilanishlarini boshqarishi mumkin. Masalan, turli xil yangilanishlar to'plami uchun kompyuterlarning turli guruhlarini yaratish, shuningdek, yangilash uchun kompyuterlarning ishlashini hisobga olish, chunki o'rnatish kerak. Ishlash uchun" Windows Server yangilash xizmatlari» Sizga quyidagi rol xizmatlari va komponentlari kerak bo'ladi: Veb-server (IIS), Windows ichki ma'lumotlar bazasi, Windows jarayonini faollashtirish xizmati.

    Windows PowerShell nomi - UpdateServices.

    • WID ulanishi (UpdateServices-WidDB) - WID da o'rnatilgan ( Windows ichki ma'lumotlar bazasi) WSUSni yutgan asosiy ma'lumotlar. Boshqacha qilib aytganda, WSUS xizmati ma'lumotlarini WID-da saqlang;
    • WSUS xizmatlari (UpdateServices-Services) - yangilash xizmati, qo'ng'iroqlar veb-xizmati, API o'zaro ta'siri uchun masofaviy veb-xizmati, mijoz veb-xizmati, oddiy autentifikatsiya uchun veb-xizmati kabi WSUS rol xizmatining narxi va ê Internet, server sinxronizatsiya xizmati va boshqalar. DSS autentifikatsiya veb-xizmati;
    • SQL Server ulanishi (UpdateServices-DB) - WSUSga Microsoft SQL Server ma'lumotlar bazasiga ulanish imkonini beruvchi komponentni o'rnatadi. Ushbu parametr Microsoft SQL Server ma'lumotlar bazasidan xizmat ma'lumotlarini saqlashni o'tkazadi. Bunday holda, siz SQL Serverning bitta nusxasini o'rnatishda allaqachon aybdorsiz.

    Korporativ litsenziyalarni faollashtirish xizmatlari

    Serverning qo'shimcha roli uchun siz Microsoft kompaniyasidan dasturiy ta'minot xavfsizligi uchun korporativ litsenziyalar berishni avtomatlashtirishingiz, shuningdek ularni litsenziyalar bilan sotib olishingiz mumkin.

    PowerShell nomi - VolumeActivation.

    Do'stingizga va hujjatlarga xizmat qiling

    Serverning roli chetdagi printerlar va skanerlarga umumiy kirishni ta'minlash, boshqa serverlarni markazlashtirilgan tarzda sozlash va boshqarish hamda skanerlash, shuningdek, umumiy printerlar va skanerlarni boshqarish uchun tayinlangan. Hujjat xizmatlari, shuningdek, skanerlangan hujjatlarni alohida jilddan yoki Windows SharePoint Services veb-saytiga elektron tarzda yuborish imkonini beradi.

    PowerShell nomi Chop etish xizmatlari.

    • Do'stning serveri (Print-Server) - rol xizmati, shu jumladan qo'shimcha qurilma taqdim etiladi. Chop etish boshqaruvi”, printerlar yoki boshqa serverlar tomonidan migratsiya, shuningdek, printerlar va boshqa serverlarni bir-biriga ko‘chirish uchun qanday yutib olish mumkin;
    • Internet orqali Druk (Print-Internet) - Internet orqali do'stni amalga oshirish uchun veb-sayt yaratilmoqda, qandaydir koristuvachi yordami uchun ular serverdagi do'stning vazifalari bilan ishlashlari mumkin. Xizmatning ishlashi uchun, siz bilganingizdek, o'rnatish kerak " Veb-server (IIS)". Rol xizmatini o'rnatish jarayoni uchun ushbu elementni tanlasangiz, barcha kerakli komponentlar avtomatik ravishda olinadi. Internet orqali Druk»;
    • Tarqalgan skanerlash serveri (Print-Scan-Server) bir nechta skanerlardan skanerlangan hujjatlarni qabul qilish va ularni tanib olish maqsadida boshqarish imkonini beruvchi xizmatdir. Tsya xizmati ham qasos olishdir " Skanerlashni boshqarish", chetli skanerlar bilan keruvannya uchun vikoristovuetsya sifatida va skanuvannya aniqlash uchun;
    • LPD xizmati (Print-LPD-Service) - LPD xizmati ( Line Printer Daemon) UNIX-ga asoslangan kompyuterlar va Line Printer Remote (LPR) xizmatini ishga tushiradigan boshqa kompyuterlarga serverning umumiy printerlarida ishlash imkonini beradi.

    Siyosat xizmatlariga kirish

    Rol " » (NPAS) Merriage-ga kirish, autentifikatsiya va avtorizatsiya, shuningdek, mijozning maxfiyligi, boshqacha qilib aytganda, Merriage xavfsizligini ta'minlash uchun siyosatlarni o'rnatish va himoyalash uchun Merezia Policy Server (NPS) yordamiga imkon beradi.

    Windows PowerShell-ning nomi NPAS.

    Windows nutq xizmatlari

    Qo'shimcha rol uchun siz Windows operatsion tizimini masofadan tarmoq orqali o'rnatishingiz mumkin.

    PowerShell rolini nomlash - WDS.

    • Joylashtirish serveri (WDS-Deployment) - bu rol xizmati Windows operatsion tizimlarini masofadan joylashtirish va joylashtirish uchun tan olingan. Vaughn shuningdek, qayta yozish uchun tasvirlarni yaratish va yaratish imkonini beradi;
    • Transport serveri (WDS-Transport) bu asosiy tarmoq komponentlarini qamrab oluvchi xizmat bo'lib, uning yordamida siz ko'p manzilli marshrut orqali ma'lumotlarni alohida serverga o'tkazishingiz mumkin.

    Active Directory sertifikat xizmatlari

    Bu rol sizga boshqa dasturlar uchun sertifikatlarni ko'rish va bunday sertifikatlarni sertifikatlash imkonini beruvchi sertifikatlashtirish markazlari va tegishli rollar xizmatlarini yaratish uchun tan olingan.

    Windows PowerShell nomi AD-sertifikatdir.

    Quyidagi rollarni o'z ichiga oladi:

    • Sertifikatlashtirish markazi (ADCS-Cert-Authority) - xizmatning qo'shimcha roli uchun siz muxbirlarga, kompyuterlarga va xizmatlarga sertifikatlar berishingiz, shuningdek sertifikatning amal qilish muddatini tasdiqlashingiz mumkin;
    • Sertifikatlarni ro'yxatdan o'tkazish siyosati veb-xizmati (ADCS-Enroll-Web-Pol) - Bu xizmat foydalanuvchilar va kompyuterlarga sertifikatni ro'yxatdan o'tkazish siyosati haqida ma'lumotni qo'shimcha veb-brauzer orqasida olish imkonini beradi, bunda kompyuter domenga kirmaydi. vv ishlashi uchun zarur Veb-server (IIS)»;
    • Sertifikatlarni ro'yxatga olish veb-xizmati (ADCS-Enroll-Web-Svc) - bu xizmat ro'yxatdan o'tganlar va kompyuterlarga HTTPS protokoli orqali veb-brauzer yordami uchun sertifikatlarni ro'yxatdan o'tkazish va davom ettirish imkonini beradi, kompyuter domenga kirmaydi. Đning ishlashi uchun ham zarur Veb-server (IIS)»;
    • Merezhevy Validation (ADCS-Online-Cert) - xizmat mijozlar uchun sertifikatni qayta tekshirish uchun tan olingan. Boshqacha qilib aytadigan bo'lsak, siz aniq sertifikatlar uchun tasdiqlash xati so'rovini olasiz, sertifikatlarni baholaysiz va maqomi to'g'risidagi ma'lumotlar bilan sertifikatning imzosini qo'llaysiz. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)»;
    • Internet orqali sertifikatlashtirish markazida ro‘yxatga olish xizmati (ADCS-Web-Enrollment) – bu xizmat sertifikatlarni so‘rash va yuritish, sertifikatlar ro‘yxatini o‘chirish va smart-kartalarni ro‘yxatdan o‘tkazish kabi vazifalarni ro‘yxatdan o‘tkazish uchun veb-interfeysni taqdim etadi. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)»;
    • Devor bilan o'ralgan binolarni ro'yxatga olish xizmati (ADCS-Device-Enrollment) - qo'shimcha xizmatlar uchun siz marshrutizatorlar va bulutli yozuvlarga ega bo'lmagan boshqa yordamchi binolar uchun sertifikatlarni ko'rishingiz, shuningdek sertifikatlar bilan tasdiqlashingiz mumkin. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)».

    Masofaviy ish stoli xizmatlari

    Serverning roli, uning yordamida virtual ish jadvallariga, sessiyalarda tashkil etilgan ishchi jadvallarga va masofaviy dastur dasturlariga kirishni tashkil qilish mumkin.

    Windows PowerShell uchun rol nomi - Remote-Desktop-Services.

    Kelgusi xizmatlardan iborat:

    • Masofaviy ish stollariga Internetga kirish (RDS-Web-Access) - rol xizmati koronerlarga menyu orqali masofaviy ish stollari va RemoteApp dasturlariga kirishga ruxsat berish uchun beriladi. Boshlash» yoki veb-brauzer yordami uchun;
    • Masofaviy ish stolini litsenziyalash (RDS-litsenziyalash) - xizmat masofaviy ish stolidagi yoki virtual ish stolidagi sessiya tugunining serveriga ulanish uchun zarur bo'lgan litsenziyalar bo'yicha litsenziyalash uchun tan olinadi. Їí̈ ̧ o‘rnatish uchun yutib olishingiz, litsenziyalarni ko‘rishingiz va ularning mavjudligini oshirishingiz mumkin. Xizmatning ishlashi uchun bu zarur Veb-server (IIS)»;
    • Masofaviy ish stoliga vositachi ulanish (RDS-Connection-Broker) - foydalanish imkoniyatini ta'minlashning bir usuli sifatida rolli xizmat: koristuvachani asosiy virtual ish stoliga, RemoteApp ilovasiga va sessiyalar asosida ish stoliga qayta ulash va o'rtasidagi jadvallar hovuz omborida virtual ish stollari. Xizmatning ishlashi uchun zarur komponent " »;
    • Masofaviy ish jadvallarida Vuzol virtualizatsiya (DS-Virtualizatsiya) - xizmat koronerlarga masofaviy ish jadvallari va RemoteApp dasturlariga qo'shimcha ulanish uchun virtual ish jadvallariga ulanish imkonini beradi. Bu xizmat Hyper-V dan bir vaqtning o'zida ishlaydi, shuning uchun. rol beriladi, lekin u o'rnatiladi;
    • Masofaviy ish jadvallarida (RDS-RD-Server) seanslar vuzoli - qo'shimcha xizmatlar uchun uni masofaviy Ilova dasturlarida serverda va ishchi jadvaldagi seanslar asosida joylashtirish mumkin. Kirish uchun mijoz masofaviy ish stoli yoki RemoteApp dasturlariga ulangan bo'lishi kerak;
    • Masofaviy ish stoli shlyuzi (RDS-Gateway) – xizmat vakolatli masofaviy ish stollariga virtual ish stollari, RemoteApp dasturlari va seanslarda, korporativ muhitda yoki Internet orqali tashkil etilgan ish stollariga ulanish imkonini beradi. Ushbu xizmatning ishlashi uchun quyidagi qo'shimcha xizmatlar va komponentlar zarur: Veb-server (IIS)», « Siyosat xizmatlariga kirish», « HTTP proksi-server orqali RPC».

    Active Directory huquqlari bilan foydalaniladigan xizmatlar

    Serverning vazifasi ruxsatsiz qidiruvdan ma'lumot olish imkonini berishdir. Siz muxbirlarning yozishmalarini qayta ko'rib chiqasiz va vakolatli muxbirlarga ma'lumotlar o'g'irlanishiga kirish uchun litsenziyalar berasiz. Kerakli qo'shimcha xizmat va komponentlarning roli uchun: " Veb-server (IIS)», « Windows jarayonini faollashtirish xizmati», « .NET Framework 4.6 xususiyatlari».

    Windows PowerShell nomi - ADRMS.

    • Active Directory huquqlarini boshqarish serveri (ADRMS-Server) - asosiy rol xizmati, obov'yazkova o'rnatish;
    • Federatsiya xabardorligiga yordam berish (ADRMS-Identity) - Bu Active Directory federatsiya xizmatlarining yordamiga qo'shimcha ravishda federatsiya identifikatorlarini o'g'irlash imkonini beruvchi ma'lumotlar xizmati rolidir.

    Active Directory federatsiyasi xizmatlari

    Ushbu rol federatsiya xavfsizligini va federatsiya xavfsizligini, shuningdek, brauzer yordamida veb-saytdagi yagona kirish (SSO) funksiyasini ta'minlaydi.

    PowerShell nomi - ADFS-Federatsiya.

    Masofaviy kirish

    Bu rol DirectAccess, VPN va proksi veb-dasturlari orqali ulanishni ta'minlaydi. Shunday qilib, rol Masofaviy kirish» An'anaviy marshrutlash imkoniyatlarini, jumladan, tarmoq manzilini (NAT) va boshqa ulanish parametrlarini qayta yozishni ta'minlaydi. Kerakli qo'shimcha xizmat va komponentlarning roli uchun: " Veb-server (IIS)», « Windows ichki ma'lumotlar bazasi».

    Windows PowerShell uchun rol nomi - RemoteAccess.

    • DirectAccess va VPN (RAS) (DirectAccess-VPN) - xizmat koronerlarga korporativ tarmoqqa istalgan vaqtda DirectAccess orqali Internetga kirish uchun ulanish imkonini beradi, shuningdek tunnel texnologiyalari va ma'lumotlarni shifrlash bilan VPN ulanishini tashkil qiladi;
    • Marshrutlash (Marshrutlash) - NAT marshrutizatorlarini, BGP protokollari bilan mahalliy tarmoqlardagi marshrutizatorlarni, RIP va boy manzillarni taqsimlashni qo'llab-quvvatlaydigan marshrutizatorlarni (IGMP-proksi) qo'llab-quvvatlash xizmati;
    • Veb-ilova proksi-serveri (Web-Application-Proxy) - bu xizmat korporativ darajadan tashqarida bo'lgan mijoz qo'shimchalarida korporativ darajadagi HTTP va HTTPS protokollariga asoslangan dasturlarni nashr qilish imkonini beradi.

    Fayl xizmatlari va galereya xizmatlari

    Serverning roli, uning yordamida siz fayl va papkalarga to'liq kirish huquqini berishingiz, umumiy resurslarni boshqarishingiz va ularni boshqarishingiz, fayllarni replikatsiya qilishni o'chirib qo'yishingiz, shved fayllarini xavfsiz qidirishingiz, shuningdek, UNIX mijoz kompyuterlariga kirish huquqini berishingiz mumkin. Fayl xizmatlarining taqdimoti va fayl serveri, biz "Windows Server 2016 da fayl serverini (Fayl serveri) o'rnatish" materialini ko'rib chiqdik.

    Windows PowerShell nomi FileAndStorage-Services.

    Saqlash xizmatlari- Ushbu xizmat to'plamni boshqarish funktsiyalari uchun javobgardir, shuning uchun uni qayta tiklash va olib tashlash mumkin emas.

    iSCSI fayl xizmatlari (fayl xizmatlari)- fayl serverlari va papkalari bilan fayllarni keshlashni osonlashtiradigan ushbu texnologiyalar diskdagi joyni tejash, fayllardagi fayllarni xavfsiz replikatsiya qilish va keshlash imkonini beradi, shuningdek, NFS protokoli orqali fayllarga to'liq kirish imkonini beradi. Quyidagi rollarni o'z ichiga oladi:

    • Fayl serveri (FS-FileServer) – katta papkalarni boshqaradigan va tarmoq orqali kompyuteringizdagi fayllarga kirish imkonini beruvchi rol xizmati;
    • Ma'lumotlarni nusxalash (FS-Data-Deduplication) - bu xizmat bir xil ma'lumotlarning faqat bitta nusxasini saqlash uchun diskda bo'sh joyni saqlab qoladi;
    • Fayl serveri resurslari menejeri (FS-Resource-Manager) - qo'shimcha xizmatlar uchun siz fayl serveridagi fayl va papkalarni boshqarishingiz, papkalar yaratishingiz, fayllar va papkalarni tasniflashingiz, papkalar kvotalari o'rnatishingiz va fayllarni blokirovka qilish siyosatini o'rnatishingiz mumkin;
    • iSCSI maqsadli maqsad (apparat VDS va VSS maqsad) (iSCSItarget-VSS-VDS) – xizmat iSCSI ga ulangan serverdagi dasturlarga iSCSI virtual disklaridagi hajmlarni nusxalash imkonini beradi;
    • DFS nom maydoni (FS-DFS-Namespace) - qo'shimcha xizmatlar uchun siz turli serverlarda joylashgan bir nechta papkalarni bir yoki bir nechta mantiqiy tuzilgan nomlar maydoniga guruhlashingiz mumkin;
    • Ish papkalari (FS-SyncShareService) - xizmat turli xil kompyuterlarda, shu jumladan ishchi fayllarda ish fayllarini yaratishga imkon beradi. Ishchi papkalarda siz fayllarni saqlashingiz, ularni sinxronlashtirishingiz va mahalliy tarmoq yoki Internetdan ularga kirishni olib tashlashingiz mumkin. Xizmat ishlashi uchun zarur komponent IIS veb-yadrosi ichki jarayoni»;
    • DFS replikatsiyasi (FS-DFS-Replikatsiya) - bu mahalliy yoki global tarmoqqa ulanish orqali papkalarni sinxronlashtirish imkonini beruvchi bir nechta serverlar o'rtasida ma'lumotlarni replikatsiya qilish moduli. Ushbu texnologiya replikatsiya tugagandan so'ng o'zgartirilgan bir nechta fayllarni yangilash uchun masofaviy siqish protokoliga (RDC) asoslangan. DFS replikatsiyasini ham DFS nom maydonlari, ham okremo bilan burish mumkin;
    • NFS uchun server (FS-NFS-Service) – kompyuterga fayllarni UNIX-ga asoslangan kompyuterlar va boshqa kompyuterlar, masalan, tarmoqqa ulangan fayl tizimi (NFS) protokoli bilan ajratish imkonini beruvchi xizmat;
    • iSCSI maqsadli serveri (FS-iSCSITarget-Server) - iSCSI maqsadlari uchun xizmatlar va xizmatlarni taqdim etadi;
    • Tarmoqlangan fayllar uchun BranchCache xizmati (FS-BranchCache) - tanlangan fayl serverida BranchCache qo'llab-quvvatlashini ta'minlaydigan xizmat;
    • File Server VSS Agent Service (FS-VSS-Agent) - xizmat bir xil fayl serverida ma'lumotlar fayllarini saqlash uchun qo'shimcha hajmlarni nusxalash imkonini beradi.

    faks serveri

    Fakslarni qabul qiluvchi, shuningdek, kompyuteringizda yoki bir xilda sozlash, parametrlar, qo'ng'iroq qilish va faksimile qo'shimchalari kabi faks resurslaridan foydalanishga imkon beruvchi super kuchning roli. Ish uchun zarur Druku server».

    Windows PowerShell-ning rolini nomlash - Faks.

    Windows Server 2016 ning server rollarini ko'rib chiqish uchun ish tugadi, aminmanki, material hozircha sizga tanish bo'ladi!

    Guruh siyosatini bloklash (3-qism)

    Konteynerga (domen, sayt yoki OU) tayinlangan guruh siyosati ob'ektlarini chaqiring va ushbu konteynerdagi barcha ob'ektlarga zastosovuyutsya. Domenning yaxshi tashkil etilgan tuzilishi bilan, bu butun, oqsil va boshqalar uchun etarli, atrofni ob'ektlarning siyosiy guruhi bilan to'ldirish kerak. Kim uchun siz ikki turdagi filtrlarni yutib olishingiz mumkin.

    Xavfsizlik filtrlari

    Xavfsizlik filtrlari atrofdagilarni siyosatchilar tomonidan yagona xavfsizlik guruhi tomonidan bloklanishiga imkon beradi. Masalan, GPO2 ni olaylik, uning yordamida Windows 8.1\Windows 10 ish stantsiyalarida Boshlash menyusini markazlashtirilgan sozlash markazlashtirilgan.

    Endi “Scope” yorlig‘iga o‘tamiz, bu yerda “Xavfsizlik filtri” bo‘limida GPO ma’lumotlarini bloklashi mumkin bo‘lgan guruhlarni ko‘rishingiz mumkin. Qulflash uchun Autentifikatsiya qilingan foydalanuvchilar guruhi ko'rsatilgan. Tse siyosatni oldin to'xtatish mumkinligini anglatadi kim bo'lmoq Koristuvacheví yoki domenda autentifikatsiyadan muvaffaqiyatli o'tgan kompyuter.

    Aslida, har bir GPO o'z kirish ro'yxatiga ega, uni "Delegatsiya" yorlig'ida topish mumkin.

    Siyosatni o'rnatish uchun ob'ekt "Authenticated Users" guruhi kabi zastosuvannya (Guruh siyosatini qo'llash) ni o'qish (O'qish) huquqining onasi uchun javobgardir. Shubhasiz, siyosat hamma uchun to'xtab qolmadi, faqat qo'shiq guruhi uchun, uni Autentifikatsiya qilingan foydalanuvchilar ro'yxatidan olib tashlash, keyin kerakli guruhni qo'shish va uning qonuniy huquqlarini ko'rish kerak.

    Shunday qilib, bizning arizamizda siyosat faqat Buxgalteriya guruhi bilan cheklanishi mumkin.

    WMI filtrlari

    Windows boshqaruv asboblari (WMI) Windows operatsion tizimini boshqarish uchun eng muhim vositalardan biridir. WMI shaxsiy bo'lmagan sinflar uchun qasos oladi, ularning yordami bilan koristuvach va kompyuterning parametrlarini amalda tasvirlash mumkin. Siz buyruqni kiritish orqali PowerShell yordamida ro'yxatdagi barcha mavjud WMI sinflarini ko'rib chiqishingiz mumkin:

    Get-WmiObject -Ro'yxat

    Masalan, darsni oling Win32_OperatingSystem operatsion tizimning kuchi uchun nima mas'uldir. Aytaylik, barcha operatsion tizimlarni filtrlash kerak, masalan, Windows 10. Biz o'rnatilgan Windows 10 dan kompyuterga o'tamiz, PowerShell konsolini ochamiz va qo'shimcha buyruq uchun operatsion tizimning nomi, versiyasi va turini ko'rsatamiz:

    Get-WmiObject -Class Win32_OperatingSystem | fl nomi, versiyasi, mahsulot turi

    Filtr uchun OS versiyasini va turini tanlang. Versiya mijoz va server operatsion tizimlari uchun bir xil va quyidagicha aniqlanadi:

    Windows Server 2016\Windows 10 - 10.0
    Windows Server 2012 R2 \ Windows 8.1 - 6.3
    Windows Server 2012\Windows 8 - 6.2
    Windows Server 2008 R2 \ Windows 7 - 6.1
    Windows Server 2008\Windows Vista - 6.0

    Mahsulot turi kompyuterni tanib olish uchun amal qiladi va 3 ta qiymatga ega bo'lishi mumkin:

    1 - ish stantsiyasi;
    2 – domen boshqaruvchisi;
    3 - server.

    Endi filtr yopilguncha muammosiz davom etaylik. Buning uchun "Guruh siyosatini boshqarish" qo'shimchasini oching va WMI filtrlari bo'limiga o'ting. Yangi ustiga bosing o'ng kalit Sichqonchani bosing va kontekst menyusidan "Yangi" bandini tanlang.

    Víkní daêmo filtrida bu tavsif im'ya. "Qo'shish" tugmasini bosamiz va "So'rov" maydoniga WMI filtrining asosi bo'lgan WQL so'rovi kiritiladi. Biz 1-toifali OS 10.0 versiyasini tanlashimiz kerak. U quyidagicha ko'rinadi:

    * Win32_OperatingSystem dan ″10.0%″ VA VA ProductType = ″1″ kabi Versiyasini tanlang.

    Eslatma. Windows Query Language (WQL) WMI tilidir. Bu haqdagi hisobotni MSDN da topish mumkin.

    Filtrni ehtiyot qiling, deb wiyshov.

    Endi guruh siyosati ob'ektidan faqat WMI filtri olib tashlandi, masalan, GPO3 da. GPO organlariga o'ting, "Scope" yorlig'ini oching va WMI Filtering maydonida uni kerakli filtrlar ro'yxatidan tanlang.

    Guruh siyosatini blokirovka qilish tahlili

    Bunday ko'p sonli GPO filtrlash usullari bilan ularni tashxislash va tahlil qilish imkoniyatiga ega bo'lish kerak. Kompyuterda guruh siyosatini o'zgartirishning eng oson yo'li buyruq qatori yordam dasturidan foydalanishdir gpresult.

    Masalan, Windows 7 OS o'rnatilgan kompyuter wks2 ga o'tamiz va WMI filtridan foydalanayotganimizni tekshiramiz. Qaysi oyna uchun administrator huquqlariga ega cmd konsoli tanlangan, buyruq gpresult / r, qattiq kompyuterga yopishtirilgan guruh siyosatlari haqida umumiy ma'lumotni ko'rsatish uchun.

    Eslatma. Gpresult yordam dasturini shaxsan o'zgartirish mumkin, shuning uchun siz buyruqni hayratda qoldirishingiz mumkin gpresult/?.

    Otrimanih ma'lumotlaridan ko'rinib turibdiki, GPO3 siyosati kompyuterga o'rnatilmagan, uning qismlari qo'shimcha WMI filtri orqasida filtrlangan.

    Shuningdek, siz GPO-ni Guruh siyosatini boshqarish qo'shimchasidan maxsus usta yordamida qayta yozishingiz mumkin. Sehrgarni ishga tushirish uchun "Guruh siyosati natijalari" bo'limiga o'ng tugmasini bosing va menyuda "Guruh siyosati natijalari ustasi" bandini tanlang.

    Vkazu'mo im'ya kompyuter, buning uchun zvyt saqlanadi. Agar siz guruh siyosatini o'rnatish imkoniyatlarini ko'rib chiqishingiz kerak bo'lsa, kompyuter sozlamalarini tanlanmagan holda qoldirishingiz mumkin. Buning uchun quyidagi katakchani belgilashingiz kerak (faqat foydalanuvchi siyosati sozlamalarini ko'rsatish).

    Keyin biz ma'lumotlar to'planadigan koristuvach nomini tanlaymiz yoki siz koristuvach uchun guruh siyosati sozlamalarini oxirigacha yoqmaslikni tanlashingiz mumkin (faqat kompyuter siyosati sozlamalarini ko'rsatish).

    Biz sozlamalarni tanlashni tekshiramiz, "Keyingi" ni bo'rttiramiz va tekshiramiz, doklar yig'iladi va ma'lumotlar hosil bo'ladi.

    Guruh siyosati ob'ektlari, ushbu kompyuterning qattiqligiga staz (yoki turg'unlik emas), shuningdek, filtrning buzilishi haqida keyinroq ma'lumotlardan qasos olish yaxshidir.

    Dumba uchun biz ikki xil koristuvach va por_vnyaêmo í̈x uchun qo'ng'iroqlarni saqlaymiz. Avvalo, Kirill koristuvachning chaqiruvi va keling, koristuvachning bo'linishiga o'tamiz. Bachit singari, GPO2 siyosati oxirgi martagacha turg'un bo'lmagan, ammo sharoblar vv zastosuvannya huquqiga ega emas (Sabab rad etilgan - kirish mumkin emas).

    Va endi bu koristuvach Olegning ovozi. Ushbu koristuvach Buxgalteriya guruhining a'zosi, shuning uchun siyosat muvaffaqiyatli amalga oshirildi. Tse xavfsizlik filtri muvaffaqiyatli amalga oshirilganligini bildiradi.

    Ehtimol, men guruh siyosatining turg'unligi haqida hayajonli qofiyani tugataman. Men ushbu ma'lumot foydali bo'lishini qo'llab-quvvatlayman va tizim ma'muriyatining qiyin vazifasini bajarishda sizga yordam beradi 🙂

    4-ma'ruza Merezia siyosat serveri: RADIUS serveri, RADIUS proksi-serveri va xost siyosati serveri

    4-ma'ruza

    Mavzu: Birlashtirish siyosati serveri: RADIUS serveri, RADIUS proksi-serveri va kirish siyosati serverini birlashtirish

    Kirish

    Windows Server 2008 va Windows Server 2008 R2 - yuqori texnologiyali Windows Server operatsion tizimlari, yangi avlod texnologiyalari, veb-xizmatlar dasturini ishga tushirish uchun kengaytirilgan. Ushbu operatsion tizimlar yordamida siz koristuvachlar va qo'shimchalar bilan gnuchka va barcha mavsumiy o'zaro ta'sirni kengaytirishingiz, yetkazib berishingiz va boshqarishingiz, yuqori darajadagi xavfsizlikka ega infratuzilma tarmog'ini yaratishingiz va tanangizda texnologik samaradorlik va tashkiliylikni oshirishingiz mumkin.

    Siyosat serverini birlashtirish

    O'lchov siyosatining serveri mijoz buyurtmasining xavfsizligini ta'minlash uchun teng tashkilot bo'yicha chora-tadbirlarga kirish siyosatini yaratish va to'xtatish, shuningdek ulanishga ulanishni autentifikatsiya qilish va avtorizatsiya qilish imkonini beradi. Bundan tashqari, birlashish siyosati serveri birlashish siyosati serveriga yoki masofaviy RADIUS server guruhlarida sozlangan boshqa RADIUS serverlariga ulanish soʻrovlarini qayta yoʻnaltirish uchun RADIUS proksi-server sifatida sozlanishi mumkin.

    Xavfsizlik siyosati serveri quyidagi uchta imkoniyatdan foydalanish uchun xavfsizlik va himoyaga kirish huquqi berilganda mijozning haqiqiyligi, avtorizatsiyasi va maxfiyligi siyosatini markazlashtirilgan tarzda o'rnatishga imkon beradi:

    RADIUS serveri. Xavfsizlik siyosati serveri autentifikatsiyani tekshirishni, simsiz ulanishlar uchun avtorizatsiyani va tashqi ko'rinishini, kalitlar orqali autentifikatsiyani, masofaviy kirish ulanishlarini va virtual shaxsiy xavfsizlik (VPN) ulanishlarini markazlashtirilgan holda boshqaradi. Birlashtirish siyosati serveri RADIUS serveri sifatida foydalanilganda, simsiz ulanish nuqtasi va VPN serveri kabi birlashtiruvchi kirish serveri Birlashtirish siyosati serverida RADIUS mijozi sifatida sozlanadi. Shuningdek, qo'shilish siyosati o'rnatiladi, chunki qo'shilish siyosatining serverlari ulanish so'rovlarini avtorizatsiya qilishda g'alaba qozonadi. Buning ustiga, siz RADIUS ko'rinishini sozlashingiz mumkin, shunda ma'lumotlar siyosat serveri tomonidan mahalliy qattiq diskda yoki Microsoft SQL Server ma'lumotlar bazasida saqlanadigan jurnal fayliga kiritiladi.

    RADIUS proksi-server. Agar birlashish siyosati serveri RADIUS proksi-server sifatida qayta yo'naltirilgan bo'lsa, ulanishda so'rov siyosatini sozlash kerak, agar u aniqlansa, agar so'rov ulanish serverida bo'lsa, birlashish siyosati boshqa RADIUS serverlariga yo'naltiriladi va maxsus RADIUS server qayta yo'naltirilgan bo'lsa, u ham qayta yo'naltiriladi. Tarmoq siyosati serverida siz uzoq RADIUS serverlari guruhidan bir yoki bir nechta kompyuterlarda maʼlumotlarni yigʻish uchun bulutli maʼlumotlarni qayta yoʻnaltirishni ham sozlashingiz mumkin.

    Tarmoqqa kirishni himoya qilish (NAP) siyosat serveri. Tarmoqdagi chegara siyosati serveri, chegaraga kirishni himoya qilish siyosati serveri kabi, chegara siyosati serveri ham mijoz kompyuterlari tomonidan boshqariladigan amaliylikni baholaydi. chegaraga kirishni himoya qilish, u chegara bilan bog'langan bo'lishi kerak. O'lchovga kirishni ta'minlaydigan birlashtiruvchi siyosat serveri ulanishlar uchun autentifikatsiya va avtorizatsiyani amalga oshiradigan RADIUS serveri vazifasini bajaradi. O'lchov siyosati serverida siz o'lchovga kirishni himoya qilish siyosati va parametrlarini sozlashingiz mumkin, shu jumladan tizimning amaliyligini qayta tekshirishni qo'shish, ushbu serverlar guruhining amaliyligi siyosati. yangilash, tashkilotdagi mijoz kompyuterlarining konfiguratsiyasi dolzarb bo'lishini ta'minlash.

    Merezhí siyosatining serverida ko'proq imkoniyatlarni olib kelish mumkinmi yoki yo'qligini yaxshilash mumkin. Misol uchun, o'lchov siyosati serveri bir yoki bir nechta to'xtab qolish usullaridan foydalangan holda o'lchovga kirishni himoya qilish uchun siyosat serveri rolini o'ynashi mumkin, bir vaqtning o'zida masofaviy kirishga ulanish uchun RADIUS server funktsiyalari va ma'lum RADIUS so'rovlarini qayta yo'naltirish uchun RADIUS proksi-server funktsiyalarini aylantiradi. ulangan RADIUS server. boshqa domenda autentifikatsiya va avtorizatsiyani yutib olish imkonini beradi.

    RADIUS server va RADIUS proksi

    Birlashma siyosati serveri bir vaqtning o'zida RADIUS serveri, RADIUS proksi-serveri yoki ikkalasi sifatida g'alaba qozonishi mumkin.

    RADIUS serveri

    Microsoft Birlashma siyosati serveri IETF RFC 2865 va RFC 2866 da tavsiflangan RADIUS standartigacha amal qiladi. , VPN ga masofadan kirish va kirish, shuningdek marshrutizatorlar oʻrtasidagi ulanish.

    Tarmoq siyosati serveri simsiz ulanish, masofaviy kirish, VPN tarmog'i va kommutatsiya uchun turli xil kirish turlarini almashtirish imkonini beradi. Birlashma siyosati serverini marshrutlash xizmati va masofadan kirish orqali almashtirish mumkin, chunki u operatsiya xonalarida mavjud Microsoft tizimlari Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition va Windows Server 2003, Datacenter Edition.

    Active Directory® domenining a'zosi, Active Directory® domenining a'zosi bo'lgan kompyuter sifatida siyosat serveri bulutli yozuvlar ma'lumotlar bazasi sifatida katalog xizmatini o'z ichiga oladi va yagona kirish yechimining bir qismidir. Xuddi shu oblik ma'lumotlar to'plami o'lchovga kirishni tasdiqlash (autentifikatsiyani tekshirish va o'lchovga kirish uchun avtorizatsiya) va Active Directory domeniga kirish uchun g'alaba qozonadi.

    O'lchovga kirishni ta'minlaydigan Internet va tashkilotlarning pochta xodimlari, ko'proq yig'iladigan vazifalarni bajarishadi, boshqaruvni boshqarish zarurati bilan bog'lanadi, xoh u o'lchovga mustaqil ravishda kirish huquqiga ega bo'lgan yagona ma'muriyat nuqtasidan o'lchovlarning ayrim turlari. RADIUS standarti bu funksiyani ham bir hil, ham turli muhitlarda qo'llab-quvvatlaydi. RADIUS protokoli mijoz-server protokoli bo'lib, u shaklning autentifikatsiyasini so'rash uchun RADIUS serverini engib o'tish uchun vositaga (RADIUS mijozi sifatida harakat qiladi) kirish imkonini beradi.

    RADIUS-server muxbirning ochiq yozuviga kirishi mumkin va akkauntga kirishni ta'minlash uchun bir soatlik autentifikatsiya uchun ochiq ma'lumotlarni tekshirishi mumkin. Ulanish ma'lumotlari to'g'ri bo'lishi va ulanish sinovi avtorizatsiyadan o'tishi bilanoq, RADIUS serveri ushbu muxbirning onglarning identifikatori ruxsati bilan kirishiga ruxsat beradi va ulanish haqidagi ma'lumotlarni tashqi ko'rinish jurnaliga kiritadi. RADIUS protokolidan foydalanish autentifikatsiya, avtorizatsiya va tashqi ko'rinish haqida ma'lumotlarni to'plash va saqlash imkonini beradi teri serveriga kirishda bitta roztashuvanní zamíst vykonannya tsíêíy operatsiyasi.

    RADIUS proksi-server

    RADIUS proksi-server sifatida merezhí siyosati autentifikatsiya yordamini boshqa RADIUS serverlariga yo'naltiradi.

    Siyosat serverining yordami uchun tashkilot infratuzilmani telefonda masofaviy kirishga xizmatning pochta menejeriga o'tkazishi mumkin, shu bilan birga autentifikatsiya, avtorizatsiya va koristuvachivning ko'rinishini nazorat qiladi.

    Birlashtirish siyosati serveri konfiguratsiyasi quyidagi stsenariylar uchun sozlanishi mumkin:

    Dartsiz kirish

    Tashkilotdagi masofaviy kirish yoki shaxsiy virtual tarmoqqa ulanish.

    Tashqi tashkilot tomonidan himoyalangan masofaviy kirish yoki dartsiz kirish

    Internetga ulanish

    Biznes hamkorlari uchun haqiqiylikdan tashqi manbalarga kirish

    RADIUS server va RADIUS proksi konfiguratsiyalarini qo'llang

    Keyingi ilovalarda konfiguratsiya tarmoq siyosati serverini RADIUS server va RADIUS proksi-server sifatida o'rnatish orqali namoyish etiladi.

    NPS RADIUS serveri sifatida. Bunday holda, tarmoq siyosati serveri RADIUS serveri sifatida sozlanadi, blokirovka ortida yagona siyosat o'rnatiladi, ulanish so'rovi siyosati o'rnatiladi, barcha ulanish so'rovlari mahalliy tarmoq siyosati serveri tomonidan qayta ishlanadi. merezhí siyosati serveri authentifikatsiju va avtorizatsiya vykonuvat mumkin coristuvachív, obíkoví yozuvlari ushbu server domenida yoki ishonchli domenlarda joylashgan.

    NPS RADIUS proksi sifatida. Ushbu ilovada siyosat serveri RADIUS proksi-server sifatida sozlangan boʻlib, soʻrovlarni ikki xil domendagi masofaviy RADIUS serverlari guruhlariga ishonchsiz ulanishga yoʻnaltiradi. Bloklash siyosati ortida o'rnatilgan ulanishga ulanish so'rovi ko'rinadi va uning o'rniga ulanishni so'rash uchun ikkita yangi siyosat yaratiladi, ular so'rovlarni ishonchsiz ikkita domendan teriga qayta yo'naltirishni o'tkazadi. Bunday holda, merezhí serveri mahalliy serverga ulanish uchun so'rovlarni qayta ishlamaydi.

    NPS ham RADIUS server, ham RADIUS proksi-server sifatida. Mahalliy so'rovni qayta ishlashga o'tkaziladigan ulanishni blokirovka qilish siyosatiga qo'shimcha ravishda, ulanish bo'yicha yangi so'rov siyosati yaratiladi, shunda ular tarmoq siyosati serveriga yoki boshqa RADIUS serveriga yo'naltiriladi. ishonchsiz domenda joylashgan. Boshqa siyosat proksi deb nomlanishi mumkin. Har bir ilova uchun “Proksi” siyosati tartiblangan siyosatlar roʻyxatida birinchi boʻlib koʻrinadi. "Proksi" siyosatiga ulanishni qanday so'rash kerak, Daniya zapiti ulanish bo'yicha masofaviy RADIUS serverlari guruhidagi RADIUS serveriga yo'naltiriladi. Ulanish so'rovi "Proksi" siyosatiga ruxsat bermasa ham, ulanish uchun reklama so'rovi siyosati uchun server mahalliy serverda ulanish uchun ulanish siyosatini qayta ishlaydi. Yakshcho ulanishni so'rash ushbu siyosatlarning hech biriga bog'liq emas, vinolar qabul qilinadi.

    NPS masofaviy hisob serverlari bilan RADIUS serveri sifatida. Ushbu ilovada birlashish siyosatining mahalliy serveri bulutni boshqarish uchun o'rnatilmagan, lekin qulf orqasida o'rnatiladi, ulanishni so'rash siyosati plashning RADIUS yangilanishini ta'minlaydigan tarzda o'zgartiriladi. birlashish siyosati serveriga yoki uzoq RADIUS serverlari guruhidagi boshqa RADIUS serveriga yo'naltiriladi. Qayta yo'naltirilgan ko'rinadiganlardan qat'i nazar, autentifikatsiya va avtorizatsiya qayta yo'naltirilmaydi va mahalliy domen va barcha ishonchli domenlar uchun tegishli funksiyalar siyosat siyosatining mahalliy serveri tomonidan belgilanadi.

    masofaviy RADIUS bilan NPS Windows foydalanuvchi xaritalash. Ushbu ilovada siyosat serveri RADIUS serveri vazifasini bajaradi va teri bilan ishlaydigan maʼlumotlar ulanishi uchun RADIUS proksi-server sifatida masofaviy RADIUS serveriga autentifikatsiya qilish uchun maʼlumotlarni qayta yoʻnaltiradi va bir vaqtning oʻzida Windowsʼdan mahalliy bulutli saqlash serverlariga avtorizatsiyani tiklaydi. Bunday konfiguratsiya Windows-ni ulanish siyosati sifatida o'rnatgan masofaviy RADIUS serverining o'rnatish atributi orqali amalga oshiriladi. (Bundan tashqari, RADIUS serverida masofaviy ko'rinish yozuvi bilan bir xil nomdagi koristuvachaning mahalliy ko'rinishi yozuvini yaratish kerak, shundan so'ng masofaviy RADIUS serverining autentifikatsiyasi amalga oshiriladi.)

    Merezhí-ga kirishni himoya qilish uchun siyosat serveri

    Windows Vista®, Windows® 7, Windows Server® 2008 va Windows Server® 2008 R2 uchun faollashtiruvchilarga komponentlarga kirishni himoya qilish. Vín zabezpechuê zahist shaxsiy merezhaga kirish, bu mijozlarga merzhevyh resurslariga kirishga ruxsat berish bilan birga, tashkilot siyosati amaliyotiga muvofiq mijoz kompyuterlaridagi parametrlarning xavfsizligini kafolatlaydi. Bundan tashqari, mijoz kompyuterining ma'mur tomonidan belgilanadigan maxfiylik siyosatining amal qilish muddati, agar kompyuter chegaraga ulangan bo'lsa, davr mobaynida chegaraga kirishni himoya qilish komponenti hisoblanadi. Xavfsizlik chorasiga kirishni avtomatik yangilash imkoniyati avtomatik ravishda xavfsizlik chorasiga kirishga ruxsat bermaydigan kirish siyosatiga yangilanishi mumkin.

    Tizim ma'murlari xavfsizlik siyosatini xavfsizlikka tayinlaydilar va xavfsizlik siyosati serverida mavjud bo'lgan yoki boshqa kompaniyalar tomonidan ta'minlangan xavfsizlikka kirish xavfsizligining xavfsizlik komponentlari asosida xavfsizlik siyosatlarini yaratadilar (kirish xavfsizligi uchun xavfsizlik). xavfsizlikka).

    Praxis siyosatlari dasturiy ta'minot xavfsizligi, xavfsizlik tizimini yangilash va konfiguratsiya opsiyalari kabi quyidagi xususiyatlarga ega bo'lishi mumkin. Turg'un maxfiylik siyosati o'lchoviga kirishni himoya qilish, mijoz kompyuterlarining amaliyligini qayta ko'rib chiqish va baholash, ularni qo'llab-quvvatlamaslik uchun kompyuterlar uchun kirish o'lchovini ajratish va yaxshilanmagan kirish o'lchoviga kirishning mumkin emasligini tuzatish.

    Qattiq disklar